spameri@tiscali.it

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
11 messages Options
Reply | Threaded
Open this post in threaded view
|

spameri@tiscali.it

J. Fahrner
Hallo Liste,
immer wenn ich so durch meine Logs scrolle, fällt mir eine Adresse ganz
besonders auf: [hidden email]
Wird zwar in schöner Regelmäßigkeit durch Blacklists geblockt, aber so
langsam frage ich mich: was steckt da dahinter? Wer ist so bescheuert
und nennt seinen Spamabsender "spameri"? Und probiert es damit in
schöner Regelmäßigkeit immer wieder? Mittlerweile dürfte doch auch der
letzte diese Mails blocken.
Weiß jemand was da dahinter steckt? Ist das irgendsoein Botnetz aus der
Saurierzeit, welches immer noch nicht trockengelegt ist? Würde mich
jetzt echt mal interessieren.

Jochen

Reply | Threaded
Open this post in threaded view
|

Re: spameri@tiscali.it

Ublun
Dec 28 08:30:25 postfix/smtpd[10497]: NOQUEUE: reject: RCPT from
unknown[195.22.125.20]: 450 4.7.25 Client host rejected: cannot find
your hostname, [195.22.125.20]; from=<[hidden email]>
to=<[hidden email]> proto=ESMTP helo=<WIN-OEFG2L7GQJT>

wenn du es sagst, den habe ihn auch, aber er wird auch ohne blacklist
geblockt.

whois 195.22.125.20 da kommt einer aus Polen



Am 28.12.2017 um 13:37 schrieb J. Fahrner:

> Hallo Liste,
> immer wenn ich so durch meine Logs scrolle, fällt mir eine Adresse
> ganz besonders auf: [hidden email]
> Wird zwar in schöner Regelmäßigkeit durch Blacklists geblockt, aber so
> langsam frage ich mich: was steckt da dahinter? Wer ist so bescheuert
> und nennt seinen Spamabsender "spameri"? Und probiert es damit in
> schöner Regelmäßigkeit immer wieder? Mittlerweile dürfte doch auch der
> letzte diese Mails blocken.
> Weiß jemand was da dahinter steckt? Ist das irgendsoein Botnetz aus
> der Saurierzeit, welches immer noch nicht trockengelegt ist? Würde
> mich jetzt echt mal interessieren.
>
> Jochen
>

Reply | Threaded
Open this post in threaded view
|

Re: spameri@tiscali.it

J. Fahrner
Am 2017-12-28 13:59, schrieb Ublun:
> Dec 28 08:30:25 postfix/smtpd[10497]: NOQUEUE: reject: RCPT from
> unknown[195.22.125.20]: 450 4.7.25 Client host rejected: cannot find
> your hostname, [195.22.125.20]; from=<[hidden email]>
> to=<[hidden email]> proto=ESMTP helo=<WIN-OEFG2L7GQJT>
>
> wenn du es sagst, den habe ihn auch, aber er wird auch ohne blacklist
> geblockt.
>
> whois 195.22.125.20 da kommt einer aus Polen

Ich hab davon noch mehr:
Dec 17 16:07:52 rbltrap: from=<[hidden email]>      
to=<[hidden email]>      ip=186.115.221.50  Colombia
Dec 18 07:31:45 CLIENT:  from=<[hidden email]>      
to=<[hidden email]>      ip=24.89.83.147    Canada
Dec 18 09:51:14 rbltrap: from=<[hidden email]>      
to=<[hidden email]>      ip=8.21.104.53     USA
Dec 18 10:00:24 rbltrap: from=<[hidden email]>      
to=<[hidden email]>      ip=8.21.104.53     USA
Dec 27 10:55:18 rbltrap: from=<[hidden email]>      
to=<[hidden email]>      ip=190.17.15.94    Argentina
Dec 27 21:24:03 HOSTNM:  from=<[hidden email]>      
to=<[hidden email]>      ip=172.82.179.74
Dec 28 04:29:35 rbltrap: from=<[hidden email]>      
to=<[hidden email]>      ip=195.22.125.20   Poland
Reply | Threaded
Open this post in threaded view
|

