nolisting MX record

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
9 messages Options
Reply | Threaded
Open this post in threaded view
|

nolisting MX record

Christoph Kukulies
Nachdem ich mittlerweile der Verzweiflung nahe bin, weil spam immer noch
- trotz postgrey - scheinbar ungehindert durchkommt, habe ich jetzt zum
letzten Mittel gegriffen und in dem DNS-record meines Servers einen
"fake" MX Eintrag gemacht, derart, daß da jetzt steht

@          IN   10 nolisting
@          IN   20 mail


Normale Mail kommt ungehindert an (darüber bin ich schon mal froh). Aber
eben kam wieder eine Spam mail der Sorte
amanda durch.

Hier ist sie (habe versucht, die möglicherweise bösartigen Links zu
neutralisieren). Wenn da das nolisting nichts nütt , scheint sie über
einen regulären Server gelaufen zu sein, der wiederholt zuzustellen
versucht, oder?


Grüße

Christoph


Reply | Threaded
Open this post in threaded view
|

Re: nolisting MX record

Gregor Hermens-2
Hallo Christoph,

Am Mittwoch, 22. März 2017 schrieb Christoph Kukulies:

> Nachdem ich mittlerweile der Verzweiflung nahe bin, weil spam immer noch
> - trotz postgrey - scheinbar ungehindert durchkommt, habe ich jetzt zum
> letzten Mittel gegriffen und in dem DNS-record meines Servers einen
> "fake" MX Eintrag gemacht, derart, daß da jetzt steht
>
> @          IN   10 nolisting
> @          IN   20 mail
>
>
> Normale Mail kommt ungehindert an (darüber bin ich schon mal froh). Aber
> eben kam wieder eine Spam mail der Sorte
> amanda durch.
>
> Hier ist sie (habe versucht, die möglicherweise bösartigen Links zu
> neutralisieren). Wenn da das nolisting nichts nütt , scheint sie über
> einen regulären Server gelaufen zu sein, der wiederholt zuzustellen
> versucht, oder?

Spam wird oft gezielt beim Sekundären MX eingekippt in der Hoffnung, daß
dieser schlechter geschützt ist.

Gruß,
Gregor
--
     @mazing           fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  [hidden email]
D-82216 Gernlinden    http://www.a-mazing.de/
Reply | Threaded
Open this post in threaded view
|

Re: nolisting MX record

Christoph Kukulies
In reply to this post by Christoph Kukulies
Hatte vergessen, die Mail selbst anzuhängen:

