OVHcloud AntiSpam - Best Practices und Entsperren einer IP-Adresse

Ziel

Als Anbieter von Internetdiensten registriert und reserviert OVHcloud jegliche IP-Adressen, die mit Dienstleistungen verwendet werden bei den entsprechenden Organisationen wie RIPE oder ARIN. Das bedeutet, OVHcloud ist als rechtlicher Kontakt für missbräuchliche Verwendung (Abuse) in der WHOIS-Datenbank hinterlegt.

Wenn eine IP-Adresse bei Organisationen wie Spamhaus, SpamCop etc., die gegen SPAM, Phishing und dergleichen missbräuchliche Praktiken kämpfen, gemeldet wird, verschlechtert dies den Ruf des gesamten OVHcloud Netzwerks.

OVHcloud muss sich daher beständig um den Ruf, die Qualität und die Sicherheit des Netzwerks kümmern, das auch einen wichtigen Teil Ihrer Dienstleistungen ausmacht.

Zugriff auf das OVHcloud Kundencenter

• Direkter Link: Public IP
• Navigationspfad: Network > Öffentliche IP

Wie funktioniert das Schutzsystem?

Unser System basiert auf der Antispam-Technik von Vade Secure.

Sobald das Sytem eine IP-Adresse wegen SPAM sperrt, wird eine E-Mail mit entsprechenden Informationen an Ihre Kontaktadresse gesendet, wie nachfolgend beispielhaft dargestellt:

Guten Tag,

Unser Antispam-Schutz hat einen massiven Spam-Versand von einer Ihrer IP-Adressen erkannt: 122.122.122.122

Um die Sicherheit unseres Netzwerks zu gewährleisten wurde der ausgehende Traffic vom Port 25 Ihres Server gesperrt. Um Ihnen bei der Überprüfung zu helfen, finden Sie hier einen Auszug aus den Details betroffener E-Mails:

Destination IP: 188.95.235.33 - Message-ID: d24aa492-5f37-457f-9595-23ddc9e0f714@xxxxxxxxxxxxx.xx.local - Spam score: 300
Destination IP: 188.95.235.33 - Message-ID: fc090jdhf934iu09bf084bfo92@xxxxxxxxxxxxx.com - Spam score: 300
Destination IP: 188.95.235.33 - Message-ID: P0hbfo93407684bfoqljrlqvpLatS3RRB9rZw7e8s@xxxxxxxxxxxx.online - Spam score: 300
Destination IP: 188.95.235.33 - Message-ID: 6ZUnls843bnf0934StxFasYGmhtDJRo@xxxxxxxxxxxx.online - Spam score: 300
Destination IP: 188.95.235.33 - Message-ID: zcb.3z54da3kdfkl45802n0c0q98rqcc57e3b8aadfac63b2c408e3f5f9a27.1d44jkgnddfef.166489320375@xxxxxx.xxxx.net - Spam score: 300
Destination IP: 188.95.235.33 - Message-ID: zcb.3z54da33hn98v9bcq-nrf3r67cc57e3b8aadfac63b2c408e3f5f9a27.1d44jd9340252.1655508652095@xxxxxx.xxxx.net - Spam score: 300

In der praktischen Anwendung

Was ist bei einer E-Mail-Benachrichtigung zu tun?

Die Vorgehensweise besteht darin, die Problemursache zu identifizieren, sie zu beheben und dann Ihre IP zu entsperren.

Das Problem identifizieren und lösen

Bevor Sie eine IP-Adresse entsperren, überprüfen Sie, dass Sie folgende Maßnahmen ergriffen haben:

• Beenden Sie den Versand von E-Mails (zum Beispiel: jegliche E-Mail-Software wie qmail, Postfix, Sendmail usw. abschalten).
• Überprüfen Sie die Warteschlange der E-Mails (zum Beispiel: qmHandle für qmail, postqueue -p für Postfix) und leeren Sie diese.
• Analysieren Sie Ihre Logs mithilfe der Message-ID im Sperralarm.
• Wenn Sie den Versand von SPAM oder missbräuchlicher E-Mails bestätigen können, beheben Sie dessen Ursache, bevor Sie die IP-Adresse entsperren. In diesem Leitfaden erfahren Sie mehr über best practices (EN) beim Versand von E-Mails.

