Zerknüllte Werbesendung in einem Briefkasten

Wenn WordPress plötzlich Spam versendet kann das die einfache Ursache sein

von admin | 05.09.2018

WordPress und andere Content-Management-Systeme müssen E-Mails versenden können. Das birgt jedoch auch Gefahren. Ein Beispiel aus der Praxis zeigt: Selbst ohne Hack kann eine WordPress-Installation leicht zur Spam-Schleuder werden und die Reputation der beteiligten IP-Adressen und Domains schädigen.

Spamversand durch WordPress: Das war passiert

Der Webserver, auf dem die fragliche WordPress-Installation liegt, ist gut abgesichert und nicht von Malware befallen. Alle Sites und Anwendungen auf dem Server versenden E-Mails über den Dienst Amazon SES, der als Smart Host bzw. SMTP Gateway fungiert. Plötzlich fiel auf: Die Anteile an Bounces (unzustellbare E-Mails) sowie Complaints (Nutzer oder Provider melden Spam) im Verhältnis zu allen versandten E-Mails ging deutlich nach oben.

Diese Problematik musste analysiert und gelöst werden. Amazon SES liefert standardmäßig erst einmal keinerlei Information darüber, welche E-Mails von welcher Domain zu den Bounces und Complaints führen. Lediglich eine Übersicht steht dem Inhaber des SES Accounts zur Verfügung. Gesamtzahl der Nachrichten, Rejects, Bounces und Complaints werden auf der Zeitachse dargestellt:

Rejects, Bounces und Complaints bei Amazon SES

Um die Ursache des Problems zu erkennen kommt der Account-Inhaber nicht daran vorbei, Notifications pro Domain zu abonnieren. Dazu konfiguriert er jeweils ein sogenanntes SNS Topic.

Amazon SES Notification Topics

Ergebnis: Rejects, Bounces oder Complaints werden auf dem gewünschten Wege, beispielsweise per E-Mail im JSON-Format, an den Inhaber gemeldet.

Amazon SES Complaint Notification

Klarer Vorteil: Als Inhaber des Amazon SES Accounts wissen wir nun, welche Domains für das erhöhte Spam-Aufkommen verantwortlich sind. Im nächsten Schritt geht die Analyse weiter. Entsteht das Spam-Aufkommen beim Hosting-Kunden direkt im E-Mail Client oder auf dem Arbeitsrechner, der per SMTP versendet? Oder ist die WordPress-Installation auf dem Webserver schuld, etwa, weil sie gehackt wurde?

[card title="Spamschleuder Kontaktformular" text="text-darken-3 grey" title_color="blue"] Sorgen Sie dafür, dass Hacker keine E-Mails in Ihrem Namen an unbeteiligte Dritte auslösen können. Dieser Missbrauch von WordPress und anderen CMS als Spamschleuder wird möglich, wenn ein nicht ausreichend gegen Spam-Eingaben abgesichertes Kontaktformular automatische Eingangsbestätigungen an die im Formular eingetragene Absender-Adresse verschickt.
[/card] [card title="Drohende Gefahren" text="text-darken-3 grey" title_color="blue"] Bei der E-Mail-Zustellbarkeit haben die Reputation der Absender-IP sowie Absender-Domain Relevanz. Werden unter Ihrer Absenderschaft wiederholt Spam-Nachrichten moniert, schaden Sie Ihrer Reputation und riskieren, dass die Zustellbarkeit Ihrer legitimen Nachrichten sinkt.
[/card][card title="Wie kann ich Spam weiter reduzieren?" text="text-darken-3 grey" title_color="blue"] Konfigurieren Sie Ihre E-Mail-Domain strikt, indem Sie SPF, DKIM und DMARC einsetzen und Ihre DMARC Policy Schritt für Schritt restriktiver machen. So verhindern Sie wirksam, dass Dritte in anderen, in diesem Beitrag nicht thematisierten Szenarien, Spam in Ihrem Namen erfolgreich verschicken. Nachrichten werden dann direkt vom Empfangsserver abgelehnt, wenn sie nicht legitim sind, ohne dass es zu einer Interaktion mit dem Empfänger und damit zu einem Spam Complaint kommt. Die Integration einer strikten DMARC Policy erfordert jedoch Erfahrung und eine engmaschige Überwachung. Ist sie zu strikt oder fehlerhaft, gehen E-Mails verloren.[/card] [card title="Hilfe benötigt?" text="text-darken-3 grey" title_color="blue"] Wir versenden jeden Monat eine hohe Anzahl legitimer E-Mails für Kunden mit großem Fokus auf Reputation und helfen im Themenbereich E-Mail-Zustellbarkeit und Absenderreputation gern weiter. Nehmen Sie gern Kontakt mit uns auf!
[link text="blue" to="/kontakt/"]Kontakt[/link] [/card]

Analyse der von WordPress versandten E-Mails

Das Plugin „WP Mail Logging“ leistet gute Dienste bei der Ursachenforschung auf WordPress-Ebene.

Es erfüllt die simple Aufgabe, alle von einer WordPress-Installation versandten E-Mails tabellarisch zu protokollieren. Nachdem WP Mail Logging installiert und aktiviert ist, empfiehlt sich ein Funktionstest, etwa durch Auslösen einer Password Reset Mail. Wenn alles passt haben wir nun ein funktionierendes Kontrollsystem. Es soll uns verraten, ob bösartige Software E-Mails aus unserer WordPress-Installation heraus verschickt. Ein paralleler Malware Scan empfiehlt sich, etwa mit WordFence oder dem Sucuri Scanner. Sucuri bietet auch eine schöne Anleitung zum Bereinigten infizierter WordPress Websites.

WordPress Mail Logging: Übersicht über die von der WordPress-Installation verschickten Mails

Im nächsten Schritt gilt es abzuwarten – sofern man als Admin keine akute Infektion der WordPress Website findet, die den unerwünschten E-Mail-Versand ja ebenfalls erklären würde.

In unserem aktuellen Fall führte die Analyse tatsächlich zu einem Ergebnis: Das Kontaktformular war schuld. Der Website-Betreiber hatte sein Formular unzureichend vor Spam-Einträgen gesichert und zudem eine automatische Eingangsbestätigung konfiguriert. Spammer konnten somit beliebige Absender-Adressen in das Kontaktformular eintragen. An diese ging dann die automatische Eingangsbestätigung, verschickt via WordPress, Webserver und folgend Amazon SES als Gateway.

WordPress Spam analysieren mit WP Mail Logging: Detailansicht einer missbräuchlich verschickten E-Mail

[card title="WP Mail Logging" text="text-darken-3 grey" title_color="blue"] Das Plugin WP Mail Logging von Christian Zöller kann kostenlos im WordPress Repository heruntergeladen werden. Es protokolliert von WordPress versandte E-Mails. So lassen sich die Ursachen unerwünscht von WordPress versandter E-Mails analysieren. Installation und Konfiguration sind eine Sache von wenigen Sekunden. Bei uns im Einsatz arbeitete das Plugin zuverlässig und führte rasch zum gewünschten Ergebnis.
[/card]