Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
17 messages Options
Reply | Threaded
Open this post in threaded view
|

Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken

Martin Steigerwald
Hallo!

Ich hab das Postfix-Buch derzeit noch nicht, aber eine Bestellung abgegeben,
darauf hoffend das bald eine neue Auflage kommt. Und auch bereits etwas
Erfahrung mit Postfix. Dennoch, falls meine Frage bereits im Buch beantwortet
ist, gebt gerne einen passenden Hinweis.

Ich habe Postfix + policyd-weight + SpamAssassin mit Heinlein und Michael
Monnerie-Regeln sowie Dovecot + Docecot LDA mit Sieve, nutze jedoch
hauptsächlich POP3.



Trotz der Spam-Vorkehrungen, ich lasse von policyd-weight und SpamAssasin via
REJECT auf SMTP-Ebene ablehnen, bekomme in den letzten Wochen verstärkt Spam-
Mails von irgendwelchen Hosts in Digital Ocean-Netzwerken die dann Hostnamen
mit neuen TLDs aka .xyz, .site usw. haben. Die scheinen offenbar nicht im
Griff zu haben, wer da Kunde wird, oder haben viele Kunden, die auf ihre
Cloud-Maschinen nicht aufpassen.

Daher habe ich dann recht pauschal dieses hier gemacht:

smtpd_recipient_restrictions =
        permit_mynetworks
        permit_sasl_authenticated
        reject_non_fqdn_recipient
        reject_unknown_recipient_domain
        reject_unauth_destination
        check_client_access hash:/etc/postfix/client_checks
        check_sender_access pcre:/etc/postfix/sender_checks
        check_policy_service inet:127.0.0.1:12525

(SpamAssassin ist derzeit über master.cf mit spamc/spamd eingehängt.)

[…]/etc/postfix> cat sender_checks
/klicken.*\.xyz/ DISCARD S2016-06: Spam discarded.
/klicken.*\.accountant/ DISCARD S2016-06: Spam discarded.

/mailing.*\.xyz/ DISCARD S2016-06: Spam discarded.
/mailing.*\.site/ DISCARD S2016-06: Spam discarded.

/server.*\.xyz/ DISCARD S2016-06: Spam discarded.

/weiter.*\.top/ DISCARD S2016-06: Spam discarded.

/aufmachen.*\.party/ DISCARD S2016-06: Spam discarded.

/95\.85\.8\.87/ DISCARD S2016-06: Spam discarded.

/178\.62\.235\.237/ DISCARD S2016-06: Spam discarded.

/46\.101\.111\.79/ DISCARD S2016-06: Spam discarded.


Die regulären Ausdrücke sind mindestens in zweierlei Hinsicht für Domain-Namen
wie mailing274.xyz zu weit gefasst:

1. Ich prüfe nicht auf eine Nummer.

2. Und wer würde dann auch meinserver.xyz erfassen.

Das war mir jetzt aber erstmal egal.

Ich arbeite da mit DISCARD, da ich die Spammer gar nicht mehr informieren
möchte, dass ich die Mail wegwerfe. Es handelt sich zudem um einen privat
genutzen Mailserver.


Ich habe für die dortigen IPs dann auch Abuse Reports an Digital Ocean
abgesetzt, aber außer einer automatisierten Antwort bislang keine Reaktion
erhalten. Außerdem kamen eben immer wieder neue Hosts dazu, die Spams
schicken.


Ich bin daher versucht, komplette Netzwerke von Digital Ocean zu blocken,
würde dann jedoch wieder mit einem REJECT arbeiten, das den Sender auffordert,
sich einen Cloud-Betreiber zu suchen, der sicherstellt, dass Kunden-Systeme
keine Spams verschicken. So weiß der Sender dann zumindest, warum ich seine
Mail blocke.

Allerdings wäre das extrem pauschal, selbst wenn ich mit einem REJECT arbeite.


Eine weiter Möglichkeit wäre, komplette TLDs wie .xyz oder Ähnliches zu
blocken, das wäre aber noch pauschaler.



Ich würd das gerne anders lösen, möchte aber nicht jeden 2. Tag eine neue
Regel einfügen, um Spam wegzublocken.

Irgendeine Idee, die zwischen pauschal blocken und alle zwei Tagen wieder
hinfassen liegt?


Theoretisch sind die Spams, die ich alle wieder entsorgt habe (auch die Abuse
Reports), da ich so einen Müll einfach nicht archivieren möchte, alle ähnlich
aufgebaut. Da ist in der Regel im Wesentlich immer ein Tracking-Link auf eine
dubiose Webseite drin.

Ciao,
--
Martin
Reply | Threaded
Open this post in threaded view
|

AW: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken

Ronny Wagner
Hallo Martin,

ich habe die ähnlichen Probleme seit ein paar Tagen und blockiere die TLDs vollständig (Danke an Uwe's Vorschlag hier in der Liste).

Spamassassin hat bei diesen Mails so gut wie gar nicht angeschlagen (BAYES_00 hat bei mir zu den Mails leider eine gute Bewertung abgegeben, somit sind die durchgerutscht).