    Return-Path: <[hidden email]>
    Delivered-To: [hidden email]
    Received: from mail.mydomain.org
        by mydomain.org (Dovecot) with LMTP id ejTmDuJL0ljMIgAAXmd1zw
        for <[hidden email]>; Wed, 22 Mar 2017 11:03:14 +0100
    Received: from localhost (localhost [127.0.0.1])
        by mail.mydomain.org (Postfix) with ESMTP id 3783A2106AB
       for <[hidden email]>; Wed, 22 Mar 2017 11:03:14 +0100 (CET)
    X-Spam-Flag: NO
    X-Spam-Score: 1.175
    X-Spam-Level: *
    X-Spam-Status: No, score=1.175 required=5 tests=[DKIM_SIGNED=0.1,
        DKIM_VALID=-0.1, DKIM_VALID_AU=-0.1, HTML_MESSAGE=0.001,
        RDNS_NONE=1.274] autolearn=no autolearn_force=no
    Authentication-Results: mail.mydomain.org (amavisd-new);
       dkim=pass (2048-bit key) header.d=cruisesdeals.ca
    Received: from mail.mydomain.org ([127.0.0.1])
        by localhost (mail.mydomain.org [127.0.0.1]) (amavisd-new, port
10024)
       with ESMTP id tOopJduX0kBu for <[hidden email]>;
       Wed, 22 Mar 2017 11:03:13 +0100 (CET)
    Received: from cheapflightscanada.ca (unknown [108.163.252.234])
       by mail.mydomain.org (Postfix) with ESMTPS id 8E49C2106AA
       for <[hidden email]>; Wed, 22 Mar 2017 11:03:13 +0100 (CET)
    DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
        d=cruisesdeals.ca; s=default;
h=Content-Transfer-Encoding:Content-Type:
MIME-Version:Message-ID:From:Date:Subject:To:Sender:Reply-To:Cc:Content-ID:
Content-Description:Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc
:Resent-Message-ID:In-Reply-To:References:List-Id:List-Help:List-Unsubscribe:
        List-Subscribe:List-Post:List-Owner:List-Archive;
        bh=QUcg8ToBrcDUuuWRIY2qCOl5q+4rwZUNASvTOnsJAgM=;
b=yik1AMgaLXZ0Ig2XrPgfXE8N1J
5T8Q9VusE7qR0EZzziiAL+LoRRVaIYGidIyFg+Cxz+/mVkzlTnmbvuZQiYYsNbADj+/1zsXSOgIDe
9HFBTXLO7xEwvXoIo92PVAgg4tH3t4wwQ8o8WVxDYqWyK7SZm/yPzs12LeS7N6BOyXB6In9Hu7cI/
WEI3mYsBJ8fzMRyQhBxVSpYyBc7L6uh6O1FCQuTffz2ldB1TY+FgvLomSo2oPMQ+GnZO467znhgHS
hJLpHFtOxEYuSdVZVnu/wTWerwSJa8Vb4LwaE+8Ady5QDMAPB3eCG5oak4vqbGsJByD81OjGb2xZM
        V/xdIK5A==;
    Received: from nqbxkapi by mars.whfweb.com with local (Exim 4.88)
        (envelope-from <[hidden email]>)
        id 1cqd6h-000GV6-OM
        for [hidden email]; Wed, 22 Mar 2017 05:03:07 -0500
    To: [hidden email]
    Subject: I can make pleasure
    X-PHP-Script: www.cruisesdeals.ca/wp-content/themes/press.php for
98.126.199.83
    X-PHP-Filename:
/home/nqbxkapi/cruisesdeals.ca/wp-content/themes/press.php REMOTE_ADDR:
98.126.199.83
    Date: Wed, 22 Mar 2017 10:03:07 +0000
    From: Amanda <[hidden email]>
    Message-ID: <[hidden email]>
    X-Priority: 3
    MIME-Version: 1.0
    Content-Type: multipart/alternative;
        boundary="b1_f13690b9809de6aba04e5406b1827d00"
    Content-Transfer-Encoding: 8bit
    X-AntiAbuse: This header was added to track abuse, please include it
with any abuse report
    X-AntiAbuse: Primary Hostname - mars.whfweb.com
    X-AntiAbuse: Original Domain - mydomain.org
    X-AntiAbuse: Originator/Caller UID/GID - [1202 1193] / [47 12]
    X-AntiAbuse: Sender Address Domain - cruisesdeals.ca
    X-Get-Message-Sender-Via: mars.whfweb.com: authenticated_id:
nqbxkapi/from_h
    X-Authenticated-Sender: mars.whfweb.com: [hidden email]

    --b1_f13690b9809de6aba04e5406b1827d00
    Content-Type: text/plain; charset=us-ascii

    TEXT

    [ http://www.cruisesdeals.ca/man.php?x=XXXXX] We are here.


    --b1_f13690b9809de6aba04e5406b1827d00
    Content-Type: text/html; charset=us-ascii

    <html>
    <body>
    <br>
    <a href="http://www.cruisesdeals.ca/man.php?x=XXXXX">.</a>
    </body>
    </html>



    --b1_f13690b9809de6aba04e5406b1827d00--






Am 22.03.2017 um 11:11 schrieb Christoph Kukulies:

> Nachdem ich mittlerweile der Verzweiflung nahe bin, weil spam immer
> noch - trotz postgrey - scheinbar ungehindert durchkommt, habe ich
> jetzt zum letzten Mittel gegriffen und in dem DNS-record meines
> Servers einen "fake" MX Eintrag gemacht, derart, daß da jetzt steht
>
> @          IN   10 nolisting
> @          IN   20 mail
>
>
> Normale Mail kommt ungehindert an (darüber bin ich schon mal froh).
> Aber eben kam wieder eine Spam mail der Sorte
> amanda durch.
>
> Hier ist sie (habe versucht, die möglicherweise bösartigen Links zu
> neutralisieren). Wenn da das nolisting nichts nütt , scheint sie über
> einen regulären Server gelaufen zu sein, der wiederholt zuzustellen
> versucht, oder?
>
>
> Grüße
>
> Christoph
>
>

