Von wegen schöne Bescherung: Einschränkungen im E-Mail-Verkehr

Es gibt derzeit leider Einschränkungen beim Versenden von E-Mail. So werden E-Mails an Empfänger bei Hotmail, outlook.com oder live.com (und ggf. weiteren Microsoft-Angeboten) nur unzuverlässig zugestellt. Ursache ist, dass die Server dieser und anderer Anbieter die Annahme von E-Mail aus der TU Chemnitz ablehnen, weil in den vergangenen Tagen Spam-Mails über uns versendet wurden.

Update 17.01.: Wir haben endlich Kontakt zu Microsoft herstellen können. Die Mails fließen aktuell wieder in Richtung hotmail, outlook und Co.
„We have investigated your IP […] and have applied required mitigation for your deliverability problem. Please wait for 24-48hrs for the mitigation to take effect.“

Was ist passiert?

Über Weihnachten und Silvester wurde über die E-Mail-Accounts einiger TU-Benutzer versucht, Hunderttausende dubioser E-Mails in die Welt zu schicken. Leider haben unsere automatischen Spamschutz-Mechanismen diese nicht erkannt, sodass eine große Anzahl Spam von unseren Mail-Servern an Nutzer in aller Welt ging. Erst durch unsere manuellen Eingriffe (Sperren der missbrauchten Accounts) konnte das gestoppt werden.

Damit hat sich jedoch die Glaubwürdigkeit unserer Mail-Server bei anderen E-Mail-Anbietern massiv verschlechtert. Aufgrund dieses Reputationsschadens verweigern einige Empfänger die Annahme aller E-Mails aus der TU Chemnitz, sodass die E-Mails an den Absender zurückgesendet werden. Die E-Mail-Admins im URZ versuchen, dass unsere Mail-Server von den Sperrlisten entfernt werden. Leider ist dies insbesondere bei den Microsoft-Diensten sehr schwierig und aufwändig. Gleichzeitig kann es passieren, dass die E-Mail-Adresse des TU-Benutzers in die Sperrlisten kommt und man sich den Ruf beschädigt.

Die Ursache

Wie konnte es jedoch dazu kommen, dass E-Mail-Accounts von TU-Benutzern für den Massenversand dubioser E-Mails missbraucht wurden? In Gesprächen mit Betroffenen kristallisierte sich heraus, dass eine am 18. und 19. Dezember an über 50 TU-Angehörige versendete E-Mail der Ausgangspunkt war (eine Vielzahl derartiger E-Mails wurde übrigens abgewiesen). So sah diese E-Mail aus:

Eine Phishing-E-Mail in Outlook

Bei einigermaßen aufmerksamem Lesen fällt hoffentlich jedem auf, dass diese vor merkwürdigen Formulierungen und Schreibfehlern strotzende E-Mail nicht glaubwürdig sein kann. Der Absender @tu-clausthal.de sollte zudem stutzig machen, ebenso fehlt eine konkrete Anrede und eine digitale Signatur, die vergleichbare E-Mails aus dem URZ kennzeichnen. Das TU-Logo soll freilich Vertrautheit schaffen, es deutet darauf hin, dass diese E-Mail gezielt an die TU-Benutzer gesendet wurde. Wie verhält man sich hier richtig? Genau, E-Mail löschen, im Zweifelsfall beim URZ nachfragen → URZ-Nutzerservice. Oder man wendet sich an Kollegen, von denen sicher jemand weiß, dass man sich die Speicherplatzbelegung seines E-Mail-Postfaches im → Identitätsmanagement ansehen kann. Informieren kann sich jeder auf unserer Webseite „Phishing: Versuchter Datenklau per E-Mail“ – mit interaktivem Selbsttest „Vertrauen Sie diesen E-Mails?“.

Diese Nachricht ist eine sogenannte Phishing-Mail, die Empfänger verleiten soll, Geheimnisse preiszugeben – in diesem Fall Login und Passwort. Dazu sollte der Empfänger auf den Knopf „Loslegen“ klicken. Danach öffnete sich folgende Webseite:

Gefälschte Login-Seite für Webmail der TU Chemnitz, erkennbar an der Adresszeile oben

Auf den ersten Blick ist das die Login-Seite unseres Webmail-Zugangs. Hier sollte man sich immer in der Adresszeile vergewissern, dass da https://mail.tu-chemnitz.de/ steht und nicht wie in diesem Fall eine völlig andere Adresse. Allerspätestens hier sollten die Alarmglocken schrillen, damit Sie auf so einer Seite keinesfalls Ihre Accountdaten, d. h. Loginkennzeichen und Passwort eingeben. Denn sonst gelangen Daten in die Hände von Kriminellen. In diesem Falle haben einige TU-Benutzer tatsächlich ihre Daten preisgegeben. Was passierte: Login und Passwort wurden binnen weniger Stunden zum Massenversand von dubiosen E-Mails benutzt. Wir können nicht ausschließen, dass die so gewonnenen Zugangsinformationen auch für andere Machenschaften benutzt wurden, sei es zum Zugriff auf E-Mails oder auf Daten.

Was kann jeder tun?

  • Nehmen Sie diese Vorfälle ernst!
  • Vor dem Klicken oder Eintippen überlegen! Sobald der leiseste Zweifel besteht, nachfragen.
  • Nicht in Hektik agieren, wenn es um Ihre Daten geht!
  • Sprechen Sie mit Ihren Kollegen und Mitstudenten über die Problematik! Weisen Sie insbesondere fremdsprachige Kollegen darauf hin, die durch den Einsatz automatischer Übersetzungswerkzeuge einen weniger auffälligen Text erhalten. Der Schutz von Daten und der E-Mail-Infrastruktur hängt davon ab, dass jeder einzelne Sorgfalt walten lässt.

Was aber, wenn man in die Falle getappt ist, und das erst merkt, wenn die Daten abgesendet wurden? Wichtigste Aktion: Ändern Sie schnellstmöglich Ihr URZ-Passwort! TU-Webseite aufrufen, in der obersten schwarz hinterlegten Zeile auf „Anmelden“ klicken, am Web-Trust-Center anmelden, dann oben auf „Mein Profil“ klicken. Im Identitätsmanagement finden Sie dann links den Punkt „Passwort ändern“.

Ohnehin sollte jeder TU-Benutzer sein URZ-Passwort regelmäßig ändern. Wir empfehlen mindestens einmal im Jahr. Der Jahresanfang ist ein guter Zeitpunkt dafür, finden Sie nicht auch? → Passwort ändern

Weitere Schutzmaßnahmen für E-Mail

Aufgrund der Vorfälle, die den Ruf der TU Chemnitz geschädigt haben und den E-Mail-Verkehr beeinträchtigen, müssen wir die E-Mail-Infrastruktur weitergehend technisch absichern. Wir werden sogenannte Ratelimits einführen, also Maximal-Kontingente für den Versand von E-Mails. Das bedeutet, dass ab einer gewissen Menge pro Zeiteinheit versendeter E-Mails die Annahme verweigert wird. Dazu haben wir erste vorsichtige Schritte unternommen, über die wir gesondert informieren werden. Unser Ziel dabei ist: Bestmöglicher Schutz vor Angreifern bei minimaler Einschränkung für den regulären E-Mail-Versand.

Getagged mit: , , ,
Veröffentlicht in Allgemein, E-Mail, IT-Sicherheit, Top-Artikel
9 Kommentare zu “Von wegen schöne Bescherung: Einschränkungen im E-Mail-Verkehr
  1. Jetzt hat uns an der Uni der Spacewar also auch erreicht.

  2. Johannes Hauck sagt:

    Es wäre gut wenn alle Nutzer der TU-Mail über die Nicht-Erreichbarkeit einiger E-Mail-Adressen informiert werden. Ich habe diesen Beitrag heute nur zufällig gelesen und wunderte mich bis dahin, dass ich von manchen Leuten keine Antwort bekommen habe. Vielleicht haben sie meine E-Mail einfach nur nicht erhalten, weil ihr E-Mailanbieter meine E-Mail blockiert.

    • Frank Richter sagt:

      Wenn eine E-Mail von einem Server abgewiesen wird, bekommt der Absender eine E-Mail zurück mit einem Fehler. Daher bekommt der Absender einer Nachricht das Problem sehr schnell mit.

      • Johannes Hauck sagt:

        aber nicht, wenn man die E-Mail über die Kursleiterseite des Universitätssports an alle Kursteilnehmer schickt, da ich dann nicht der Absender bin (die E-Mail wird für mich vom Unisport versendet). Auch wenn die E-Mail nicht abgewiesen wird, sondern aufgrund der Vorfälle im Spamordner landet, den die meisten ungelesen löschen, bekomme ich das nicht mit.

      • Frank Richter sagt:

        Nach Hinweisen eines erfahrenen E-Mail-Admins muss ich die Aussage etwas zurücknehmen: So sollte es zumindest sein, die Praxis sieht leider manchmal anders aus. Insbesondere die schon genannten Microsoft-Mail-Dienste nehmen auch E-Mail an, stellen die aber nicht zu. Andere verschieben E-Mails nach irgendwelchen Kriterien in einen Spam-Ordner.

  3. Ricarda Wandelt sagt:

    Mache ich mich jetzt mit folgendem Vorschlag unbeliebt? 😉
    Alle Erstis und neuen MitarbeiterInnen einen Monat nach Beginn des Studiums/des Arbeitsverhältnisses verpflichten, den interaktiven Pishing-Selbsttest zu absolvieren. (Erst nach einem Monat, weil man sich ja erstmal einfinden und an das Layout gewöhnen muss.) Vorher ist ein Login bei Webmail nicht möglich.
    Danach alle 2 Jahre ein verpflichtender Auffrischungstest (mit aktualisierten Testfragen). Vielleicht würde das helfen? Müsste selbstverständlich auch eine nachvollziehbare Version für Internationals geben.

  4. Johannes Hauck sagt:

    Die falsche Rechtschreibung kann nur Leuten auffallen, die sehr gut Deutsch sprechen. Wer Deutsch nur als Fremdsprache mit wenig Übung spricht, wird das nicht so einfach merken.

  5. Robert Magerle sagt:

    Zur Zeit (19.01.2019, 16:40) ist der IMAP-Mailserver mailbox.hrz.tu-chemnitz.de (Port:993) aus meinem privaten WLAN über die Deutsche Telekom nicht erreichbar (Fehlermeldung: Connection refused). In meinem Speedport-Router ist der Mailserver in der Liste der sicheren E-mail-Server eingetragen.

    Offensichtlich sperrt die Deutsche Telekom den Zugang zum Mailserver der Universität. Ich habe heute den ganzen Tag benötigt dies herauszufinden, da ich zuerst den Fehler bei den Einstellung meiner Geräte, E-mail-Programme, Gerätepassworte, WLAN-Router etc. gesucht habe. Der Grund ist aber die Deutsche Telekom.

    Der IMAP-Mailserver ist jedoch erreichbar, wenn über WLAN eine VPN-Verbindung zum Uni-Netz hergestellt ist oder wenn die E-Mail vom Smartphone aus über Mobilfunk versendet wird (WLAN ausgeschaltet).

    Diese Information ist vielleicht für alle hilfreich, die zuhause einen DSL-Anschluss über die Deutsche Telekom haben, und sich fragen, warum sie keine E-mail über ihren Uni-Account versenden können.

  6. Robert Magerle sagt:

    Ein Update: Am Montag morgen (21.01.2019, 9.30 Uhr) ist der Mailserver wieder über das DSL der Deutschen Telekom erreichbar.

Schreibe einen Kommentar

Auf den Webseiten der URZ-Community werden Cookies genutzt.