Immer noch DHL-Spam / Viren

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
19 messages Options
Reply | Threaded
Open this post in threaded view
|

Immer noch DHL-Spam / Viren

Uwe Drießen
Leider hilft dmarc nicht gegen gefälschte Absender die dann
Mit FROM : DHL.de <malyan@irgendwas>
Kommen

Bei html sehen die Kunden leider auch nicht wie und was da wer gefälscht hat
und da werden auch über die Links in der Mail Viren und Trojaner
untergejubelt


Also doch wieder Headerchecks bemüht

if /^From:.*DHL.*/i
if !/\<.+@dhl\..+\>$/i
/^/     REJECT Nice try :-)
endif
endif


wer Fehler findet darf sie gerne anmerken, Verbesserung natürlich auch

soweit ich das bis jetzt sehen konnte arbeitet  das teil sauber.


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045


--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Immer noch DHL-Spam / Viren

Michael Grundmann
ich denke die streiken?
sorry, das konnte ich mir jetzt nicht verkneifen ;)

Am 09.06.15 um 13:23 schrieb Uwe Drießen:
Leider hilft dmarc nicht gegen gefälschte Absender die dann 
Mit FROM : DHL.de <malyan@irgendwas>
Kommen 

Bei html sehen die Kunden leider auch nicht wie und was da wer gefälscht hat
und da werden auch über die Links in der Mail Viren und Trojaner
untergejubelt 


Also doch wieder Headerchecks bemüht 

if /^From:.*DHL.*/i
if !/\[hidden email]$/i
/^/     REJECT Nice try :-)
endif
endif


wer Fehler findet darf sie gerne anmerken, Verbesserung natürlich auch 

soweit ich das bis jetzt sehen konnte arbeitet  das teil sauber.


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045



--

Mit freundlichen Grüßen

Verlag + Druck LINUS WITTICH KG

i. A. Michael Grundmann

54343 Föhren
Europaallee 2
E-Mail: [hidden email]
Internet: http://www.wittich.de
Tel.: +49 6502/9147210
Fax: +49 6502/9147332

Sitz der Gesellschaft: Föhren
Geschäftsführer: Dietmar Kaupp
Amtsgericht: Wittlich HR 4199
USt ID gemäß §27 a UStG DE 149324406

Kennen Sie schon localbook? Nein? Hier >>>


--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

signature.asc (886 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Immer noch DHL-Spam / Viren

Uwe Drießen
Im Auftrag von Michael Grundmann
> Gesendet: Dienstag, 9. Juni 2015 14:33
>
> ich denke die streiken?
> sorry, das konnte ich mir jetzt nicht verkneifen ;)

Die echten schon, aber genau deshalb klicken die "doofen" ja auch drauf weil
sie auf Ihre Pakete warten.

 


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045


--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Immer noch DHL-Spam / Viren

Graf Christian
In reply to this post by Uwe Drießen
Wir versuchen es derzeit über folgenden Einzeiler als headercheck:

/From: .*(dhl|DHL).* <.+@((?!dhl).)*>/                        REJECT

Leider findet auch der nicht alles, was er sollte.

Mit freundlichen Grüßen

Christian Graf
Gutenberg Rechenzentrum GmbH & Co. KG
Infrastruktur
August-Madsack-Straße 1
30559 Hannover

Telefon:  +49 (511) 518 - 1188
Internet: www.gutenberg-rz.de

Gutenberg Rechenzentrum GmbH & Co. KG
Sitz: Hannover
Handelsregister: Hannover HRA 21 669
Pers. haftende Gesellschafterin:
Gutenberg Rechenzentrum Beteiligungsgesellschaft mbH
Sitz: Hannover
Handelsregister: Hannover HRB 66 13
Geschäftsführer: Clemens Wahlfeldt

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Uwe Drießen
Gesendet: Dienstag, 9. Juni 2015 13:23
An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.
Betreff: [Postfixbuch-users] Immer noch DHL-Spam / Viren

Leider hilft dmarc nicht gegen gefälschte Absender die dann Mit FROM : DHL.de <malyan@irgendwas> Kommen

Bei html sehen die Kunden leider auch nicht wie und was da wer gefälscht hat und da werden auch über die Links in der Mail Viren und Trojaner untergejubelt


Also doch wieder Headerchecks bemüht

if /^From:.*DHL.*/i
if !/\<.+@dhl\..+\>$/i
/^/     REJECT Nice try :-)
endif
endif


wer Fehler findet darf sie gerne anmerken, Verbesserung natürlich auch

soweit ich das bis jetzt sehen konnte arbeitet  das teil sauber.


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045


--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Immer noch DHL-Spam / Viren

Bastian Reichart
# DHL SPAM
header __WSIT_AS_DHL1_HEAD1 Subject =~ /(Sendung|Liefer|Paket|Versand).*(?=[0-9]{3,}).*/i
header __WSIT_AS_DHL1_HEAD2 From =~ /DHL.*<.*>/i
header __WSIT_AS_DHL1_HEAD3 From !~ /<.*(\@|\.)dhl\.(de|com)>/i
header __WSIT_AS_DHL1_HEAD4 Sender !~ /<.*(\@|\.)dhl\.(de|com)>/i
meta WSIT_AS_DHL1 ( __WSIT_AS_DHL1_HEAD1 && __WSIT_AS_DHL1_HEAD2 && __WSIT_AS_DHL1_HEAD3 && __WSIT_AS_DHL1_HEAD4)
score WSIT_AS_DHL1 10
describe WSIT_AS_DHL1 DHL Spam (150602)

das greift bei uns gut :)

Grüße
Bastian

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Graf Christian
Gesendet: Dienstag, 9. Juni 2015 15:06
An: 'Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.'
Betreff: Re: [Postfixbuch-users] Immer noch DHL-Spam / Viren

Wir versuchen es derzeit über folgenden Einzeiler als headercheck:

/From: .*(dhl|DHL).* <.+@((?!dhl).)*>/                        REJECT

Leider findet auch der nicht alles, was er sollte.

Mit freundlichen Grüßen

Christian Graf
Gutenberg Rechenzentrum GmbH & Co. KG
Infrastruktur
August-Madsack-Straße 1
30559 Hannover

Telefon:  +49 (511) 518 - 1188
Internet: www.gutenberg-rz.de

Gutenberg Rechenzentrum GmbH & Co. KG
Sitz: Hannover
Handelsregister: Hannover HRA 21 669
Pers. haftende Gesellschafterin:
Gutenberg Rechenzentrum Beteiligungsgesellschaft mbH
Sitz: Hannover
Handelsregister: Hannover HRB 66 13
Geschäftsführer: Clemens Wahlfeldt

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Immer noch DHL-Spam / Viren

Wolfgang Zeikat
Hi,

----- On 9 Jun, 2015, at 15:19, Bastian Reichart [hidden email] wrote:

> header __WSIT_AS_DHL1_HEAD3 From !~ /<.*(\@|\.)dhl\.(de|com)>/i

mir scheint es sinnvoller,

header __WSIT_AS_DHL1_HEAD3 From:addr !~ /(\@|\.)dhl\.(de|com)/i

zu verwenden, um das Matching nur auf den tatsächlichen Adressteil zu beschränken.

Hope this helps,

wolfgang
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Immer noch DHL-Spam / Viren

Uwe Drießen
In reply to this post by Graf Christian
Im Auftrag von Graf Christian
>
> Wir versuchen es derzeit über folgenden Einzeiler als headercheck:
>
> /From: .*(dhl|DHL).* <.+@((?!dhl).)*>/                        REJECT
>
> Leider findet auch der nicht alles, was er sollte.
>

Ich hab grade mal das log geprüft und siehe da alle DHL Freunde blieben bis
dato hängen

grep -i dhl /var/log/mail.log
Jun  9 14:03:29 mail postfix/cleanup[26735]: 816A6320B8F: reject: header
From: "DHL Transport-Team"<[hidden email]> from
smtp05.iplace.at[86.111.40.60]; from=<[hidden email]> to= proto=ESMTP
helo=<smtp01.iplace.at>: 5.7.1 Nice try :-)
Jun  9 14:03:33 mail postfix/cleanup[26735]: 3E348320B8F: reject: header
From: "DHL Transport-Team"<[hidden email]> from
smtp05.iplace.at[86.111.40.60]; from=<[hidden email]> to= proto=ESMTP
helo=<smtp01.iplace.at>: 5.7.1 Nice try :-)
Jun  9 14:07:30 mail postfix/cleanup[26983]: D3C02320887: reject: header
From: "DHL Logistik-Team"<[hidden email]> from
mc01.omc.net[212.77.228.146]; from=<[hidden email]> to= proto=ESMTP
helo=<mc01.omc.net>: 5.7.1 Nice try :-)
Jun  9 14:09:41 mail postfix/cleanup[27103]: 90A65320887: reject: header
From: "DHL Support"<[hidden email]> from
mailio1.expro.pl[193.25.166.98]; from=<[hidden email]> to= proto=ESMTP
helo=<mailio1.expro.pl>: 5.7.1 Nice try :-)
Jun  9 14:11:47 mail postfix/cleanup[27103]: 281D0320887: reject: header
From: "DHL Paket"<[hidden email]> from
smtp68.iad3a.emailsrvr.com[173.203.187.68];
from=<[hidden email]> to= proto=ESMTP
helo=<smtp68.iad3a.emailsrvr.com>: 5.7.1 Nice try :-)
Jun  9 14:11:51 mail postfix/cleanup[27103]: 3AE43320887: reject: header
From: "DHL Paket"<[hidden email]> from
smtp105.iad3a.emailsrvr.com[173.203.187.105];
from=<[hidden email]> to=  proto=ESMTP
helo=<smtp105.iad3a.emailsrvr.com>: 5.7.1 Nice try :-)
Jun  9 14:34:45 mail postfix/cleanup[27599]: 13547322C2D: reject: header
From: "Kundenservice DHL Express"<v.witkowska> from
wenus.kujawsko-pomorskie.pl[93.91.219.10];
from=<[hidden email]> to= proto=ESMTP
helo=<wenus.kujawsko-pomorskie.pl>: 5.7.1 Nice try :-)
Jun  9 15:13:08 mail postfix/cleanup[30554]: DD00C322585: reject: header
From: "DHL Fachteam"<[hidden email]> from
aldara.fedsrv.com[85.25.214.146]; from=<[hidden email]> to=  proto=ESMTP
helo=<aldara.fedsrv.com>: 5.7.1 Nice try :-)


Nicht wundern die to's habe ich rausgeschnitten
Ich wird die Meldung dann mal zu "fuck off wir streiken, Streikbrecher
werden nicht akzeptiert" ändern :-))



Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Immer noch DHL-Spam / Viren

Paul-2
In reply to this post by Uwe Drießen
https://www.heinlein-support.de/blog/news/aktuelle-spamassassin-regeln-von-heinlein-support/

Hat die jemand im Einsatz?
Die Regeln sind sehr einfach gehalten, aber ich wette genauso effektiv,
dafür weniger falsepositiv-anfällig.

Erfahrungsberichte? Vielleicht vom Chef persönlich? :-)

Gruß,
Paul

Am 09.06.2015 um 13:23 schrieb Uwe Drießen:

> Leider hilft dmarc nicht gegen gefälschte Absender die dann
> Mit FROM : DHL.de <malyan@irgendwas>
> Kommen
>
> Bei html sehen die Kunden leider auch nicht wie und was da wer gefälscht hat
> und da werden auch über die Links in der Mail Viren und Trojaner
> untergejubelt
>
>
> Also doch wieder Headerchecks bemüht
>
> if /^From:.*DHL.*/i
> if !/\<.+@dhl\..+\>$/i
> /^/     REJECT Nice try :-)
> endif
> endif
>
>
> wer Fehler findet darf sie gerne anmerken, Verbesserung natürlich auch
>
> soweit ich das bis jetzt sehen konnte arbeitet  das teil sauber.
>
>
> Mit freundlichen Grüßen
>
> Uwe Drießen
> --
> Software & Computer
> Uwe Drießen
> Lembergstraße 33
> 67824 Feilbingert
>
> Tel.: 06708660045
>
>

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Immer noch DHL-Spam / Viren

Uwe Drießen
Im Auftrag von Paul
>
>
https://www.heinlein-support.de/blog/news/aktuelle-spamassassin-regeln-von-
> heinlein-support/
>
> Hat die jemand im Einsatz?
> Die Regeln sind sehr einfach gehalten, aber ich wette genauso effektiv,
> dafür weniger falsepositiv-anfällig.

Das regex hat bis jetzt noch keine falsepositive gehabt.
Originale DHL gehen damit durch.

Bei Amavis müssen genügend Punkte bis zur Ablehnung gesammelt werden und das
ist unter Umständen schwieriger weil eben auch gewichtet punkte verteilt
werden.
Damit kann es auch mal sein das eine durchrutscht die überhaupt nicht durch
gehen darf.

Ich hab heute den 6 oder 7 Rechner zum reinigen da gehabt.

>
> Erfahrungsberichte? Vielleicht vom Chef persönlich? :-)

Schaden tun die nicht und die müssten hier sogar mit eingebunden
sein.(manchmal bin ich etwas rigoroser mit den Jungs die ich nicht mag
einfach hart weg mit dem Mist und glücklich sein)  



Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045


--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Immer noch DHL-Spam / Viren

Carsten
Ich empfehle harte REGEX-Regeln wie von Bastian beschrieben.
Um False-Positives zu vermeiden per DKIM whitelisten, denn die echten
Paketankündigungen der DHL sind DKIM signiert.

Wer kann, sollte entsprechende Downloadsperren auf Proxys einrichten, um
nicht hinterher die Rechner säubern zu müssen.

Gruß
Carsten
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Immer noch DHL-Spam / Viren

Katharina Knuth
In reply to this post by Uwe Drießen
am 09.06.15 13:23 schrieb Uwe Drießen <[hidden email]>:


> Bei html sehen die Kunden leider auch nicht wie und was da wer gefälscht hat
> und da werden auch über die Links in der Mail Viren und Trojaner
> untergejubelt
>
>
> Also doch wieder Headerchecks bemüht
>
> if /^From:.*DHL.*/i
> if !/\<.+@dhl\..+\>$/i
> /^/     REJECT Nice try :-)
> endif
> endif
>
>

geht das auch bei PayPal? Habe jetzt häufig so Verifizierungsversuche,
wo das From aber (gefälscht) von paypal.com oder paypal.de
kommt.


> Uwe Drießen



--
Mit freundlichem Gruß,
With kind regard,
Jamie Katharina Knuth
Reply | Threaded
Open this post in threaded view
|

Re: Immer noch DHL-Spam / Viren

Andreas Schulze
Am 04.03.2016 um 13:35 schrieb Jamie Katharina Knuth:

> geht das auch bei PayPal? Habe jetzt häufig so Verifizierungsversuche,
> wo das From aber (gefälscht) von paypal.com oder paypal.de
> kommt.

paypal.[com|de] und dhl.[com|de] nutzen DMARC und propagieren eine Reject-Policy.
Man kan also mit einm DMARC-Check prüfen, ob die Mails echt sind und ansonsten das tun, was der Domaineigner empfiehlt: reject.

--
A. Schulze
DATEV eG
Reply | Threaded
Open this post in threaded view
|

AW: [Postfixbuch-users] Immer noch DHL-Spam / Viren

Daniel-4
In reply to this post by Katharina Knuth
Brauchst doch nur anpassen.

Bei mir bleibt ganze auch ohne draußen
Feb 26 06:53:29 postfix/smtpd[32388]: Anonymous TLS connection established from out7.mx.root.lu[83.243.9.207]: TLSv1 with cipher
AES256-SHA (256/256 bits)
Feb 26 06:53:30 postfix/policy-spf[32396]: Policy action=PREPEND Received-SPF: softfail (paypal.de: Sender is not authorized by
default to use '[hidden email]' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism
'~all' matched)) receiver=Server; identity=mailfrom; envelope-from="[hidden email]"; helo=out7.mx.root.lu; client-ip=83.243.9.207
Feb 26 06:53:32 postfix/policy-spf[32396]: Policy action=DUNNO
Feb 26 06:53:32 postfix/smtpd[32388]: 6572016E62006: client=out7.mx.root.lu[83.243.9.207]
Feb 26 06:53:32 postfix/cleanup[32401]: 6572016E62006: reject: header Received-SPF: softfail (paypal.de: Sender is not authorized by
default to use '[hidden email]' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism
'~all' mat from out7.mx.root.lu[83.243.9.207]; from=<[hidden email]> to=<X> proto=ESMTP helo=<out7.mx.root.lu>: 5.7.1 message
content rejected
Feb 26 06:53:32 postfix/smtpd[32388]: disconnect from out7.mx.root.lu[83.243.9.207] ehlo=2 starttls=1 mail=1 rcpt=1 data=0/1 quit=1
commands=6/7

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Jamie Katharina Knuth
Gesendet: Freitag, 4. März 2016 13:36
An: [hidden email]
Betreff: Re: [Postfixbuch-users] Immer noch DHL-Spam / Viren

am 09.06.15 13:23 schrieb Uwe Drießen <[hidden email]>:


> Bei html sehen die Kunden leider auch nicht wie und was da wer gefälscht hat
> und da werden auch über die Links in der Mail Viren und Trojaner
> untergejubelt
>
>
> Also doch wieder Headerchecks bemüht
>
> if /^From:.*DHL.*/i
> if !/\<.+@dhl\..+\>$/i
> /^/     REJECT Nice try :-)
> endif
> endif
>
>
geht das auch bei PayPal? Habe jetzt häufig so Verifizierungsversuche,
wo das From aber (gefälscht) von paypal.com oder paypal.de
kommt.


> Uwe Drießen



--
Mit freundlichem Gruß,
With kind regard,
Jamie Katharina Knuth

smime.p7s (6K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Immer noch DHL-Spam / Viren

Paul-2
Am 04.03.2016 um 14:03 schrieb Daniel:

> Bei mir bleibt ganze auch ohne draußen
> Feb 26 06:53:29 postfix/smtpd[32388]: Anonymous TLS connection established from out7.mx.root.lu[83.243.9.207]: TLSv1 with cipher
> AES256-SHA (256/256 bits)
> Feb 26 06:53:30 postfix/policy-spf[32396]: Policy action=PREPEND Received-SPF: softfail (paypal.de: Sender is not authorized by
> default to use '[hidden email]' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism
> '~all' matched)) receiver=Server; identity=mailfrom; envelope-from="[hidden email]"; helo=out7.mx.root.lu; client-ip=83.243.9.207
> Feb 26 06:53:32 postfix/policy-spf[32396]: Policy action=DUNNO
> Feb 26 06:53:32 postfix/smtpd[32388]: 6572016E62006: client=out7.mx.root.lu[83.243.9.207]
> Feb 26 06:53:32 postfix/cleanup[32401]: 6572016E62006: reject: header Received-SPF: softfail (paypal.de: Sender is not authorized by
> default to use '[hidden email]' in 'mfrom' identity, however domain is not currently prepared for false failures (mechanism
> '~all' mat from out7.mx.root.lu[83.243.9.207]; from=<[hidden email]> to=<X> proto=ESMTP helo=<out7.mx.root.lu>: 5.7.1 message
> content rejected
> Feb 26 06:53:32 postfix/smtpd[32388]: disconnect from out7.mx.root.lu[83.243.9.207] ehlo=2 starttls=1 mail=1 rcpt=1 data=0/1 quit=1
> commands=6/7

Magst du uns verraten, wie du trotz SPF softfail ein reject erzwingst?

Gruß,
Paul

Reply | Threaded
Open this post in threaded view
|

AW: [Postfixbuch-users] Immer noch DHL-Spam / Viren

Uwe Drießen
In reply to this post by Katharina Knuth

> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users [mailto:postfixbuch-users-
> [hidden email]] Im Auftrag von Jamie Katharina Knuth
> Gesendet: Freitag, 4. März 2016 13:36
> An: [hidden email]
> Betreff: Re: [Postfixbuch-users] Immer noch DHL-Spam / Viren
>
> am 09.06.15 13:23 schrieb Uwe Drießen <[hidden email]>:
>
>
> > Bei html sehen die Kunden leider auch nicht wie und was da wer gefälscht
> hat
> > und da werden auch über die Links in der Mail Viren und Trojaner
> > untergejubelt
> >
> >
> > Also doch wieder Headerchecks bemüht
> >
> > if /^From:.*DHL.*/i
> > if !/\<.+@dhl\..+\>$/i
> > /^/     REJECT Nice try :-)
> > endif
> > endif
> >
> >
>
> geht das auch bei PayPal? Habe jetzt häufig so Verifizierungsversuche,
> wo das From aber (gefälscht) von paypal.com oder paypal.de
> kommt.
>
>

Jap geht auch

if /^From:.*paypal.*/
if !/\<.+@(.\.)?paypal\.(de|com)\>$/
/^/     REJECT fuck off, we go on strike and do not provide money, Your
Mailaccount was hacked
endif
endif




Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045


Reply | Threaded
Open this post in threaded view
|

AW: [Postfixbuch-users] Immer noch DHL-Spam / Viren

Uwe Drießen
In reply to this post by Katharina Knuth
Im Auftrag von Jamie Katharina Knuth
>
> geht das auch bei PayPal? Habe jetzt häufig so Verifizierungsversuche,
> wo das From aber (gefälscht) von paypal.com oder paypal.de
> kommt.
>
>

Die komplette liste :

if /^From:.*@aol.com/
if /^Subject:$/
/^/     REJECT fuck off, you have no subject are you a subject?
endif
if /^To:$/
/^/     REJECT i don't know to where you want to send, are you silly?
endif
endif


if /^From:.*DHL.*/
if !/\<.+@dhl\..+\>$/
/^/     REJECT fuck off, we go on strike and do not provide packages, Your
Mailaccount was hacked
endif
endif

if /^From:.*paypal.*/
if !/\<.+@(.\.)?paypal\.(de|com)\>$/
#!/\<.+@(.\.)paypal\.(de|com)\>$/i
/^/     REJECT fuck off, we go on strike and do not provide money, Your
Mailaccount was hacked
endif
endif

if /^From:.*(visa|master)card..+.*/
/^/     REJECT fuck off, no phishing allow, Your Mailaccount is hacked, call
me if you meen it is wrong
endif

if /^From:.*Sparkasse.*/
if !/\<.+@sparkasse\..+\>$/
/^/     REJECT fuck off, we go on strike and do not provide packages, Your
Mailaccount was hacked
endif
endif

if /^From:.*sparda*/
if !/Received: from.*sparda-bank\.de$/
/^/     REJECT fuck off, we go on strike and do not provide packages, Your
Mailaccount was hacked
endif
endif


# 09.07.2015 07:37
if /^From:.*amazon.*/
if !/\<.+@(.+\.)?amazon\.(de|com)\>$/
/^/     REJECT fuck off, we go on strike and do not provide packages, Your
Mailaccount is hacked
endif
endif






Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045


Reply | Threaded
Open this post in threaded view
|

Re: Immer noch DHL-Spam / Viren

Katharina Knuth
am 04.03.16 18:59 schrieb Uwe Drießen <[hidden email]>:


> Die komplette liste :
>
> if /^From:.*@aol.com/
> if /^Subject:$/
> /^/     REJECT fuck off, you have no subject are you a subject?
> endif
> if /^To:$/
> /^/     REJECT i don't know to where you want to send, are you silly?
> endif
> endif
>
>
> if /^From:.*DHL.*/
> if !/\<.+@dhl\..+\>$/
> /^/     REJECT fuck off, we go on strike and do not provide packages, Your
> Mailaccount was hacked
> endif
> endif
>
> if /^From:.*paypal.*/
> if !/\<.+@(.\.)?paypal\.(de|com)\>$/
> #!/\<.+@(.\.)paypal\.(de|com)\>$/i
> /^/     REJECT fuck off, we go on strike and do not provide money, Your
> Mailaccount was hacked
> endif
> endif
>
> if /^From:.*(visa|master)card..+.*/
> /^/     REJECT fuck off, no phishing allow, Your Mailaccount is hacked, call
> me if you meen it is wrong
> endif
>
> if /^From:.*Sparkasse.*/
> if !/\<.+@sparkasse\..+\>$/
> /^/     REJECT fuck off, we go on strike and do not provide packages, Your
> Mailaccount was hacked
> endif
> endif
>
> if /^From:.*sparda*/
> if !/Received: from.*sparda-bank\.de$/
> /^/     REJECT fuck off, we go on strike and do not provide packages, Your
> Mailaccount was hacked
> endif
> endif
>
>
> # 09.07.2015 07:37
> if /^From:.*amazon.*/
> if !/\<.+@(.+\.)?amazon\.(de|com)\>$/
> /^/     REJECT fuck off, we go on strike and do not provide packages, Your
> Mailaccount is hacked
> endif
> endif


Danke @Uwe + @all

--
Mit freundlichem Gruß,
With kind regard,
Jamie Katharina Knuth
Reply | Threaded
Open this post in threaded view
|

Re: Immer noch DHL-Spam / Viren

Beat Jucker
In reply to this post by Uwe Drießen
Hallo zusammen

Besten Dank für die Beispiele, wobei noch folgende Bemerkung:

> if /^From:.*@aol.com/
> if /^Subject:$/
> /^/     REJECT fuck off, you have no subject are you a subject?
> endif
> if /^To:$/
> /^/     REJECT i don't know to where you want to send, are you silly?
> endif
> endif

obige Regel wird nie aktiv, da mit "From" und im weiteren Vergleich
"Subject" / "To" unterschiedliche Header Zeilen betroffen sind, was so
meines Wissens nicht direkt in Postfix möglich ist

Gruss
-- Beat

Reply | Threaded
Open this post in threaded view
|

AW: [Postfixbuch-users] Immer noch DHL-Spam / Viren

Uwe Drießen
Im Auftrag von Beat Jucker

> Hallo zusammen
>
> Besten Dank für die Beispiele, wobei noch folgende Bemerkung:
>
> > if /^From:.*@aol.com/
> > if /^Subject:$/
> > /^/     REJECT fuck off, you have no subject are you a subject?
> > endif
> > if /^To:$/
> > /^/     REJECT i don't know to where you want to send, are you silly?
> > endif
> > endif
>
> obige Regel wird nie aktiv, da mit "From" und im weiteren Vergleich
> "Subject" / "To" unterschiedliche Header Zeilen betroffen sind, was so
> meines Wissens nicht direkt in Postfix möglich ist

Stimmt das geht NOCH nicht *gg
Aber ich wird die noch umschreiben die sollte so eigentlich gar nicht raus.

>
> Gruss
> -- Beat




Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045