Reply | Threaded
Open this post in threaded view
|

Re: nolisting MX record

Christoph Kukulies
In reply to this post by Gregor Hermens-2
Am 22.03.2017 um 11:22 schrieb Gregor Hermens:

> Hallo Christoph,
>
> Am Mittwoch, 22. März 2017 schrieb Christoph Kukulies:
>> Nachdem ich mittlerweile der Verzweiflung nahe bin, weil spam immer noch
>> - trotz postgrey - scheinbar ungehindert durchkommt, habe ich jetzt zum
>> letzten Mittel gegriffen und in dem DNS-record meines Servers einen
>> "fake" MX Eintrag gemacht, derart, daß da jetzt steht
>>
>> @          IN   10 nolisting
>> @          IN   20 mail
>>
>>
>> Normale Mail kommt ungehindert an (darüber bin ich schon mal froh). Aber
>> eben kam wieder eine Spam mail der Sorte
>> amanda durch.
>>
>> Hier ist sie (habe versucht, die möglicherweise bösartigen Links zu
>> neutralisieren). Wenn da das nolisting nichts nütt , scheint sie über
>> einen regulären Server gelaufen zu sein, der wiederholt zuzustellen
>> versucht, oder?
> Spam wird oft gezielt beim Sekundären MX eingekippt in der Hoffnung, daß
> dieser schlechter geschützt ist.
>
> Gruß,
> Gregor

Ach je, die Hunde, dann nützt das im Grunde auch nicht viel. :) Zumal
ich das auch nicht so recht mag, weil ich damit meinen Server ja
"schlechter" mache und für alle Mails diese Bremse einbaue und ich
nicht, wie bei greylisting eine whitelist führen kann bzw. die "guten"
hosts cachen kann.

Grüße

Christoph


Reply | Threaded
Open this post in threaded view
|

Re: nolisting MX record

Christian Schmidt
In reply to this post by Christoph Kukulies
Christoph Kukulies, 22.03.2017:
> Normale Mail kommt ungehindert an (darüber bin ich schon mal froh). Aber
> eben kam wieder eine Spam mail der Sorte
> amanda durch.
>
> Hier ist sie (habe versucht, die möglicherweise bösartigen Links zu
> neutralisieren). Wenn da das nolisting nichts nütt , scheint sie über
> einen regulären Server gelaufen zu sein, der wiederholt zuzustellen
> versucht, oder?

Woher die Mail kommt, verraten Dir zum einen die Header und zum anderen
Deine Logfiles. Letztgenannten solltest Du im übrigen auch entnehmen
können, ob amavis die Mail in die Finger bekommen hat.

Mit freundlichen Grüßen
Christian Schmidt

--
No signature available.


smime.p7s (7K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: nolisting MX record

Joachim Fahrner
In reply to this post by Christoph Kukulies
Du kannst hier nachschauen auf welchen Blacklists der einliefernde
Server steht:
https://mxtoolbox.com/SuperTool.aspx?action=blacklist%3a108.163.252.234&run=toolpage

In dem Fall sind das Barracuda und ProtectedSky. Du könntest dann eine
der beiden (oder auch beide) nutzen.
Mit Content-Filtern wie spamassassin habe ich keine guten Erfahrungen
gemacht. Am effektivsten sind bei mir die Blacklists.


Am 2017-03-22 11:31, schrieb Christoph Kukulies:

