Missbräuchliche Nutzung Ihres DSL Business Anschlusses


Seit Dezember 2010 hat die Deutsche Telekom ein System am Laufen, wo der Web-Transfer der Kunden beobachtet wird und gegebenenfalls reagiert wird, wenn die DSL-Leitung des Kunden für SPAM-Versand benutzt wird.

Man erhält ein Schreiben per Post vom “Abuse-Team Telekom Deutschland GmbH” wo auf ein Datum, wann die missbräuchliche Nutzung stattfand, hingewiesen wird.

Der zweite Satz des Schreibens lautet:

Von Ihrem Zugang wurde seit 13.12.2010 09:03:31 mehrfach eine missbräuchliche Nutzung (z. B. Spamversand) festgestellt und gemeldet. Wir möchten Sie darauf aufmerksam machen, dass Sie damit gegen die in unseren A…

Bei nähere Nachfrage erhält man auch eine LOG-Datei, welche z. B. so aussehen kann, zugemailt:

Abuse-ID: 8stellige Nummer
IP-Adresse: 91.17.xxx.yyy
Datum/Uhrzeit des Vorfalls: Mon, 13 Dec 2010 08:03:31 +0000
Infection: sinkhole
Zeile in der Meldung:
"2010-12-13 08:03:31","91.17.xxx.yyy",1317,3320,"DE","-","-",,"tcp","sinkhole",,,"74.208.164.166",80,8560,"US",,1,,,"Windows","2000 SP4, XP SP1+"
IP-Adresse: 91.17.xxx.yyy
Datum/Uhrzeit des Vorfalls: Tue, 21 Dec 2010 08:34:10 +0000
IP-Adresse: 91.17.xxx.yyy
Datum/Uhrzeit des Vorfalls: Wed, 15 Dec 2010 12:48:10 +0000
Infection: sinkhole
IP-Adresse: 91.17.xxx.yyy
Datum/Uhrzeit des Vorfalls: Tue, 14 Dec 2010 12:36:46 +0000
"2010-12-14 12:36:46","91.17.xxx.yyy",3340,3320,"DE","-","-",,"tcp","sinkhole",,,"74.208.164.166",80,8560,"US",,1,,,"Windows","2000 SP4, XP SP1+"

Außer einem allgemeinen Blabla Schreiben wo auf auf verschiedene Würmer, Trojaner und Spam-Themen hingewiesen wird ist weiter nichts verwertbares mit dabei.

Auch telefonisch kann man nicht mehr Infos erhalten.

Da stellen sich jetzt natürlich viele Fragen wie:

Wie funktioniert ein solcher Scan der Daten
Wie oft wird man verwarnt?
Wann wird die Leitung abgeschaltet?
Was passiert bei einer Neuinfektion?
Wie führt man einen Nachweis, dass man alles mögliche gemacht hat um das Problem aus der Welt zu schaffen?
Wie ist die Log-Datei zu interpretieren?
Welcher Rechner im lokalen Netz war der Übeltäter?

Fragen über Fragen. Einige Antworten gibt es bereits und werden in diesem Blog die nächsten Wochen näher erläutert.

5 Antworten to “Missbräuchliche Nutzung Ihres DSL Business Anschlusses”

  1. Michael Says:

    Hallo,
    genau so ein Schreiben flatterte uns heute auch ins Haus. Ein paar Headerzeilen unvollständig. Kann jetzt jeder x-beliebige Anbieter „beschwerden“ bei der Telekom tätigen und die mahnen dann ihre Kunden ab ?
    Selbst bei den Mitarbeitern der TK stößt man bei diesem Thema auf Skepsis.
    Wenn ich strittigen Mailverkehr nach Aussen habe, möchte ich bei Anschuldigungen verdammt nochmal vernünftige Informationen.
    Gruß
    Michael
    Leiter IT eines mittelst. Unternehmens

  2. Quirel Says:

    Hallo Michael,

    das hat nix mit anschwärzen zu tun. Im obigen Log ist z. B. die IP-Adresse 74.208.164.166 von shadowserver.org. Die betreiben Honeypots und leiten Anfragen von infizierten Rechnern an den jeweiligen Provider weiter.

