Ungewöhnlich hohe Zahl kompromittierter Mail-Konten

Liebe Macbay-Kunden

seit einigen Tagen gibt es Probleme bzgl. Mail-Versand und –Empfang, die damit zusammen hingen, dass offenbar einige Mail-Konten in Folge der Verwendung unsicherer Passwörter kompromittiert wurden. Man kann auch sagen: In letzter Zeit wurden zu viele Mail-Konten gehackt in Folge von unsicheren Passwörtern.

Normalerweise erkennt unser Monitoring, sobald von einem Account aus versucht wird, Spam zu versenden, was darauf hindeutet, dass dieser Account nur durch ein schwaches Passwort geschützt war und damit „leichte Beute“ ist für unbefugte Dritte, die das Web weltweit nach derart unsicheren Accounts abgrasen. Auch unsere präventiven Brute-Force-Schutzmaßnahmen greifen nicht, wenn ein Passwort schon nach dem 5. Fehlversuch erraten werden kann.

Wenn also von einem kompromittierten Account Spam versendet wird – das kann übrigens auch eine schlecht gesicherte Webseite sein! – läuft hier folgende Maßnahme:

  1. Die Versand-Funktion des betroffenen Accounts wird gesperrt, damit keine weiterer Spam abgeht und der Kunde trotzdem noch über diesen Account erreichbar ist
  2. Der Kunde wird per E-Mail benachrichtigt und zur Erneuerung seines Passwortes aufgefordert. Das betrifft auch die Domain-Emailkonten, die der Kunde ggfls. für seine eigenen Kunden eingerichtet hat.
  3. Sobald der Kunde die Passwörter erneuert hat und uns über unser Kontaktformular darüber informiert, verifizieren wir dies über die Passwort-Logfiles (keine Sorge, dabei sehen wir lediglich den Zeitstempel) und schalten anschliessend die Versandfunktion wieder frei

All das setzt voraus, dass die Mails von einem Spammer auf unseren Systemen von externen Mail-Servern nicht angenommen werden (rejected werden) und damit in der Warteschleife (Mail-Queue genannt) des Mail-Systems hängen bleiben, was dann bei uns den Alarm auslöst, dass ein Account oder eine Webseite kompromittiert worden sein könnte, was die o.g. Maßnahme einleitet.

Wenn diese Maßnahme nicht durchgeführt wird und das System immer mehr und immer häufiger versucht Spam-Mails zu versenden, landet unser System irgendwann auf einer sogenannten Remote-Blacklist (RBL) – Diese RBLs werden von den meisten Mail-Systemen genutzt, um die die eigenen System vor Spam zu schützen und nehmen anschliessend kategorisch KEINE Nachrichten von den Systemen an, die in einer solchen RBL gelistet sind.

Was ist also passiert? Unser Alarm-System hat versagt und wir haben zu spät bemerkt, dass mittlerweile eine ganze Handvoll kompromittierter Accounts und Webseiten unerlaubt Spam-Mails verschickt haben.

Dies hat dazu geführt, dass viele Kunden Ihre Mails teilweise nicht zuverlässig zustellen konnten und Rückläufer bezgl. Unzustellbarkeits-Benachrichtigungen erhalten haben.

Wir konnten den Fehler mittlerweile beheben, doch es kann noch 1-3 Tage dauern, bis die betroffenen RBLs unsere System von den Listen entfernen und uns wieder positiv bewerten. Wir haben darauf leider keinen Einfluss, wäre ja auch noch schöner, da das System mit den RBLs nicht funktionieren würde, wenn sich z.B. regelrechte Spam-Provider bei den RBLs freikaufen könnten ;)

In jeden Fall bitten wir Sie um Ihr Verständnis für die Situation und Nachsicht, dass wir in Folge dieser Gegebenheit nicht jeder der vielen, in diesem Zusammenhang bei uns eingegangen Support-Anfragen zeitnah und ausführlich beantworten konnten.

Viele Grüße von
S. Liem und Ihrem Team von Macbay