Hätte bisher folgende IP´s gefunden, welche Spam verschickt haben:
139.59.177.14
139.59.190.249
146.185.181.162
95.85.8.85
178.62.217.225
178.62.236.40
178.62.228.167

cat /etc/postfix/sender_access.regexp
/\.xyz$/           REJECT Mail from .xyz not accepted
/\.pw$/            REJECT Mail from .pw not accepted
/\.hk$/            REJECT Mail from .hk not accepted
/\.club$/          REJECT Mail from .club not accepted
/\.space$/         REJECT Mail from .space not accepted
/\.click$/         REJECT Mail from .click not accepted
/\.faith$/         REJECT Mail from .faith not accepted
/\.link$/          REJECT Mail from .link not accepted
/\.review$/        REJECT Mail from .review not accepted
/\.rocks$/         REJECT Mail from .rocks not accepted
/\.site$/          REJECT Mail from .site not accepted
/\.top$/           REJECT Mail from .top not accepted
/\.work$/          REJECT Mail from .work not accepted
/\.black$/         REJECT Mail from .black not accepted
/\.blue$/          REJECT Mail from .blue not accepted
/\.fyi$/           REJECT Mail from .fyi not accepted
/\.love$/          REJECT Mail from .love not accepted
/\.pro$/           REJECT Mail from .pro not accepted
/\.website$/       REJECT Mail from .website not accepted
/\.bid$/           REJECT Mail from .bid not accepted
/\.win$/           REJECT Mail from .win not accepted
/\.racing$/        REJECT Mail from .racing not accepted
/\.accountant$/    REJECT Mail from .accountant not accepted
/\.date$/          REJECT Mail from .date not accepted      
/\.download$/ REJECT Mail from .download not accepted
/\.gnd$/ REJECT Mail from .gnd not accepted
/\.tokyo$/ REJECT Mail from .tokyo not accepted
/\.science$/ REJECT Mail from .science not accepted

Die Anpassung hat heute schon mal geholfen:
Jul  5 04:46:13 as01 postfix-ipv4_25/smtpd[21810]: NOQUEUE: reject: RCPT from webmail.mailing79.site[46.101.222.138]: 554 5.7.1 <[hidden email]>: Sender address rejected: Mail from .site not accepted; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<webmail.mailing79.site>
Jul  5 04:46:30 as01 postfix-ipv4_25/smtpd[21810]: NOQUEUE: reject: RCPT from webmail.mailing71.site[46.101.99.215]: 554 5.7.1 <[hidden email]>: Sender address rejected: Mail from .site not accepted; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<webmail.mailing71.site>
Jul  5 04:46:36 as01 postfix-ipv4_25/smtpd[21810]: NOQUEUE: reject: RCPT from webmail.mailing82.site[46.101.106.27]: 554 5.7.1 <[hidden email]>: Sender address rejected: Mail from .site not accepted; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<webmail.mailing82.site>
Jul  5 04:46:42 as01 postfix-ipv4_25/smtpd[21810]: NOQUEUE: reject: RCPT from webmail.mailing74.site[46.101.105.225]: 554 5.7.1 <[hidden email]>: Sender address rejected: Mail from .site not accepted; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<webmail.mailing74.site>
Jul  5 04:50:13 as02 postfix-ipv4_25/smtpd[4423]: NOQUEUE: reject: RCPT from webmail.mailing89.site[46.101.209.55]: 554 5.7.1 <[hidden email]>: Sender address rejected: Mail from .site not accepted; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<webmail.mailing89.site>
Jul  5 04:50:47 as01 postfix-ipv4_25/smtpd[21810]: NOQUEUE: reject: RCPT from webmail.mailing74.site[46.101.105.225]: 554 5.7.1 <[hidden email]>: Sender address rejected: Mail from .site not accepted; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<webmail.mailing74.site>
Jul  5 04:50:54 as01 postfix-ipv4_25/smtpd[21810]: NOQUEUE: reject: RCPT from webmail.mailing82.site[46.101.106.27]: 554 5.7.1 <[hidden email]>: Sender address rejected: Mail from .site not accepted; from=<[hidden email]> to=<[hidden email]> proto=ESMTP helo=<webmail.mailing82.site>

Mit freundlichen Grüßen/Best Regards
Ronny Wagner



-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Martin Steigerwald
Gesendet: Dienstag, 5. Juli 2016 12:13
An: [hidden email]
Betreff: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken

Hallo!

Ich hab das Postfix-Buch derzeit noch nicht, aber eine Bestellung abgegeben,
darauf hoffend das bald eine neue Auflage kommt. Und auch bereits etwas
Erfahrung mit Postfix. Dennoch, falls meine Frage bereits im Buch beantwortet
ist, gebt gerne einen passenden Hinweis.

Ich habe Postfix + policyd-weight + SpamAssassin mit Heinlein und Michael
Monnerie-Regeln sowie Dovecot + Docecot LDA mit Sieve, nutze jedoch
hauptsächlich POP3.



Trotz der Spam-Vorkehrungen, ich lasse von policyd-weight und SpamAssasin via
REJECT auf SMTP-Ebene ablehnen, bekomme in den letzten Wochen verstärkt Spam-
Mails von irgendwelchen Hosts in Digital Ocean-Netzwerken die dann Hostnamen
mit neuen TLDs aka .xyz, .site usw. haben. Die scheinen offenbar nicht im
Griff zu haben, wer da Kunde wird, oder haben viele Kunden, die auf ihre
Cloud-Maschinen nicht aufpassen.

