Wer Zugangsdaten zum Abruf von Mails hat, kann damit üblicherweise auch Mails versenden. Das ist bei uns genauso wie bei praktisch allen anderen Providern auch.
Nun wissen wir natürlich nicht, was für ein Client das ist, der sich da via SMTP AUTH an einem unserer Mailserver anmeldet. In diesem Fall ist es kein Desktop-Mailclient, sondern ein Postfix-Mailserver, den der Kunde lokal bei sich betreibt. Sein Desktop-Mailclient verschickt also Mails über Postfix, und Postfix macht dann SMTP AUTH bei uns. Kein Problem, geht.
Schlecht wird es, wenn es um Spam geht. In diesem Fall ist beim Kunden nämlich offenbar ein User-Passwort geknackt worden und dann fleißig Spam über seinen Postfix-Server geschickt worden – der dies dann wiederum brav via SMTP AUTH über uns weitergeleitet hat. Gut, dass in solchen Fällen dann schnell unser Monitoring anspringt, das in diesem Fall feststellte, dass dieser User ungewöhnlich viele Mails verschickt, die dann als zumindest temporär nicht zustellbar in der Mailqueue verblieben. Minuten später war der betreffende Account zum Relaying gesperrt – ein nettes Feature von vpopmail, weil der Abruf von Mails weiterhin problemlos möglich bleibt, nur eben kein Relaying mehr. Die betreffenden Mails haben wir aus der Mailqueue in die Quarantäne verschoben, damit der reguläre Mailbetrieb erstmal weitergehen konnte.
Wir haben für diesen Fall mittlerweile ein vorgefertigtes Schreiben, das wir mit ein paar Log-Auszügen schmücken und das den Kunden sinngemäß zu folgenden drei Punkten auffordert:
- Teilen Sie uns mit, was genau die Ursache für den Spamversand war
- Teilen Sie uns mit, was genau Sie unternommen haben, um vergleichbare Vorfälle in Zukunft zu verhindern
- Bestätigen Sie uns bitte ausdrücklich, dass Sie ihre lokale Mailqueue geleert haben
Ziel ist, sicherzustellen, dass der Kunde wirklich verstanden hat, was das Problem war. Insbesondere Leute, die sich mit Mailserver-Administration auskennen, werden die Hände über dem Kopf zusammenschlagen, wenn sie wüssten, wie häufig wir auf Frage 2 die Antwort „Ich habe einen Spamfilter auf meinem PC installiert“ lesen müssen, was nun eben gerade überhaupt nichts damit zu tun hat, dass man ein Open-Relay-Problem hat. Es liegt uns zwar allgemein fern, Kunden „erziehen“ zu wollen. In diesem Bereich tun wir es trotzdem – freundlich, hilfreich, aber auch konsequent. Spamming ist ein AGB-Verstoß, egal ob der Kunde Urheber des Spamversands ist (sowas resultiert dann auch gleich in einer fristlosen Kündigung) oder Spam „nur“ durchgeleitet hat, oftmals durch Unwissenheit. In diesem Bereich geben wir dann auch durchaus eine zweite Chance, wenn klar ist, dass der Kunde den Vorfall zum Anlass genommen hat, sein System entsprechend abzusichern.
Ursprünglich enthielt das Schreiben nur die ersten beiden Punkte. Den dritten haben wir ergänzt, nachdem es wiederholt vorkam, dass Kunden zwar tatsächlich das ursprüngliche Problem begriffen und auch nachprüfbar behoben hatte – aber noch ein paar tausend bereits entgegengenommene Mails in seiner Mailqueue hatte, die sein Mailserver nach Wiederfreischaltung dann erst nochmal zu verschicken versucht hat.
Es hat also auch durchaus seinen Grund, dass wir die drei simplen Fragen durchnummerieren. Es scheint wirklich schwierig zu sein: Selbst wenn man eindringlich darauf hinweist, dass gegen die AGB verstoßen wurde; dass man andere User mit Spam belästigt hat (und man selbst will ja auch nicht von Spam belästigt werden) – all diese Formulierungen führen regelmäßig trotzdem nicht dazu, dass sich ein Kunde die Zeit nimmt, unsere wirklich nicht übermäßig lange Mail vollständig zu lesen und zu beantworten. Das Durchnummerieren der Fragen hat schon mal dazu geführt, dass ein etwas größerer Anteil von Kunden darauf kommt, dass wir auf drei Fragen vermutlich auch drei Antworten erwarten, aber für etwa ein Viertel alle derart Angeschriebenen liegt das offenbar immer noch nicht auf der Hand – mit der Folge, dass wir Nachfragen müssen, was für den Kunden, der relaytechnisch nun gerade „auf dem Trockenen“ sitzt, auch nicht wirklich so super ist.
