Seit vergangenem Freitag sind Mails mit gefaelschten Vodafone-Rechnungen im Umlauf. Die Mails wurden ueber verschiedene Rechner in Russland und Indien verschickt und beinhalten jeweils ein HTML-Mail mit dem bekannten Layout der Vodafone-Rechnungen und ein PDF-Dateianhang. Das PDF ist leer, wird von verschiedenen Acrobat-Readern auch als defekt gemeldet, beinhaltet aber nach akuellem Stand keine Viren. Das Mail wurde an eine unbekannte Zahl an Kunden, Ex-Kunden und Personen, die nie ein Vertragsverhaeltnis mit Vodafone hatten, verschickt. In den bislang bekannten Versionen dieser Mail wird immer ein Betrag um 200 Euro angefordert. Es fehlt aber die Bankverbindung, Kundennummer und Name.
Sicherheitshinweis: Solche Mails sollten sofort geloescht werden. Korrekte Rechnungsmails von Vodafone sind immer personalisiert, der Kunde wird also im Mail per Namen angesprochen. Ausserdem ist die jeweilige Kundennummer erwaehnt. Die Bankverbindung ist bei Vodafone immer dieselbe und kann mit frueheren Rechnungen verglichen werden. Verunsicherte Kunden koennen sich jederzeit an die Kundenbetreuung wenden. Missbrauch kann jederzeit auch an abuse@arcor.de gemeldet werden.

Einige unserer Mailserver standen (zu recht) in den letzten 2 Wochen auf der Blackliste mail-abuse.org. Dieser Dienst wird nach einer Uebernahme durch die Firma Trend Micro betrieben und kommerzialisiert. Es ist also keine "freie" Blackliste, wie es viele davon gibt. Als Ergebnis der Sperre konnten viele Mails aus unserem System ihrem Empfaenger nicht erreichen.
Die Ursache der Sperre wurde untersucht und beseitigt. Seit Freitag sollte es zu keinen Beeintraechtigungen mehr kommen.

Uns erreichen immer wieder Anfragen besorgter Kunden, dass sich fremde Mail in ihrem Postfach befinden oder sie aus unerklaerlichen Gruenden nicht auf ihr Postfach zugreifen koennen. Bei der Analyse des Problems stellt sich dann heraus, dass der Account von einer Vielzahl von Rechnern benutzt wird, die physikalisch so weit auseinander liegen, dass der Kunde sie unmoeglich alle gleichzeitig bedienen kann. Klarer Fall: Die Accountdaten des Kunden sind gestohlen und wurden zwecks Versendung von Spam in ein Botnetz eingespeist. Fortan werden von tausenden Rechnern in der Welt mit diesem Account Mails ueber unsere Infrastruktur verteilt. Warum macht man das? Arcor-Mailserver stehen in der Welt des Mailverkehrs als "sicher" da - sicherer als die Rechner des Botnetzes, die meist auf irgendwelchen Blacklisten gelistet sind. Also versendet man die Mails lieber ueber unsere Infrastruktur und erhoeht so die Chancen, dass sie ihre Empfaenger erreichen.
Der tatsaechliche Accountinhaber wird von diesen Aktivitaeten nichts mitbekommen - ausser, die Mails kommen nicht an und werden mit einer Fehlermeldung zurueckgeschickt. Diese bekommt dann der tatsaechliche Accountinhaber, wenn er als Absender in den Spammails auftritt. Wird ein anderer Absender gewaehlt, bekommt der Accountinhaber auch nicht die Fehlermails sondern nur eventuelle Antworten auf die Spammails, was meist wueste Beschimpfungen sein duerften.
Die zweite Masche ist der Versand ueber Webmail. Hier werden ueber halbautomatisierte Tools die Maske "Email schreiben" mit Text und Adresslisten ausgefuellt und in die Welt versendet. Die Sende-Raten sind hier nicht besonders hoch, aber mit einem Trick kann man auch in die Breite skalieren. Um die Fehler- und Antwortmails abzufangen, wird in dem Account eine sogenannte Fremddomain-Adresse konfiguriert (meist eine unbedeutende Mailadresse bei Googlemail). Dieselbe Adresse wird bei mehreren gekaperten Accounts konfiguriert und schon ist die Schlagzahl zum Versenden von Spam weiter erhoeht, denn auch Webmails aus unserer Mail-Infrastruktur haben einen guten Wert in der Welt der Mailserver, denn die Mails stammen ja eigentlich von unseren Kunden. Wenn der Spam ueberhand nimmt, werden auch unsere Mailserver geblacklisted - den Schaden haben dann also alle Kunden, deren Mails dann nicht mehr ankommen.

Was kann man jetzt dagegen tun:

1. Melden Sie uns Unregelmaessigkeiten an Ihrem Postfach.
2. Aktivieren Sie aktuelle Virenscanner auf Ihrem Rechner.
3. Aktivieren Sie die Softwareupdates fuer Ihr Betriebssystem
4. Speichern Sie nach Moeglichkeit das Passwort nicht im Browser oder Mailprogramm ab.
5. Aendern Sie nach einer Unregelmaessigkeit sofort das Passwort.
6. Aendern Sie das Passwort regelmaessig.

Einige Sachen sind unbequem, aber fuer einen wirksamen Schutz unabdingbar. Wir tun alles fuer Ihre Sicherheit und die Sicherheit Ihrer Daten. Jedoch faengt die Sicherheit auch schon bei Ihnen zu Hause an, denn normalerweise lassen Sie doch auch nicht die Haustuer offen, wenn Sie aus dem Haus gehen :-)

Das Postmaster-Team wuenscht Ihnen alles Gute fuer 2012!

In der Nacht vom 15.04. zum 16.04.2011 findet eine Wartung des Onlinedienstes statt. Alle Webservices von www.arcor.de und dsl.vodafone.de werden in der Zeit von 00:00 bis 06:00 Uhr nicht erreichbar sein. Das Mailsystem ist weitestgehend von der Wartung nicht betroffen. Nur die Einrichtung neuer Mailboxen und das Aendern von Passwoertern und Mailfiltern wird in dieser Zeit nicht moeglich sein. Wir werden ueber etwaige Aenderungen am Samstag noch informieren.

Seit dem Wochenende werden verstaerkt Mails an die Topleveldomain *.jp auf unserem Mailsystem als unzustellbar zwischengespeichert. Die Fehlermeldungen reichen von "Zielhost temporaer nicht erreichbar" bis "Fehler temporaere Nameserveraufloesung". Die Fehlerbenachrichtung geht nach 4 Stunden an den Absender der Mails und nach einigen Tagen werden die Mails vollstaendig zurueckgesendet, falls eine Zustellung bis dahin nicht erfolgreich war.
Ursache der zunehmenden Bounces duerfte das schlimme Erdbeben in der Region Japan sein und die damit verbundene Zerstoerung der Infrastruktur. Wir haben aber auch Nachricht erhalten, dass die Mailserver absichtlich abgeschaltet werden, um Strom zu sparen - es muss also nicht unbedingt an einer Zerstoerung des betroffenen Providers liegen. Nach Aussage der dortigen Energielieferanten soll der Zustand mindestens noch eine Woche andauern. Wir werden kurzfristig entscheiden, ob wir die Queue-Haltezeit verlaengern oder vielleicht andere Massnahmen zur Unterstuetzung treffen koennen.