Re: spameri@tiscali.it

Walter H.
In reply to this post by Ublun
On 28.12.2017 13:59, Ublun wrote:

> Dec 28 08:30:25 postfix/smtpd[10497]: NOQUEUE: reject: RCPT from
> unknown[195.22.125.20]: 450 4.7.25 Client host rejected: cannot find
> your hostname, [195.22.125.20]; from=<[hidden email]>
> to=<[hidden email]> proto=ESMTP helo=<WIN-OEFG2L7GQJT>
>
> wenn du es sagst, den habe ihn auch, aber er wird auch ohne blacklist
> geblockt.
>
> whois 195.22.125.20 da kommt einer aus Polen
>
kommt bei mir auch regelmässig vor

Dec 25 23:15:12 vhost01 postfix/smtpd[5486]: NOQUEUE: reject: RCPT from
unknown[37.49.226.140]: 550 5.7.1 Client host rejected: cannot find your
hostname, [37.49.226.140]; from=<[hidden email]>
to=<[hidden email]> proto=ESMTP helo=<WIN-F0CIET00A57>
Dec 27 09:20:40 vhost01 postfix/smtpd[10075]: NOQUEUE: reject: RCPT from
unknown[199.168.137.147]: 550 5.7.1 Client host rejected: cannot find
your hostname, [199.168.137.147]; from=<[hidden email]>
to=<[hidden email]> proto=ESMTP helo=<WIN-577QFVTF712>

ich will keine Verschwörungstheorie lostreten, aber sowas als
msftncsi-Ersatz hat schon was :-)


smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: spameri@tiscali.it

Martin Steigerwald
Walter H. - 28.12.17, 14:23:

> On 28.12.2017 13:59, Ublun wrote:
> > Dec 28 08:30:25 postfix/smtpd[10497]: NOQUEUE: reject: RCPT from
> > unknown[195.22.125.20]: 450 4.7.25 Client host rejected: cannot find
> > your hostname, [195.22.125.20]; from=<[hidden email]>
> > to=<[hidden email]> proto=ESMTP helo=<WIN-OEFG2L7GQJT>
> >
> > wenn du es sagst, den habe ihn auch, aber er wird auch ohne blacklist
> > geblockt.
> >
> > whois 195.22.125.20 da kommt einer aus Polen
>
> kommt bei mir auch regelmässig vor
>
> Dec 25 23:15:12 vhost01 postfix/smtpd[5486]: NOQUEUE: reject: RCPT from
> unknown[37.49.226.140]: 550 5.7.1 Client host rejected: cannot find your
> hostname, [37.49.226.140]; from=<[hidden email]>
> to=<[hidden email]> proto=ESMTP helo=<WIN-F0CIET00A57>
> Dec 27 09:20:40 vhost01 postfix/smtpd[10075]: NOQUEUE: reject: RCPT from
> unknown[199.168.137.147]: 550 5.7.1 Client host rejected: cannot find
> your hostname, [199.168.137.147]; from=<[hidden email]>
> to=<[hidden email]> proto=ESMTP helo=<WIN-577QFVTF712>
>
> ich will keine Verschwörungstheorie lostreten, aber sowas als
> msftncsi-Ersatz hat schon was :-)

Willkommen im Club:

/var/log/mail.log.4.gz:Dec  2 01:39:28 mondschein postfix/postscreen[3332]:
NOQUEUE: reject: RCPT from [23.227.199.202]:59527: 550 5.7.1 Service
unavailable; client [23.227.199.202] blocked using zen.spamhaus.org;
from=<[hidden email]>, to=<[hidden email]>, proto=ESMTP, helo=<WIN-
A0E4HLBNLRT>

mondschein:~> zgrep [hidden email] /var/log/mail.log* | wc -l
44

Meine Motivation, wirklich heraus zu finden, was das genau ist, hält sich in
Grenzen. Einige IP-Adressen die J. Fahrner erwähnte sahen vom Reverse DNS
Lookup her wie Dialup-Adressen aus. Einige von den IP-Adressen in meinen Logs
auch. Wahrscheinlich irgendwelche Malware auf irgendwelchen Windows-Boxen.