Daher habe ich dann recht pauschal dieses hier gemacht:

smtpd_recipient_restrictions =
        permit_mynetworks
        permit_sasl_authenticated
        reject_non_fqdn_recipient
        reject_unknown_recipient_domain
        reject_unauth_destination
        check_client_access hash:/etc/postfix/client_checks
        check_sender_access pcre:/etc/postfix/sender_checks
        check_policy_service inet:127.0.0.1:12525

(SpamAssassin ist derzeit über master.cf mit spamc/spamd eingehängt.)

[…]/etc/postfix> cat sender_checks
/klicken.*\.xyz/ DISCARD S2016-06: Spam discarded.
/klicken.*\.accountant/ DISCARD S2016-06: Spam discarded.

/mailing.*\.xyz/ DISCARD S2016-06: Spam discarded.
/mailing.*\.site/ DISCARD S2016-06: Spam discarded.

/server.*\.xyz/ DISCARD S2016-06: Spam discarded.

/weiter.*\.top/ DISCARD S2016-06: Spam discarded.

/aufmachen.*\.party/ DISCARD S2016-06: Spam discarded.

/95\.85\.8\.87/ DISCARD S2016-06: Spam discarded.

/178\.62\.235\.237/ DISCARD S2016-06: Spam discarded.

/46\.101\.111\.79/ DISCARD S2016-06: Spam discarded.


Die regulären Ausdrücke sind mindestens in zweierlei Hinsicht für Domain-Namen
wie mailing274.xyz zu weit gefasst:

1. Ich prüfe nicht auf eine Nummer.

2. Und wer würde dann auch meinserver.xyz erfassen.

Das war mir jetzt aber erstmal egal.

Ich arbeite da mit DISCARD, da ich die Spammer gar nicht mehr informieren
möchte, dass ich die Mail wegwerfe. Es handelt sich zudem um einen privat
genutzen Mailserver.


Ich habe für die dortigen IPs dann auch Abuse Reports an Digital Ocean
abgesetzt, aber außer einer automatisierten Antwort bislang keine Reaktion
erhalten. Außerdem kamen eben immer wieder neue Hosts dazu, die Spams
schicken.


Ich bin daher versucht, komplette Netzwerke von Digital Ocean zu blocken,
würde dann jedoch wieder mit einem REJECT arbeiten, das den Sender auffordert,
sich einen Cloud-Betreiber zu suchen, der sicherstellt, dass Kunden-Systeme
keine Spams verschicken. So weiß der Sender dann zumindest, warum ich seine
Mail blocke.

Allerdings wäre das extrem pauschal, selbst wenn ich mit einem REJECT arbeite.


Eine weiter Möglichkeit wäre, komplette TLDs wie .xyz oder Ähnliches zu
blocken, das wäre aber noch pauschaler.



Ich würd das gerne anders lösen, möchte aber nicht jeden 2. Tag eine neue
Regel einfügen, um Spam wegzublocken.

Irgendeine Idee, die zwischen pauschal blocken und alle zwei Tagen wieder
hinfassen liegt?


Theoretisch sind die Spams, die ich alle wieder entsorgt habe (auch die Abuse
Reports), da ich so einen Müll einfach nicht archivieren möchte, alle ähnlich
aufgebaut. Da ist in der Regel im Wesentlich immer ein Tracking-Link auf eine
dubiose Webseite drin.

Ciao,
--
Martin

smime.p7s (6K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

AW: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken

Ronny Wagner
In reply to this post by Martin Steigerwald
Hallo Nochmal,

in der Zwischenzeit kam jetzt sogar von der TLD .trade eine Spammail, natürlich wieder von Digital Ocean, Inc.

Jetzt beginne ich die vollständige IP Range des Anbieters zu sperren.

cat /etc/postfix/client_access
#Digital Ocean, Inc.
188.166.0.0/16  REJECT Your IP range is spammer - contact [hidden email] for help
128.199.0.0/16  REJECT Your IP range is spammer - contact [hidden email] for help
178.62.128.0/17 REJECT Your IP range is spammer - contact [hidden email] for help
95.85.8.0/20            REJECT Your IP range is spammer - contact [hidden email] for help
146.185.0.0/16  REJECT Your IP range is spammer - contact [hidden email] for help
139.59.0.0/16           REJECT Your IP range is spammer - contact [hidden email] for help

Mit freundlichen Grüßen/Best Regards
Ronny Wagner

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Martin Steigerwald
Gesendet: Dienstag, 5. Juli 2016 12:13
An: [hidden email]
Betreff: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken

Hallo!

Ich hab das Postfix-Buch derzeit noch nicht, aber eine Bestellung abgegeben,
darauf hoffend das bald eine neue Auflage kommt. Und auch bereits etwas
Erfahrung mit Postfix. Dennoch, falls meine Frage bereits im Buch beantwortet
ist, gebt gerne einen passenden Hinweis.

Ich habe Postfix + policyd-weight + SpamAssassin mit Heinlein und Michael
Monnerie-Regeln sowie Dovecot + Docecot LDA mit Sieve, nutze jedoch
hauptsächlich POP3.



