Hallo Liste, immer wenn ich so durch meine Logs scrolle, fällt mir eine Adresse ganz besonders auf: spameri@tiscali.it Wird zwar in schöner Regelmäßigkeit durch Blacklists geblockt, aber so langsam frage ich mich: was steckt da dahinter? Wer ist so bescheuert und nennt seinen Spamabsender "spameri"? Und probiert es damit in schöner Regelmäßigkeit immer wieder? Mittlerweile dürfte doch auch der letzte diese Mails blocken. Weiß jemand was da dahinter steckt? Ist das irgendsoein Botnetz aus der Saurierzeit, welches immer noch nicht trockengelegt ist? Würde mich jetzt echt mal interessieren.
Jochen
Dec 28 08:30:25 postfix/smtpd[10497]: NOQUEUE: reject: RCPT from unknown[195.22.125.20]: 450 4.7.25 Client host rejected: cannot find your hostname, [195.22.125.20]; from=spameri@tiscali.it to=spameri@tiscali.it proto=ESMTP helo=<WIN-OEFG2L7GQJT>
wenn du es sagst, den habe ihn auch, aber er wird auch ohne blacklist geblockt.
whois 195.22.125.20 da kommt einer aus Polen
Am 28.12.2017 um 13:37 schrieb J. Fahrner:
Hallo Liste, immer wenn ich so durch meine Logs scrolle, fällt mir eine Adresse ganz besonders auf: spameri@tiscali.it Wird zwar in schöner Regelmäßigkeit durch Blacklists geblockt, aber so langsam frage ich mich: was steckt da dahinter? Wer ist so bescheuert und nennt seinen Spamabsender "spameri"? Und probiert es damit in schöner Regelmäßigkeit immer wieder? Mittlerweile dürfte doch auch der letzte diese Mails blocken. Weiß jemand was da dahinter steckt? Ist das irgendsoein Botnetz aus der Saurierzeit, welches immer noch nicht trockengelegt ist? Würde mich jetzt echt mal interessieren.
Jochen
Am 2017-12-28 13:59, schrieb Ublun:
Dec 28 08:30:25 postfix/smtpd[10497]: NOQUEUE: reject: RCPT from unknown[195.22.125.20]: 450 4.7.25 Client host rejected: cannot find your hostname, [195.22.125.20]; from=spameri@tiscali.it to=spameri@tiscali.it proto=ESMTP helo=<WIN-OEFG2L7GQJT>
wenn du es sagst, den habe ihn auch, aber er wird auch ohne blacklist geblockt.
whois 195.22.125.20 da kommt einer aus Polen
Ich hab davon noch mehr: Dec 17 16:07:52 rbltrap: from=spameri@tiscali.it to=spameri@tiscali.it ip=186.115.221.50 Colombia Dec 18 07:31:45 CLIENT: from=spameri@tiscali.it to=spameri@tiscali.it ip=24.89.83.147 Canada Dec 18 09:51:14 rbltrap: from=spameri@tiscali.it to=spameri@tiscali.it ip=8.21.104.53 USA Dec 18 10:00:24 rbltrap: from=spameri@tiscali.it to=spameri@tiscali.it ip=8.21.104.53 USA Dec 27 10:55:18 rbltrap: from=spameri@tiscali.it to=spameri@tiscali.it ip=190.17.15.94 Argentina Dec 27 21:24:03 HOSTNM: from=spameri@tiscali.it to=spameri@tiscali.it ip=172.82.179.74 Dec 28 04:29:35 rbltrap: from=spameri@tiscali.it to=spameri@tiscali.it ip=195.22.125.20 Poland
On 28.12.2017 13:59, Ublun wrote:
Dec 28 08:30:25 postfix/smtpd[10497]: NOQUEUE: reject: RCPT from unknown[195.22.125.20]: 450 4.7.25 Client host rejected: cannot find your hostname, [195.22.125.20]; from=spameri@tiscali.it to=spameri@tiscali.it proto=ESMTP helo=<WIN-OEFG2L7GQJT>
wenn du es sagst, den habe ihn auch, aber er wird auch ohne blacklist geblockt.