> Hatte vergessen, die Mail selbst anzuhängen:
>
>    Return-Path: <[hidden email]>
>    Delivered-To: [hidden email]
>    Received: from mail.mydomain.org
>        by mydomain.org (Dovecot) with LMTP id ejTmDuJL0ljMIgAAXmd1zw
>        for <[hidden email]>; Wed, 22 Mar 2017 11:03:14 +0100
>    Received: from localhost (localhost [127.0.0.1])
>        by mail.mydomain.org (Postfix) with ESMTP id 3783A2106AB
>       for <[hidden email]>; Wed, 22 Mar 2017 11:03:14 +0100 (CET)
>    X-Spam-Flag: NO
>    X-Spam-Score: 1.175
>    X-Spam-Level: *
>    X-Spam-Status: No, score=1.175 required=5 tests=[DKIM_SIGNED=0.1,
>        DKIM_VALID=-0.1, DKIM_VALID_AU=-0.1, HTML_MESSAGE=0.001,
>        RDNS_NONE=1.274] autolearn=no autolearn_force=no
>    Authentication-Results: mail.mydomain.org (amavisd-new);
>       dkim=pass (2048-bit key) header.d=cruisesdeals.ca
>    Received: from mail.mydomain.org ([127.0.0.1])
>        by localhost (mail.mydomain.org [127.0.0.1]) (amavisd-new, port
> 10024)
>       with ESMTP id tOopJduX0kBu for <[hidden email]>;
>       Wed, 22 Mar 2017 11:03:13 +0100 (CET)
>    Received: from cheapflightscanada.ca (unknown [108.163.252.234])
>       by mail.mydomain.org (Postfix) with ESMTPS id 8E49C2106AA
>       for <[hidden email]>; Wed, 22 Mar 2017 11:03:13 +0100 (CET)
>    DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
>        d=cruisesdeals.ca; s=default;
> h=Content-Transfer-Encoding:Content-Type:
> MIME-Version:Message-ID:From:Date:Subject:To:Sender:Reply-To:Cc:Content-ID:
> Content-Description:Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc
> :Resent-Message-ID:In-Reply-To:References:List-Id:List-Help:List-Unsubscribe:
>        List-Subscribe:List-Post:List-Owner:List-Archive;
>        bh=QUcg8ToBrcDUuuWRIY2qCOl5q+4rwZUNASvTOnsJAgM=;
> b=yik1AMgaLXZ0Ig2XrPgfXE8N1J
> 5T8Q9VusE7qR0EZzziiAL+LoRRVaIYGidIyFg+Cxz+/mVkzlTnmbvuZQiYYsNbADj+/1zsXSOgIDe
> 9HFBTXLO7xEwvXoIo92PVAgg4tH3t4wwQ8o8WVxDYqWyK7SZm/yPzs12LeS7N6BOyXB6In9Hu7cI/
> WEI3mYsBJ8fzMRyQhBxVSpYyBc7L6uh6O1FCQuTffz2ldB1TY+FgvLomSo2oPMQ+GnZO467znhgHS
> hJLpHFtOxEYuSdVZVnu/wTWerwSJa8Vb4LwaE+8Ady5QDMAPB3eCG5oak4vqbGsJByD81OjGb2xZM
>        V/xdIK5A==;
>    Received: from nqbxkapi by mars.whfweb.com with local (Exim 4.88)
>        (envelope-from <[hidden email]>)
>        id 1cqd6h-000GV6-OM
>        for [hidden email]; Wed, 22 Mar 2017 05:03:07 -0500
>    To: [hidden email]
>    Subject: I can make pleasure
>    X-PHP-Script: www.cruisesdeals.ca/wp-content/themes/press.php for
> 98.126.199.83
>    X-PHP-Filename:
> /home/nqbxkapi/cruisesdeals.ca/wp-content/themes/press.php
> REMOTE_ADDR: 98.126.199.83
>    Date: Wed, 22 Mar 2017 10:03:07 +0000
>    From: Amanda <[hidden email]>
>    Message-ID: <[hidden email]>
>    X-Priority: 3
>    MIME-Version: 1.0
>    Content-Type: multipart/alternative;
>        boundary="b1_f13690b9809de6aba04e5406b1827d00"
>    Content-Transfer-Encoding: 8bit
>    X-AntiAbuse: This header was added to track abuse, please include
> it with any abuse report
>    X-AntiAbuse: Primary Hostname - mars.whfweb.com
>    X-AntiAbuse: Original Domain - mydomain.org
>    X-AntiAbuse: Originator/Caller UID/GID - [1202 1193] / [47 12]
>    X-AntiAbuse: Sender Address Domain - cruisesdeals.ca
>    X-Get-Message-Sender-Via: mars.whfweb.com: authenticated_id:
> nqbxkapi/from_h
>    X-Authenticated-Sender: mars.whfweb.com: [hidden email]