Also ich würde sagen: "Da gibt es nix zu sehen." :)

Ciao,
--
Martin
Reply | Threaded
Open this post in threaded view
|

Re: spameri@tiscali.it

Robert Schetterer-2
In reply to this post by J. Fahrner
Am 28.12.2017 um 13:37 schrieb J. Fahrner:

> Hallo Liste,
> immer wenn ich so durch meine Logs scrolle, fällt mir eine Adresse ganz
> besonders auf: [hidden email]
> Wird zwar in schöner Regelmäßigkeit durch Blacklists geblockt, aber so
> langsam frage ich mich: was steckt da dahinter? Wer ist so bescheuert
> und nennt seinen Spamabsender "spameri"? Und probiert es damit in
> schöner Regelmäßigkeit immer wieder? Mittlerweile dürfte doch auch der
> letzte diese Mails blocken.
> Weiß jemand was da dahinter steckt? Ist das irgendsoein Botnetz aus der
> Saurierzeit, welches immer noch nicht trockengelegt ist? Würde mich
> jetzt echt mal interessieren.
>
> Jochen
>

also zumindest tiscali.it spam absender sind in Internetjahren wirklich
aus der Vorsteinzeit, der Rest ist wie immer Spekulation


Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Reply | Threaded
Open this post in threaded view
|

Re: spameri@tiscali.it

Walter H.
In reply to this post by Martin Steigerwald
On 28.12.2017 15:03, Martin Steigerwald wrote:

> Walter H. - 28.12.17, 14:23:
>> On 28.12.2017 13:59, Ublun wrote:
>>> Dec 28 08:30:25 postfix/smtpd[10497]: NOQUEUE: reject: RCPT from
>>> unknown[195.22.125.20]: 450 4.7.25 Client host rejected: cannot find
>>> your hostname, [195.22.125.20]; from=<[hidden email]>
>>> to=<[hidden email]>  proto=ESMTP helo=<WIN-OEFG2L7GQJT>
>>>
>>> wenn du es sagst, den habe ihn auch, aber er wird auch ohne blacklist
>>> geblockt.
>>>
>>> whois 195.22.125.20 da kommt einer aus Polen
>> kommt bei mir auch regelmässig vor
>>
>> Dec 25 23:15:12 vhost01 postfix/smtpd[5486]: NOQUEUE: reject: RCPT from
>> unknown[37.49.226.140]: 550 5.7.1 Client host rejected: cannot find your
>> hostname, [37.49.226.140]; from=<[hidden email]>
>> to=<[hidden email]>  proto=ESMTP helo=<WIN-F0CIET00A57>
>> Dec 27 09:20:40 vhost01 postfix/smtpd[10075]: NOQUEUE: reject: RCPT from
>> unknown[199.168.137.147]: 550 5.7.1 Client host rejected: cannot find
>> your hostname, [199.168.137.147]; from=<[hidden email]>
>> to=<[hidden email]>  proto=ESMTP helo=<WIN-577QFVTF712>
>>
>> ich will keine Verschwörungstheorie lostreten, aber sowas als
>> msftncsi-Ersatz hat schon was :-)
> Willkommen im Club:
>
> /var/log/mail.log.4.gz:Dec  2 01:39:28 mondschein postfix/postscreen[3332]:
> NOQUEUE: reject: RCPT from [23.227.199.202]:59527: 550 5.7.1 Service
> unavailable; client [23.227.199.202] blocked using zen.spamhaus.org;
> from=<[hidden email]>, to=<[hidden email]>, proto=ESMTP, helo=<WIN-
> A0E4HLBNLRT>
>
> mondschein:~>  zgrep [hidden email] /var/log/mail.log* | wc -l
> 44
>
wie hast Du zen.spamhaus.org  eingebunden?

bei mir scheint
smtpd_client_restrictions = ...., reject_rbl_client zen.spamhaus.org, ...
nie anzuschlagen ...


smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: spameri@tiscali.it

Martin Steigerwald
Walter H. - 28.12.17, 15:37:

