Quantcast

Problem mit Spam

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
7 messages Options
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Problem mit Spam

sebastian@debianfan.de
Moin zusammen,

ich habe seit einigen Wochen ein massives Spamproblem - auf zahlreichen
Domains.

z.B. diese Mail - die IP 78.31.64.76 ist nicht wirklich in vielen (der
üblichen) Blacklists drin, d.h. über Postscreen habe ich für mich keine
erkennbare Chance:

Return-Path: <[hidden email]>
Received: from ertimethe.co.ua (ertimethe.co.ua [78.31.64.76])
        by mail.meinedomain.de (Postfix) with ESMTP id EFE43C1C4D
        for <[hidden email]>; Thu, 16 Mar 2017 20:53:26
+0100 (CET)
Received: from ertimethe.co.ua (ertimethe.co.ua [78.31.64.76])
        by ertimethe.co.ua (Postfix) with ESMTPA id DB65B14139AB;
        Thu, 16 Mar 2017 01:21:56 +0200 (EET)
Message-ID: <a2b201d29df4$b25a7760$26782eff@osbuzyr>
From: "KreditBank" <[hidden email]>
To: <[hidden email]>
Subject: Sie suchen nach einem "billigen" Kredit
Date: Thu, 16 Mar 2017 01:29:03 +0200
MIME-Version: 1.0
Content-Type: multipart/related;
        type="multipart/alternative";
        boundary="----=_NextPart_000_0006_01D29DF3.FE3CD8E0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Windows Live Mail 14.0.8117.416
X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8117.416

Wie gehe ich damit um?

Das ist ja nur eine von vielen.

gruß

Sebastian

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Problem mit Spam

Kai Fürstenberg
Hi Sebastian,

Am 17.03.2017 um 14:24 schrieb [hidden email]:

> Moin zusammen,
>
> ich habe seit einigen Wochen ein massives Spamproblem - auf zahlreichen
> Domains.
>
> z.B. diese Mail - die IP 78.31.64.76 ist nicht wirklich in vielen (der
> üblichen) Blacklists drin, d.h. über Postscreen habe ich für mich keine
> erkennbare Chance:
>
> Return-Path: <[hidden email]>
> Received: from ertimethe.co.ua (ertimethe.co.ua [78.31.64.76])
> by mail.meinedomain.de (Postfix) with ESMTP id EFE43C1C4D
> for <[hidden email]>; Thu, 16 Mar 2017 20:53:26
> +0100 (CET)
> Received: from ertimethe.co.ua (ertimethe.co.ua [78.31.64.76])
> by ertimethe.co.ua (Postfix) with ESMTPA id DB65B14139AB;
> Thu, 16 Mar 2017 01:21:56 +0200 (EET)
> Message-ID: <a2b201d29df4$b25a7760$26782eff@osbuzyr>
> From: "KreditBank" <[hidden email]>
> To: <[hidden email]>
> Subject: Sie suchen nach einem "billigen" Kredit
> Date: Thu, 16 Mar 2017 01:29:03 +0200
> MIME-Version: 1.0
> Content-Type: multipart/related;
> type="multipart/alternative";
> boundary="----=_NextPart_000_0006_01D29DF3.FE3CD8E0"
> X-Priority: 3
> X-MSMail-Priority: Normal
> X-Mailer: Microsoft Windows Live Mail 14.0.8117.416
> X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8117.416
>
> Wie gehe ich damit um?
>
> Das ist ja nur eine von vielen.
>
> gruß
>
> Sebastian
>

Du könntest Header-Checks einsetzen (Subject), oder die Mail über
Spamassassin anzulernen.

Ansonsten sind derartige Mails ziemlich unverfänglich. Man findet
teilweise keinen oder kaum einen Ansatzpunkt.

Ich nutze für solche Zwecke meistens Spamassassin und schreibe eine
passende Regel für sowas.

--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Problem mit Spam

Christian Bricart
In reply to this post by sebastian@debianfan.de
Am 2017-03-17 14:24, schrieb [hidden email]:

> Moin zusammen,
>
> ich habe seit einigen Wochen ein massives Spamproblem - auf zahlreichen
> Domains.
>
> z.B. diese Mail - die IP 78.31.64.76 ist nicht wirklich in vielen (der
> üblichen) Blacklists drin, d.h. über Postscreen habe ich für mich
> keine erkennbare Chance:
>
> Return-Path: <[hidden email]>
> Received: from ertimethe.co.ua (ertimethe.co.ua [78.31.64.76])
> by mail.meinedomain.de (Postfix) with ESMTP id EFE43C1C4D
> for <[hidden email]>; Thu, 16 Mar 2017 20:53:26
> +0100 (CET)

ich schmeisse die per check_client_access (und auch nochmal
check_sender_access) raus:

