Greylisting

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
4 messages Options
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Greylisting

Joachim Fahrner
Hallo,
in letzter Zeit habe ich mich an Roberts Vorschlag gehalten und
Greylisting nur selektiv angewandt (Dialin-IPs usw.).
Langsam komme ich ins Grübeln, ob ich das nicht doch generell wieder für
alles aktivieren soll. Ich bekomme in letzter Zeit häufig Spam und
Phishing von "echten" Mailservern (wurden die gehackt?), für die
Greylisting nicht angewandt wurde, und die auch (noch) auf keiner
Blacklist waren. Kurze Zeit später findet man die dann auch auf manchen
Blacklists. Das heisst: die ziehen ihre Aktionen in kürzester Zeit über
(gehackte?) Server durch, und suchen sich dann wieder einen anderen
"unverbrauchten" Server.
Hier würde Greylisting enorm helfen, das verzögert die Zustellung, und
beim nächsten Versuch steigt die Wahrscheinlichkeit, dass sie von einer
Blacklist registriert wurden.

Was meint ihr?

Jochen

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Greylisting

Walter H.
On 11.07.2017 17:51, Joachim Fahrner wrote:
> Langsam komme ich ins Grübeln, ob ich das nicht doch generell wieder
> für alles aktivieren soll. Ich bekomme in letzter Zeit häufig Spam und
> Phishing von "echten" Mailservern (wurden die gehackt?), für die
> Greylisting nicht angewandt wurde,
in welchen Ländern sind diese "echten" Mailserver?
mich wundert es nur, bei meinem Mailserver - ok diese Domain kräht kein
Hahn vom Dach - sieht Logwatch typischerweise so aus:


       259   *Warning: Pre-queue content-filter connection overload ----------------------------------
       256      After AUTH
       256         unknown
         2      After CONNECT
         2         unknown
         1      After RCPT
         1         unknown

         1   Reject relay denied ---------------------------------------------------------------------
         1      50.246.210.57    50-246-210-57-static.hfc.comcastbusiness.net
         [hidden email]

         1   Reject HELO/EHLO ------------------------------------------------------------------------
         1      Host not found
         1         67.244.24.104    cpe-67-244-24-104.nyc.res.rr.com
         1            192.168.0.155

         1   Reject unknown client host --------------------------------------------------------------
         1      unknown
         1         192.168.98.169
         [hidden email]
         [hidden email]

     21040   Connections lost ------------------------------------------------------------------------
     21039      After AUTH
     21039         cpe-67-244-24-104.nyc.res.rr.com
         1      After RCPT
         1         cpe-67-244-24-104.nyc.res.rr.com

         2   Sent via SMTP ---------------------------------------------------------------------------
         2      meine.1te.Domain
         1         calcbox-worker
         [hidden email]
         1         vhost-root
         1            root

         3   Timeout (inbound) -----------------------------------------------------------------------
         3      After AUTH
         3         cpe-67-244-24-104.nyc.res.rr.com

         2   Hostname verification errors ------------------------------------------------------------
         2      Address not listed for hostname
         1         89.248.160.12    serv-kobrekim.com
         1         139.162.99.243   scan.security.ipip.net

         2   Host offered TLS ------------------------------------------------------------------------
         2      smtp.vom.Webhoster


demnach nur gescheiterte Versuche diesen als Relay zu vergewaltigen ...


smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Greylisting

Joachim Fahrner
Am 2017-07-11 19:23, schrieb Walter H.:

> in welchen Ländern sind diese "echten" Mailserver?

Quer über die Welt verteilt. Zuletzt kam die hier:

Received: from mu-mail3.massey.ac.nz (mu-mail3.massey.ac.nz
[130.123.129.187])

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Greylisting

Robert Schetterer-2
In reply to this post by Joachim Fahrner
Am 11.07.2017 um 17:51 schrieb Joachim Fahrner:
> Hallo,
> in letzter Zeit habe ich mich an Roberts Vorschlag gehalten und
> Greylisting nur selektiv angewandt (Dialin-IPs usw.).
> Langsam komme ich ins Grübeln, ob ich das nicht doch generell wieder für
> alles aktivieren soll. Ich bekomme in letzter Zeit häufig Spam und
> Phishing von "echten" Mailservern (wurden die gehackt?),

naja gehacked wurde nicht der Server, sondern die Ktos

für die
> Greylisting nicht angewandt wurde, und die auch (noch) auf keiner
> Blacklist waren. Kurze Zeit später findet man die dann auch auf manchen
> Blacklists. Das heisst: die ziehen ihre Aktionen in kürzester Zeit über
> (gehackte?) Server durch, und suchen sich dann wieder einen anderen
> "unverbrauchten" Server.

hm, typisch waere eher man bringt Ktos grosser mail provider unter seine
Kontrolle die senden dann eben von div ips, voellig normal

> Hier würde Greylisting enorm helfen, das verzögert die Zustellung, und
> beim nächsten Versuch steigt die Wahrscheinlichkeit, dass sie von einer
> Blacklist registriert wurden.

koennte klappen, hab ich aber so fast nie erlebt und z.B google und co
ist bei mir grundsaetzlich gewhitelistet ( alles andere produziert
zuviel support jobs ), das muss der content filter eben richten....tut
er auch

>
> Was meint ihr?

das es da nicht viel Neues drueber zu sagen gibt .....?

>
> Jochen
>



Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Loading...