💰 Wechseln Kontakt & Hilfe
Deine Berater
Matthias Berger Admin Team
Domain, Sicherheit
Tagged , ,

Meine Domain versendet Spam – was tun?

E-Mail landet im Spam

Wenn über Ihre Domain Spam versendet wird, sind Zustellung und Reputation sofort gefährdet. E-Mails landen im Spam, legitime Nachrichten werden verzögert oder abgewiesen, Blacklists drohen. Bevor Maßnahmen ergriffen werden, muss eindeutig geklärt werden, ob und wie der Versand tatsächlich über Ihre Systeme erfolgt ist.

Erste Hilfe

  1. Versand begrenzen oder betroffene Mailbox vorübergehend deaktivieren.
  2. Keine Massenmails versenden, geplante Jobs (Newsletter, Cronjobs) prüfen und pausieren.
  3. Logs sichern: Zeitfenster, IPs, betroffene Postfächer, Message-IDs. Diese Daten sofort an den Hoster geben.

Spam-Versand feststellen

Typische Hinweise sind vermehrte Bounce-Meldungen, Rückfragen von Empfängern zu verdächtigen Nachrichten in Ihrem Namen oder Zustellprobleme bei regulären E-Mails. Spätestens jetzt stellt sich die Frage: Handelt es sich um Spoofing (gefälschte Absenderadressen), oder wurden Nachrichten tatsächlich über Ihre Infrastruktur versendet? Diese Unterscheidung ist entscheidend, denn nur wenn die Quelle bekannt ist, lassen sich wirksame Schritte ableiten.

Ursache prüfen – ohne Annahmen

Der erste sinnvolle Schritt ist die Auswertung der Mail-Logs. Daraus lässt sich ablesen, ob der Versand über ein Postfach (SMTP), über ein Webformular oder über ein Skript erfolgt ist. Auffällige IP-Adressen und ungewöhnliche Versandmuster helfen bei der Einordnung. Wenn Sie keinen direkten Zugriff haben, beziehen Sie Ihren Hoster ein. Bei ESTUGO prüfen wir die Versandprotokolle und grenzen die Ursache ein. Erst danach werden Maßnahmen ergriffen.

Wichtig: Bewahren Sie Logauszüge auf, bevor sie rotiert werden. Notieren Sie Zeitfenster, IP-Adressen, betroffene Postfächer und – wenn verfügbar – Message-IDs. Diese Daten beschleunigen die Analyse und spätere Delisting-Anfragen.

Wenn eine Mailbox betroffen ist

Wird in den Logs sichtbar, dass Spam über ein Postfach Ihrer Domain versendet wurde, muss unverzüglich gehandelt werden. In einem solchen Fall haben Unbefugte Zugang zum Postfach erhalten und nutzen den regulären Versandweg. Für Empfänger wirken diese Nachrichten oft authentisch, da sie technisch korrekt über Ihren Mailserver zugestellt wird.

Der erste Schritt ist die Änderung des Kennworts. Das neue Kennwort muss anschließend in allen Programmen und auf sämtlichen Geräten eingetragen werden, die dieses Postfach nutzen. Parallel dazu sollten alle beteiligten Systeme gründlich auf Schadsoftware untersucht werden. Ein einfacher Schnellscan reicht nicht aus, da Keylogger oder manipulierte Browsererweiterungen unauffällig im Hintergrund arbeiten können. Nur eine vollständige Überprüfung stellt sicher, dass die Zugangsdaten nicht erneut kompromittiert werden.

Darüber hinaus ist es wichtig, die Einstellungen des Postfachs selbst zu kontrollieren. Angreifer legen häufig Weiterleitungen oder Filterregeln an, die den Versand zusätzlicher Kopien ermöglichen. Entfernen Sie konsequent alles, was nicht von Ihnen stammt.

Wenn sensible Informationen betroffen sein könnten, ist es ratsam, auch die interne Kommunikation zu berücksichtigen. Mitarbeiter oder Kunden sollten informiert werden, damit Folgeangriffe, etwa über gefälschte Antworten, erschwert werden.

Kurz zusammengefasst: Kennwort sofort ändern, Geräte gründlich prüfen, Postfach-Regeln entfernen, Tokens widerrufen.

Wenn ein Formular betroffen ist

Wird Spam über ein Formular Ihrer Website oder Ihres Shops erzeugt, ist die Ursache meist fehlende oder unzureichende Absicherung. Formulare sind öffentlich erreichbar und damit ein naheliegendes Ziel für automatisierte Angriffe. Ohne Schutz können Angreifer das Formular tausendfach ansprechen und so in kurzer Zeit massenhaft Nachrichten verschicken.

Ein veraltetes Captcha ist hier keine Lösung mehr. Verfahren, die vor Jahren ausreichten, lassen sich heute von Bots problemlos umgehen. Notwendig ist ein modernes Captcha oder eine unsichtbare Variante, die echte Benutzer nicht behindert, aber automatisierte Angriffe zuverlässig blockiert. Zusätzlich empfiehlt es sich, ein Rate Limiting einzusetzen. Damit wird festgelegt, wie viele Formularanfragen in einer bestimmten Zeitspanne zugelassen sind. Auch wenn ein Captcha einmal versagt, kann der Massenversand dadurch gestoppt werden.

Formulare sind häufig Teil eines Shopsystems oder eines CMS-Plugins. Sobald in solchen Komponenten eine Sicherheitslücke bekannt wird, entstehen automatisierte Angriffe, die gezielt nach betroffenen Installationen suchen. Deshalb ist es entscheidend, betroffene Software regelmäßig zu aktualisieren und nicht mehr benötigte Erweiterungen vollständig zu entfernen.

Kurz zusammengefasst: Betroffenes Formular absichern, modernes Captcha aktivieren, Rate Limiting einsetzen, Software aktuell halten.

Wenn Skripte oder Software betroffen sind

Nicht immer ist ein Formular oder eine Mailbox die Ursache. Häufig nutzen Angreifer auch unsichere Skripte oder veraltete Software, um Spam zu versenden. Besonders Onlineshops und Content-Management-Systeme sind anfällig, wenn Updates nicht regelmäßig eingespielt werden. Schon kurz nach Veröffentlichung einer Sicherheitslücke entstehen automatisierte Angriffe, die systematisch nach verwundbaren Installationen suchen.

Die größte Gefahr liegt darin, dass Schadcode unbemerkt in bestehende Dateien eingeschleust oder als zusätzliche Datei abgelegt wird. Oft geschieht das in Upload- oder temporären Verzeichnissen, manchmal auch direkt in wichtigen PHP-Dateien. Auffällig sind Dateien mit ungewöhnlichen Namen, abweichenden Zeitstempeln oder veränderten Zugriffsrechten. Solche Manipulationen zu erkennen ist für Betreiber nicht immer einfach. In vielen Fällen ist es sinnvoll, den Hoster einzubeziehen, damit die Prüfung strukturiert und zuverlässig erfolgen kann.

Eine weitere Schwachstelle entsteht, wenn alte oder nicht mehr benötigte Erweiterungen im System verbleiben. Jede zusätzliche Komponente erhöht die Angriffsfläche. Entfernen Sie daher konsequent alles, was nicht mehr benötigt wird. Ein sauberes System ist nicht nur übersichtlicher, sondern auch sicherer.

Langfristig empfiehlt es sich, ein Monitoring einzurichten, das Dateiänderungen meldet und ungewöhnliche Versandmuster sichtbar macht.

Kurz zusammengefasst: Sicherheitslücken schließen, verdächtigen Code bereinigen, unnötige Komponenten entfernen, Monitoring einführen.

Unterschiede im Vorgehen

  • Mailbox: Kennwort ändern, Geräte auf Schadsoftware überprüfen.
  • Formular: Captcha und Rate Limiting aktivieren, Komponenten aktualisieren, ungenutzte Plugins entfernen.
  • Skript/Software: Lücken schließen, System bereinigen, unnötige Komponenten entfernen, Monitoring aufsetzen.

Blacklist-Prüfung

Ein häufiger Nebeneffekt von Spam-Versand ist die Aufnahme Ihrer Domain oder IP-Adresse in eine Blacklist. Das führt dazu, dass legitime E-Mails abgelehnt werden oder beim Empfänger im Spam-Ordner landen. Prüfen Sie deshalb nach einem Vorfall, ob Ihre Adresse gelistet ist. Kostenlose Dienste wie Spamhaus, MultiRBL oder MXToolbox bieten entsprechende Abfragen. Erst wenn die Ursache des Spam-Versands beseitigt ist, sollten Sie eine Entfernung beantragen.

Versand begrenzen

Wenn Spam festgestellt wird, kann es sinnvoll sein, den Versand vorübergehend einzuschränken. Viele Hosting-Umgebungen bieten Outgoing-Limits, mit denen sich die Anzahl der versendeten E-Mails pro Stunde oder pro Postfach reduzieren lässt. So wird verhindert, dass die Situation eskaliert, während die eigentliche Ursache noch untersucht wird.

Langfristige Absicherung

Nachdem die Ursache gefunden und behoben wurde, muss die Infrastruktur so abgesichert werden, dass sich der Vorfall nicht wiederholt. Technische Standards wie SPF, DKIM und DMARC spielen dabei eine zentrale Rolle. Mit SPF legen Sie fest, welche Server berechtigt sind, im Namen Ihrer Domain E-Mails zu versenden. Beachten Sie, dass SPF technisch auf maximal zehn DNS-Lookups begrenzt ist. Überschreitungen führen zu Fehlern. Konsolidieren Sie daher Einträge und setzen Sie auf DKIM als zusätzliche Stütze.

DKIM ergänzt diese Absicherung durch eine digitale Signatur. Jede ausgehende E-Mail wird damit eindeutig Ihrer Domain zugeordnet und kann vom Empfänger auf Integrität geprüft werden. Erst durch die Kombination von SPF und DKIM entsteht eine Grundlage, die mit DMARC sinnvoll nutzbar wird.

DMARC wiederum gibt Ihnen die Möglichkeit, Empfängern klare Vorgaben zu machen, wie mit Nachrichten verfahren werden soll, die weder durch SPF noch durch DKIM autorisiert sind. In der Praxis ist es sinnvoll, zunächst mit einer reinen Monitoring-Policy zu beginnen, um Daten zu sammeln. Anschließend kann schrittweise auf strengere Einstellungen umgestellt werden. Parallel dazu liefern die Berichte wertvolle Hinweise, ob Konfigurationen noch angepasst werden müssen.

Neben diesen Standards gehört auch konsequente Passwort- und Update-Hygiene zur Basisabsicherung. Mailbox-Kennwörter sollten niemals im Browser gespeichert, sondern ausschließlich über einen Passwortmanager verwaltet werden. Regelmäßige Updates für Shop, CMS, Plugins und Themes sind ebenso unerlässlich wie das Entfernen nicht benötigter Erweiterungen. Auch Formulare müssen dauerhaft abgesichert bleiben. Ein modernes Captcha in Kombination mit Rate Limiting ist heute Standard.

  • SPF, DKIM und DMARC passend zur eigenen Umgebung einrichten
  • Passwörter nur über Passwortmanager verwalten, regelmäßig ändern
  • Systeme und Erweiterungen konsequent aktuell halten
  • Formulare dauerhaft mit Captcha und Rate Limiting schützen

Praxisbeispiel

Ein Händler meldete Zustellprobleme und Hinweise auf verdächtige E-Mails im Namen seiner Domain. Die Log-Analyse zeigte, dass der Spam über ein kompromittiertes Postfach versendet wurde. Nach der sofortigen Änderung des Kennworts, einem vollständigen Malware-Scan auf allen beteiligten Rechnern und der Bereinigung von verdächtigen Postfach-Regeln wurde zusätzlich ein DMARC-Record eingerichtet. Dadurch konnten künftige Auffälligkeiten schneller erkannt werden. Innerhalb weniger Tage war die Domain wieder von den relevanten Blacklists entfernt und der reguläre Versand stabil.

Was der Hoster für die Prüfung braucht

  • Domainname
  • Zeitfenster des Vorfalls
  • 1–2 Beispiel-Bounces oder E-Mail-Header
  • Kurzer Hinweis: Verdacht Mailbox, Formular oder unklar

Fazit

Wenn über Ihre Domain Spam versendet wird, darf nicht reflexartig gehandelt werden. Entscheidend ist zunächst die saubere Analyse: Erst die Logs zeigen, ob der Versand über ein Postfach, ein Formular oder ein kompromittiertes Skript erfolgt ist. Erst danach lassen sich wirksame Schritte einleiten.

Wer strukturiert vorgeht, kann den Schaden begrenzen und die Absenderreputation schützen. Dazu gehört, den Versand sofort einzudämmen, die Ursache präzise zu identifizieren und anschließend gezielt abzustellen. Ebenso wichtig ist es, die Absicherung dauerhaft zu verbessern: durch aktuelle Systeme, moderne Formularschutzmechanismen und den Einsatz von SPF, DKIM und DMARC. So stellen Sie sicher, dass Ihre E-Mails zuverlässig zugestellt werden und das Vertrauen Ihrer Kunden bestehen bleibt.

Interessant

Weitere Artikel

4,9/5
Scroll to top