.co.ua REJECT We do not accept any mails from *.co.ua Domains!
.biz.ua REJECT We do not accept any mails from *.biz.ua Domains!

aber ich glaube *ich* kann für mich auch ausschliessen jemals eine
legitime Mail aus der Ukraine zu bekommen.. ;)
ymmv

Grüsse
   Christian
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Problem mit Spam

sebastian@debianfan.de
In reply to this post by Kai Fürstenberg
Ich habe festgestellt, dass viele der Spammails von den neuen
"Domainendungen" wie .bid oder .download kommen - gibt es die
Möglichkeit, im Postscreen auch auf solche Dinge zu reagieren - ich
möchte nicht hart alles was von .download kommt ablehnen - es könnte ja
doch mal was gewolltes dabei sein.

Postscreen würde aber die Möglichkeit der Gewichtung bieten...

Am 17.03.2017 um 14:40 schrieb Kai Fürstenberg:

> Hi Sebastian,
>
> Am 17.03.2017 um 14:24 schrieb [hidden email]:
>> Moin zusammen,
>>
>> ich habe seit einigen Wochen ein massives Spamproblem - auf zahlreichen
>> Domains.
>>
>> z.B. diese Mail - die IP 78.31.64.76 ist nicht wirklich in vielen (der
>> üblichen) Blacklists drin, d.h. über Postscreen habe ich für mich keine
>> erkennbare Chance:
>>
>> Return-Path: <[hidden email]>
>> Received: from ertimethe.co.ua (ertimethe.co.ua [78.31.64.76])
>> by mail.meinedomain.de (Postfix) with ESMTP id EFE43C1C4D
>> for <[hidden email]>; Thu, 16 Mar 2017 20:53:26
>> +0100 (CET)
>> Received: from ertimethe.co.ua (ertimethe.co.ua [78.31.64.76])
>> by ertimethe.co.ua (Postfix) with ESMTPA id DB65B14139AB;
>> Thu, 16 Mar 2017 01:21:56 +0200 (EET)
>> Message-ID: <a2b201d29df4$b25a7760$26782eff@osbuzyr>
>> From: "KreditBank" <[hidden email]>
>> To: <[hidden email]>
>> Subject: Sie suchen nach einem "billigen" Kredit
>> Date: Thu, 16 Mar 2017 01:29:03 +0200
>> MIME-Version: 1.0
>> Content-Type: multipart/related;
>> type="multipart/alternative";
>> boundary="----=_NextPart_000_0006_01D29DF3.FE3CD8E0"
>> X-Priority: 3
>> X-MSMail-Priority: Normal
>> X-Mailer: Microsoft Windows Live Mail 14.0.8117.416
>> X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8117.416
>>
>> Wie gehe ich damit um?
>>
>> Das ist ja nur eine von vielen.
>>
>> gruß
>>
>> Sebastian
>>
>
> Du könntest Header-Checks einsetzen (Subject), oder die Mail über
> Spamassassin anzulernen.
>
> Ansonsten sind derartige Mails ziemlich unverfänglich. Man findet
> teilweise keinen oder kaum einen Ansatzpunkt.
>
> Ich nutze für solche Zwecke meistens Spamassassin und schreibe eine
> passende Regel für sowas.
>
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Problem mit Spam

Patrick Ben Koetter-2
* [hidden email] <[hidden email]>:
> Ich habe festgestellt, dass viele der Spammails von den neuen
> "Domainendungen" wie .bid oder .download kommen - gibt es die Möglichkeit,
> im Postscreen auch auf solche Dinge zu reagieren - ich möchte nicht hart
> alles was von .download kommt ablehnen - es könnte ja doch mal was gewolltes
> dabei sein.

Die Möglichkeit existiert prinzipbedingt nicht und ich hätte sie auch gerne. ;)

Der Postfix postscreen-Daemon ist ein connection-Filter, d.h. er wirkt zum
Zeitpunkt des Verbindungsaufbaus. Alles was er im Moment des
Verbindungsaufbaus sieht/sehen kann, ist die IP-Adresse des Gegenüber. Weitere
Merkmale, wie z.B. HELO-Name oder Envelope Sender (Domain) "lernt" Postfix
erst in der SMTP-Session vom Client.

> Postscreen würde aber die Möglichkeit der Gewichtung bieten...

Stimmt, das finde auch ich ein gelungenes Feature, denn die Welt ist halt
nicht nur schwarz oder weiß. Gewichtung in der SMTP-Session ist ein typischer
Anwendungsfall für einen Postfix policy-Service. Der könnte z.B. mehrere
Faktoren, zu denen dann auch die Senderdomain oder die Reputation bestimmter
Senderdomains gehören, in die Waagschale werfen und am Ende sein Urteil
verkünden.

Postfix wäre dann nur noch der Vollstrecker. Um mal bei der Metapher vom
Urteil zu bleiben… :)

p@rick



>
> Am 17.03.2017 um 14:40 schrieb Kai Fürstenberg:
> > Hi Sebastian,
> >
> > Am 17.03.2017 um 14:24 schrieb [hidden email]:
> > > Moin zusammen,
> > >
> > > ich habe seit einigen Wochen ein massives Spamproblem - auf zahlreichen
> > > Domains.
> > >
> > > z.B. diese Mail - die IP 78.31.64.76 ist nicht wirklich in vielen (der
> > > üblichen) Blacklists drin, d.h. über Postscreen habe ich für mich keine
> > > erkennbare Chance:
> > >
> > > Return-Path: <[hidden email]>
> > > Received: from ertimethe.co.ua (ertimethe.co.ua [78.31.64.76])
> > > by mail.meinedomain.de (Postfix) with ESMTP id EFE43C1C4D
> > > for <[hidden email]>; Thu, 16 Mar 2017 20:53:26
> > > +0100 (CET)
> > > Received: from ertimethe.co.ua (ertimethe.co.ua [78.31.64.76])
> > > by ertimethe.co.ua (Postfix) with ESMTPA id DB65B14139AB;
> > > Thu, 16 Mar 2017 01:21:56 +0200 (EET)
> > > Message-ID: <a2b201d29df4$b25a7760$26782eff@osbuzyr>
> > > From: "KreditBank" <[hidden email]>
> > > To: <[hidden email]>
> > > Subject: Sie suchen nach einem "billigen" Kredit
> > > Date: Thu, 16 Mar 2017 01:29:03 +0200
> > > MIME-Version: 1.0
> > > Content-Type: multipart/related;
> > > type="multipart/alternative";
> > > boundary="----=_NextPart_000_0006_01D29DF3.FE3CD8E0"
> > > X-Priority: 3
> > > X-MSMail-Priority: Normal
> > > X-Mailer: Microsoft Windows Live Mail 14.0.8117.416
> > > X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8117.416
> > >
> > > Wie gehe ich damit um?
> > >
> > > Das ist ja nur eine von vielen.
> > >
> > > gruß
> > >
> > > Sebastian
> > >
> >
> > Du könntest Header-Checks einsetzen (Subject), oder die Mail über
> > Spamassassin anzulernen.
> >
> > Ansonsten sind derartige Mails ziemlich unverfänglich. Man findet
> > teilweise keinen oder kaum einen Ansatzpunkt.
> >
> > Ich nutze für solche Zwecke meistens Spamassassin und schreibe eine
> > passende Regel für sowas.
> >

--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Problem mit Spam

Thomas Schwenski
Hallo Sebastian,
hallo Patrick,
hallo Liste,

> Gewichtung in der SMTP-Session ist ein typischer Anwendungsfall für einen
 > Postfix policy-Service. Der könnte z.B. mehrere Faktoren, zu denen
 > dann auch die Senderdomain oder die Reputation bestimmter
 > Senderdomains gehören, in die Waagschale werfen und am
 > Ende sein Urteil verkünden.

Ich sehe das ähnlich - hier sind die üblichen Anbieter von
Policy-Daemons gefragt ...

... oder man erfindet eben was Neues (einen policy-Daemon zu schreiben
ist gar nicht so schwer).

NUR: Wie gibt man einer ganzen TLD eine brauchbare Reputation?

Und was nimmt man noch zur Gewichtung mit heran?
Der Policy-Daemon kennt ja keinen Content.

Thomas
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Problem mit Spam

Michael Seevogel
Am 27.03.2017 um 22:44 schrieb Thomas Schwenski:
> NUR: Wie gibt man einer ganzen TLD eine brauchbare Reputation?
>
> Und was nimmt man noch zur Gewichtung mit heran?
> Der Policy-Daemon kennt ja keinen Content.


Moin,

was spricht dagegen entsprechende Spamassassin Regeln zu schreiben?

SA bietet sich für sowas vorzüglich an. Darüber hinaus ist das SA
Regelwerk auch um einiges flexibler als das von Postfix selbst.

Wenn man dann noch will, schreibt man sich ein Script welches das
Maillog nach solch einer Spamassassin Rule durchsucht und nach erreichen
eines gewissen Threshold die Spammer-IP via Eintragung in einer internen
DNSBL blockiert. Oder wenn eine eigene DNSBL "too much" ist, nutzt man
einfach den check_client_access des Postfix. Geht ja auch.

Es gibt also durchaus Mittel und Wege solche Spammer IPs zu blockieren,
die mit den neuen TLDs verschicken, ohne gleich alle neuen TLDs von Haus
aus blockieren zu müssen.


Grüße
Michael










Loading...