Wenn das Problem gelöst ist, können Sie Ihre IP-Adresse entsperren, indem Sie die folgenden Schritte ausführen.

Ihre IP-Adresse entsperren

Ihre IP-Adresse über das Kundencenter entsperren

Sie können das Dropdown-Menü unter Meine öffentlichen IP-Adressen und dazugehörigen Dienste verwenden, um Ihre Dienste nach Kategorie zu filtern, oder direkt die gewünschte IP-Adresse in die Suchleiste eingeben.

Wenn Sie eine Warnung für eine Ihrer IP-Adressen haben, wird in der Spalte IP-Warnung ein roter Status-Icon angezeigt.

Klicken Sie auf den Button ⁝ neben der entsprechenden IP/Dienst und wählen Sie Entsperrung Spamschutz.

Klicken Sie im angezeigten Fenster auf IP entsperren unten und bestätigen Sie.

Die IP wird nun entsperrt. Die Operation kann einige Minuten in Anspruch nehmen.

Sobald die Bearbeitung abgeschlossen ist, wird Ihre IP entsperrt.

Entsperren Sie Ihre IP-Adresse über die OVHcloud API

Verbinden Sie sich mit dem API-Interface von OVHcloud und folgen Sie den nachstehenden Schritten. Weitere Informationen zur Verwendung der OVHcloud API finden Sie in unserer Anleitung "Erste Schritte mit der OVHcloud API".

Rufen Sie zunächst die Liste der IP-Adressen jedes OVHcloud Dienstes ab (Hosted Private Cloud / VPS / Public Cloud / Dedicated Server):

type: Geben Sie den Typ der IP-Adresse an (Dedicated, PCC, VPS, vRack, PCI etc.)

Hier ein Beispiel:

"2001:41d0:67:d200::/56",
"2001:41d0:68:a00::/56",
"2001:41d0:68:f000::/56",
"2001:41d0:117:db00::/56",
"122.122.122.121/28",
"145.56.222.96/28",
"188.81.49.30/28",

Suchen Sie anschließend mithilfe des folgenden Aufrufs die IP-Adressen in einem bestimmten Zustand. Wenn Sie die blockierte IP-Adresse bereits kennen, gehen Sie zum nächsten Schritt:

ip: Geben Sie den im vorherigen Schritt erhaltenen IP-Block mit der Netzmaske an. Beispiel: 122.122.122.121/28
state: Geben Sie den Zustand an.

Hier ein Beispiel für das Ergebnis (in diesem Fall wurde Block 122.122.122.121/28 ausgewählt):

"122.122.122.122"

Sie erhalten Informationen zur Sperrung mit dem nächsten Aufruf, ansonsten gehen Sie zum nächsten Schritt über.

ip: Geben Sie den im vorherigen Schritt erhaltenen IP-Block mit der Netzmaske an.
ipSpamming: Geben Sie zum Beispiel die zuvor abgerufene IP im Zustand "blockedForSpam" ein.

Hier ein Ergebnisbeispiel (in diesem Fall wurde Block 122.122.122.121/28 und die IP 122.122.122.122 ausgewählt):

time: 3600,
date: "2022-08-29T17:42:50+01:00",
ipSpamming: "122.122.122.122",
state: "blockedForSpam" 

Das bedeutet:

- The IP is blocked for 1 hour (or 3600 seconds).
- It was blocked on 29/08/2022 at 5:42 p.m.
- Its current state is blocked.

Wenn Sie Statistiken über die Ergebnisse sehen möchten, verwenden Sie den folgenden API-Aufruf, ansonsten gehen Sie zum nächsten Schritt über.

ip: Geben Sie den im vorherigen Schritt erhaltenen IP-Block mit der Netzmaske an.
ipSpamming: Geben Sie zum Beispiel die zuvor erhaltene IP im Zustand "blockedForSpam" ein.
from and to: Das in der vorherigen Funktion verwendete Datumsformat (YYYY-MM-DDTHH:MM+01:SS).

Hier ein Beispiel:

{
"messageId": "2PXQSX-3JRAUU-SF@obfuscated.com",
"destinationIp": "188.95.235.33",
"date": 1385640992,
"spamscore": 410
}

IP entsperren

Um Ihre IP-Adresse zu entsperren, verwenden Sie folgenden Aufruf:

ip: Geben Sie den im vorherigen Schritt erhaltenen IP-Adressblock mit der Netzmaske an.
ipSpamming: Geben Sie die IP-Adresse ein, die zuvor als im Zustand "blockedForSpam" ausgegeben wurde.

Hier ein Beispiel:

"message": "This IP address is still blocked for 129 seconds"

Ergebnis mehr als 129 Sekunden später:

Time 3600,
date: "2022-08-29T17:42:50+01:00",
ipSpamming: "122.122.122.122",
state: "unblocking" 

Die IP-Adresse wird nun entsperrt. Es kann einige Minuten dauern, bis die Operation abgeschlossen ist.

False Positives

Bei falsch positiven Ergebnissen

In einigen Fällen kann die Anti-Spam-Benachrichtigung ein falsch positives Ergebnis sein. Wenn Sie überprüft haben und festgestellt haben, dass die Message-ID von einer legitimen E-Mail stammt, müssen Sie sicherstellen, dass Ihre E-Mails den RFC und den unten genannten Best Practices entsprechen.

RFC

RFCs (Request For Comments) sind Dokumente, die dazu dienen, technische Aspekte des Internets zu beschreiben. Sie werden von der IETF (Internet Engineering Task Force) produziert und veröffentlicht, einer Gruppe, die im Wesentlichen Standards erzeugt und definiert. Weitere Informationen finden Sie unter: RFC, IETF und Internet Draft.

Best Practices

Best Practices sind empfohlene Methoden, die oft auf RFC-Dokumenten basieren und Ihnen dabei helfen, die beste Vorgehensweise zu wählen. In diesem Fall bedeutet das, die grundlegenden Regeln einzuhalten, damit Ihre E-Mails nicht als Spam markiert werden.

E-Mail-Volumen

Wenn Ihr E-Mail-Volumen sehr hoch ist, empfehlen wir Ihnen:

• Eine IP-Adresse zu reservieren, die ausschließlich für E-Mail-Nutzung vorgesehen ist.
• Eine Abuse-Adresse auf diesem Block bereitzustellen, um Beschwerden zu erhalten.
• Reverse-Auflösung auf allen IP-Adressen korrekt zu konfigurieren.

Diese Maßnahme ermöglicht es Ihnen, Ruf der IP und von Domainnamen zu isolieren, falls Sie E-Mails von verschiedenen Domains senden, Beschwerden zu erhalten und somit notwendige Maßnahmen zu ergreifen, um von verschiedenen Organisationen freigeschaltet zu werden. Sie ermöglicht es Ihnen auch, Probleme schneller zu lokalisieren, da E-Mails von Formularen, die den Domainnamen X oder Y verwenden, nicht von der gleichen IP gesendet werden und nicht den gleichen Reverse haben.

E-Mail-Inhalt

• Vermeiden Sie in Ihren E-Mails Formulierungen, die von Spammern verwendet werden, wie „kaufen“ und „letzte Chance“, und vermeiden Sie auch Großbuchstaben, unpersönliche Betreffzeilen, Ausrufezeichen und "%"-Rabatte.
• Vergessen Sie nicht, einen Abmelde-Link bereitzustellen, damit Personen, die Ihre E-Mail nicht angefordert haben oder sie für illegitim halten, sich abmelden können.
• Achten Sie besonders darauf, dass Ihre E-Mails die E-Mail-Adresse des Absenders (oder einen Alias), eine Betreffzeile und ein korrektes Verhältnis von Text, Bildern und Links im E-Mail-Text enthalten.
• Das Verhältnis von Text zu Bild und Text zu Link sollte hoch sein. Laden Sie die E-Mail nicht mit Hyperlinks über und vermeiden Sie JavaScript.