> On 28.12.2017 15:03, Martin Steigerwald wrote:
> > Walter H. - 28.12.17, 14:23:
> >> On 28.12.2017 13:59, Ublun wrote:
> >>> Dec 28 08:30:25 postfix/smtpd[10497]: NOQUEUE: reject: RCPT from
> >>> unknown[195.22.125.20]: 450 4.7.25 Client host rejected: cannot find
> >>> your hostname, [195.22.125.20]; from=<[hidden email]>
> >>> to=<[hidden email]>  proto=ESMTP helo=<WIN-OEFG2L7GQJT>
> >>>
> >>> wenn du es sagst, den habe ihn auch, aber er wird auch ohne blacklist
> >>> geblockt.
> >>>
> >>> whois 195.22.125.20 da kommt einer aus Polen
> >>
> >> kommt bei mir auch regelmässig vor
> >>
> >> Dec 25 23:15:12 vhost01 postfix/smtpd[5486]: NOQUEUE: reject: RCPT from
> >> unknown[37.49.226.140]: 550 5.7.1 Client host rejected: cannot find your
> >> hostname, [37.49.226.140]; from=<[hidden email]>
> >> to=<[hidden email]>  proto=ESMTP helo=<WIN-F0CIET00A57>
> >> Dec 27 09:20:40 vhost01 postfix/smtpd[10075]: NOQUEUE: reject: RCPT from
> >> unknown[199.168.137.147]: 550 5.7.1 Client host rejected: cannot find
> >> your hostname, [199.168.137.147]; from=<[hidden email]>
> >> to=<[hidden email]>  proto=ESMTP helo=<WIN-577QFVTF712>
> >>
> >> ich will keine Verschwörungstheorie lostreten, aber sowas als
> >> msftncsi-Ersatz hat schon was :-)
> >
> > Willkommen im Club:
> >
> > /var/log/mail.log.4.gz:Dec  2 01:39:28 mondschein
> > postfix/postscreen[3332]:
> > NOQUEUE: reject: RCPT from [23.227.199.202]:59527: 550 5.7.1 Service
> > unavailable; client [23.227.199.202] blocked using zen.spamhaus.org;
> > from=<[hidden email]>, to=<[hidden email]>, proto=ESMTP,
> > helo=<WIN-
> > A0E4HLBNLRT>
> >
> > mondschein:~>  zgrep [hidden email] /var/log/mail.log* | wc -l
> > 44
>
> wie hast Du zen.spamhaus.org  eingebunden?
>
> bei mir scheint
> smtpd_client_restrictions = ...., reject_rbl_client zen.spamhaus.org, ...
> nie anzuschlagen ...

via postscreen:

# Postscreen
postscreen_access_list = permit_mynetworks,
        cidr:/etc/postfix/postscreen_access.cidr
postscreen_blacklist_action = drop
postscreen_dnsbl_threshold = 3
postscreen_dnsbl_sites =
  zen.spamhaus.org*2
  bl.mailspike.net*2
  bl.spameatingmonkey.net
  dnsbl-1.uceprotect.net
  safe.dnsbl.sorbs.net
  ix.dnsbl.manitu.net
  bl.blocklist.de
  ubl.unsubscore.com
  psbl.surriel.com
  bl.spamcop.net
  dnsbl.inps.de
  # Whitelist
  swl.spamhaus.org*-3
  list.dnswl.org=127.0.[0..255].0*-1
  list.dnswl.org=127.0.[0..255].1*-2
  list.dnswl.org=127.0.[0..255].[2..3]*-3
  wl.mailspike.net=127.0.0.[17;18]*-1
  wl.mailspike.net=127.0.0.[19;20]*-2
postscreen_dnsbl_action = enforce
postscreen_greet_action = drop
#postscreen_bare_newline_action = enforce
#postscreen_bare_newline_enable = yes
postscreen_non_smtp_command_enable = yes
postscreen_non_smtp_command_action = drop
#postscreen_pipelining_enable = yes
#postscreen_pipelining_enable = enforce
postscreen_cache_map = lmdb:$data_directory/postscreen_cache


Für Postscreen sind aber auch Anpassungen in der master.cf erforderlich.
Außerdem braucht es einen extra SMTP Submission-Port für Mail-Programme, da
Postscreen mit SMTP-Authentifizierung nichts anfangen kann.