Insbesondere nicht für den Kunden von heute. Es entwickelte sich ein längerer Mailaustausch, den ich in anonymisierter und in Umfang und Formulierungen etwas reduzierter Form gerne wiedergeben möchte – ein kleiner Einblick, womit wir uns auch herumschlagen müssen.
Ich: (sende dem Kunden die Hinweismail in puncto Sperrung)
Kunde: „Ich habe den Account meiner Tochter gelöscht und hoffe, dass die Spammails nicht mehr von meinem Account ausgehen. Bitte um Entsperrung, damit wir wieder am normalen Leben teilnehmen können.“
Ich: „Bestätigen Sie mir doch bitte noch, dass Sie auch die Mailqueue Ihres Mailservers gelöscht haben“ (mit nachvollziehbarer Erklärung, warum wir auf dieser Bestätigung bestehen)
Kunde: „Ich bin bei Ihnen, weil ich keine Zeit habe, mich permanent um mein System zu kümmern. Dass jemand Daten hackt, soll vorkommen. Ich habe den Account gelöscht. Was tot ist, kann keine Daten mehr versenden.“
Ich: (… detaillierte Erläuterung, wieso das Löschen eines Accounts etwas ganz anderes ist als das Löschen der Mailqueue … bildlicher Vergleich, dass wenn man den Typen, der die Briefe in den Briefkasten wirft, vom Briefkasten wegschubst, damit ja immer noch die bereits eingeworfenen Briefe bleiben …) – „Ich bitte daher erneut darum, uns ausdrücklich zu bestätigen, dass Sie die Mailqueue Ihres lokalen Mailservers geleert haben.“
Kunde: „Ich habe alles gelöscht. Ich habe alle Postausgangsordner kontrolliert und dort hängt nichts mehr zum Versenden.“
Ich hatte schon so ein ungutes Gefühl. Wäre es um einen Exchange-Server gegangen, hätte ich ja angenommen, das „Postausgang“ eine krude Übersetzung für „Queue“ wäre, aber bei Postfix … aber ich wollte mal nicht so pingelig sein und habe sicherheitshalber die Verarbeitung der Queue des betreffenden Relayhosts bei uns kurz mal gestoppt und erst dann das Relaying wieder freigeschaltet.
Sekunden später prasselten hunderte von Spammails auf uns ein. Gut, dass ich die Mailqueue vorher gestoppt hatte. Also – Account direkt wieder sperren; die frisch eingelieferten Spammails direkt auch wieder in die Quarantäne verschieben, Verarbeitung wieder starten.
So langsam frage ich mich, ob der Kunde überhaupt weiß, dass er einen Mailserver betreibt – und wenn ja, wie das sein kann, dass er selbst aus der überdeutlichen Formulierung „die Mailqueue Ihres lokalen Postfix-Mailservers“ immer wieder lediglich auf den Postausgangsordner seines MUAs kommt. Ich habe nun erstmal ganz konstruktiv vorgeschlagen, dass er doch einfach unsere Infrastruktur für die Ablage seiner Mailboxen nutzen könnte, was ihn ja nicht mal etwas extra kostet und gerade, wenn er im Grunde sowieso keine Zeit für die Administration hat, vermutlich auch die beste Lösung für ihn wäre, um nicht unbeabsichtigt das restliche Internet mit Spam zu belästigen. Erfahrungsgemäß fühlen sich leider oftmals gerade die Kunden, die schon mehr oder weniger objektiv durch ihr Handeln belegt haben, wie wenig sie sich auskennen, ganz besonders auf den Schlips getreten, statt einfach mal zu sagen: Alles klar, ich habe einen Fehler gemacht; was raten Sie mir? Warten wir mal ab, was da kommt.
Hmm, vielleicht installiert irgendeine Linux-Distribution automatisch Postfix und der Anwender weiß tatsächlich nicht, was da im Hintergrund passiert?
Oder ein Bekannter/Verwandter hat ihm den Kram eingerichtet?
Bin gespannt, wie es weitergeht.
Zumindest muss sich der Kunde dessen ja von daher bewusst sein, dass er in seinem Mailclient keinen Mailhost von uns zum Relaying eingetragen hat, sondern seinen lokalen Mailserver. Oder das hat ihm auch ein Bekannter so eingerichtet … 🙂
Kenne ich nur zu gut: Ich stelle mehrere Fragen und bekomme nur auf die erste davon eine Antwort. Als wenn das Hirn beim Weiterlesen schon komplett mit der Beantwortung ausgelastet wäre und die anderen Fragen nicht mehr registriert.