FBL - Feedback Loop

Dieses System ermöglicht es Ihnen, direkten Kontakt zu Feedback herzustellen, das von einigen Internetdienstanbietern bereitgestellt wird, und informiert Sie darüber, dass ihre Benutzer Ihre Nachricht als illegitim markiert haben und sie daher als Spam klassifiziert wurde. Dies ermöglicht es Ihnen, direkt mit diesen ISPs bezüglich Ihres Rufes zu interagieren. Einige FBLs beinhalten:

• Yahoo & AOL Postmaster
• SpamCop
• Outlook & live.com

Authentifizierung

Einige Authentifizierungsdienste ermöglichen es Ihnen, Ihren Ruf zu schützen:

• Sender-ID: Eine von Microsoft entwickelte E-Mail-Authentifizierungstechnologie, die die Echtheit Ihres Domainnamens durch Überprüfung der IP-Adresse des Absenders bestätigt. Diese Technologie basiert auf dem IETF-Standard: RFC4406.
• SPF: Sender Policy Framework ist ein Standard zur Überprüfung der Absenderdomain. Er basiert auf RFC4408 und besteht darin, einen SPF- oder TXT-Eintrag in die Domain-DNS hinzuzufügen, der die Liste der IP-Adressen enthält, die berechtigt sind, E-Mails von dieser Domain zu senden.
• Reverse DNS: Reverse ermöglicht es, Ihre IP zum Domainnamen aufzulösen. Damit kann die mit der IP-Adresse verknüpfte Domain gefunden werden.
• DKIM: Dieser Standard wird in RFC4871 beschrieben. AOL und Google (Gmail) arbeiten auf dieser Grundlage.

Für weitere Informationen zu den oben genannten Diensten konsultieren Sie unsere Anleitung zur Optimierung des E-Mail-Versands.

Spezifische Arten des E-Mail-Versands

• An einen Microsoft-Server (Outlook, usw.)

Microsoft verwendet eine Whitelist-Policy. Das bedeutet, dass zunächst alles auf einer Blacklist steht und ein bestimmtes Verfahren erforderlich ist, um Ihren E-Mail-Server zu validieren. Weitere Informationen finden Sie im Abschnitt Microsoft Server (Outlook) unserer Anleitung „Optimierung des E-Mail-Versands, damit Ihre E-Mails nicht als Spam markiert werden“.

• An einen Gmail-Server

Wenn Ihre Empfänger bei Gmail sind, kann das Hinzufügen spezifischer Einträge (z. B. eines DMARC-Eintrags) sicherstellen, dass die E-Mails sie erreichen. Hier ist ein Artikel von Google, der Ihnen dabei helfen kann: Hinzufügen eines DMARC-Eintrags.

Google hat außerdem einen dazu passenden Artikel zum Schutz vor Spam für Gmail-Nutzer.

Melden eines falsch positiven Ergebnisses

Wenn Ihre E-Mails den Vorgaben entsprechen, können Sie uns dies mitteilen, indem Sie eine Beispielform Ihrer E-Mail (einschließlich des Headers) senden. Unsere Support-Teams werden Ihnen dann bei den nächsten Schritten helfen. Erstellen Sie einfach eine Support-Anfrage über Ihr OVHcloud Kundencenter und fügen Sie folgende Informationen hinzu:

• Die IP des blockierten Dienstes.
• Eine Originalkopie der als SPAM markierten E-Mail (Sie sollten diese anhand der Message-ID in der ANTISPAM-E-Mail identifizieren können). Falls keine Message-ID angegeben wird, senden Sie uns einfach eine Kopie der gesendeten E-Mails, die Sie vor dem Empfang der Warnung gesendet haben. Bitte senden Sie nur die Kopie der als SPAM markierten E-Mail.
• Die .EML-Datei der bereitgestellten E-Mail. Diese sollte den Header und Footer der E-Mail enthalten. Falls Sie nicht wissen, wie Sie eine .EML-Datei extrahieren, konsultieren Sie: Abrufen von E-Mail-Headern.

Sobald die Informationen gesendet wurden, wird unser Support mit Vade Secure kommunizieren, um die weitere Analyse des Falls durchzuführen.

Weiterführende Informationen

Treten Sie unserer User Community bei.