Wenn RATen und Trojaner zuschlagen – Plötzlich werden keine Emails mehr angenommen

Bei einem Anruf eines besorgten Kunden vor einigen Tagen erfuhren wir das er Probleme mit dem Versand von eMails hatte, bzw. dass die Empfänger seine eMails nicht annähmen. Der Kunde benutzt einen externen Mailprovider. Der Support dieses Dienstes gehörten bis dato nicht zu dem mit dem Kunden vereinbarten Leistungsumfang, aber wir nahmen uns auf besonderen Wunsch des Kunden trotzdem der Sache an. Unser Kunde benutzt ein Hosting-Packet inkl. Mailserver eines großen deutschen Providers. Er hat eine Subdomain registriert, die über den MX-Eintrag zur IP des Hosters verweist.

Schnell wurde klar das die IP des Mailservers, den der Kunde benutzt, in einer Exploit Block List gelandet ist. Da der Eintrag in der Block List einen Mailware-Trojaner Namens Nymaim aufzeigte, wurde auf unser anraten die bekannte Ziel-IP und Ziel-Domain in der Firewall des Unternehmens geblockt. Auch ein umfassender Scan wurde auf wichtigen Systemen, allen voran den Rechnern der Buchhaltung, durchgeführt. Gefunden wurde bei der Adhoc-Suche im Netzwerk des Kunden glücklicherweise nichts, und der Eintrag wurde nach 24 Stunden automatisch aus der Exploit Block Liste entfernt.

Wir rieten trotzdem unserem Kunden vorsorglich gemäß den Vorgaben der DSGVO die Mitarbeiter zu informieren und den Netzwerk-Traffic für mindesten 48 Stunden mit Wireshark zu analysieren.

Schon am nächsten Tag war die IP des Mailservers, den unser Kunde nutzt, aber schon wieder in der Exploit Block List aufgeführt. Diesmal sollte ein SpamRAT-Bot als Schädling identifiziert worden sein.

Da es aber nach den Maßnahmen dafür aber augenscheinlich kein Anzeichen gab, das noch ein Schädling sich in das Netzwerk des Kunden einnisten konnte, wendeten wir uns an den Support des Providers bei dem unser Kunde sein Hosting-Packet nutzt. Schon nach wenigen Stunden erhielten wir hier eine Antwort das ein anderer Benutzer des Servers, auf dem das Hosting-Packet unseres Kunden liegt, für das Probleme verantwortlich sei.

Sicherlich ist es für User einfacher einen vorkonfigurierten und meist gut konfigurierten Mailserver eines Providers zu benutzen. Allerdings dann auch mit den hier gezeigten Risiken, dass es durchaus möglich ist, dass der Email-Verkehr geblockt wird, weil der Mailer von anderen Usern zum Versand von Spam oder anderen Schädlingen genutzt wird. Was im privaten Umfeld nur ärgerlich ist, kann als Produktiv-System eines Unternehmens arge Probleme bereiten.

Hier empfehlen wir die Nutzung eines eigenen Mailservers, der einzig vom Unternehmen genutzt wird. Dies kann auch, sollte keine Erfahrung in der Konfiguration und Wartung eines Servers vorhanden sein, ein sogenannter Managed-Server sein.

Wir bieten diesen Service für unsere Kunden gerne an, inklusive Spam- und Viren-Kontrolle bei ein- und ausgehenden Emails.

Gerne unterbreiten wir Ihnen hier ein individuelles Angebot.  Sprechen Sie uns gerne an.