Spam von (neuen) TLDs, hier "wnc89.win" und "tkdgy.trade"

classic Classic list List threaded Threaded
6 messages Options
Reply | Threaded
Open this post in threaded view
|

Spam von (neuen) TLDs, hier "wnc89.win" und "tkdgy.trade"

Hendl Stephan

Hallo,

 

wir beobachten trotz aktuellem spamassassin-3.4, policyd-weight, greylisting und diversen postfix-Regeln ein erhöhtes Spamaufkommen von neuen TLDs. Diese Mails bekommen in der Regel aber nur 2.5 Spampunkte.

 

Mar 21 08:41:03 mailserver amavis[14171]: (14171-01) spam-tag, <[hidden email]> -> <[hidden email]>, No, score=2.5 tagged_above=-9999 required=6.31 tests=[BAYES_00=-1.9, RCVD_IN_PSBL=2.7, URIBL_BLACK=1.7] autolearn=no

 

Ich könnte hier eine eigene Regel für „@wnc89.win“ aufstellen und schon mal gleich 5 Punkte vergeben, das artet bei mehrere Domains dann aber ganz schön aus… Hat jemand eine generische Idee?

 

Viele Grüße

Stephan

Reply | Threaded
Open this post in threaded view
|

Re: Spam von (neuen) TLDs, hier "wnc89.win" und "tkdgy.trade"

postfix_ml



Hendl Stephan – Mon., 21. März 2016 15:19

> Hallo,
>
>
>  
> wir beobachten trotz aktuellem spamassassin-3.4, policyd-weight,  
> greylisting und diversen postfix-Regeln ein erhöhtes Spamaufkommen  
> von neuen TLDs. Diese Mails bekommen in der Regel aber nur 2.5  
> Spampunkte.
>
>
>  
> Mar 21 08:41:03 mailserver amavis[14171]: (14171-01) spam-tag,  
> <[hidden email]> ->  
> <[hidden email]>, No, score=2.5 tagged_above=-9999  
> required=6.31 tests=[BAYES_00=-1.9, RCVD_IN_PSBL=2.7,  
> URIBL_BLACK=1.7] autolearn=no
>
>
>  
> Ich könnte hier eine eigene Regel für „@wnc89.win“ aufstellen und  
> schon mal gleich 5 Punkte vergeben, das artet bei mehrere Domains  
> dann aber ganz schön aus… Hat jemand eine generische Idee?
>
>
>  
> Viele Grüße
>
> Stephan
>
>
>
Hallo Stephan,
ich lehne Mails von solchen Domains grundsätzlich ab. Da kommt derzeit  
wirklich nichts gescheites.
cat /etc/postfix/sender_access.regexp
/\.xyz$/           REJECT Mail from .xyz not accepted
/\.pw$/            REJECT Mail from .pw not accepted
/\.hk$/            REJECT Mail from .hk not accepted
/\.club$/          REJECT Mail from .club not accepted
/\.space$/         REJECT Mail from .space not accepted
/\.click$/         REJECT Mail from .click not accepted
/\.faith$/         REJECT Mail from .faith not accepted
/\.link$/          REJECT Mail from .link not accepted
/\.review$/        REJECT Mail from .review not accepted
/\.rocks$/         REJECT Mail from .rocks not accepted
/\.site$/          REJECT Mail from .site not accepted
/\.top$/           REJECT Mail from .top not accepted
/\.work$/          REJECT Mail from .work not accepted
/\.black$/         REJECT Mail from .black not accepted
/\.blue$/          REJECT Mail from .blue not accepted
/\.fyi$/           REJECT Mail from .fyi not accepted
/\.love$/          REJECT Mail from .love not accepted
/\.pro$/           REJECT Mail from .pro not accepted
/\.website$/       REJECT Mail from .website not accepted
/\.bid$/           REJECT Mail from .bid not accepted
/\.win$/           REJECT Mail from .win not accepted
/\.racing$/        REJECT Mail from .racing not accepted
/\.accountant$/    REJECT Mail from .accountant not accepted

grep sender_access.regexp  /etc/postfix/main.cf
smtpd_sender_restrictions = regexp:/etc/postfix/sender_access.regexp

Gruß
Andreas

Reply | Threaded
Open this post in threaded view
|

Re: Spam von (neuen) TLDs, hier "wnc89.win" und "tkdgy.trade"

Kai Fürstenberg
Am 21.03.2016 um 15:37 schrieb Postfix:
> /\.hk$/            REJECT Mail from .hk not accepted

du akzeptierst keine Mails aus Hong Kong? Dann könntest du auch gleich
.br, .ru, .ua, .pa, etc. ebenfalls blocken.

Bei den anderen TLDs würde ich aber zustimmen, dass von dort derzeit nur
Dreck kommt.

--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws

Reply | Threaded
Open this post in threaded view
|

AW: Spam von (neuen) TLDs, hier "wnc89.win" und "tkdgy.trade"

Hendl Stephan
Ich finde den kompletten Reject-Ansatz etwas zu hart. Könnte ja sein, dass da doch mal eine ordentliche Mail kommt. Deshalb vergeben wir einfach 5 Spampunkte zusätzlich. Das führt aktuell zu einem Reject, wenn die Mail sich aber ein paar negative Spampunkte sammelt, kann sie doch noch zugestellt werden. Hier ein Auszug als der local.conf vom spamassassin.

#
header LTBBG_TLD_7      From:=~/^.* \<.*\@.*\.racing\>/
describe LTBBG_TLD_7    Spam from new TLDs is not permittet
score LTBBG_TLD_7       5
#

Viele Grüße
i. A. Stephan Hendl

--
Dr. Stephan Hendl
Landtag Brandenburg
Verwaltung
Referat V2
Alter Markt 1
14467 Potsdam
Tel.: (0331) 966 1292
Fax.: (0331) 966 99 1292
[hidden email]


-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Kai Fürstenberg
Gesendet: Montag, 21. März 2016 16:11
An: [hidden email]
Betreff: Re: Spam von (neuen) TLDs, hier "wnc89.win" und "tkdgy.trade"

Am 21.03.2016 um 15:37 schrieb Postfix:
> /\.hk$/            REJECT Mail from .hk not accepted

du akzeptierst keine Mails aus Hong Kong? Dann könntest du auch gleich
.br, .ru, .ua, .pa, etc. ebenfalls blocken.

Bei den anderen TLDs würde ich aber zustimmen, dass von dort derzeit nur
Dreck kommt.

--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws


Reply | Threaded
Open this post in threaded view
|

Re: Spam von (neuen) TLDs, hier "wnc89.win" und "tkdgy.trade"

Paul-2
In reply to this post by Hendl Stephan
Hi,

Am 21.03.2016 um 14:50 schrieb Hendl Stephan:

> wir beobachten trotz aktuellem spamassassin-3.4, policyd-weight,
> greylisting und diversen postfix-Regeln ein erhöhtes Spamaufkommen von
> neuen TLDs. Diese Mails bekommen in der Regel aber nur 2.5 Spampunkte.
>
>  
>
> Mar 21 08:41:03 mailserver amavis[14171]: (14171-01) spam-tag,
> <[hidden email]
> <mailto:[hidden email]>> ->
> <[hidden email] <mailto:[hidden email]>>, No, score=2.5
> tagged_above=-9999 required=6.31 tests=[BAYES_00=-1.9, RCVD_IN_PSBL=2.7,
> URIBL_BLACK=1.7] autolearn=no
>
>  
>
> Ich könnte hier eine eigene Regel für „@wnc89.win“ aufstellen und schon
> mal gleich 5 Punkte vergeben, das artet bei mehrere Domains dann aber
> ganz schön aus… Hat jemand eine generische Idee?

Nicht ganz, aber bei mir hat folgendes sehr gut geholfen.
0 False-Positives in 2 Monaten.

main.cf:
smtpd_recipient_restrictions=
 ...
 check_sender_access pcre:/etc/postfix/evil_sender
 ...

evil_sender:
/^BOUNCE_PREFIX-(\d){5,15}\./ REJECT Dein Text
/^BOUNCE_PREFIX/ reject_rbl_client psbl.surriel.com,
,reject_rhsbl_sender multi.uribl.com, ggfs_andere_harte_regeln

Die zweite Regel ist aber bisher nie zum Einsatz gekommen.

Gruß,
Paul

Reply | Threaded
Open this post in threaded view
|

Re: AW: Spam von (neuen) TLDs, hier "wnc89.win" und "tkdgy.trade"

postfix_ml
In reply to this post by Hendl Stephan
Am 2016-03-23 10:50, schrieb Hendl Stephan:

> Ich finde den kompletten Reject-Ansatz etwas zu hart. Könnte ja sein,
> dass da doch mal eine ordentliche Mail kommt. Deshalb vergeben wir
> einfach 5 Spampunkte zusätzlich. Das führt aktuell zu einem Reject,
> wenn die Mail sich aber ein paar negative Spampunkte sammelt, kann sie
> doch noch zugestellt werden. Hier ein Auszug als der local.conf vom
> spamassassin.
>
> #
> header LTBBG_TLD_7      From:=~/^.* \<.*\@.*\.racing\>/
> describe LTBBG_TLD_7    Spam from new TLDs is not permittet
> score LTBBG_TLD_7       5
> #
>
> Viele Grüße
> i. A. Stephan Hendl
>
> --
> Dr. Stephan Hendl
> Landtag Brandenburg
> Verwaltung
> Referat V2
> Alter Markt 1
> 14467 Potsdam
> Tel.: (0331) 966 1292
> Fax.: (0331) 966 99 1292
> [hidden email]
>
>
> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users
> [mailto:[hidden email]] Im Auftrag von
> Kai Fürstenberg
> Gesendet: Montag, 21. März 2016 16:11
> An: [hidden email]
> Betreff: Re: Spam von (neuen) TLDs, hier "wnc89.win" und "tkdgy.trade"
>
> Am 21.03.2016 um 15:37 schrieb Postfix:
>> /\.hk$/            REJECT Mail from .hk not accepted
>
> du akzeptierst keine Mails aus Hong Kong? Dann könntest du auch gleich
> .br, .ru, .ua, .pa, etc. ebenfalls blocken.
>
> Bei den anderen TLDs würde ich aber zustimmen, dass von dort derzeit
> nur
> Dreck kommt.

Da dies mein privater Mailserver (SOHO) ist, kann ich mir das erlauben.
Mit Hong Kong haben wir kein Mail Kontakt, da kamen in letzter Zeit nur
gefakte Mails, in Wahrheit kamen die von 1&1, In den letzten 7 Tage
allein 42 Stück.

Gruß
Andreas