Das ist aber alles ganz schön im entsprechenden Postscreen-HOWTO beschrieben.

Die obige Liste ist eine Mischung aus Dingen, die ich im Internet fand, +
einer Diskussion auf der Mailingliste der Postfix-Buch-Benutzer. Und
möglicherweise auch bereits wieder veraltet.

So ganz verstehe ich den Block aber auch nicht gerade. Zwei Punkte für einen
Match auf zenhaus. Aber mein Grenzwert ist 3. Hmmm, das  "*2" ist ein Faktor,
wie das Malzeichen ansagt. Also liefert zenhaus da wohl bereits den Wert 2
oder höher zurück.

Ciao,
--
Martin
Reply | Threaded
Open this post in threaded view
|

Re: spameri@tiscali.it

Jan F
Hallo,


meiner Meinung nach sucht der nach offenen Relays. Geblockt wird er wil
er auch versucht sich anzumelden. (Standard User + schwache PWs)

Ich habe mal aus Neugier, was wohl passiert die erste Mail
durchgelassen.....war eine schlechte Idee....


Grüße


Am 28.12.2017 um 15:48 schrieb Martin Steigerwald:

> Walter H. - 28.12.17, 15:37:
>> On 28.12.2017 15:03, Martin Steigerwald wrote:
>>> Walter H. - 28.12.17, 14:23:
>>>> On 28.12.2017 13:59, Ublun wrote:
>>>>> Dec 28 08:30:25 postfix/smtpd[10497]: NOQUEUE: reject: RCPT from
>>>>> unknown[195.22.125.20]: 450 4.7.25 Client host rejected: cannot find
>>>>> your hostname, [195.22.125.20]; from=<[hidden email]>
>>>>> to=<[hidden email]>  proto=ESMTP helo=<WIN-OEFG2L7GQJT>
>>>>>
>>>>> wenn du es sagst, den habe ihn auch, aber er wird auch ohne blacklist
>>>>> geblockt.
>>>>>
>>>>> whois 195.22.125.20 da kommt einer aus Polen
>>>> kommt bei mir auch regelmässig vor
>>>>
>>>> Dec 25 23:15:12 vhost01 postfix/smtpd[5486]: NOQUEUE: reject: RCPT from
>>>> unknown[37.49.226.140]: 550 5.7.1 Client host rejected: cannot find your
>>>> hostname, [37.49.226.140]; from=<[hidden email]>
>>>> to=<[hidden email]>  proto=ESMTP helo=<WIN-F0CIET00A57>
>>>> Dec 27 09:20:40 vhost01 postfix/smtpd[10075]: NOQUEUE: reject: RCPT from
>>>> unknown[199.168.137.147]: 550 5.7.1 Client host rejected: cannot find
>>>> your hostname, [199.168.137.147]; from=<[hidden email]>
>>>> to=<[hidden email]>  proto=ESMTP helo=<WIN-577QFVTF712>
>>>>
>>>> ich will keine Verschwörungstheorie lostreten, aber sowas als
>>>> msftncsi-Ersatz hat schon was :-)
>>> Willkommen im Club:
>>>
>>> /var/log/mail.log.4.gz:Dec  2 01:39:28 mondschein
>>> postfix/postscreen[3332]:
>>> NOQUEUE: reject: RCPT from [23.227.199.202]:59527: 550 5.7.1 Service
>>> unavailable; client [23.227.199.202] blocked using zen.spamhaus.org;
>>> from=<[hidden email]>, to=<[hidden email]>, proto=ESMTP,
>>> helo=<WIN-
>>> A0E4HLBNLRT>
>>>
>>> mondschein:~>  zgrep [hidden email] /var/log/mail.log* | wc -l
>>> 44
>> wie hast Du zen.spamhaus.org  eingebunden?
>>
>> bei mir scheint
>> smtpd_client_restrictions = ...., reject_rbl_client zen.spamhaus.org, ...
>> nie anzuschlagen ...
> via postscreen:
>
> # Postscreen
> postscreen_access_list = permit_mynetworks,
>         cidr:/etc/postfix/postscreen_access.cidr
> postscreen_blacklist_action = drop
> postscreen_dnsbl_threshold = 3
> postscreen_dnsbl_sites =
>   zen.spamhaus.org*2
>   bl.mailspike.net*2
>   bl.spameatingmonkey.net
>   dnsbl-1.uceprotect.net
>   safe.dnsbl.sorbs.net
>   ix.dnsbl.manitu.net
>   bl.blocklist.de
>   ubl.unsubscore.com
>   psbl.surriel.com
>   bl.spamcop.net
>   dnsbl.inps.de
>   # Whitelist
>   swl.spamhaus.org*-3
>   list.dnswl.org=127.0.[0..255].0*-1
>   list.dnswl.org=127.0.[0..255].1*-2
>   list.dnswl.org=127.0.[0..255].[2..3]*-3
>   wl.mailspike.net=127.0.0.[17;18]*-1
>   wl.mailspike.net=127.0.0.[19;20]*-2
> postscreen_dnsbl_action = enforce
> postscreen_greet_action = drop
> #postscreen_bare_newline_action = enforce
> #postscreen_bare_newline_enable = yes
> postscreen_non_smtp_command_enable = yes
> postscreen_non_smtp_command_action = drop
> #postscreen_pipelining_enable = yes
> #postscreen_pipelining_enable = enforce
> postscreen_cache_map = lmdb:$data_directory/postscreen_cache
>
>
> Für Postscreen sind aber auch Anpassungen in der master.cf erforderlich.
> Außerdem braucht es einen extra SMTP Submission-Port für Mail-Programme, da
> Postscreen mit SMTP-Authentifizierung nichts anfangen kann.
>
> Das ist aber alles ganz schön im entsprechenden Postscreen-HOWTO beschrieben.
>
> Die obige Liste ist eine Mischung aus Dingen, die ich im Internet fand, +
> einer Diskussion auf der Mailingliste der Postfix-Buch-Benutzer. Und
> möglicherweise auch bereits wieder veraltet.
>
> So ganz verstehe ich den Block aber auch nicht gerade. Zwei Punkte für einen
> Match auf zenhaus. Aber mein Grenzwert ist 3. Hmmm, das  "*2" ist ein Faktor,
> wie das Malzeichen ansagt. Also liefert zenhaus da wohl bereits den Wert 2
> oder höher zurück.
>
> Ciao,