whois 195.22.125.20 da kommt einer aus Polen
kommt bei mir auch regelmässig vor
Dec 25 23:15:12 vhost01 postfix/smtpd[5486]: NOQUEUE: reject: RCPT from unknown[37.49.226.140]: 550 5.7.1 Client host rejected: cannot find your hostname, [37.49.226.140]; from=spameri@tiscali.it to=spameri@tiscali.it proto=ESMTP helo=<WIN-F0CIET00A57> Dec 27 09:20:40 vhost01 postfix/smtpd[10075]: NOQUEUE: reject: RCPT from unknown[199.168.137.147]: 550 5.7.1 Client host rejected: cannot find your hostname, [199.168.137.147]; from=spameri@tiscali.it to=spameri@tiscali.it proto=ESMTP helo=<WIN-577QFVTF712>
ich will keine Verschwörungstheorie lostreten, aber sowas als msftncsi-Ersatz hat schon was :-)
Walter H. - 28.12.17, 14:23:
On 28.12.2017 13:59, Ublun wrote:
Dec 28 08:30:25 postfix/smtpd[10497]: NOQUEUE: reject: RCPT from unknown[195.22.125.20]: 450 4.7.25 Client host rejected: cannot find your hostname, [195.22.125.20]; from=spameri@tiscali.it to=spameri@tiscali.it proto=ESMTP helo=<WIN-OEFG2L7GQJT>
wenn du es sagst, den habe ihn auch, aber er wird auch ohne blacklist geblockt.
whois 195.22.125.20 da kommt einer aus Polen
kommt bei mir auch regelmässig vor
Dec 25 23:15:12 vhost01 postfix/smtpd[5486]: NOQUEUE: reject: RCPT from unknown[37.49.226.140]: 550 5.7.1 Client host rejected: cannot find your hostname, [37.49.226.140]; from=spameri@tiscali.it to=spameri@tiscali.it proto=ESMTP helo=<WIN-F0CIET00A57> Dec 27 09:20:40 vhost01 postfix/smtpd[10075]: NOQUEUE: reject: RCPT from unknown[199.168.137.147]: 550 5.7.1 Client host rejected: cannot find your hostname, [199.168.137.147]; from=spameri@tiscali.it to=spameri@tiscali.it proto=ESMTP helo=<WIN-577QFVTF712>
ich will keine Verschwörungstheorie lostreten, aber sowas als msftncsi-Ersatz hat schon was :-)
Willkommen im Club:
/var/log/mail.log.4.gz:Dec 2 01:39:28 mondschein postfix/postscreen[3332]: NOQUEUE: reject: RCPT from [23.227.199.202]:59527: 550 5.7.1 Service unavailable; client [23.227.199.202] blocked using zen.spamhaus.org; from=spameri@tiscali.it, to=spameri@tiscali.it, proto=ESMTP, helo=<WIN- A0E4HLBNLRT>
mondschein:~> zgrep spameri@tiscali.it /var/log/mail.log* | wc -l 44
Meine Motivation, wirklich heraus zu finden, was das genau ist, hält sich in Grenzen. Einige IP-Adressen die J. Fahrner erwähnte sahen vom Reverse DNS Lookup her wie Dialup-Adressen aus. Einige von den IP-Adressen in meinen Logs auch. Wahrscheinlich irgendwelche Malware auf irgendwelchen Windows-Boxen.
Also ich würde sagen: "Da gibt es nix zu sehen." :)
Ciao,
On 28.12.2017 15:03, Martin Steigerwald wrote:
Walter H. - 28.12.17, 14:23:
On 28.12.2017 13:59, Ublun wrote:
Dec 28 08:30:25 postfix/smtpd[10497]: NOQUEUE: reject: RCPT from unknown[195.22.125.20]: 450 4.7.25 Client host rejected: cannot find your hostname, [195.22.125.20]; from=spameri@tiscali.it to=spameri@tiscali.it proto=ESMTP helo=<WIN-OEFG2L7GQJT>
wenn du es sagst, den habe ihn auch, aber er wird auch ohne blacklist geblockt.
