Am 18.07.2017 um 18:32 schrieb Joachim Fahrner:
Hallo Liste, es gibt da einen ziemlich üblen kriminellen Burschen namens Mario Rönsch. Der hat diverse Datenbanken gehackt und sich deren Mailadressen bemächtigt. Nun schickt der Typ penetrant rechtsextreme Mails an all diese Adressen. Ihm gehört die Seite anonymousnews.ru, früher migrantenschreck.ru (das war ein Onlineshop der ihm von den Behörden dicht gemacht wurde), und mittlerweile betreibt er einen neuen Shop patriotenshop.com für den er Werbung macht.
Ich hab keinen Plan wie ich den effektiv blocken kann. Ich weiß auch nicht wie er es schafft unter dem Radar diverser Blacklists zu bleiben. Wahrscheinlich, weil seine Adressen eben echte Adressen sind und keine Honigtöpfe. Hat jemand eine Idee? Das ist eine aktuelle Mail von ihm:
Jul 18 18:06:04 server postfix/postscreen[8738]: CONNECT from [193.70.118.115]:62287 to [172.31.1.100]:25 Jul 18 18:06:04 server postfix/dnsblog[8739]: addr 193.70.118.115 listed by domain dnsbl-2.uceprotect.net as 127.0.0.2 Jul 18 18:06:04 server postfix/postscreen[8738]: PREGREET 11 after 0.01 from [193.70.118.115]:62287: EHLO User\r\n Jul 18 18:06:04 server postfix/postscreen[8738]: DNSBL rank 2 for [193.70.118.115]:62287 Jul 18 18:06:04 server postfix/postscreen[8738]: DISCONNECT [193.70.118.115]:62287 Jul 18 18:09:01 server postfix/postscreen[8938]: CONNECT from [198.2.181.10]:29100 to [172.31.1.100]:25 Jul 18 18:09:01 server postfix/postscreen[8938]: PASS OLD [198.2.181.10]:29100 Jul 18 18:09:01 server postfix/smtpd[8939]: connect from mail10.suw17.mcsv.net[198.2.181.10] Jul 18 18:09:05 server postgrey[2574]: action=pass, reason=triplet found, delay=907, client_name=mail10.suw17.mcsv.net, client_address=198.2.181.10, s ender=bounce-mc.us16_78343126.45573-jf=fahrner.name@mail10.suw17.mcsv.net, recipient=jf@fahrner.name Jul 18 18:09:05 server postfix/policyd-weight[23996]: decided action=PREPEND X-policyd-weight: using cached result; rate: -6.1; <client=mail10.suw17.m csv.net[198.2.181.10]> <helo=mail10.suw17.mcsv.net> from=bounce-mc.us16_78343126.45573-jf=fahrner.name@mail10.suw17.mcsv.net to=jf@fahrner.name; d elay: 0s Jul 18 18:09:05 server postfix/smtpd[8939]: D52EC1000F7: client=mail10.suw17.mcsv.net[198.2.181.10] Jul 18 18:09:05 server postfix/cleanup[8983]: D52EC1000F7: message-id=<78975410ea83919029406d9c3.90be32de70.20170718155312.e4577d47ca.b67f221f@mail10.
suw17.mcsv.net> Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: mail10.suw17.mcsv.net [198.2.181.10] not internal Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: not authenticated Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: DKIM verification successful Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: s=k1 d=mail10.suw17.mcsv.net SSL Jul 18 18:09:06 server opendmarc[3989]: D52EC1000F7: patriotenshop.com none Jul 18 18:09:06 server spamd[16259]: spamd: got connection over /var/run/spamd.sock Jul 18 18:09:06 server spamd[16259]: spamd: processing message 78975410ea83919029406d9c3.90be32de70.20170718155312.e4577d47ca.b67f221f@mail10.suw17.mcsv.net for jf:116 Jul 18 18:09:08 server spamd[16259]: spamd: clean message (1.1/5.0) for jf:116 in 1.4 seconds, 67257 bytes. Jul 18 18:09:08 server spamd[16259]: spamd: result: . 1 - HEADER_FROM_DIFFERENT_DOMAINS,HTML_MESSAGE,MIME_QP_LONG_LINE,T_DKIM_INVALID,UNPARSEABLE_RELAY,URIBL_GREY scantime=1.4,size=67257,user=jf,uid=116,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=/var/run/spamd.sock,mid=78975410ea83919029406d9c3.90be32de70.20170718155312.e4577d47ca.b67f221f@mail10.suw17.mcsv.net,autolearn=no autolearn_force=no Jul 18 18:09:08 server postfix/qmgr[22427]: D52EC1000F7: from=bounce-mc.us16_78343126.45573-jf=fahrner.name@mail10.suw17.mcsv.net, size=66809, nrcpt=1 (queue active) Jul 18 18:09:08 server spamd[6562]: prefork: child states: II Jul 18 18:09:08 server postfix/smtpd[8939]: disconnect from mail10.suw17.mcsv.net[198.2.181.10] Jul 18 18:09:08 server postfix/pipe[8985]: D52EC1000F7: to=<...>, orig_to=jf@fahrner.name, relay=dovecot, delay=6.6, delays=6.5/0.02/0/0.13, dsn=2.0.0, status=sent (delivered via dovecot service) Jul 18 18:09:08 server postfix/qmgr[22427]: D52EC1000F7: removed
sowas gab es schon mal ,war aber sehr primitiv damals man konnte mit body checks arbeiten , da die Botschaften sehr primitiv und einfoermig waren, haste mal ein Beispiel des contents ?
Best Regards MfG Robert Schetterer