Riesige Spam-Mails

1. offizieller Beitrag

    Hi!


    Bei uns schlagen seit ein paar Tagen riesige Spam-Mails auf (> 900 MB). Diese haben in den ersten paar KB den normalen Header und Text und danach nur noch binäre Nullen. Unser SMTP Server (kein Exchange, nur normaler SMTP Server unter W2K3 R2) ist auf 10 MB maximale Nachrichtengrösse beschränkt. Trotzdem landen diese > 900 MB Mails in der Warteschlange (Queue Verzeichnis) und bleibt da ein paar Tage drinnen.


    Woran kann das liegen und wie verhindere ich das?


    Danke
    Benni

    • Offizieller Beitrag

    Hi Benni,


    Das ist eigentlich kein SPAM mehr, sondern ziemlich aggressiv... Die Versender schicken Dir eine Mail mit einer ZIP, eine 900 MB grosse Dateien voller binärer Nullen ist in der ZIP sehr klein. Wenn Dein Virenscanner versucht, die ZIP zu öffnen und den Inhalt zu scannen, kommts zu dem Effekt...


    Lösung: Diese SPAMs schon am Gateway abfangen, so dass sie garnicht erst reinkommen.


    Willmar

    Hallo Willmar,


    Danke für die Info. Der SMTP Server ist das Gateway. Wie blocke ich das noch, ausser die maximal erlaubte Grösse auf 10 MB zu stellen, was in dem Fall aber komischerweise nicht zu funktionieren scheint? :-/


    Auf dem Gateway wacht Antigen 9 von Microsoft über den Mailverkehr und dort ist eingestellt, maximal 10.485.760 Byte grosse Anhänge (10 MB) zuzulassen und bei Problemen (Timeouts oder Fehlern mit der Scanengine) die Mail komplett zu löschen. "Eigentlich" sollten diese riesigen Mails gar nicht auftauchen dürfen... :(
    Meine Sorge ist, dass wir mit solchen Mails überschwemmt werden, bis die Platte voll ist und eben, warum die Grenzen umgangen werden können.


    Gruss
    Benni

    Zitat


    Willmar schrieb:
    Am Gateway sind die Mails noch klein, die werden erst riesig, wenn sie angefasst werden...


    Danke - diese Info ist gut! D.h. es kommt z.B. eine 900 KB grosse E-Mail rein (so viel hat diese E-Mail, wenn man sie als ZIP komprimiert), wird dann (von wem?) entpackt und als > 900 MB Datei an den Exchange weiter geschickt. Und der Exchange verweigert diese Mail, da diese sein 10 MB Limit sprengt? Daher landet die Mail in der Warteschleife, da das Gateway es immer wieder probiert bis zum Timeout nach zwei Tagen.
    Könnte das so sein? Ich frage mich nur, wer packt die Daten aus. Wenn es der Viren- oder Spam-Filter sein sollte, dann müsste dieser die Mail eigentlich löschen, so wie es in der Konfiguration steht.
    Falls es der SMTP-Server selbst ist, dann müsste dessen Limit zuschlagen oder nicht?
    Wie auch immer, die Mail dürfte eigentlich gar nicht in der Warteschlange landen. Eigentlich... :-?


    Zitat


    Willmar schrieb:
    Deshalb kommen sie am Gateway so problemlos durch. Du brauchst am Gateway einen Filter, der das bereits erkennt und abweist. Das kann Virenscanner sein, aber auch SPAM-Lösungen.


    Hm - ja. Beides ist auf dem Gateway vorhanden durch Microsoft Antigen 9 (Virenscanner und Spam-Filter). Warum aber diese beiden die Mail nicht löschen?


    Gruss
    Benni

    Hallo Willmar,



    Aha - jetzt weiss ich worauf Du raus willst! In meinem Scanner gibt es die Einstellung "Max container file size (bytes)". Und diese könnte natürlich auch die unkomprimierte Grösse des Anhangs bedeuten und nicht die tatsächliche nach dem Entpacken!


    Aber andererseits: Warum sollte die E-Mail selbst (die .EML Datei) dann so gross sein? Das Entpacken geschieht ja nur temporär, um die Datei auf Viren zu scannen. Der Anhang an sich sollte ja nicht verändert, sondern 1:1 weiter geleitet werden.


    Gruss
    Benni

    • Offizieller Beitrag

    "Max Container file size" würde ich aber als Grösse nach dem Entpacken interpretieren.


    Sei's wie will, an der Stelle muss ich passen, das waren alles nur Vermutungen von mir, da ich selbst noch nicht damit konfrontiert war...


    Vielleicht kann einer der Kolleg(Innen) helfen?


    Willmar