Trotz der Spam-Vorkehrungen, ich lasse von policyd-weight und SpamAssasin via
REJECT auf SMTP-Ebene ablehnen, bekomme in den letzten Wochen verstärkt Spam-
Mails von irgendwelchen Hosts in Digital Ocean-Netzwerken die dann Hostnamen
mit neuen TLDs aka .xyz, .site usw. haben. Die scheinen offenbar nicht im
Griff zu haben, wer da Kunde wird, oder haben viele Kunden, die auf ihre
Cloud-Maschinen nicht aufpassen.

Daher habe ich dann recht pauschal dieses hier gemacht:

smtpd_recipient_restrictions =
        permit_mynetworks
        permit_sasl_authenticated
        reject_non_fqdn_recipient
        reject_unknown_recipient_domain
        reject_unauth_destination
        check_client_access hash:/etc/postfix/client_checks
        check_sender_access pcre:/etc/postfix/sender_checks
        check_policy_service inet:127.0.0.1:12525

(SpamAssassin ist derzeit über master.cf mit spamc/spamd eingehängt.)

[…]/etc/postfix> cat sender_checks
/klicken.*\.xyz/ DISCARD S2016-06: Spam discarded.
/klicken.*\.accountant/ DISCARD S2016-06: Spam discarded.

/mailing.*\.xyz/ DISCARD S2016-06: Spam discarded.
/mailing.*\.site/ DISCARD S2016-06: Spam discarded.

/server.*\.xyz/ DISCARD S2016-06: Spam discarded.

/weiter.*\.top/ DISCARD S2016-06: Spam discarded.

/aufmachen.*\.party/ DISCARD S2016-06: Spam discarded.

/95\.85\.8\.87/ DISCARD S2016-06: Spam discarded.

/178\.62\.235\.237/ DISCARD S2016-06: Spam discarded.

/46\.101\.111\.79/ DISCARD S2016-06: Spam discarded.


Die regulären Ausdrücke sind mindestens in zweierlei Hinsicht für Domain-Namen
wie mailing274.xyz zu weit gefasst:

1. Ich prüfe nicht auf eine Nummer.

2. Und wer würde dann auch meinserver.xyz erfassen.

Das war mir jetzt aber erstmal egal.

Ich arbeite da mit DISCARD, da ich die Spammer gar nicht mehr informieren
möchte, dass ich die Mail wegwerfe. Es handelt sich zudem um einen privat
genutzen Mailserver.


Ich habe für die dortigen IPs dann auch Abuse Reports an Digital Ocean
abgesetzt, aber außer einer automatisierten Antwort bislang keine Reaktion
erhalten. Außerdem kamen eben immer wieder neue Hosts dazu, die Spams
schicken.


Ich bin daher versucht, komplette Netzwerke von Digital Ocean zu blocken,
würde dann jedoch wieder mit einem REJECT arbeiten, das den Sender auffordert,
sich einen Cloud-Betreiber zu suchen, der sicherstellt, dass Kunden-Systeme
keine Spams verschicken. So weiß der Sender dann zumindest, warum ich seine
Mail blocke.

Allerdings wäre das extrem pauschal, selbst wenn ich mit einem REJECT arbeite.


Eine weiter Möglichkeit wäre, komplette TLDs wie .xyz oder Ähnliches zu
blocken, das wäre aber noch pauschaler.



Ich würd das gerne anders lösen, möchte aber nicht jeden 2. Tag eine neue
Regel einfügen, um Spam wegzublocken.

Irgendeine Idee, die zwischen pauschal blocken und alle zwei Tagen wieder
hinfassen liegt?


Theoretisch sind die Spams, die ich alle wieder entsorgt habe (auch die Abuse
Reports), da ich so einen Müll einfach nicht archivieren möchte, alle ähnlich
aufgebaut. Da ist in der Regel im Wesentlich immer ein Tracking-Link auf eine
dubiose Webseite drin.

Ciao,
--
Martin

F64B72EDA591C786_r.wagner@licoho.de.asc (5K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken

Ralf Hildebrandt
* Ronny Wagner <[hidden email]>:
> Hallo Nochmal,
>
> in der Zwischenzeit kam jetzt sogar von der TLD .trade eine Spammail, natürlich wieder von Digital Ocean, Inc.
>
> Jetzt beginne ich die vollständige IP Range des Anbieters zu sperren.
>
> cat /etc/postfix/client_access
> #Digital Ocean, Inc.
> 188.166.0.0/16  REJECT Your IP range is spammer - contact [hidden email] for help

Da ist 188.166.95.178 mail.python.org drin und nein, wir spammen nicht.

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | http://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken

Peer Heinlein
On 07.07.2016 10:25, Ralf Hildebrandt wrote:


> Da ist 188.166.95.178 mail.python.org drin und nein, wir spammen nicht.

Seid Ihr nicht die mit dieser Spam-Software, die vor allem am
Monatsersten 90% aller AOL-Abuses in der FBL bei uns triggert?

Wie hieß die gleich nochmal? Mailmaster? Mailman? Irgendwie sowas.

Böse Software. Ganz böse Software. Böser Spammer.


Peer



--
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin

Reply | Threaded
Open this post in threaded view
|

Re: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken

Ralf Hildebrandt
* Peer Heinlein <[hidden email]>:
> On 07.07.2016 10:25, Ralf Hildebrandt wrote:
>
>
> > Da ist 188.166.95.178 mail.python.org drin und nein, wir spammen nicht.
>
> Seid Ihr nicht die mit dieser Spam-Software, die vor allem am
> Monatsersten 90% aller AOL-Abuses in der FBL bei uns triggert?

Naja, kann man ja abstellen (und was mich viel mehr nervt: Wenn
monatliche Mails geschickt werden, warum werden die nicht gleich für
automatische Unsubscribes benutzt?)
 
> Wie hieß die gleich nochmal? Mailmaster? Mailman? Irgendwie sowas.
>
> Böse Software. Ganz böse Software. Böser Spammer.

Alles angeblich viel besser in MM3 (der jetzt auch schon auf
mail.python.org läuft)

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | http://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken

Peer Heinlein
On 07.07.2016 11:15, Ralf Hildebrandt wrote:

>> Böse Software. Ganz böse Software. Böser Spammer.
>
> Alles angeblich viel besser in MM3 (der jetzt auch schon auf
> mail.python.org läuft)

Oh, hat das eine eingebaute globale AOL-DAU-Blacklist?

Wäre mal ein Featurerequest.

Peer





--
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin

Reply | Threaded
Open this post in threaded view
|

Re: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken

Ralf Hildebrandt
* Peer Heinlein <[hidden email]>:

> On 07.07.2016 11:15, Ralf Hildebrandt wrote:
>
> >> Böse Software. Ganz böse Software. Böser Spammer.
> >
> > Alles angeblich viel besser in MM3 (der jetzt auch schon auf
> > mail.python.org läuft)
>
> Oh, hat das eine eingebaute globale AOL-DAU-Blacklist?
>
> Wäre mal ein Featurerequest.

Leider nein.

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | http://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

AW: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken

Ronny Wagner
In reply to this post by Ralf Hildebrandt
Hallo Ralf,

oh, "kleine" Schreibfehler. Ist /18.

Danke für den Hinweis.

Mit freundlichen Grüßen/Best Regards
Ronny Wagner



-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Ralf Hildebrandt
Gesendet: Donnerstag, 7. Juli 2016 10:26
An: [hidden email]
Betreff: Re: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken

* Ronny Wagner <[hidden email]>:
> Hallo Nochmal,
>
> in der Zwischenzeit kam jetzt sogar von der TLD .trade eine Spammail, natürlich wieder von Digital Ocean, Inc.
>
> Jetzt beginne ich die vollständige IP Range des Anbieters zu sperren.
>
> cat /etc/postfix/client_access
> #Digital Ocean, Inc.
> 188.166.0.0/16  REJECT Your IP range is spammer - contact [hidden email] for help

Da ist 188.166.95.178 mail.python.org drin und nein, wir spammen nicht.

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | http://www.charite.de
           

F64B72EDA591C786_r.wagner@licoho.de.asc (5K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken

Martin Steigerwald
In reply to this post by Ronny Wagner
Am Donnerstag, 7. Juli 2016, 05:16:32 CEST schrieb Ronny Wagner:
> Hallo Nochmal,

Hallo Ronny,
 
> in der Zwischenzeit kam jetzt sogar von der TLD .trade eine Spammail,
> natürlich wieder von Digital Ocean, Inc.
 
> Jetzt beginne ich die vollständige IP Range des Anbieters zu sperren.
>
> cat /etc/postfix/client_access
> #Digital Ocean, Inc.
> 188.166.0.0/16  REJECT Your IP range is spammer - contact
> [hidden email] for help

Danke für Dein Feedback.

Ich hatte jetzt eine Woche lang etwa Ruhe. Doch jetzt kam eine neue Spam-Mail
mit .faith.

Ich habe erneut einen Abuse Report an Digital Ocean rausgelassen, dabei aber
auch erwähnt, dass ich jetzt erwäge, komplette Netzwerk von Digital Ocean zu
blocken. Ich würde da von Deiner Konfiguration ausgehen, client_access habe
ich an sich eh schon eingerichtet.

Allerdings hat das KDE-Projekt vor, Dienste teilweise nach Digital Ocean
auszulagern. Und ich denke es gibt auch eine Reihe weitere ernsthafter
Anwender / Kunden des Cloud-Angebots von Digital Ocean.

Ich habe vor, die Netzwerk-Blocks dennoch zu machen, da ansonsten für Digital
Ocean kein Druck entsteht, etwas an der Situation zu ändern und
sicherzustellen, dass sie nur ernsthafte Kunden haben, die sicherstellen, dass
ihre VMs bei Digital Ocean nicht von Spammer mißbraucht werden. Daher würde
ich eben auch einen REJECT mit Hinweis auf [hidden email] verwenden.

Ciao,
--
Martin
Reply | Threaded
Open this post in threaded view
|

Re: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken

postfix_ml
Am 10.07.2016 um 11:24 schrieb Martin Steigerwald:

> Am Donnerstag, 7. Juli 2016, 05:16:32 CEST schrieb Ronny Wagner:
>> Hallo Nochmal,
>
> Hallo Ronny,
>  
>> in der Zwischenzeit kam jetzt sogar von der TLD .trade eine Spammail,
>> natürlich wieder von Digital Ocean, Inc.
>  
>> Jetzt beginne ich die vollständige IP Range des Anbieters zu sperren.
>>
>> cat /etc/postfix/client_access
>> #Digital Ocean, Inc.
>> 188.166.0.0/16  REJECT Your IP range is spammer - contact
>> [hidden email] for help
>
> Danke für Dein Feedback.
>
> Ich hatte jetzt eine Woche lang etwa Ruhe. Doch jetzt kam eine neue Spam-Mail
> mit .faith.
>
> Ich habe erneut einen Abuse Report an Digital Ocean rausgelassen, dabei aber
> auch erwähnt, dass ich jetzt erwäge, komplette Netzwerk von Digital Ocean zu
> blocken. Ich würde da von Deiner Konfiguration ausgehen, client_access habe
> ich an sich eh schon eingerichtet.
>
> Allerdings hat das KDE-Projekt vor, Dienste teilweise nach Digital Ocean
> auszulagern. Und ich denke es gibt auch eine Reihe weitere ernsthafter
> Anwender / Kunden des Cloud-Angebots von Digital Ocean.
>
> Ich habe vor, die Netzwerk-Blocks dennoch zu machen, da ansonsten für Digital
> Ocean kein Druck entsteht, etwas an der Situation zu ändern und
> sicherzustellen, dass sie nur ernsthafte Kunden haben, die sicherstellen, dass
> ihre VMs bei Digital Ocean nicht von Spammer mißbraucht werden. Daher würde
> ich eben auch einen REJECT mit Hinweis auf [hidden email] verwenden.
>
> Ciao,
>
Hallo Martin und auch die anderen,
ich habe auch weitgehend alle IP-Bereiche von Digital Ocean gesperrt, da
seither nicht eine anständige Mail von dort kam. Ich sehe allerdings
auch die Befürchtung, das sich ändern könntet. Im aktuellen
Fedora-Magazin wird der Cloud-Bereich von denen beworben
(https://fedoramagazine.org/using-vagrant-digitalocean-cloud/). Ich
selbst habe bisher nur negative Erfahrung mit Digital Ocean gemacht.

Grüße
Andreas
Reply | Threaded
Open this post in threaded view
|

Re: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken

sebastian@debianfan.de
Gibts keine Blocklist, welche einzelne IP von digitalocean beinhaltet?

Am 10.07.2016 um 20:58 schrieb Andreas Reschke:
> Am 10.07.2016 um 11:24 schrieb Martin Steigerwald:
>> Am Donnerstag, 7. Juli 2016, 05:16:32 CEST schrieb Ronny Wagner:
Reply | Threaded
Open this post in threaded view
|

Re: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken

Ralf Hildebrandt
* [hidden email] <[hidden email]>:
> Gibts keine Blocklist, welche einzelne IP von digitalocean beinhaltet?

Das sollte man erwarten wenn die so spam-aktiv sind...

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | http://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken

Hoyer-Reuther, Christian
In reply to this post by sebastian@debianfan.de
> Gibts keine Blocklist, welche einzelne IP von digitalocean beinhaltet?

Spamhaus hat einige IPs auf der Liste:

https://www.spamhaus.org/sbl/listings/digitalocean.com

Reply | Threaded
Open this post in threaded view
|

Re: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken

Martin Steigerwald
In reply to this post by Ronny Wagner
Am Donnerstag, 7. Juli 2016, 05:16:32 CEST schrieb Ronny Wagner:
> Hallo Nochmal,
>
> in der Zwischenzeit kam jetzt sogar von der TLD .trade eine Spammail,
> natürlich wieder von Digital Ocean, Inc.
 
> Jetzt beginne ich die vollständige IP Range des Anbieters zu sperren.

Ich kam die letzten Wochen tatsächlich mit

check_sender_access pcre:/etc/postfix/sender_checks

mondschein:/etc/postfix> cat sender_checks
/klicken.*\.xyz/ DISCARD S2016-06: Spam discarded.
/klicken.*\.accountant/ DISCARD S2016-06: Spam discarded.

/mailing.*\.xyz/ DISCARD S2016-06: Spam discarded.
/mailing.*\.site/ DISCARD S2016-06: Spam discarded.

/server.*\.xyz/ DISCARD S2016-06: Spam discarded.

/weiter.*\.top/ DISCARD S2016-06: Spam discarded.

/aufmachen.*\.party/ DISCARD S2016-06: Spam discarded.

/95\.85\.8\.87/ DISCARD S2016-06: Spam discarded.

/178\.62\.235\.237/ DISCARD S2016-06: Spam discarded.

/46\.101\.111\.79/ DISCARD S2016-06: Spam discarded.

/versand.*\.faith/ DISCARD S2016-07: Spam discarded.

/webklick.*\.top/ DISCARD S2016-07: Spam discarded.

/95\.85\.18\.80/ DISCARD S2016.07: Spam discarded.

+ mein sonstiges Setup aus, das aus SpamAssassin + Heinlein-Regeln sowie
Regeln von Michael Monnerie (zmi.at) und policyd-weight und einigen weiteren
Einschränkungen auf Postfix-Seite besteht

aus.

Allerdings kam entweder keine einzige dieser Regeln in der letzten Zeit zum
Einsatz, oder aber Postfix schreibt meinen DISCARD-Grund gar nichts ins
Protokoll, denn zgrep S2016 /var/log/mail.log* liefert kein Ergebnis.

In den Spamassassin-Regeln finde ich dazu aber auch nichts.

lib/spamassassin/3.004001> grep -ir "*ocean*"

Kann natürlich sein, dass es Regeln dazu darin gibt, die unter anderen
Begriffen laufen.

SpamAssassin lasse ich mit einer ziemlichen niedrigen Schwelle von

required_score 6.0

also sobald zu einer Heinlein-Regeln auch noch das kitzekleinste Ding dazu
kommt, heißt es:

mondschein:/etc/postfix> cat header_checks
/^X-Spam-Flag:.YES/ REJECT Your mail is likely spam.

Vielleicht setze ich das auch wieder auf 7 hoch. Ich denke, das mache ich.

Ciao,
--
Martin
Reply | Threaded
Open this post in threaded view
|

Re: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken

Andreas Ziegler
Hallo Martin,

mich würde interessieren warum du nicht REJECT machst?

Mit DISCARD riskierst du in Deutschland eine Straftat zu begehen nach
§206 StGB, wenn doch mal eine legitime Mail erwischt wird - und bisher
ist mir nicht bekannt, welchen Vorteil man im Vergleich zu REJECT hätte
- geschweige denn einen, der das Risiko Wert ist.

Viele Grüße

Andreas


Am 31.07.2016 um 14:06 schrieb Martin Steigerwald:

> Am Donnerstag, 7. Juli 2016, 05:16:32 CEST schrieb Ronny Wagner:
>> Hallo Nochmal,
>>
>> in der Zwischenzeit kam jetzt sogar von der TLD .trade eine Spammail,
>> natürlich wieder von Digital Ocean, Inc.
>  
>> Jetzt beginne ich die vollständige IP Range des Anbieters zu sperren.
>
> Ich kam die letzten Wochen tatsächlich mit
>
> check_sender_access pcre:/etc/postfix/sender_checks
>
> mondschein:/etc/postfix> cat sender_checks
> /klicken.*\.xyz/ DISCARD S2016-06: Spam discarded.
> /klicken.*\.accountant/ DISCARD S2016-06: Spam discarded.
>
> /mailing.*\.xyz/ DISCARD S2016-06: Spam discarded.
> /mailing.*\.site/ DISCARD S2016-06: Spam discarded.
>
> /server.*\.xyz/ DISCARD S2016-06: Spam discarded.
>
> /weiter.*\.top/ DISCARD S2016-06: Spam discarded.
>
> /aufmachen.*\.party/ DISCARD S2016-06: Spam discarded.
>
> /95\.85\.8\.87/ DISCARD S2016-06: Spam discarded.
>
> /178\.62\.235\.237/ DISCARD S2016-06: Spam discarded.
>
> /46\.101\.111\.79/ DISCARD S2016-06: Spam discarded.
>
> /versand.*\.faith/ DISCARD S2016-07: Spam discarded.
>
> /webklick.*\.top/ DISCARD S2016-07: Spam discarded.
>
> /95\.85\.18\.80/ DISCARD S2016.07: Spam discarded.
>
> + mein sonstiges Setup aus, das aus SpamAssassin + Heinlein-Regeln sowie
> Regeln von Michael Monnerie (zmi.at) und policyd-weight und einigen weiteren
> Einschränkungen auf Postfix-Seite besteht
>
> aus.
>
> Allerdings kam entweder keine einzige dieser Regeln in der letzten Zeit zum
> Einsatz, oder aber Postfix schreibt meinen DISCARD-Grund gar nichts ins
> Protokoll, denn zgrep S2016 /var/log/mail.log* liefert kein Ergebnis.
>
> In den Spamassassin-Regeln finde ich dazu aber auch nichts.
>
> lib/spamassassin/3.004001> grep -ir "*ocean*"
>
> Kann natürlich sein, dass es Regeln dazu darin gibt, die unter anderen
> Begriffen laufen.
>
> SpamAssassin lasse ich mit einer ziemlichen niedrigen Schwelle von
>
> required_score 6.0
>
> also sobald zu einer Heinlein-Regeln auch noch das kitzekleinste Ding dazu
> kommt, heißt es:
>
> mondschein:/etc/postfix> cat header_checks
> /^X-Spam-Flag:.YES/ REJECT Your mail is likely spam.
>
> Vielleicht setze ich das auch wieder auf 7 hoch. Ich denke, das mache ich.
>
> Ciao,
>
Reply | Threaded
Open this post in threaded view
|

REJECT oder DISCARD (war: Re: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken)

Martin Steigerwald
Hallo Andreas,

Am Sonntag, 31. Juli 2016, 18:28:42 CEST schrieb Andreas Ziegler:
> Hallo Martin,
>
> mich würde interessieren warum du nicht REJECT machst?
>
> Mit DISCARD riskierst du in Deutschland eine Straftat zu begehen nach
> §206 StGB, wenn doch mal eine legitime Mail erwischt wird - und bisher
> ist mir nicht bekannt, welchen Vorteil man im Vergleich zu REJECT hätte
> - geschweige denn einen, der das Risiko Wert ist.

Auch als Privatperson? Ganz ehrlich, manchmal habe ich in Deutschland zu
Gesetzen wie diesen eine starke Motivation eine Straftat zu begehen. So oder
so gehe ich immer noch davon aus, dass mir Behörden, Gerichte, Polizei usw.
Briefpost schicken, wenn sie was Ernsthaftes von mir wollen.

Die Idee dahinter war, die Spammer nicht darüber zu informieren, dass ich
Spams ablehne und damit zu motivieren, einfach weitere VMs auf meinen
Mailserver loszulassen. Ich kann die Regeln natürlich auch auf REJECT
umstellen. Aber…

… mit REJECT hatte ich auch schon so mein Thema: So flog ich fast regelmäßig
aus bestimmten Debian Alioth-Mailinglisten raus, da ich für SpamAssassin und
policyd-weight auf SMTP-Ebene ablehne. Mit Hinweis auf einen FAQ-Eintrag, dass
es einen bestimmten RFC verletzt, Mails abzulehnen und den Sende-Server
darüber zu informieren. Ich hab gerade Urlaub, zuletzt passierte das mit
meinem Firmen-Mailkonto und der Liste debian-webapps.

So oder so sind nur diese speziellen Digital Ocean-Regeln auf DISCARD. Aber
vielleicht sehe ich deshalb auch meinen DISCARD-Grund nicht im Protokoll, das
Postfix dem Sende-Server ja keine Antwort schickt. Naja, ich lasse mich auch
davon überzeugen REJECT zu nehmen…

was spricht für das Eine, was für das Andere?

Ciao,,
Martin

>
> Viele Grüße
>
> Andreas
>
> Am 31.07.2016 um 14:06 schrieb Martin Steigerwald:
> > Am Donnerstag, 7. Juli 2016, 05:16:32 CEST schrieb Ronny Wagner:
> >> Hallo Nochmal,
> >>
> >> in der Zwischenzeit kam jetzt sogar von der TLD .trade eine Spammail,
> >> natürlich wieder von Digital Ocean, Inc.
> >>
> >> Jetzt beginne ich die vollständige IP Range des Anbieters zu sperren.
> >
> > Ich kam die letzten Wochen tatsächlich mit
> >
> > check_sender_access pcre:/etc/postfix/sender_checks
> >
> > mondschein:/etc/postfix> cat sender_checks
> > /klicken.*\.xyz/ DISCARD S2016-06: Spam discarded.
> > /klicken.*\.accountant/ DISCARD S2016-06: Spam discarded.
> >
> > /mailing.*\.xyz/ DISCARD S2016-06: Spam discarded.
> > /mailing.*\.site/ DISCARD S2016-06: Spam discarded.
> >
> > /server.*\.xyz/ DISCARD S2016-06: Spam discarded.
> >
> > /weiter.*\.top/ DISCARD S2016-06: Spam discarded.
> >
> > /aufmachen.*\.party/ DISCARD S2016-06: Spam discarded.
> >
> > /95\.85\.8\.87/ DISCARD S2016-06: Spam discarded.
> >
> > /178\.62\.235\.237/ DISCARD S2016-06: Spam discarded.
> >
> > /46\.101\.111\.79/ DISCARD S2016-06: Spam discarded.
> >
> > /versand.*\.faith/ DISCARD S2016-07: Spam discarded.
> >
> > /webklick.*\.top/ DISCARD S2016-07: Spam discarded.
> >
> > /95\.85\.18\.80/ DISCARD S2016.07: Spam discarded.
> >
> > + mein sonstiges Setup aus, das aus SpamAssassin + Heinlein-Regeln sowie
> > Regeln von Michael Monnerie (zmi.at) und policyd-weight und einigen
> > weiteren Einschränkungen auf Postfix-Seite besteht
> >
> > aus.
> >
> > Allerdings kam entweder keine einzige dieser Regeln in der letzten Zeit
> > zum
> > Einsatz, oder aber Postfix schreibt meinen DISCARD-Grund gar nichts ins
> > Protokoll, denn zgrep S2016 /var/log/mail.log* liefert kein Ergebnis.
> >
> > In den Spamassassin-Regeln finde ich dazu aber auch nichts.
> >
> > lib/spamassassin/3.004001> grep -ir "*ocean*"
> >
> > Kann natürlich sein, dass es Regeln dazu darin gibt, die unter anderen
> > Begriffen laufen.
> >
> > SpamAssassin lasse ich mit einer ziemlichen niedrigen Schwelle von
> >
> > required_score 6.0
> >
> > also sobald zu einer Heinlein-Regeln auch noch das kitzekleinste Ding dazu
> > kommt, heißt es:
> >
> > mondschein:/etc/postfix> cat header_checks
> > /^X-Spam-Flag:.YES/ REJECT Your mail is likely spam.
> >
> > Vielleicht setze ich das auch wieder auf 7 hoch. Ich denke, das mache ich.
> >
> > Ciao,


--
Martin