Reply | Threaded
Open this post in threaded view
|

Re: nolisting MX record

Hanns Mattes
Hei,

Zitat von Joachim Fahrner <[hidden email]>:

> [...]
> Du kannst hier nachschauen auf welchen Blacklists der einliefernde  
> Server steht:
> https://mxtoolbox.com/SuperTool.aspx?action=blacklist%3a108.163.252.234&run=toolpage
>
> In dem Fall sind das Barracuda und ProtectedSky. Du könntest dann  
> eine der beiden (oder auch beide) nutzen.

Protectedsky würde ich lieber lassen. Delisting nur automatisch, und  
die Block-Kriterien werden nicht genau verraten. So was mag ich nicht.

Grüße Hanns
--
https://mail.bruecko.de
PGP-Key: http://www.hannsmattes.de/data/uploads/hmpubkey.txt

Reply | Threaded
Open this post in threaded view
|

Re: nolisting MX record

Joachim Fahrner
Am 2017-03-22 15:25, schrieb Hanns Mattes:

> Protectedsky würde ich lieber lassen. Delisting nur automatisch, und
> die Block-Kriterien werden nicht genau verraten. So was mag ich nicht.

Kommt halt immer auf den Einsatzzweck drauf an. Für einen kleinen
privaten Server kann man wesentlich rigoroser vorgehen, da man ja die
meisten Kontakte kennt und entsprechend whitelisten kann. Die meisten
Bekannten sind bei irgendwelchen Freemailern (GMX, Web.de, T-Online,
etc), die setzt man halt auf eine Whitelist oder nutzt dnswl.org. Dann
noch die Mailer von Arbeitgeber, Uni, usw. dazu, dann sollte nicht mehr
viel schief gehen.

Reply | Threaded
Open this post in threaded view
|

Re: nolisting MX record

Robert Schetterer-2
In reply to this post by Christoph Kukulies
Am 22.03.2017 um 11:11 schrieb Christoph Kukulies:

> Nachdem ich mittlerweile der Verzweiflung nahe bin, weil spam immer noch
> - trotz postgrey - scheinbar ungehindert durchkommt, habe ich jetzt zum
> letzten Mittel gegriffen und in dem DNS-record meines Servers einen
> "fake" MX Eintrag gemacht, derart, daß da jetzt steht
>
> @          IN   10 nolisting
> @          IN   20 mail
>
>
> Normale Mail kommt ungehindert an (darüber bin ich schon mal froh). Aber
> eben kam wieder eine Spam mail der Sorte
> amanda durch.
>
> Hier ist sie (habe versucht, die möglicherweise bösartigen Links zu
> neutralisieren). Wenn da das nolisting nichts nütt , scheint sie über
> einen regulären Server gelaufen zu sein, der wiederholt zuzustellen
> versucht, oder?
>
>
> Grüße
>
> Christoph
>
>

ganz ehrlich wie kommst du darauf dass sich spammer um sowas wirklich
scheren ? Die haben Resourcen ohne Ende ..

ich hatte jahrelang diese Problem, 4 rejects pro sekunde
da waren die gaengigen Massnahmen incl nolistling schon lange drinn

wenn du dir es leisten kannst

kannst du ja mal folgendes an dein Setup adaptieren

https://sys4.de/de/blog/2012/12/28/botnets-mit-rsyslog-und-iptables-recent-modul-abwehren/

https://sys4.de/de/blog/2014/03/27/fighting-smtp-auth-brute-force-attacks/

https://sys4.de/de/blog/2015/11/07/abwehr-des-botnets-pushdo-cutwail-ehlo-ylmf-pc-mit-iptables-string-recent-smtp/

im uebrigen hat ueber die Jahre nicht wirklich etwas genutzt, ich konnte
eigentlich immer nur erreichen das man besagte domain ueberhaupt noch
fuer Mail mit angemessenen Aufwand nutzen konnte.

Erst als ich eine strikte dmarc/spf/dkim policy eingefuehrt habe wurde
es allmaehlich besser, aber wenn sich spammer in dich verliebt haben
bleibt es immer ein Kampf

Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein