Viruswelle von "kreditoren@dertour.de"

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
16 messages Options
Reply | Threaded
Open this post in threaded view
|

Viruswelle von "kreditoren@dertour.de"

Daniel-4
Huhu,

Heise empfiehlt grad auf
http://www.heise.de/newsticker/meldung/Kleine-Handreichung-fuer-Admins-Postfix-Filter-als-erste-Hilfe-gegen-Trojanerwelle-3035001.ht
ml einen Reject Filter einzubinden.

Zitat:
sudo touch /etc/postfix/viruswelle
Diese Tabelle füttert man mit einzeiligen Reject-Regeln. Ein Beispiel sieht so aus:
[hidden email] REJECT Virus [hidden email]
Die Liste kann man per Hand bei Bedarf mit weiteren Einträgen ergänzen und nach dem gleichen Muster geänderte Absender-Adressen
hinzufügen. Nach jeder Änderung der Tabelle wandelt man sie in eine statische Postfix-DB um:
sudo postmap hash:/etc/postfix/viruswelle
Damit sie Postfix berücksichtigt, muss die Tabelle in der Konfigurationsdatei main.cf eingetragen sein:
smtpd_recipient_restrictions =
check_sender_access hash:/etc/postfix/viruswelle

====

Im Serverlog wurde aber ganze auch schon so abgewiesen. Wie sind bei sowas eure Vorkehrungen bzw. Empfehlungen?

Dec  8 11:03:47 postfix/smtpd[6630]: connect from unknown[45.64.137.138]
Dec  8 11:03:48 postfix/policy-spf[6640]: Policy action=550 Please see
http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=45.64.137.138;r=Server
Dec  8 11:03:48 postfix/smtpd[6630]: NOQUEUE: reject: RCPT from unknown[45.64.137.138]: 550 5.7.1 <X>: Recipient address rejected:
Please see http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=45.64.137.138;r=Server; from=<[hidden email]>
to=<X> proto=ESMTP helo=<[45.64.137.138]>
Dec  8 11:03:48 postfix/smtpd[6630]: disconnect from unknown[45.64.137.138] ehlo=1 mail=1 rcpt=0/1 data=0/1 quit=1 commands=3/5
Dec  8 11:07:08 postfix/anvil[6634]: statistics: max connection rate 1/60s for (25:45.64.137.138) at Dec  8 11:03:47
Dec  8 11:07:08 postfix/anvil[6634]: statistics: max connection count 1 for (25:45.64.137.138) at Dec  8 11:03:47
Dec  8 11:07:08 postfix/anvil[6634]: statistics: max cache size 1 at Dec  8 11:03:47
Dec  8 11:10:46 postfix/smtpd[6949]: connect from ip4daa1d85.direct-adsl.nl[77.170.29.133]
Dec  8 11:10:47 postfix/policy-spf[6959]: Policy action=550 Please see
http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=77.170.29.133;r=Server
Dec  8 11:10:47 postfix/smtpd[6949]: NOQUEUE: reject: RCPT from ip4daa1d85.direct-adsl.nl[77.170.29.133]: 550 5.7.1 <X>: Recipient
address rejected: Please see http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=77.170.29.133;r=Server;
from=<[hidden email]> to=<X> proto=ESMTP helo=<ip4daa1d85.direct-adsl.nl>
Dec  8 11:10:47 postfix/smtpd[6949]: disconnect from ip4daa1d85.direct-adsl.nl[77.170.29.133] ehlo=1 mail=1 rcpt=0/1 data=0/1 quit=1
commands=3/5

Gruß Daniel


Reply | Threaded
Open this post in threaded view
|

Re: Viruswelle von "kreditoren@dertour.de"

Winfried Neessen
Hi,

Am 08.12.2015 um 22:43 schrieb Daniel <[hidden email]>:


REJECT ist m. E. schonmal falsch. DISCARD wuerde ich hier waehlen.

Im Serverlog wurde aber ganze auch schon so abgewiesen. Wie sind bei sowas eure
Vorkehrungen bzw. Empfehlungen?


Wenn Deine aktuellen Abwehrmassnahmen bereits funktionieren, warum dann noch
zusaetzlich irgendwas blocken, was evtl. auch als Absender fuer valide Mails
genutzt wird?

Winni

signature.asc (817 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Viruswelle von "kreditoren@dertour.de"

Patrick Ben Koetter-2
In reply to this post by Daniel-4
* Daniel <[hidden email]>:
> Huhu,
>
> Heise empfiehlt grad auf
> http://www.heise.de/newsticker/meldung/Kleine-Handreichung-fuer-Admins-Postfix-Filter-als-erste-Hilfe-gegen-Trojanerwelle-3035001.ht
> ml einen Reject Filter einzubinden.

Als ich den Artikel heute verfasst habe, waren nur vereinzelt Filter
verfügbar, die diese Ransomware geblockt hat. Der beschrieben Filter dient nur
als Kurzzeit-Maßnahme, weil der eindimensional und dumm ist.

Aber die Gefahr von Falsch-Positiven ist weitaus geringer als der Schaden, der
durch die Schadroutine, die in der [hidden email]-Mail ist, entstehen
würde.

Wenn Du andere Filter hast, die diese Schadsoftware blockt, dann nutze diese
und deaktiviere stattdessen die von mir beschriebene Methode.

p@rick




>
> Zitat:
> sudo touch /etc/postfix/viruswelle
> Diese Tabelle füttert man mit einzeiligen Reject-Regeln. Ein Beispiel sieht so aus:
> [hidden email] REJECT Virus [hidden email]
> Die Liste kann man per Hand bei Bedarf mit weiteren Einträgen ergänzen und nach dem gleichen Muster geänderte Absender-Adressen
> hinzufügen. Nach jeder Änderung der Tabelle wandelt man sie in eine statische Postfix-DB um:
> sudo postmap hash:/etc/postfix/viruswelle
> Damit sie Postfix berücksichtigt, muss die Tabelle in der Konfigurationsdatei main.cf eingetragen sein:
> smtpd_recipient_restrictions =
> check_sender_access hash:/etc/postfix/viruswelle
>
> ====
>
> Im Serverlog wurde aber ganze auch schon so abgewiesen. Wie sind bei sowas eure Vorkehrungen bzw. Empfehlungen?
>
> Dec  8 11:03:47 postfix/smtpd[6630]: connect from unknown[45.64.137.138]
> Dec  8 11:03:48 postfix/policy-spf[6640]: Policy action=550 Please see
> http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=45.64.137.138;r=Server
> Dec  8 11:03:48 postfix/smtpd[6630]: NOQUEUE: reject: RCPT from unknown[45.64.137.138]: 550 5.7.1 <X>: Recipient address rejected:
> Please see http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=45.64.137.138;r=Server; from=<[hidden email]>
> to=<X> proto=ESMTP helo=<[45.64.137.138]>
> Dec  8 11:03:48 postfix/smtpd[6630]: disconnect from unknown[45.64.137.138] ehlo=1 mail=1 rcpt=0/1 data=0/1 quit=1 commands=3/5
> Dec  8 11:07:08 postfix/anvil[6634]: statistics: max connection rate 1/60s for (25:45.64.137.138) at Dec  8 11:03:47
> Dec  8 11:07:08 postfix/anvil[6634]: statistics: max connection count 1 for (25:45.64.137.138) at Dec  8 11:03:47
> Dec  8 11:07:08 postfix/anvil[6634]: statistics: max cache size 1 at Dec  8 11:03:47
> Dec  8 11:10:46 postfix/smtpd[6949]: connect from ip4daa1d85.direct-adsl.nl[77.170.29.133]
> Dec  8 11:10:47 postfix/policy-spf[6959]: Policy action=550 Please see
> http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=77.170.29.133;r=Server
> Dec  8 11:10:47 postfix/smtpd[6949]: NOQUEUE: reject: RCPT from ip4daa1d85.direct-adsl.nl[77.170.29.133]: 550 5.7.1 <X>: Recipient
> address rejected: Please see http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=77.170.29.133;r=Server;
> from=<[hidden email]> to=<X> proto=ESMTP helo=<ip4daa1d85.direct-adsl.nl>
> Dec  8 11:10:47 postfix/smtpd[6949]: disconnect from ip4daa1d85.direct-adsl.nl[77.170.29.133] ehlo=1 mail=1 rcpt=0/1 data=0/1 quit=1
> commands=3/5
>
> Gruß Daniel
>
>

--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|

AW: Viruswelle von "kreditoren@dertour.de"

Daniel-4
Hi,

ich denke war heute eher Zufall mit SPF, dass es geklappt hat.

Clamav ist ned der Hit, erkennt einiges nicht, darf dann immer Antivirus am Desktop PC bereinigen oft.

Gruß Daniel

-----Ursprüngliche Nachricht-----
Aber die Gefahr von Falsch-Positiven ist weitaus geringer als der Schaden, der
durch die Schadroutine, die in der [hidden email]-Mail ist, entstehen
würde.

Wenn Du andere Filter hast, die diese Schadsoftware blockt, dann nutze diese
und deaktiviere stattdessen die von mir beschriebene Methode.

p@rick

Reply | Threaded
Open this post in threaded view
|

Re: Viruswelle von "kreditoren@dertour.de"

Winfried Neessen
Hi,

Am 08.12.2015 um 23:04 schrieb Daniel <[hidden email]>:

> ich denke war heute eher Zufall mit SPF, dass es geklappt hat.
> Clamav ist ned der Hit, erkennt einiges nicht, darf dann immer Antivirus am Desktop PC bereinigen oft.
>

Nunja. Solange Du mit Blacklist-Produkten arbeitest, wirst Du immer hinterher
hinken und es besteht immer die Gefahr, dass etwas durchkommt.

Meines Erachtens sind die sinnvollsten Mittel gegen Malware:

a) Whitelist-Loesungen => Ich verbiete alles und lasse meinen User nur Programme ausführen,
die freigegeben sind.

b) User Awareness


Winni

signature.asc (817 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Viruswelle von "kreditoren@dertour.de"

Peter Buettner
In reply to this post by Patrick Ben Koetter-2
Bei mir kam der "Angriff" ausschließlich über den zweiten MX'er. Das
ganze lief ins Leere, weil ich dort nur verschlüsselte Sessions zulasse.

Einen Access-Filter der beschriebenen Art habe ich eh schon für hotmail
und Co..

Peter Büttner

Am 08.12.2015 um 22:49 schrieb Patrick Ben Koetter:

> * Daniel <[hidden email]>:
>> Huhu,
>>
>> Heise empfiehlt grad auf
>> http://www.heise.de/newsticker/meldung/Kleine-Handreichung-fuer-Admins-Postfix-Filter-als-erste-Hilfe-gegen-Trojanerwelle-3035001.ht
>> ml einen Reject Filter einzubinden.
>
> Als ich den Artikel heute verfasst habe, waren nur vereinzelt Filter
> verfügbar, die diese Ransomware geblockt hat. Der beschrieben Filter dient nur
> als Kurzzeit-Maßnahme, weil der eindimensional und dumm ist.
>
> Aber die Gefahr von Falsch-Positiven ist weitaus geringer als der Schaden, der
> durch die Schadroutine, die in der [hidden email]-Mail ist, entstehen
> würde.
>
> Wenn Du andere Filter hast, die diese Schadsoftware blockt, dann nutze diese
> und deaktiviere stattdessen die von mir beschriebene Methode.
>
> p@rick
>
>
>
>
>>
>> Zitat:
>> sudo touch /etc/postfix/viruswelle
>> Diese Tabelle füttert man mit einzeiligen Reject-Regeln. Ein Beispiel sieht so aus:
>> [hidden email] REJECT Virus [hidden email]
>> Die Liste kann man per Hand bei Bedarf mit weiteren Einträgen ergänzen und nach dem gleichen Muster geänderte Absender-Adressen
>> hinzufügen. Nach jeder Änderung der Tabelle wandelt man sie in eine statische Postfix-DB um:
>> sudo postmap hash:/etc/postfix/viruswelle
>> Damit sie Postfix berücksichtigt, muss die Tabelle in der Konfigurationsdatei main.cf eingetragen sein:
>> smtpd_recipient_restrictions =
>> check_sender_access hash:/etc/postfix/viruswelle
>>
>> ====
>>
>> Im Serverlog wurde aber ganze auch schon so abgewiesen. Wie sind bei sowas eure Vorkehrungen bzw. Empfehlungen?
>>
>> Dec  8 11:03:47 postfix/smtpd[6630]: connect from unknown[45.64.137.138]
>> Dec  8 11:03:48 postfix/policy-spf[6640]: Policy action=550 Please see
>> http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=45.64.137.138;r=Server
>> Dec  8 11:03:48 postfix/smtpd[6630]: NOQUEUE: reject: RCPT from unknown[45.64.137.138]: 550 5.7.1 <X>: Recipient address rejected:
>> Please see http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=45.64.137.138;r=Server; from=<[hidden email]>
>> to=<X> proto=ESMTP helo=<[45.64.137.138]>
>> Dec  8 11:03:48 postfix/smtpd[6630]: disconnect from unknown[45.64.137.138] ehlo=1 mail=1 rcpt=0/1 data=0/1 quit=1 commands=3/5
>> Dec  8 11:07:08 postfix/anvil[6634]: statistics: max connection rate 1/60s for (25:45.64.137.138) at Dec  8 11:03:47
>> Dec  8 11:07:08 postfix/anvil[6634]: statistics: max connection count 1 for (25:45.64.137.138) at Dec  8 11:03:47
>> Dec  8 11:07:08 postfix/anvil[6634]: statistics: max cache size 1 at Dec  8 11:03:47
>> Dec  8 11:10:46 postfix/smtpd[6949]: connect from ip4daa1d85.direct-adsl.nl[77.170.29.133]
>> Dec  8 11:10:47 postfix/policy-spf[6959]: Policy action=550 Please see
>> http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=77.170.29.133;r=Server
>> Dec  8 11:10:47 postfix/smtpd[6949]: NOQUEUE: reject: RCPT from ip4daa1d85.direct-adsl.nl[77.170.29.133]: 550 5.7.1 <X>: Recipient
>> address rejected: Please see http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=77.170.29.133;r=Server;
>> from=<[hidden email]> to=<X> proto=ESMTP helo=<ip4daa1d85.direct-adsl.nl>
>> Dec  8 11:10:47 postfix/smtpd[6949]: disconnect from ip4daa1d85.direct-adsl.nl[77.170.29.133] ehlo=1 mail=1 rcpt=0/1 data=0/1 quit=1
>> commands=3/5
>>
>> Gruß Daniel
>>
>>
>

Reply | Threaded
Open this post in threaded view
|

Re: Viruswelle von "kreditoren@dertour.de"

Max Grobecker
In reply to this post by Winfried Neessen
Buenos Tardes,

Am 08.12.2015 um 22:48 schrieb Winfried Neessen:

>> [hidden email] <mailto:[hidden email]> REJECT Virus [hidden email] <mailto:[hidden email]>
>
> REJECT ist m. E. schonmal falsch. DISCARD wuerde ich hier waehlen.

Muss nicht zwingend falsch sein. Wenn man sie ganz vorne ablehnt bevor (!) man sie angenommen hat, ist REJECT sogar zu bevorzugen.
Solange du während der laufenden SMTP-Transaktion mit einem 5.7.x-Code dem Remote-Server zu verstehen gibst dass du diese E-Mail nicht zustellen wirst,
generiert Postfix dafür auch keine eigenen Bounces.
Dann hat der Remote-Server das Problem dass er einen NDN generieren und den Absender informieren muss ;-)

Bei Discard würde der Absender (bei False Positives) nie erfahren dass die Mail nicht angekommen ist und das kann dir im Zweifel
juristisch vielleicht nicht den Hals, aber wenigstens ein Bein brechen!



Generell zu den E-Mails:
Es scheint *jetzt* der Zeitpunkt gekommen zu sein Windows-Updates zu installieren ;-)
Da werden mir eine ganze Menge Updates für Office mit Referenz auf MS-15-131 angeboten:
(Beispielhaft) -> https://support.microsoft.com/de-de/kb/3085549

Und hier die MS15-131:
-> https://technet.microsoft.com/library/security/MS15-131



Viele Grüße aus dem Tal
Max


signature.asc (836 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Viruswelle von "kreditoren@dertour.de"

Winfried Neessen
Hi,

Am 2015-12-09 00:56, schrieb Max Grobecker:

> Dann hat der Remote-Server das Problem dass er einen NDN generieren und
> den
> Absender informieren muss ;-)
>

Wie REJECT und DISCARD arbeiten ist mir schon klar. Aber genau das
"Absender informieren"
ist das Problem. Ich denke nicht, dass der Absender bei solchen Mails
darueber
informiert werden moechte, denn der ist sowieso gefaelscht. Aber gut,
jeder so wie
er mag - ich versuche eher Backscatter zu vermeiden.

> Bei Discard würde der Absender (bei False Positives) nie erfahren dass
> die Mail nicht
> angekommen ist und das kann dir im Zweifel juristisch vielleicht nicht
> den Hals, aber
> wenigstens ein Bein brechen!
>

Aus juristischer Sicht waere es dann schon sehr zweifelhaft ueberhaupt
eine
Absenderadresse komplett zu blocken. Ausserdem wird die Mail ueber den 1
von 10.000
false-positive mit Sicherheit beim Absender eh untergehen.


Winni
Reply | Threaded
Open this post in threaded view
|

Re: Viruswelle von "kreditoren@dertour.de"

Gregor Hermens
Hallo Winni,

Am Mittwoch, 9. Dezember 2015 schrieb Winfried Neessen:
> Wie REJECT und DISCARD arbeiten ist mir schon klar. Aber genau das
> "Absender informieren"
> ist das Problem. Ich denke nicht, dass der Absender bei solchen Mails
> darueber
> informiert werden moechte, denn der ist sowieso gefaelscht. Aber gut,
> jeder so wie
> er mag - ich versuche eher Backscatter zu vermeiden.

ein REJECT selbst erezugt keinen Backscatter, sondern sorgt dafür, daß der
Client seine Mails nicht los wird. Solange es sich dabei nicht um einen echten
MTA handelt oder Weiterleitungen im Spiel sind entsteht auch dort kein
Backscatter. Ein False-Positive wird aber von einem echten MTA kommen, dort
eine DSN auslösen und den Absender über das Problem informieren.
Bei DISCARD gilt die Mail aber für den Client als erfolgreich zugestellt.
 
> Aus juristischer Sicht waere es dann schon sehr zweifelhaft ueberhaupt
> eine
> Absenderadresse komplett zu blocken. Ausserdem wird die Mail ueber den 1
> von 10.000
> false-positive mit Sicherheit beim Absender eh untergehen.

Grundsätzlich darfst du blocken, was du willst. Solange du die Mail nicht
annimmst (REJECT), gelangt sie auch nicht in deinen Verantwortungsbereich.
Wenn du dem Client allerdings die Annahme bestätigst und die Mail dann
stillschweigend entsorgst (DISCARD) bist du juristisch auch dafür
verantwortlich. Sobald du also Maildienste für andere erbringst kann ein
DISCARD dir erhebliche Probleme verschaffen.

Der False-Positive wird beim Absender auch nur dann untergehen, wenn er
wirklich Backscatter bekommt, also z.B. Opfer eines Joe-Jobs geworden ist.
Wenn die Mails aber nicht über einen "vernünftigen" MTA sondern z.B.
trojanerverseuchte PCs in einem Botnet verschickt werden, werden diese auch
keinen Backscatter erzeugen...

Gruß,
Gregor
--
     @mazing           fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  [hidden email]
D-82216 Gernlinden    http://www.a-mazing.de/
Reply | Threaded
Open this post in threaded view
|

Re: Viruswelle von "kreditoren@dertour.de"

Winfried Neessen
Hi Gregor,

Am 2015-12-09 09:15, schrieb Gregor Hermens:

> ein REJECT selbst erezugt keinen Backscatter, sondern sorgt dafür, daß
> der
> Client seine Mails nicht los wird. Solange es sich dabei nicht um einen
> echten
> MTA handelt oder Weiterleitungen im Spiel sind entsteht auch dort kein
> Backscatter. Ein False-Positive wird aber von einem echten MTA kommen,
> dort
> eine DSN auslösen und den Absender über das Problem informieren.
> Bei DISCARD gilt die Mail aber für den Client als erfolgreich
> zugestellt.
>

Wie gesagt, mir ist bewusst wie sich REJECT und DISCARD verhalten. Aber
genau
der Punkt, dass valide MTAs die Mails eingeliefert haben, war bei uns
mehrfach der Fall. Mal davon abgesehen, haben wir die Heise Regeln bei
uns
nicht eingebaut, da die vorhandenen Anti-Malware Vorkehrungen die Mails
eh schon erkannt und ausgefilter haben.


Winni
Reply | Threaded
Open this post in threaded view
|

AW: Viruswelle von "kreditoren@dertour.de"

Uwe Drießen
Im Auftrag von Winfried Neessen

> Am 2015-12-09 09:15, schrieb Gregor Hermens:
>
> > ein REJECT selbst erezugt keinen Backscatter, sondern sorgt dafür, daß
> > der
> > Client seine Mails nicht los wird. Solange es sich dabei nicht um einen
> > echten
> > MTA handelt oder Weiterleitungen im Spiel sind entsteht auch dort kein
> > Backscatter. Ein False-Positive wird aber von einem echten MTA kommen,
> > dort
> > eine DSN auslösen und den Absender über das Problem informieren.
> > Bei DISCARD gilt die Mail aber für den Client als erfolgreich
> > zugestellt.
> >
>
> Wie gesagt, mir ist bewusst wie sich REJECT und DISCARD verhalten. Aber
> genau
> der Punkt, dass valide MTAs die Mails eingeliefert haben, war bei uns
> mehrfach der Fall. Mal davon abgesehen, haben wir die Heise Regeln bei
> uns
> nicht eingebaut, da die vorhandenen Anti-Malware Vorkehrungen die Mails
> eh schon erkannt und ausgefilter haben.


Nur reject während der Einlieferung
Nur beim reject trifft es genau den Einlieferer und nicht unbeteiligte Dritte(Absenderfälschung)

Und bei Preque Filter oder als Milter geht das schneller als den Spammern das lieb ist

Bei eigenen Usern welche über den eigenen Server verschicken kann man das anders Handhaben
Da kann man auch eine Mail zurücksenden was beanstandet wurde und was evtl. besser gemacht werden sollte.


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045



Reply | Threaded
Open this post in threaded view
|

AW: Viruswelle von "kreditoren@dertour.de"

Uwe Drießen
In reply to this post by Winfried Neessen
Winfried Neessen
> Wenn Deine aktuellen Abwehrmassnahmen bereits funktionieren, warum
> dann noch
> zusaetzlich irgendwas blocken, was evtl. auch als Absender fuer valide
Mails
> genutzt wird?

Hat mal jemand Header von solchen Mails

Bei mich sind scheinbar noch keine in welcher Art auch immer durch Log
geflogen

Für DHL paypal und andere benutze ich sowas wie z.B.

if /^From:.*DHL.*/i
if !/\<.+@dhl\.de\>$/i
/^/     REJECT  we go on strike and do not provide packages, Your
Mailaccount was hacked
endif
endif

if /^From:.*amazon.*/i
if !/\<.+@(.*\.)?amazon\.de\>$/i
/^/     REJECT  we go on strike and do not provide packages, Your
Mailaccount is hacked
endif
endif


das trifft alle welche nicht wirklich von der Absender Domain kommen und nur
davor
[hidden email] aber in den  <[hidden email]> stehen haben


in der letzten Zeit sehe ich aber von der Toplevel xyz einiges an Spam  


>
> Winni


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045




Reply | Threaded
Open this post in threaded view
|

Re: Viruswelle von "kreditoren@dertour.de"

Max Grobecker
Ola!


Am 09.12.2015 um 14:44 schrieb Uwe Drießen:

> Hat mal jemand Header von solchen Mails
>
> Bei mich sind scheinbar noch keine in welcher Art auch immer durch Log
> geflogen

Ich habe hier zwei liegen:


------------------------------------------------------------------------------------------
Return-Path: <[hidden email]>
Received: from localhost (localhost [127.0.0.1])
        by mx0.301-moved.de (GrobiSuperMail) with ESMTP id 3pFFRD02gFzB11M
        for <x>; Tue,  8 Dec 2015 09:43:51 +0100 (CET)
X-Virus-Scanned: Mailfilter on mx0.301-moved.de
X-Spam-Flag: NO
X-Spam-Score: 2.843
X-Spam-Level: **
X-Spam-Status: No, score=2.843 tagged_above=-99 required=5.3
        tests=[BAYES_00=-1.9, RCVD_IN_BL_SPAMCOP_NET=1.347,
        RCVD_IN_BRBL_LASTEXT=1.449, RCVD_IN_XBL=0.375, RDNS_NONE=0.793,
        SPF_NEUTRAL=0.779] autolearn=no autolearn_force=no
Received: from mx0.301-moved.de ([127.0.0.1])
        by localhost (mx0.301-moved.de [127.144.138.238]) (amavisd-new, port 10024)
        with ESMTP id NB1c4SfhpVZC for <x>;
        Tue,  8 Dec 2015 09:43:51 +0100 (CET)
Received: from [49.156.156.41] (unknown [49.156.156.41])
        by mx0.301-moved.de (GrobiSuperMail) with ESMTP
        for <x>; Tue,  8 Dec 2015 09:43:27 +0100 (CET)
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Type: multipart/mixed; boundary="_----------=_922055094809325879614"
Date: Tue, 08 Dec 2015 14:13:31 +0530
From: Hans Meier <[hidden email]>
To: x
Subject: =?UTF-8?B?UmVjaG51bmcgNDY5NTIzMTUgdm9tIDA3LjEyLjIwMTU=?=
X-Id_client: 85616714
X-Mailer: MIME::Lite 3.027 (F2.77; T1.30; A2.06; B3.08; Q3.08)
X-AV-Checked: clean on av10
Message-Id: <20150812141331.40F4CA786E3@x>

This is a multi-part message in MIME format.

--_----------=_922055094809325879614
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset="UTF-8"

Hallo,

als Anhang finden Sie die Rechnung 46952315 vom 07.12.2015.

Nettosumme: 325,00
MwSt: 19,00
Bruttosumme: 386,75

Mit freundlichen Grüßen
Hans Meier

------------------------------------------------------------------------------------------




------------------------------------------------------------------------------------------
Return-Path: <[hidden email]>
Received: from localhost (localhost [127.0.0.1])
        by mx0.301-moved.de (GrobiSuperMail) with ESMTP id 3pFMLy5s7WzB1Hy
        for <x>; Tue,  8 Dec 2015 14:10:34 +0100 (CET)
X-Virus-Scanned: Mailfilter on mx0.301-moved.de
X-Spam-Flag: NO
X-Spam-Score: 3.382
X-Spam-Level: ***
X-Spam-Status: No, score=3.382 tagged_above=-99 required=5.3
        tests=[BAYES_00=-1.9, RCVD_IN_PBL=3.335, RCVD_IN_XBL=0.375,
        RDNS_NONE=0.793, SPF_NEUTRAL=0.779] autolearn=no autolearn_force=no
Received: from mx0.301-moved.de ([127.0.0.1])
        by localhost (mx0.301-moved.de [127.144.138.238]) (amavisd-new, port 10024)
        with ESMTP id AEX9oRCL1QDb for <x>;
        Tue,  8 Dec 2015 14:10:33 +0100 (CET)
Received: from [39.33.33.36] (unknown [39.33.33.36])
        by mx0.301-moved.de (GrobiSuperMail) with ESMTP
        for <x>; Tue,  8 Dec 2015 14:10:25 +0100 (CET)
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Type: multipart/mixed; boundary="_----------=_427526494477774699324"
Date: Tue, 08 Dec 2015 05:10:21 -0700
From: Wenzel Schulte <[hidden email]>
To: x
Subject: =?UTF-8?B?QVc6IEZlaGxlbmRlIFJlY2hudW5n?=
X-Id_client: 10617745
X-Mailer: MIME::Lite 3.027 (F2.77; T1.30; A2.06; B3.08; Q3.08)
X-AV-Checked: clean on av10
Message-Id: <20150812051021.178EB66ADE0@x>

This is a multi-part message in MIME format.

--_----------=_427526494477774699324
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset="UTF-8"

    Guten Morgen,
         

        anbei erhalten Sie die gewünschte Rechnung 50852532.

         

        Mit freundlichem Gruß

         

        Wenzel Schulte
        -Aussendienst Backoffice-
        <echte firma> GmbH
        Siemensstr. 23
        D-42551 Velbert
------------------------------------------------------------------------------------------


signature.asc (836 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Viruswelle von "kreditoren@dertour.de"

Max Grobecker
Nachtrag zu meiner letzten Mail:
Die kommen nicht von "[hidden email]", aber sie sind identisch aufgebaut.
Zusätzlich enthalten die einen .doc-Anhang den ich jetzt natürlich nicht mitgeschickt habe ;-)


Max


signature.asc (836 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

AW: Viruswelle von "kreditoren@dertour.de"

Uwe Drießen
Hallo Max

Danke fürs nicht mitschicken :-))

Und mit
Subject: =?UTF-8?B?QVc6IEZlaGxlbmRlIFJlY2hudW5n?=
AW: Fehlende Rechnung
Und
Rechnung 46952315 vom 07.12.2015
Sehen die ganz normal aus

Ansonsten sehe ich auch keine eindeutigen Merkmale  


Was ich aber bei den Mails sehe ist das die scheinbar keinen PTR DNS haben
Received: from [49.156.156.41] (unknown [49.156.156.41]) = Indien
Received: from [39.33.33.36] (unknown [39.33.33.36])  = Pakistan

Ohne PTR / DNS  wird hier überhaupt nicht durch gelassen.
Uns aus Indien und Pakistan haben wir eher weniger Mails von daher kann es
auch schon mal passieren das das ganze Netz mit ipset in der Firewall
verewigt wird auf port 25 Verbindung aufzubauen


Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045


> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users [mailto:postfixbuch-users-
> [hidden email]] Im Auftrag von Max Grobecker
> Gesendet: Mittwoch, 9. Dezember 2015 22:21
> An: [hidden email]
> Betreff: Re: Viruswelle von "[hidden email]"
>
> Nachtrag zu meiner letzten Mail:
> Die kommen nicht von "[hidden email]", aber sie sind identisch
> aufgebaut.
> Zusätzlich enthalten die einen .doc-Anhang den ich jetzt natürlich nicht
> mitgeschickt habe ;-)
>
>
> Max


Reply | Threaded
Open this post in threaded view
|

Re: Viruswelle von "kreditoren@dertour.de"

Max Grobecker
Hallo Uwe,


Am 09.12.2015 um 23:00 schrieb Uwe Drießen:

> Was ich aber bei den Mails sehe ist das die scheinbar keinen PTR DNS haben
> Received: from [49.156.156.41] (unknown [49.156.156.41]) = Indien
> Received: from [39.33.33.36] (unknown [39.33.33.36])  = Pakistan
>
> Ohne PTR / DNS  wird hier überhaupt nicht durch gelassen.

Ja, hier auch - in dem Fall sind die Ausnahmsweise durchgegangen weil die an die "hostmaster@"-Adresse gerichtet waren.
Da habe ich eine Ausnahmeregel, dass das auch ohne PTR durchgehen darf... :-/

 

Viele Grüße aus dem Tal
 Max


signature.asc (836 bytes) Download Attachment