    Die Telekom reagiert nun mit diesem Schreiben drauf. Bei diesen Schreiben ist nicht davon auszugehen, dass sich das Problem von selber regelt! Wenn die Telekom so ein Schreiben schickt und zumal per Post macht sie dies nicht zum Spass.

    Also ich würde schnellstens eine Arbeitsgruppe von Experten bilden oder von extern Berater holen um die Sache zügig zu untersuchen.

    Wenn man nicht reagiert, steht man im Extremfall ohne Internetverbindung da. Da soll mir jemand mal erklären wie da heutzutage noch ein Betrieb existieren kann?

  3. Missbräuchliche Nutzung Ihres DSL Anschluss – woher kommt die Telekom Logdatei? « Das nie endende Chaos! Says:

    […] im ersten Artikel https://newyear2006.wordpress.com/2010/12/30/missbruchliche-nutzung-ihres-dsl-business-anschlusses/#c… aufgeführt, stellt einem die Telekom eine LOG-Datei zur […]

  4. Thomas Hüttner Says:

    Hallo,

    gleiches Szenario bei uns. Schon mehrmals Schreiben der TK erhalten. Nach Anruf bei TK Sperre zwar ausgesetzt, dann kurze Zeit später aber wieder der gleiche Käse.
    Zur Erklärung:
    Wir sind ein Onlinehandelsunternehmen, welches die Auftragsbestätigung, die Versandbestätigung und die Rechnung per Mail sendet. Hotmail lässt lediglich 100 SMTP Verbindungen innerhalb eines bestimmten Zeitraumes zu, so dass ich mit 33 Kunden das Limit bereits erreiche. Ergo bin ich ein Spammer.
    Bei der Bitte im Klärung seitens der Telekom stößt man aber auf taube Ohren. Von wem bekommen die eigentlich ihr Geld?
    Hotmail schreibt dazu zurück: „keine Fehler bei der Zustellung der Mail an Ihre Kunden feststellbar“ ?!?
    Hallo, hier geht es nicht um die Zustellbarkeit, sondern um die Menge. Das kapiert aber scheinbar niemand, weder bei Hotmail noch bei der TK.
    Bleibt nur abschalten (lassen) und die Leute auf die Straße schicken….

    Thomas
    IT-Leiter eines Onlinehändlers

    • Quirel Says:

      Interessant bzw. absolut übel, wenn dem wirklich so ist.

      Aber was ich nicht ganz verstehe: Wie kommt hier Hotmail ins Spiel oder ist eher von Office365 oder Outlook.com die Rede?

      Wenn Hotmail auf 100 E-Mails begrenzt wäre, wieso kommt dann das Schreiben von der Telekom?

      Handelt es sich um einen normalen Verbraucher DSL Anschluss oder um einen Telekom Business DSL Anschluss?

      Wie sind denn die Einstellungen für Hotmail? Etwa so:
      Outlook.com (ehemals Windows Live Hotmail)

      Posteingangsserver:
      POP3: pop-mail.outlook.com (SSL; Port 995),
      IMAP: imap-mail.outlook.com (SSL; Port 993)
      Postausgangsserver:
      smtp-mail.outlook.com (STARTTLS; Port 25 oder 587)

      Wurde denn schonmal ein Netzwerkmitschnitt gemacht, um sicher zu gehen, dass nicht doch ein anderer Rechner im Netzwerk für das Chaos verantwortlich ist?

      Außerdem ist laut Telekom Abuse FAQ ein Versand immer gewährleistet, wenn ein anderer SMTP-Smarthost zum Einsatz kommt: http://hilfe.telekom.de/hsp/cms/content/HSP/de/3378/FAQ/theme-45858870/Internet/theme-45858698/Sicherheit/theme-257561437/Missbrauch-von-Diensten-Abuse/faq-257564064

      Wenn also outlook.com in der Form smtp-mail.outlook.com mit STARTTLS und Port 587 zum Einsatz kommt, sollte es doch keine Probleme geben oder doch?

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s


%d Bloggern gefällt das: