SpamBlocking

classic Classic list List threaded Threaded
7 messages Options
Reply | Threaded
Open this post in threaded view
|

SpamBlocking

Frank Fiene
Moin!

Im Moment kommen reichlich SPAM-Mails durch mit Absendern, deren Struktur so aussehen:

 "mario Knop" <[hidden email]> <[hidden email]>

Haben diese doppelten Adressen irgendeinen Sinn außer die letzte Adresse zu verschleiern?

Wie kann man die einfach blocken?


Viele Grüße!
Frank
--
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Reply | Threaded
Open this post in threaded view
|

AW: SpamBlocking

Uwe Drießen
Im Auftrag von Frank Fiene

>
> Moin!
>
> Im Moment kommen reichlich SPAM-Mails durch mit Absendern, deren
> Struktur so aussehen:
>
>  "mario Knop" <[hidden email]> <[hidden email]>
>
> Haben diese doppelten Adressen irgendeinen Sinn außer die letzte Adresse
> zu verschleiern?
>
> Wie kann man die einfach blocken?

Headerchecks ?
/^From:.*<.*><.*>/  Reject

>
>


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045


Reply | Threaded
Open this post in threaded view
|

Re: SpamBlocking

Frank Fiene
Jau, danke, habe auch noch das ganze mit Leerzeichen gemacht. Läuft.

Meine Frage wäre:

Welchen Sinn hat diese Funktion mit mehreren Absenderadressen und warum nimmt Postfix die Mails überhaupt an?



Viele Grüße!
Frank
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Am 08.11.2018 um 10:40 schrieb Uwe Drießen <[hidden email]>:

Im Auftrag von Frank Fiene

Moin!

Im Moment kommen reichlich SPAM-Mails durch mit Absendern, deren
Struktur so aussehen:

"mario Knop" <[hidden email]> <[hidden email]>

Haben diese doppelten Adressen irgendeinen Sinn außer die letzte Adresse
zu verschleiern?

Wie kann man die einfach blocken?

Headerchecks ?
/^From:.*<.*><.*>/  Reject





Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045



Reply | Threaded
Open this post in threaded view
|

Re: [ext] Re: SpamBlocking

Ralf Hildebrandt
* Frank Fiene <[hidden email]>:

> Jau, danke, habe auch noch das ganze mit Leerzeichen gemacht. Läuft.
>
> Meine Frage wäre:
>
> Welchen Sinn hat diese Funktion mit mehreren Absenderadressen

Um Benutzer mit Outlook einen anderen Absender vorzuspielen.

> und warum nimmt Postfix die Mails überhaupt an?

Der Header wird ja normalerweise nicht überprüft.


--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

AW: SpamBlocking

Wiethoff, Helge-2
In reply to this post by Uwe Drießen
Moinmoin,

> > Im Moment kommen reichlich SPAM-Mails durch mit Absendern, deren
> > Struktur so aussehen:
> >
> >  "mario Knop" <[hidden email]> <[hidden email]>

hier sehe ich das auch recht viel zur Zeit... Aber in BASE64 Kodierung:
From: =?UTF-8?B?TXVzdGVyLCBNYXggPG1heC5tdXN0ZXJAZXhhbXBsZS5jb20+?= <[hidden email]>

Dadurch scheint sich zB rspamd irritieren zu lassen. Das Symbol "MULTIPLE_FROM" schlägt nicht an...

Hat jemand Abhilfe dagegen?


LG
Helge


--
Helge Wiethoff


smime.p7s (10K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

AW: SpamBlocking

Uwe Drießen
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Im Auftrag von Wiethoff, Helge

>
> Moinmoin,
>
> > > Im Moment kommen reichlich SPAM-Mails durch mit Absendern, deren
> > > Struktur so aussehen:
> > >
> > >  "mario Knop" <[hidden email]> <[hidden email]>
>
> hier sehe ich das auch recht viel zur Zeit... Aber in BASE64 Kodierung:
> From: =?UTF-
> 8?B?TXVzdGVyLCBNYXggPG1heC5tdXN0ZXJAZXhhbXBsZS5jb20+?=
> <[hidden email]>
>
> Dadurch scheint sich zB rspamd irritieren zu lassen. Das Symbol
> "MULTIPLE_FROM" schlägt nicht an...
>
> Hat jemand Abhilfe dagegen?

Postfix stop ? :-)

Ich versuch die über Headerchecks zu fangen wenn alles andere versagt

/^From: =?UTF-8.*<[hidden email]>/   reject

Habe aber auch noch kein Tool gefunden das für den check base64 in Klartext verwandelt.

Manchmal hilft es auch zu schauen woher die Mails kommen (Dialin, PTR nicht vorhanden....)  
Es gibt kaum Spammer / gekaperte Botnetze die alles was sie haben müssten auch nachvollziehbar richtig übermitteln.


Mit freundlichen Grüßen

Uwe Drießen
- --
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045


-----BEGIN PGP SIGNATURE-----

iQEzBAEBCAAdFiEEkT5V0950pM80Xu3sur3LxV3cLvwFAlvpUSgACgkQur3LxV3c
LvzQLQf9EXkSpk70vs637sqT7Wrm/8S3FiiiJgVzzaZgnIfV7d5kvQmCRoS6PWcC
OtsoHw6xqC1akQc5c91diGTQSu836QQQUQ1s0rcjDEy/459sTqJ0pXTbFtoexXGG
FeORqr3gubk9vQX7RGhzLC6uvL/Es/F6a6hNCgQUjHygTKI+REcVmdv31wKgrdXg
+eUQKp+3k8piIWKyJVkMG8OUL6baWcXqQAm55aUTrYMrpM4OR2ha89VQANWvbJ2f
dfc3MocWTEtR6gLvbBAmiTaYhiaCKmtaf1BtPc6736L87WQ2t3Kt8CQxlGVEUakx
rsYZiEMfcTAVWzb9IjTNt0HdMrbVTA==
=wriN
-----END PGP SIGNATURE-----

Reply | Threaded
Open this post in threaded view
|

AW: SpamBlocking

Wiethoff, Helge-2
Hi,

> Postfix stop ? :-)
Ich dachte ich probiere es erst mit ein paar weicheren Mitteln ;-)

> Manchmal hilft es auch zu schauen woher die Mails kommen (Dialin, PTR nicht
> vorhanden....)
> Es gibt kaum Spammer / gekaperte Botnetze die alles was sie haben müssten
> auch nachvollziehbar richtig übermitteln.
Die aktuelle Spamwelle, die sich dieses Mittels bedient, lässt sich imho ganz gut durch die Message-ID filtern. Falls das aber mal nicht mehr helfen sollte, würde ich ganz gerne schon gewappnet sein.


LG
Helge


--
Helge Wiethoff


smime.p7s (10K) Download Attachment