Mario Rönsch

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
20 messages Options
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Mario Rönsch

Joachim Fahrner
Hallo Liste,
es gibt da einen ziemlich üblen kriminellen Burschen namens Mario
Rönsch. Der hat diverse Datenbanken gehackt und sich deren Mailadressen
bemächtigt. Nun schickt der Typ penetrant rechtsextreme Mails an all
diese Adressen. Ihm gehört die Seite anonymousnews.ru, früher
migrantenschreck.ru (das war ein Onlineshop der ihm von den Behörden
dicht gemacht wurde), und mittlerweile betreibt er einen neuen Shop
patriotenshop.com für den er Werbung macht.

Ich hab keinen Plan wie ich den effektiv blocken kann. Ich weiß auch
nicht wie er es schafft unter dem Radar diverser Blacklists zu bleiben.
Wahrscheinlich, weil seine Adressen eben echte Adressen sind und keine
Honigtöpfe.
Hat jemand eine Idee?
Das ist eine aktuelle Mail von ihm:

Jul 18 18:06:04 server postfix/postscreen[8738]: CONNECT from
[193.70.118.115]:62287 to [172.31.1.100]:25
Jul 18 18:06:04 server postfix/dnsblog[8739]: addr 193.70.118.115 listed
by domain dnsbl-2.uceprotect.net as 127.0.0.2
Jul 18 18:06:04 server postfix/postscreen[8738]: PREGREET 11 after 0.01
from [193.70.118.115]:62287: EHLO User\r\n
Jul 18 18:06:04 server postfix/postscreen[8738]: DNSBL rank 2 for
[193.70.118.115]:62287
Jul 18 18:06:04 server postfix/postscreen[8738]: DISCONNECT
[193.70.118.115]:62287
Jul 18 18:09:01 server postfix/postscreen[8938]: CONNECT from
[198.2.181.10]:29100 to [172.31.1.100]:25
Jul 18 18:09:01 server postfix/postscreen[8938]: PASS OLD
[198.2.181.10]:29100
Jul 18 18:09:01 server postfix/smtpd[8939]: connect from
mail10.suw17.mcsv.net[198.2.181.10]
Jul 18 18:09:05 server postgrey[2574]: action=pass, reason=triplet
found, delay=907, client_name=mail10.suw17.mcsv.net,
client_address=198.2.181.10, s
ender=bounce-mc.us16_78343126.45573-jf=[hidden email],
recipient=[hidden email]
Jul 18 18:09:05 server postfix/policyd-weight[23996]: decided
action=PREPEND X-policyd-weight: using cached result; rate: -6.1;
<client=mail10.suw17.m
csv.net[198.2.181.10]> <helo=mail10.suw17.mcsv.net>
<from=bounce-mc.us16_78343126.45573-jf=[hidden email]>
<to=[hidden email]>; d
elay: 0s
Jul 18 18:09:05 server postfix/smtpd[8939]: D52EC1000F7:
client=mail10.suw17.mcsv.net[198.2.181.10]
Jul 18 18:09:05 server postfix/cleanup[8983]: D52EC1000F7:
message-id=<78975410ea83919029406d9c3.90be32de70.20170718155312.e4577d47ca.b67f221f@mail10.
suw17.mcsv.net>
Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7:
mail10.suw17.mcsv.net [198.2.181.10] not internal
Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: not authenticated
Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: DKIM verification
successful
Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: s=k1
d=mail10.suw17.mcsv.net SSL
Jul 18 18:09:06 server opendmarc[3989]: D52EC1000F7: patriotenshop.com
none
Jul 18 18:09:06 server spamd[16259]: spamd: got connection over
/var/run/spamd.sock
Jul 18 18:09:06 server spamd[16259]: spamd: processing message
<[hidden email]>
for jf:116
Jul 18 18:09:08 server spamd[16259]: spamd: clean message (1.1/5.0) for
jf:116 in 1.4 seconds, 67257 bytes.
Jul 18 18:09:08 server spamd[16259]: spamd: result: . 1 -
HEADER_FROM_DIFFERENT_DOMAINS,HTML_MESSAGE,MIME_QP_LONG_LINE,T_DKIM_INVALID,UNPARSEABLE_RELAY,URIBL_GREY
scantime=1.4,size=67257,user=jf,uid=116,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=/var/run/spamd.sock,mid=<[hidden email]>,autolearn=no
autolearn_force=no
Jul 18 18:09:08 server postfix/qmgr[22427]: D52EC1000F7:
from=<bounce-mc.us16_78343126.45573-jf=[hidden email]>,
size=66809, nrcpt=1 (queue active)
Jul 18 18:09:08 server spamd[6562]: prefork: child states: II
Jul 18 18:09:08 server postfix/smtpd[8939]: disconnect from
mail10.suw17.mcsv.net[198.2.181.10]
Jul 18 18:09:08 server postfix/pipe[8985]: D52EC1000F7: to=<...>,
orig_to=<[hidden email]>, relay=dovecot, delay=6.6,
delays=6.5/0.02/0/0.13, dsn=2.0.0, status=sent (delivered via dovecot
service)
Jul 18 18:09:08 server postfix/qmgr[22427]: D52EC1000F7: removed

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Mario Rönsch

Walter H.
On 18.07.2017 18:32, Joachim Fahrner wrote:
> Ich hab keinen Plan wie ich den effektiv blocken kann. Ich weiß auch
> nicht wie er es schafft unter dem Radar diverser Blacklists zu
> bleiben. Wahrscheinlich, weil seine Adressen eben echte Adressen sind
> und keine Honigtöpfe.
> Hat jemand eine Idee?
wenn Du die Domains schon kennst, einfach die sperren ...
header_checks und FROM eben auf .ru, fertig ...
> Das ist eine aktuelle Mail von ihm:
>
eigentlich ein Maillogauszug ...
> Jul 18 18:06:04 server postfix/postscreen[8738]: ...
wie sieht wirklich so eine Mail (Mail-Header) aus?


smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Mario Rönsch

Robert Schetterer-2
In reply to this post by Joachim Fahrner
Am 18.07.2017 um 18:32 schrieb Joachim Fahrner:

> Hallo Liste,
> es gibt da einen ziemlich üblen kriminellen Burschen namens Mario
> Rönsch. Der hat diverse Datenbanken gehackt und sich deren Mailadressen
> bemächtigt. Nun schickt der Typ penetrant rechtsextreme Mails an all
> diese Adressen. Ihm gehört die Seite anonymousnews.ru, früher
> migrantenschreck.ru (das war ein Onlineshop der ihm von den Behörden
> dicht gemacht wurde), und mittlerweile betreibt er einen neuen Shop
> patriotenshop.com für den er Werbung macht.
>
> Ich hab keinen Plan wie ich den effektiv blocken kann. Ich weiß auch
> nicht wie er es schafft unter dem Radar diverser Blacklists zu bleiben.
> Wahrscheinlich, weil seine Adressen eben echte Adressen sind und keine
> Honigtöpfe.
> Hat jemand eine Idee?
> Das ist eine aktuelle Mail von ihm:
>
> Jul 18 18:06:04 server postfix/postscreen[8738]: CONNECT from
> [193.70.118.115]:62287 to [172.31.1.100]:25
> Jul 18 18:06:04 server postfix/dnsblog[8739]: addr 193.70.118.115 listed
> by domain dnsbl-2.uceprotect.net as 127.0.0.2
> Jul 18 18:06:04 server postfix/postscreen[8738]: PREGREET 11 after 0.01
> from [193.70.118.115]:62287: EHLO User\r\n
> Jul 18 18:06:04 server postfix/postscreen[8738]: DNSBL rank 2 for
> [193.70.118.115]:62287
> Jul 18 18:06:04 server postfix/postscreen[8738]: DISCONNECT
> [193.70.118.115]:62287
> Jul 18 18:09:01 server postfix/postscreen[8938]: CONNECT from
> [198.2.181.10]:29100 to [172.31.1.100]:25
> Jul 18 18:09:01 server postfix/postscreen[8938]: PASS OLD
> [198.2.181.10]:29100
> Jul 18 18:09:01 server postfix/smtpd[8939]: connect from
> mail10.suw17.mcsv.net[198.2.181.10]
> Jul 18 18:09:05 server postgrey[2574]: action=pass, reason=triplet
> found, delay=907, client_name=mail10.suw17.mcsv.net,
> client_address=198.2.181.10, s
> ender=bounce-mc.us16_78343126.45573-jf=[hidden email],
> recipient=[hidden email]
> Jul 18 18:09:05 server postfix/policyd-weight[23996]: decided
> action=PREPEND X-policyd-weight: using cached result; rate: -6.1;
> <client=mail10.suw17.m
> csv.net[198.2.181.10]> <helo=mail10.suw17.mcsv.net>
> <from=bounce-mc.us16_78343126.45573-jf=[hidden email]>
> <to=[hidden email]>; d
> elay: 0s
> Jul 18 18:09:05 server postfix/smtpd[8939]: D52EC1000F7:
> client=mail10.suw17.mcsv.net[198.2.181.10]
> Jul 18 18:09:05 server postfix/cleanup[8983]: D52EC1000F7:
> message-id=<78975410ea83919029406d9c3.90be32de70.20170718155312.e4577d47ca.b67f221f@mail10.
>
> suw17.mcsv.net>
> Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7:
> mail10.suw17.mcsv.net [198.2.181.10] not internal
> Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: not authenticated
> Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: DKIM verification
> successful
> Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: s=k1
> d=mail10.suw17.mcsv.net SSL
> Jul 18 18:09:06 server opendmarc[3989]: D52EC1000F7: patriotenshop.com none
> Jul 18 18:09:06 server spamd[16259]: spamd: got connection over
> /var/run/spamd.sock
> Jul 18 18:09:06 server spamd[16259]: spamd: processing message
> <[hidden email]>
> for jf:116
> Jul 18 18:09:08 server spamd[16259]: spamd: clean message (1.1/5.0) for
> jf:116 in 1.4 seconds, 67257 bytes.
> Jul 18 18:09:08 server spamd[16259]: spamd: result: . 1 -
> HEADER_FROM_DIFFERENT_DOMAINS,HTML_MESSAGE,MIME_QP_LONG_LINE,T_DKIM_INVALID,UNPARSEABLE_RELAY,URIBL_GREY
> scantime=1.4,size=67257,user=jf,uid=116,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=/var/run/spamd.sock,mid=<[hidden email]>,autolearn=no
> autolearn_force=no
> Jul 18 18:09:08 server postfix/qmgr[22427]: D52EC1000F7:
> from=<bounce-mc.us16_78343126.45573-jf=[hidden email]>,
> size=66809, nrcpt=1 (queue active)
> Jul 18 18:09:08 server spamd[6562]: prefork: child states: II
> Jul 18 18:09:08 server postfix/smtpd[8939]: disconnect from
> mail10.suw17.mcsv.net[198.2.181.10]
> Jul 18 18:09:08 server postfix/pipe[8985]: D52EC1000F7: to=<...>,
> orig_to=<[hidden email]>, relay=dovecot, delay=6.6,
> delays=6.5/0.02/0/0.13, dsn=2.0.0, status=sent (delivered via dovecot
> service)
> Jul 18 18:09:08 server postfix/qmgr[22427]: D52EC1000F7: removed
>

sowas gab es schon mal ,war aber sehr primitiv damals
man konnte mit body checks arbeiten , da die Botschaften sehr primitiv
und einfoermig waren, haste mal ein Beispiel des contents ?


Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Mario Rönsch

Robert Schetterer-2
In reply to this post by Joachim Fahrner
Am 18.07.2017 um 18:32 schrieb Joachim Fahrner:

> Hallo Liste,
> es gibt da einen ziemlich üblen kriminellen Burschen namens Mario
> Rönsch. Der hat diverse Datenbanken gehackt und sich deren Mailadressen
> bemächtigt. Nun schickt der Typ penetrant rechtsextreme Mails an all
> diese Adressen. Ihm gehört die Seite anonymousnews.ru, früher
> migrantenschreck.ru (das war ein Onlineshop der ihm von den Behörden
> dicht gemacht wurde), und mittlerweile betreibt er einen neuen Shop
> patriotenshop.com für den er Werbung macht.
>
> Ich hab keinen Plan wie ich den effektiv blocken kann. Ich weiß auch
> nicht wie er es schafft unter dem Radar diverser Blacklists zu bleiben.
> Wahrscheinlich, weil seine Adressen eben echte Adressen sind und keine
> Honigtöpfe.
> Hat jemand eine Idee?
> Das ist eine aktuelle Mail von ihm:
>
> Jul 18 18:06:04 server postfix/postscreen[8738]: CONNECT from
> [193.70.118.115]:62287 to [172.31.1.100]:25
> Jul 18 18:06:04 server postfix/dnsblog[8739]: addr 193.70.118.115 listed
> by domain dnsbl-2.uceprotect.net as 127.0.0.2
> Jul 18 18:06:04 server postfix/postscreen[8738]: PREGREET 11 after 0.01
> from [193.70.118.115]:62287: EHLO User\r\n
> Jul 18 18:06:04 server postfix/postscreen[8738]: DNSBL rank 2 for
> [193.70.118.115]:62287
> Jul 18 18:06:04 server postfix/postscreen[8738]: DISCONNECT
> [193.70.118.115]:62287
> Jul 18 18:09:01 server postfix/postscreen[8938]: CONNECT from
> [198.2.181.10]:29100 to [172.31.1.100]:25
> Jul 18 18:09:01 server postfix/postscreen[8938]: PASS OLD
> [198.2.181.10]:29100
> Jul 18 18:09:01 server postfix/smtpd[8939]: connect from
> mail10.suw17.mcsv.net[198.2.181.10]
> Jul 18 18:09:05 server postgrey[2574]: action=pass, reason=triplet
> found, delay=907, client_name=mail10.suw17.mcsv.net,
> client_address=198.2.181.10, s
> ender=bounce-mc.us16_78343126.45573-jf=[hidden email],
> recipient=[hidden email]
> Jul 18 18:09:05 server postfix/policyd-weight[23996]: decided
> action=PREPEND X-policyd-weight: using cached result; rate: -6.1;
> <client=mail10.suw17.m
> csv.net[198.2.181.10]> <helo=mail10.suw17.mcsv.net>
> <from=bounce-mc.us16_78343126.45573-jf=[hidden email]>
> <to=[hidden email]>; d
> elay: 0s
> Jul 18 18:09:05 server postfix/smtpd[8939]: D52EC1000F7:
> client=mail10.suw17.mcsv.net[198.2.181.10]
> Jul 18 18:09:05 server postfix/cleanup[8983]: D52EC1000F7:
> message-id=<78975410ea83919029406d9c3.90be32de70.20170718155312.e4577d47ca.b67f221f@mail10.
>
> suw17.mcsv.net>
> Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7:
> mail10.suw17.mcsv.net [198.2.181.10] not internal
> Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: not authenticated
> Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: DKIM verification
> successful
> Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: s=k1
> d=mail10.suw17.mcsv.net SSL
> Jul 18 18:09:06 server opendmarc[3989]: D52EC1000F7: patriotenshop.com none
> Jul 18 18:09:06 server spamd[16259]: spamd: got connection over
> /var/run/spamd.sock
> Jul 18 18:09:06 server spamd[16259]: spamd: processing message
> <[hidden email]>
> for jf:116
> Jul 18 18:09:08 server spamd[16259]: spamd: clean message (1.1/5.0) for
> jf:116 in 1.4 seconds, 67257 bytes.
> Jul 18 18:09:08 server spamd[16259]: spamd: result: . 1 -
> HEADER_FROM_DIFFERENT_DOMAINS,HTML_MESSAGE,MIME_QP_LONG_LINE,T_DKIM_INVALID,UNPARSEABLE_RELAY,URIBL_GREY
> scantime=1.4,size=67257,user=jf,uid=116,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=/var/run/spamd.sock,mid=<[hidden email]>,autolearn=no
> autolearn_force=no
> Jul 18 18:09:08 server postfix/qmgr[22427]: D52EC1000F7:
> from=<bounce-mc.us16_78343126.45573-jf=[hidden email]>,
> size=66809, nrcpt=1 (queue active)
> Jul 18 18:09:08 server spamd[6562]: prefork: child states: II
> Jul 18 18:09:08 server postfix/smtpd[8939]: disconnect from
> mail10.suw17.mcsv.net[198.2.181.10]
> Jul 18 18:09:08 server postfix/pipe[8985]: D52EC1000F7: to=<...>,
> orig_to=<[hidden email]>, relay=dovecot, delay=6.6,
> delays=6.5/0.02/0/0.13, dsn=2.0.0, status=sent (delivered via dovecot
> service)
> Jul 18 18:09:08 server postfix/qmgr[22427]: D52EC1000F7: removed
>

aso und wenn du spamassassin laufen hast kannst du da domains auch
blacklisten, sollte auch mit sieve dovecot funktionieren mit zb globaler
filter rule auf die domain evtl kombiniert mit einem content filter



Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Mario Rönsch

Joachim Fahrner
Am 2017-07-18 19:46, schrieb Robert Schetterer:

> aso und wenn du spamassassin laufen hast kannst du da domains auch
> blacklisten, sollte auch mit sieve dovecot funktionieren mit zb
> globaler
> filter rule auf die domain evtl kombiniert mit einem content filter

Sieve habe ich auch, damit wäre es einfach. Aber mit Sieve rejecten ist
nicht die feine Art (Stichwort Backscatter). Ich könnte es natürlich
auch einfach in den Müll schieben. Aber lieber wäre mir ein echter
Reject auf MTA Ebene, damit der Absender auch was davon hat. ;-)

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Mario Rönsch

Robert Schetterer-2
Am 18.07.2017 um 19:55 schrieb Joachim Fahrner:
> Am 2017-07-18 19:46, schrieb Robert Schetterer:
>
>> aso und wenn du spamassassin laufen hast kannst du da domains auch
>> blacklisten, sollte auch mit sieve dovecot funktionieren mit zb globaler
>> filter rule auf die domain evtl kombiniert mit einem content filter
>
> Sieve habe ich auch, damit wäre es einfach. Aber mit Sieve rejecten ist
> nicht die feine Art (Stichwort Backscatter).

je nachdem wie du das realisiert hast muss du dir daruber keinen Kopf
machen, wirklichen Backscatter hab ich damit noch nicht gesehen
aber es ist natuerlich rein technisch schon moeglich
bleibt also blacklisten im spamassassin, habe ich als milter damit
ist es unbedenklich

Ich könnte es natürlich
> auch einfach in den Müll schieben. Aber lieber wäre mir ein echter
> Reject auf MTA Ebene, damit der Absender auch was davon hat. ;-)

zb. body checks fuer dein Beispiel

>



Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Mario Rönsch

Joachim Fahrner
In reply to this post by Robert Schetterer-2
Am 2017-07-18 19:46, schrieb Robert Schetterer:

> aso und wenn du spamassassin laufen hast kannst du da domains auch
> blacklisten, sollte auch mit sieve dovecot funktionieren mit zb
> globaler
> filter rule auf die domain evtl kombiniert mit einem content filter

Spamassassin ist ein guter Tipp. Mit
blacklist_from *@patriotenshop.com

müsste es eigentlich klappen. Bin gespannt ob jetzt Ruhe ist.

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Mario Rönsch

Jan F
Hallo Joachim, Hallo Liste


Ich habe es z.B. mit "header_checks.pcre" gelöst


Postconf:

~

header_checks = pcre:/etc/postfix/header_checks.pcre

~

mail:/etc/postfix # cat header_checks.pcre
# Spammschutz
#
# Whitelist!
#/jan@friedrichs\.xyz/ OK >> TEST Whitelist <<
# blocked Addresses
#
/^From:.*admin@goodservers\.com/ REJECT spam protection Rule From *SPAMMER*
/^From:.*@traffic4u\.tk/ REJECT spam protection Rule From *SPAMMER*
#/@gmail\.com/ REJECT >> TEST <<
#/^From:.*@gmail\.com/ REJECT >> TEST 2 <<
#
# blocked Subjects
#
#/^Subject:.*Test/ REJECT spam protection Subject-Rule-1
#/^Subject:.*Blub/ REJECT spam protection Subject-Rule-2
#
# blocked Domains
#
#/^From:.*@gmx\.de/ REJECT spam protection Domain-Rule-1
/^From:.*@info\.sixt\.de/ REJECT *Unsubscribe Newsletter not possible!*


Ich habe mal bewusst die "Test" und Übungs" Eintrage drinn gelassen.


Grüße Jan


Am 18.07.2017 um 20:26 schrieb Joachim Fahrner:

> Am 2017-07-18 19:46, schrieb Robert Schetterer:
>
>> aso und wenn du spamassassin laufen hast kannst du da domains auch
>> blacklisten, sollte auch mit sieve dovecot funktionieren mit zb globaler
>> filter rule auf die domain evtl kombiniert mit einem content filter
>
> Spamassassin ist ein guter Tipp. Mit
> blacklist_from *@patriotenshop.com
>
> müsste es eigentlich klappen. Bin gespannt ob jetzt Ruhe ist.
>


Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Mario Rönsch

Alex JOST
In reply to this post by Joachim Fahrner
Am 18.07.2017 um 18:32 schrieb Joachim Fahrner:

> Hallo Liste,
> es gibt da einen ziemlich üblen kriminellen Burschen namens Mario
> Rönsch. Der hat diverse Datenbanken gehackt und sich deren Mailadressen
> bemächtigt. Nun schickt der Typ penetrant rechtsextreme Mails an all
> diese Adressen. Ihm gehört die Seite anonymousnews.ru, früher
> migrantenschreck.ru (das war ein Onlineshop der ihm von den Behörden
> dicht gemacht wurde), und mittlerweile betreibt er einen neuen Shop
> patriotenshop.com für den er Werbung macht.
>
> Ich hab keinen Plan wie ich den effektiv blocken kann. Ich weiß auch
> nicht wie er es schafft unter dem Radar diverser Blacklists zu bleiben.
> Wahrscheinlich, weil seine Adressen eben echte Adressen sind und keine
> Honigtöpfe.
> Hat jemand eine Idee?

Wenn es hier nur um Deinen privaten Mailserver geht, und Du sonst keine
legitimen Nachrichten aus Russland bekommst, kannst Du es mit
'check_sender_ns_access' versuchen. Seine Domains verweisen alle auf die
selben Nameserver:
   ns4.nic.ru
   ns3.nic.ru
   ns8.nic.ru

--
Alex JOST
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Mario Rönsch

Joachim Fahrner
In reply to this post by Jan F
Am 2017-07-18 23:32, schrieb Jan F:
> Ich habe es z.B. mit "header_checks.pcre" gelöst

Danke für dein Beispiel. Mit header_checks habe ich mich bisher noch
nicht befasst. Werde es mal ausprobieren.


Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Mario Rönsch

Joachim Fahrner
In reply to this post by Alex JOST
Am 2017-07-19 09:07, schrieb Alex JOST:
> Wenn es hier nur um Deinen privaten Mailserver geht, und Du sonst
> keine legitimen Nachrichten aus Russland bekommst, kannst Du es mit
> 'check_sender_ns_access' versuchen. Seine Domains verweisen alle auf
> die selben Nameserver:
>   ns4.nic.ru
>   ns3.nic.ru
>   ns8.nic.ru

Hab ich auch schon überlegt. Mir ist aber noch nicht ganz klar wie die
Mail gelaufen ist, und was ich sonst noch alles damit blockiere.
Versendet hat er die Mail über mailchimp.com, ein
Mailinglisten-Betreiber aus den USA. Wieso das dann über russische
Server läuft ist mir noch unklar.

Der Abuse-Support von mailchimp scheint ganz aktiv zu sein. Ich hatte
denen gestern die Header geschickt, und 2 Stunden später die Antwort
erhalten, dass sie den Account darüber feststellen konnten und den Fall
untersuchen werden. Vielleicht schmeissen die den ja raus. Dann sucht er
sich wieder einen anderen Dienst um seinen Müll zu verbreiten.

Jochen
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Mario Rönsch

Alex JOST
Am 19.07.2017 um 09:20 schrieb Joachim Fahrner:

> Am 2017-07-19 09:07, schrieb Alex JOST:
>> Wenn es hier nur um Deinen privaten Mailserver geht, und Du sonst
>> keine legitimen Nachrichten aus Russland bekommst, kannst Du es mit
>> 'check_sender_ns_access' versuchen. Seine Domains verweisen alle auf
>> die selben Nameserver:
>>   ns4.nic.ru
>>   ns3.nic.ru
>>   ns8.nic.ru
>
> Hab ich auch schon überlegt. Mir ist aber noch nicht ganz klar wie die
> Mail gelaufen ist, und was ich sonst noch alles damit blockiere.
> Versendet hat er die Mail über mailchimp.com, ein
> Mailinglisten-Betreiber aus den USA. Wieso das dann über russische
> Server läuft ist mir noch unklar.

Bei 'check_sender_ns_access' geht's um den Nameserver der Domain im MAIL
FROM, das hat nichts mit Mailchimp zu tun.

--
Alex JOST
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Mario Rönsch

Joachim Fahrner
Am 2017-07-19 09:25, schrieb Alex JOST:

> Bei 'check_sender_ns_access' geht's um den Nameserver der Domain im
> MAIL FROM, das hat nichts mit Mailchimp zu tun.

Schon klar. Aber die Frage bleibt: wenn die Mail bei mailchimp
eingekippt wurde, wieso läuft sie dann über Russland? Und wenn ich den
russischen Nameserver blocke, was blocke ich dann sonst noch alles mit?
Das kann doch kein Mensch beurteilen.

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Mario Rönsch

Patrick Ben Koetter-2
In reply to this post by Robert Schetterer-2
* Robert Schetterer <[hidden email]>:

> Am 18.07.2017 um 18:32 schrieb Joachim Fahrner:
> > Hallo Liste,
> > es gibt da einen ziemlich üblen kriminellen Burschen namens Mario
> > Rönsch. Der hat diverse Datenbanken gehackt und sich deren Mailadressen
> > bemächtigt. Nun schickt der Typ penetrant rechtsextreme Mails an all
> > diese Adressen. Ihm gehört die Seite anonymousnews.ru, früher
> > migrantenschreck.ru (das war ein Onlineshop der ihm von den Behörden
> > dicht gemacht wurde), und mittlerweile betreibt er einen neuen Shop
> > patriotenshop.com für den er Werbung macht.
>
> sowas gab es schon mal ,war aber sehr primitiv damals
> man konnte mit body checks arbeiten , da die Botschaften sehr primitiv
> und einfoermig waren, haste mal ein Beispiel des contents ?

Gutes Gedächtnis! :) Die header_checks (!) haben wir damals gepostet:

    <https://listi.jpberlin.de/pipermail/postfixbuch-users/2005-May/016810.html>

Dem kannst Du im Ansatz folgen.

p@rick


--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

AW: Mario Rönsch

Uwe Drießen
In reply to this post by Joachim Fahrner
Im Auftrag von Joachim Fahrner

>
> Am 2017-07-19 09:25, schrieb Alex JOST:
>
> > Bei 'check_sender_ns_access' geht's um den Nameserver der Domain im
> > MAIL FROM, das hat nichts mit Mailchimp zu tun.
>
> Schon klar. Aber die Frage bleibt: wenn die Mail bei mailchimp
> eingekippt wurde, wieso läuft sie dann über Russland? Und wenn ich den
> russischen Nameserver blocke, was blocke ich dann sonst noch alles mit?
> Das kann doch kein Mensch beurteilen.


Eine Tod wirst sterben müssen
Kannst das ja beobachten wer da alles so abgewiesen wird
Der Absender bekommt eine eindeutige Nachricht das seine Mail abgelehnt wurde
Dann kann er auf andere Weise mit dir in Kontakt treten wenn es wichtig ist.
Wirklich Wichtiges und den 2 Millionen Euro Auftrag wird man nicht nur über Mail kommunizieren.


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045



Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Mario Rönsch

Patrick Ben Koetter-2
In reply to this post by Joachim Fahrner
* Joachim Fahrner <[hidden email]>:
> Am 2017-07-19 09:25, schrieb Alex JOST:
>
> > Bei 'check_sender_ns_access' geht's um den Nameserver der Domain im
> > MAIL FROM, das hat nichts mit Mailchimp zu tun.
>
> Schon klar. Aber die Frage bleibt: wenn die Mail bei mailchimp eingekippt
> wurde, wieso läuft sie dann über Russland? Und wenn ich den russischen
> Nameserver blocke, was blocke ich dann sonst noch alles mit? Das kann doch
> kein Mensch beurteilen.

Die Spreu vom Weizen zu trennen ist mühselig. Herauszuarbeiten, welche
Informationen belastbar und welche nicht verwertbar sind, verlangt Zeit und
Erfahrung. Beides erfordert Geld. Und da wird gespart und stattdessen spam
ertragen. Wirtschaftlich betrachtet kann ich das nachvollziehen.

Auf diese Karte setzen viele Spammer. Wenn sie gut sind, arbeiten sie so, dass
sie schon Erfolg haben wenn allein die erste Welle durchkommt.

Gut gemachten Abuse kannst Du als einzelne Plattform, ohne Wissen was die
anderen Plattformen gerade "erleben", nur sehr sehr bedingt ausfiltern. Gerade
da liegt der Vorteil von z.B. DNSBL-Anbietern, weil allein die Beobachtung
eines Massenphänomens wie "X clients fragen gerade nach der Reputation der IP
Y" ein guter Hinweis auf abuse ist.

Am wirksamsten wäre immer noch eine Einschränkung dessen, was Clients im Netz
ihres Anbieters ausgehend tun dürfen. Aber das - und da bin ich innerlich
sofort mit dabei - schränkt die Anspruchshaltung vieler Kunden ein. Selbst
wenn sie die Möglichkeit, ausgehend beliebig Verbindungen aufbauen zu
können, nicht nutzen sind sie dennoch nicht bereit dieses Privileg aufzugeben.

In meiner Rolle als Leiter der "Kompetenzgruppe Abuse" der eco kann ich Dir
sagen, das Thema beschäftigt Anbieter wie Kunden. Die Anbieter kostet der
abuse Ressourcen, die sie ihren Kunden zur Verfügung stellen wollen, aber
nicht können, weil die Kunden ja nicht "bevormundet" werden wollen. Abuse ist
ein Preistreiber, aber in der Gesellschaft der "entdecke die Möglichkeiten"
wird bewußte Einschränkung negativ gewertet.

Andere widerum begreifen die Möglichkeit beliebig Verbindungen aufbauen zu
können als Gewohnheitsrecht und die Einschränkung als Downgrade. Noch andere
stellen das Thema in den Kontext der Netzneutralität.

Viele Interessensgruppen sind vertreten. Sie sitzen nicht an einem Tisch. Sie
reden nicht miteinander. Teils unterstellen sie sich, dass die eine Seite die
andere übervorteilen will.

So ein Klima ist ein guter Nährboden für Abuse. Da läßt sich prima
zwischendurch schlängeln.

Und - auch wenn es das Thema spam jetzt nicht besser macht - spam bewegt sich,
gemessen an seiner Bedeutung im Katalog möglichen Missbrauchs zwischen
Ärgernis und Geschäftsschädigung. Ein Verbrechen wie z.B. Missbrauch von
Schutzbefohlenen (Stichwort: Kinderpornographie) ist es nicht.

Damit schliesst sich der Kreis. Wenn Herr Rönsch, so wie ich Dein Posting
interpretiere, gewalt- und nazi-verherrlichende Nachrichten versendet dann
solltest Du das nicht nur blocken, sondern auch den Behörden melden.
Entsprechenden Kontakt stelle ich bei Bedarf gerne her.

p@rick

--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Mario Rönsch

Martin Steigerwald
In reply to this post by Joachim Fahrner
Joachim Fahrner - 19.07.17, 09:20:

> Am 2017-07-19 09:07, schrieb Alex JOST:
> > Wenn es hier nur um Deinen privaten Mailserver geht, und Du sonst
> > keine legitimen Nachrichten aus Russland bekommst, kannst Du es mit
> > 'check_sender_ns_access' versuchen. Seine Domains verweisen alle auf
> > die selben Nameserver:
> > ns4.nic.ru
> > ns3.nic.ru
> > ns8.nic.ru
>
> Hab ich auch schon überlegt. Mir ist aber noch nicht ganz klar wie die
> Mail gelaufen ist, und was ich sonst noch alles damit blockiere.
> Versendet hat er die Mail über mailchimp.com, ein
> Mailinglisten-Betreiber aus den USA. Wieso das dann über russische
> Server läuft ist mir noch unklar.

Mailchimp hat in der Vergangenheit sehr schnell und für mich zufriedenstellend
auf Spam-Berichte reagiert:

MailChimp Abuse Desk <[hidden email]>

(Ich bin ansonsten kein Freund von den via MailChimp im Kunden-Auftrag
versendeten Newsletter mit Tracking-Links. Aber das liegt auch daran, dass ich
Newsletter mit Tracking-Links, außer die fürs Austragen, generell nicht mag.)

Danke,
--
Martin
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Mario Rönsch

Joachim Fahrner
In reply to this post by Patrick Ben Koetter-2
Hallo Patrick,

Am 2017-07-19 10:17, schrieb Patrick Ben Koetter:
> In meiner Rolle als Leiter der "Kompetenzgruppe Abuse" der eco kann ich
> Dir
> sagen, das Thema beschäftigt Anbieter wie Kunden.

Das kann ich gut verstehen. Seriöse Anbieter sehen durch sowas ja auch
ihren guten Ruf gefährdet. Die haben sicher kein Interesse daran auf
immer mehr Blacklists zu landen. Das gefährdet ja ihr Geschäftsmodell.

> Damit schliesst sich der Kreis. Wenn Herr Rönsch, so wie ich Dein
> Posting
> interpretiere, gewalt- und nazi-verherrlichende Nachrichten versendet
> dann
> solltest Du das nicht nur blocken, sondern auch den Behörden melden.
> Entsprechenden Kontakt stelle ich bei Bedarf gerne her.

Das wäre sicher nicht verkehrt. Ich wollte ja schon öfter mal
Phishing-Betrüger melden, vor allem wenn die Mails von deutschen Servern
kamen und Urheber somit leicht festzustellen sein müsste. Aber ich habe
im Netz leider keine Stelle der Polizei gefunden, wo man solche Fälle
melden könnte. Überall heisst es nur, erstatten Sie Anzeige bei Ihre
lokalen Polizeidienstelle. Als ob das was bringen würde, wenn ich zu
meinem Dorfpolizisten gehe und dem verklickere was Phishing ist. Die
sind doch da schon mit Fahrraddiebstählen überfordert. Und warum sollte
ich Anzeige erstatten, wenn ich nicht direkt betroffen bin? Ich falle ja
auf sowas nicht rein. Aber Prävention gehört doch auch zu den
Polizeiaufgaben, dann sollten sie auch Stellen einrichten wo man sowas
ohne großen Aufwand melden kann.

Was jetzt diesen Mario Rönsch betrifft: nachdem fahnden sie ja immer
noch (einfach mal googeln). Seine Seite migrantenschreck.ru haben sie
beschlagnahmt und die Kunden besucht. Heute kam wieder eine aktuelle
Meldung dazu:
http://www.epochtimes.de/politik/welt/zoll-findet-13-schusswaffen-bei-kunden-von-internetseite-migrantenschreck-ru-a2170277.html
Mittlerweile betreibt er sein Geschäft ja unter patriotenshop.com
weiter, und über die Seite anonymousnews.ru verbreitet er rechtsextreme
Hetze. Solange der nicht hinter Gittern sitzt wird der immer so weiter
machen.

Jochen
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Mario Rönsch

Robert Schetterer-2
In reply to this post by Patrick Ben Koetter-2
Am 19.07.2017 um 09:28 schrieb Patrick Ben Koetter:

> * Robert Schetterer <[hidden email]>:
>> Am 18.07.2017 um 18:32 schrieb Joachim Fahrner:
>>> Hallo Liste,
>>> es gibt da einen ziemlich üblen kriminellen Burschen namens Mario
>>> Rönsch. Der hat diverse Datenbanken gehackt und sich deren Mailadressen
>>> bemächtigt. Nun schickt der Typ penetrant rechtsextreme Mails an all
>>> diese Adressen. Ihm gehört die Seite anonymousnews.ru, früher
>>> migrantenschreck.ru (das war ein Onlineshop der ihm von den Behörden
>>> dicht gemacht wurde), und mittlerweile betreibt er einen neuen Shop
>>> patriotenshop.com für den er Werbung macht.
>>
>> sowas gab es schon mal ,war aber sehr primitiv damals
>> man konnte mit body checks arbeiten , da die Botschaften sehr primitiv
>> und einfoermig waren, haste mal ein Beispiel des contents ?
>
> Gutes Gedächtnis! :)

gehts so *g

Die header_checks (!) haben wir damals gepostet:

siehste ich war bei body checks ....also doch nimmer so gut die grauen
Zellen ...

im konkreten Fall ( hatte ein Bsp offlist ) wuerden die evtl auch
funktionieren

>
>     <https://listi.jpberlin.de/pipermail/postfixbuch-users/2005-May/016810.html>
>
> Dem kannst Du im Ansatz folgen.
>
> p@rick
>
>

schaetze es wurden genug Loesungsansaetze gepostet, sollte reichen

Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Mario Rönsch

Martin Steigerwald
In reply to this post by Martin Steigerwald
Martin Steigerwald - 19.07.17, 14:24:

> Joachim Fahrner - 19.07.17, 09:20:
> > Am 2017-07-19 09:07, schrieb Alex JOST:
> > > Wenn es hier nur um Deinen privaten Mailserver geht, und Du sonst
> > > keine legitimen Nachrichten aus Russland bekommst, kannst Du es mit
> > > 'check_sender_ns_access' versuchen. Seine Domains verweisen alle auf
> > > die selben Nameserver:
> > > ns4.nic.ru
> > > ns3.nic.ru
> > > ns8.nic.ru
> >
> > Hab ich auch schon überlegt. Mir ist aber noch nicht ganz klar wie die
> > Mail gelaufen ist, und was ich sonst noch alles damit blockiere.
> > Versendet hat er die Mail über mailchimp.com, ein
> > Mailinglisten-Betreiber aus den USA. Wieso das dann über russische
> > Server läuft ist mir noch unklar.
>
> Mailchimp hat in der Vergangenheit sehr schnell und für mich
> zufriedenstellend auf Spam-Berichte reagiert:
>
> MailChimp Abuse Desk <[hidden email]>
>
> (Ich bin ansonsten kein Freund von den via MailChimp im Kunden-Auftrag
> versendeten Newsletter mit Tracking-Links. Aber das liegt auch daran, dass
> ich Newsletter mit Tracking-Links, außer die fürs Austragen, generell nicht
> mag.)

Kleiner Zusatz: Ich hab Mailchimp irgendwann mal gebeten, mich auf eine
globale Blacklist zu setzen. Seitdem bekomme ich von denen gar keine Mail
mehr. (Selbst an sich mal bestellte Newsletter, die leider doch über Mailchimp
laufen, kommen nicht mehr…)

Ciao,
--
Martin
Loading...