Newsletter und SenderBase "poor"

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
2 messages Options
Reply | Threaded
Open this post in threaded view
|

Newsletter und SenderBase "poor"

"Frank J. Dürring"
Hallo zusammen,

ich habe vor zwei Wochen schon einmal geschrieben das SenderBase bzw. Cisco/Talos (https://www.talosintelligence.com) den versandt von E-Mails eines Kunden über unseren MTA verhindert.

Unser Kunde ist ein öffentliche Organisation (Wirtschaftsförderung) die nun mal einen großen Newsletter (> 10.000 Empfänger alle 14 Tage) verschickt.
Über Jahre hinweg gab es auch keine Probleme bis Talos nun die Systeme (inzwischen mehrere getestet) als „poor“ einstufen und die Nachricht garnicht mehr annehmen. 

Es liegt wohl daran das wir nur alle 14 Tage so viele Nachrichten versenden und deshalb auffallen.
Bisher gab es keinen „menschlichen" Kontakt zu Talos / Cisco / SenderBase um das Problem zu erklären.

Hat jemand eine Idee wie ich das Problem lösen kann ohne dem Kunden zu sagen er soll den Newsletter sein lassen?
Gibt es mit Postfix eine Möglichkeit den E-Mail Versand eines konkreten Absenders zu verlangsamen? Über mehrere Tage hinweg?
Gibt es reine SMTPsServices wie z.B. die von AWS / SES die hier helfen können oder passiert dann das gleiche -> "poor"?

Wie macht ihr sowas?

Hier eine Darstellung wie wir von Talos / Cisco / SenderBase wahrgenommen werden.
Allerdings haben quasi nur große Konzerne sowie der Bund, die IHKs, Hochschulen, diverse Zeitungen/Medien usw. Talos im Einsatz, nur diese werden dann geblockt.

Danke und Gruß Frank.




Dear Frank,

Our worldwide sensor network indicates that spam originated from IP xx.xx.xx.xx as recently as 2/16/2018  (approximately 48.8 hours ago).

In some cases we are authorized to share headers of the received spam, but for these particular sensors we have non-disclosure agreements that prevent us from providing anything but the date the last spam was received. 
 
In addition, our sensors indicate server access attempts from this IP to mail servers within our Sensor Network.   This behavior is indicative of email directory harvesting attempts and also results in reputation impact to the IP.  Directory harvest detection fires when you are sending to invalid email addresses.
 
It is possible that your network or a system in your network may be compromised by a trojan spam virus, or perhaps there is an open port 25 through which a spammer may be gaining access and sending out spam. The last possibility is that one of your users is sending spam through the IP. We suggest checking these possibilities to help isolate the root cause of the spam and mail server access attempts originating from your IP.

In general, once all issues have been addressed (fixed), reputation recovery can take anywhere from a few hours to just over one week to improve, depending on the specifics of the situation, and how much email volume the IP sends. Complaint ratios determine the amount of risk for receiving mail from an IP, so logically, reputation improves as the ratio of legitimate mails increases with respect to the number of complaints. Speeding up the process is not really possible. Talos Intelligence Reputation  is an automated system over which we have very little manual influence.

In the meantime, if there are recipients whom you cannot contact, we would recommend contacting the ISP involved to request temporary whitelisting or you can always arrange to contact the recipient via alternative means.

You will need to vet your mailing lists more if this keeps happening. 


Regards,

Debra H 
SenderBase Support


Reply | Threaded
Open this post in threaded view
|

Re: Newsletter und SenderBase "poor"

Ralf Hildebrandt
* "Frank J. Dürring" <[hidden email]>:

> Hallo zusammen,
>
> ich habe vor zwei Wochen schon einmal geschrieben das SenderBase bzw.
> Cisco/Talos (https://www.talosintelligence.com
> <https://www.talosintelligence.com/>) den versandt von E-Mails eines
> Kunden über unseren MTA verhindert.
>
> Unser Kunde ist ein öffentliche Organisation (Wirtschaftsförderung) die
> nun mal einen großen Newsletter (> 10.000 Empfänger alle 14 Tage)
> verschickt. Über Jahre hinweg gab es auch keine Probleme bis Talos nun
> die Systeme (inzwischen mehrere getestet) als „poor“ einstufen und die
> Nachricht garnicht mehr annehmen.

https://www.talosintelligence.com/reputation_center/lookup#contact-form

Gründe sind:

* There have been reports of spam from your IP. Look up your IP's
  reputation on Talos Reputation Center and check the "DNS Based Block
  Lists" area to see whether it is listed on any of the common DNSBLs.
 
  --> Die Frage ist hier:
      1) Kann man sich aus dem Newsletter EINFACH austragen (unsubscribe Link)
      2) Werden unzustellbare Adresse automatisch ausgetragen?
      3) Gibt es eine Funktionierende postmaster/abuse Adresse in der Absender Domain?

* Your IP exhibits DNS patterns that indicate compromise by a SpamBot.
  Make sure your DNS is configured according to the protocol for
  RFC5321, section 4.1.1.1 (https://www.ietf.org/rfc/rfc5321.txt)
 
  --> klingt MÖGLICH

* Our sensors have received emails from your IP that contained links to
  domains hosting or distributing malware
 
  --> ich denke das könnt ihr ausschliessen
 
> Hat jemand eine Idee wie ich das Problem lösen kann ohne dem Kunden zu
> sagen er soll den Newsletter sein lassen? Gibt es mit Postfix eine
> Möglichkeit den E-Mail Versand eines konkreten Absenders zu
> verlangsamen?

Ich hatte dazu mal ein Scirpt geschrieben, daß alle M;ails eines
Absenders auf HOLD setzt und dann die sukzessive in 100er Blöcken
freiläßt. Oder so ähnlich.

> > Dear Frank,
> >
> > Our worldwide sensor network indicates that spam originated from IP
> > xx.xx.xx.xx as recently as 2/16/2018 (approximately 48.8 hours ago).

War da gerade ein Newsletter Lauf?
 
> > In some cases we are authorized to share headers of the received
> > spam, but for these particular sensors we have non-disclosure
> > agreements that prevent us from providing anything but the date the
> > last spam was received.

Sehr schlau, dann kann man die nichtmal austragen :/
 
> > In addition, our sensors indicate server access attempts from this IP
> > to mail servers within our Sensor Network.  This behavior is
> > indicative of email directory harvesting attempts and also results in
> > reputation impact to the IP.  Directory harvest detection fires when
> > you are sending to invalid email addresses.

Ist eure Adressliste voller unzustellbarer Adressen? (suche nach
"status=bounced"

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de