whois 195.22.125.20 da kommt einer aus Polen
kommt bei mir auch regelmässig vor
Dec 25 23:15:12 vhost01 postfix/smtpd[5486]: NOQUEUE: reject: RCPT from unknown[37.49.226.140]: 550 5.7.1 Client host rejected: cannot find your hostname, [37.49.226.140]; from=spameri@tiscali.it to=spameri@tiscali.it proto=ESMTP helo=<WIN-F0CIET00A57> Dec 27 09:20:40 vhost01 postfix/smtpd[10075]: NOQUEUE: reject: RCPT from unknown[199.168.137.147]: 550 5.7.1 Client host rejected: cannot find your hostname, [199.168.137.147]; from=spameri@tiscali.it to=spameri@tiscali.it proto=ESMTP helo=<WIN-577QFVTF712>
ich will keine Verschwörungstheorie lostreten, aber sowas als msftncsi-Ersatz hat schon was :-)
Willkommen im Club:
/var/log/mail.log.4.gz:Dec 2 01:39:28 mondschein postfix/postscreen[3332]: NOQUEUE: reject: RCPT from [23.227.199.202]:59527: 550 5.7.1 Service unavailable; client [23.227.199.202] blocked using zen.spamhaus.org; from=spameri@tiscali.it, to=spameri@tiscali.it, proto=ESMTP, helo=<WIN- A0E4HLBNLRT>
mondschein:~> zgrep spameri@tiscali.it /var/log/mail.log* | wc -l 44
wie hast Du zen.spamhaus.org eingebunden?
bei mir scheint smtpd_client_restrictions = ...., reject_rbl_client zen.spamhaus.org, ... nie anzuschlagen ...
Walter H. - 28.12.17, 15:37:
On 28.12.2017 15:03, Martin Steigerwald wrote:
Walter H. - 28.12.17, 14:23:
On 28.12.2017 13:59, Ublun wrote:
Dec 28 08:30:25 postfix/smtpd[10497]: NOQUEUE: reject: RCPT from unknown[195.22.125.20]: 450 4.7.25 Client host rejected: cannot find your hostname, [195.22.125.20]; from=spameri@tiscali.it to=spameri@tiscali.it proto=ESMTP helo=<WIN-OEFG2L7GQJT>
wenn du es sagst, den habe ihn auch, aber er wird auch ohne blacklist geblockt.
whois 195.22.125.20 da kommt einer aus Polen
kommt bei mir auch regelmässig vor
Dec 25 23:15:12 vhost01 postfix/smtpd[5486]: NOQUEUE: reject: RCPT from unknown[37.49.226.140]: 550 5.7.1 Client host rejected: cannot find your hostname, [37.49.226.140]; from=spameri@tiscali.it to=spameri@tiscali.it proto=ESMTP helo=<WIN-F0CIET00A57> Dec 27 09:20:40 vhost01 postfix/smtpd[10075]: NOQUEUE: reject: RCPT from unknown[199.168.137.147]: 550 5.7.1 Client host rejected: cannot find your hostname, [199.168.137.147]; from=spameri@tiscali.it to=spameri@tiscali.it proto=ESMTP helo=<WIN-577QFVTF712>
ich will keine Verschwörungstheorie lostreten, aber sowas als msftncsi-Ersatz hat schon was :-)
Willkommen im Club:
/var/log/mail.log.4.gz:Dec 2 01:39:28 mondschein postfix/postscreen[3332]: NOQUEUE: reject: RCPT from [23.227.199.202]:59527: 550 5.7.1 Service unavailable; client [23.227.199.202] blocked using zen.spamhaus.org; from=spameri@tiscali.it, to=spameri@tiscali.it, proto=ESMTP, helo=<WIN- A0E4HLBNLRT>
mondschein:~> zgrep spameri@tiscali.it /var/log/mail.log* | wc -l 44
wie hast Du zen.spamhaus.org eingebunden?
bei mir scheint smtpd_client_restrictions = ...., reject_rbl_client zen.spamhaus.org, ... nie anzuschlagen ...
via postscreen:
# Postscreen postscreen_access_list = permit_mynetworks, cidr:/etc/postfix/postscreen_access.cidr postscreen_blacklist_action = drop postscreen_dnsbl_threshold = 3 postscreen_dnsbl_sites = zen.spamhaus.org*2 bl.mailspike.net*2 bl.spameatingmonkey.net dnsbl-1.uceprotect.net safe.dnsbl.sorbs.net ix.dnsbl.manitu.net bl.blocklist.de ubl.unsubscore.com psbl.surriel.com bl.spamcop.net dnsbl.inps.de # Whitelist swl.spamhaus.org*-3 list.dnswl.org=127.0.[0..255].0*-1 list.dnswl.org=127.0.[0..255].1*-2 list.dnswl.org=127.0.[0..255].[2..3]*-3 wl.mailspike.net=127.0.0.[17;18]*-1 wl.mailspike.net=127.0.0.[19;20]*-2 postscreen_dnsbl_action = enforce postscreen_greet_action = drop #postscreen_bare_newline_action = enforce #postscreen_bare_newline_enable = yes postscreen_non_smtp_command_enable = yes postscreen_non_smtp_command_action = drop #postscreen_pipelining_enable = yes #postscreen_pipelining_enable = enforce postscreen_cache_map = lmdb:$data_directory/postscreen_cache
Für Postscreen sind aber auch Anpassungen in der master.cf erforderlich. Außerdem braucht es einen extra SMTP Submission-Port für Mail-Programme, da Postscreen mit SMTP-Authentifizierung nichts anfangen kann.
Das ist aber alles ganz schön im entsprechenden Postscreen-HOWTO beschrieben.
Die obige Liste ist eine Mischung aus Dingen, die ich im Internet fand, + einer Diskussion auf der Mailingliste der Postfix-Buch-Benutzer. Und möglicherweise auch bereits wieder veraltet.
So ganz verstehe ich den Block aber auch nicht gerade. Zwei Punkte für einen Match auf zenhaus. Aber mein Grenzwert ist 3. Hmmm, das "*2" ist ein Faktor, wie das Malzeichen ansagt. Also liefert zenhaus da wohl bereits den Wert 2 oder höher zurück.
Ciao,
Hallo,
meiner Meinung nach sucht der nach offenen Relays. Geblockt wird er wil er auch versucht sich anzumelden. (Standard User + schwache PWs)
Ich habe mal aus Neugier, was wohl passiert die erste Mail durchgelassen.....war eine schlechte Idee....
Grüße
Am 28.12.2017 um 15:48 schrieb Martin Steigerwald:
Walter H. - 28.12.17, 15:37:
On 28.12.2017 15:03, Martin Steigerwald wrote:
Walter H. - 28.12.17, 14:23:
On 28.12.2017 13:59, Ublun wrote:
Dec 28 08:30:25 postfix/smtpd[10497]: NOQUEUE: reject: RCPT from unknown[195.22.125.20]: 450 4.7.25 Client host rejected: cannot find your hostname, [195.22.125.20]; from=spameri@tiscali.it to=spameri@tiscali.it proto=ESMTP helo=<WIN-OEFG2L7GQJT>
wenn du es sagst, den habe ihn auch, aber er wird auch ohne blacklist geblockt.
whois 195.22.125.20 da kommt einer aus Polen
kommt bei mir auch regelmässig vor
Dec 25 23:15:12 vhost01 postfix/smtpd[5486]: NOQUEUE: reject: RCPT from unknown[37.49.226.140]: 550 5.7.1 Client host rejected: cannot find your hostname, [37.49.226.140]; from=spameri@tiscali.it to=spameri@tiscali.it proto=ESMTP helo=<WIN-F0CIET00A57> Dec 27 09:20:40 vhost01 postfix/smtpd[10075]: NOQUEUE: reject: RCPT from unknown[199.168.137.147]: 550 5.7.1 Client host rejected: cannot find your hostname, [199.168.137.147]; from=spameri@tiscali.it to=spameri@tiscali.it proto=ESMTP helo=<WIN-577QFVTF712>
ich will keine Verschwörungstheorie lostreten, aber sowas als msftncsi-Ersatz hat schon was :-)
Willkommen im Club:
/var/log/mail.log.4.gz:Dec 2 01:39:28 mondschein postfix/postscreen[3332]: NOQUEUE: reject: RCPT from [23.227.199.202]:59527: 550 5.7.1 Service unavailable; client [23.227.199.202] blocked using zen.spamhaus.org; from=spameri@tiscali.it, to=spameri@tiscali.it, proto=ESMTP, helo=<WIN- A0E4HLBNLRT>
mondschein:~> zgrep spameri@tiscali.it /var/log/mail.log* | wc -l 44
wie hast Du zen.spamhaus.org eingebunden?
bei mir scheint smtpd_client_restrictions = ...., reject_rbl_client zen.spamhaus.org, ... nie anzuschlagen ...
via postscreen:
# Postscreen postscreen_access_list = permit_mynetworks, cidr:/etc/postfix/postscreen_access.cidr postscreen_blacklist_action = drop postscreen_dnsbl_threshold = 3 postscreen_dnsbl_sites = zen.spamhaus.org*2 bl.mailspike.net*2 bl.spameatingmonkey.net dnsbl-1.uceprotect.net safe.dnsbl.sorbs.net ix.dnsbl.manitu.net bl.blocklist.de ubl.unsubscore.com psbl.surriel.com bl.spamcop.net dnsbl.inps.de # Whitelist swl.spamhaus.org*-3 list.dnswl.org=127.0.[0..255].0*-1 list.dnswl.org=127.0.[0..255].1*-2 list.dnswl.org=127.0.[0..255].[2..3]*-3 wl.mailspike.net=127.0.0.[17;18]*-1 wl.mailspike.net=127.0.0.[19;20]*-2 postscreen_dnsbl_action = enforce postscreen_greet_action = drop #postscreen_bare_newline_action = enforce #postscreen_bare_newline_enable = yes postscreen_non_smtp_command_enable = yes postscreen_non_smtp_command_action = drop #postscreen_pipelining_enable = yes #postscreen_pipelining_enable = enforce postscreen_cache_map = lmdb:$data_directory/postscreen_cache
Für Postscreen sind aber auch Anpassungen in der master.cf erforderlich. Außerdem braucht es einen extra SMTP Submission-Port für Mail-Programme, da Postscreen mit SMTP-Authentifizierung nichts anfangen kann.
Das ist aber alles ganz schön im entsprechenden Postscreen-HOWTO beschrieben.
Die obige Liste ist eine Mischung aus Dingen, die ich im Internet fand, + einer Diskussion auf der Mailingliste der Postfix-Buch-Benutzer. Und möglicherweise auch bereits wieder veraltet.
So ganz verstehe ich den Block aber auch nicht gerade. Zwei Punkte für einen Match auf zenhaus. Aber mein Grenzwert ist 3. Hmmm, das "*2" ist ein Faktor, wie das Malzeichen ansagt. Also liefert zenhaus da wohl bereits den Wert 2 oder höher zurück.
Ciao,
Am 2017-12-28 15:48, schrieb Martin Steigerwald:
So ganz verstehe ich den Block aber auch nicht gerade. Zwei Punkte für einen Match auf zenhaus. Aber mein Grenzwert ist 3. Hmmm, das "*2" ist ein Faktor, wie das Malzeichen ansagt. Also liefert zenhaus da wohl bereits den Wert 2 oder höher zurück.
Nein, das heisst: ein Treffer bei zenhaus wird mit dem Faktor 2 gewichtet. Bei einer Schwelle von 3 muss es also noch mindestens einen Treffer in einer anderen RBL geben.
J. Fahrner - 28.12.17, 16:13:
Am 2017-12-28 15:48, schrieb Martin Steigerwald:
So ganz verstehe ich den Block aber auch nicht gerade. Zwei Punkte für einen Match auf zenhaus. Aber mein Grenzwert ist 3. Hmmm, das "*2" ist ein Faktor, wie das Malzeichen ansagt. Also liefert zenhaus da wohl bereits den Wert 2 oder höher zurück.
Nein, das heisst: ein Treffer bei zenhaus wird mit dem Faktor 2 gewichtet. Bei einer Schwelle von 3 muss es also noch mindestens einen Treffer in einer anderen RBL geben.
Hmmm, okay. Den hat postscreen im Log dann aber nicht angezeigt. Auf jeden Fall hab ich den nicht gesehen.
Am 28.12.2017 um 13:37 schrieb J. Fahrner:
Hallo Liste, immer wenn ich so durch meine Logs scrolle, fällt mir eine Adresse ganz besonders auf: spameri@tiscali.it Wird zwar in schöner Regelmäßigkeit durch Blacklists geblockt, aber so langsam frage ich mich: was steckt da dahinter? Wer ist so bescheuert und nennt seinen Spamabsender "spameri"? Und probiert es damit in schöner Regelmäßigkeit immer wieder? Mittlerweile dürfte doch auch der letzte diese Mails blocken. Weiß jemand was da dahinter steckt? Ist das irgendsoein Botnetz aus der Saurierzeit, welches immer noch nicht trockengelegt ist? Würde mich jetzt echt mal interessieren.
Jochen
also zumindest tiscali.it spam absender sind in Internetjahren wirklich aus der Vorsteinzeit, der Rest ist wie immer Spekulation
Best Regards MfG Robert Schetterer
participants (6)
-
J. Fahrner -
Jan F -
Martin Steigerwald -
Robert Schetterer -
Ublun -
Walter H.