Reply | Threaded
Open this post in threaded view
|

Re: spameri@tiscali.it

J. Fahrner
In reply to this post by Martin Steigerwald
Am 2017-12-28 15:48, schrieb Martin Steigerwald:
> So ganz verstehe ich den Block aber auch nicht gerade. Zwei Punkte für
> einen
> Match auf zenhaus. Aber mein Grenzwert ist 3. Hmmm, das  "*2" ist ein
> Faktor,
> wie das Malzeichen ansagt. Also liefert zenhaus da wohl bereits den
> Wert 2
> oder höher zurück.

Nein, das heisst: ein Treffer bei zenhaus wird mit dem Faktor 2
gewichtet. Bei einer Schwelle von 3 muss es also noch mindestens einen
Treffer in einer anderen RBL geben.

Reply | Threaded
Open this post in threaded view
|

Re: spameri@tiscali.it

Martin Steigerwald
J. Fahrner - 28.12.17, 16:13:

> Am 2017-12-28 15:48, schrieb Martin Steigerwald:
> > So ganz verstehe ich den Block aber auch nicht gerade. Zwei Punkte für
> > einen
> > Match auf zenhaus. Aber mein Grenzwert ist 3. Hmmm, das  "*2" ist ein
> > Faktor,
> > wie das Malzeichen ansagt. Also liefert zenhaus da wohl bereits den
> > Wert 2
> > oder höher zurück.
>
> Nein, das heisst: ein Treffer bei zenhaus wird mit dem Faktor 2
> gewichtet. Bei einer Schwelle von 3 muss es also noch mindestens einen
> Treffer in einer anderen RBL geben.

Hmmm, okay. Den hat postscreen im Log dann aber nicht angezeigt. Auf jeden
Fall hab ich den nicht gesehen.

--
Martin