Hallo zusammen,
wir bekommen hier in den letzten Wochen immer wieder DHL Paketankündigungen mit Links oder mit Dateianhängen in denen dann der Email Inhalt mit dem Link angehängt ist. Der Link ist entweder ein reines PDF oder aber ein PDF im ZIP.
Konntet Ihr dies auch beobachten und wenn ja, wie kann ich das wegfiltern?
Ich habe nichts gefunden, worauf man irgendwelche Regex machen kann.
Hier mal eine Mail von denen:
Unser Mailgateway ist eine Sophos und ich würde gerne davor oder dahinter ein Postfix stellen, wenn dieser besser filtern könnte, aber mir fällt nichts ein, wie ich das bewerkstelligen kann.
Was mich am Meisten verwundert ist die Tatsache, dass die Spammer unsere Email Adressen kennen, auch die internen, die in keinem Adressbuch vorhanden sind.
Danke und Gruß Sören
----- Message from Sören Mindorf soeren+postfixde@mindorf-it.de --------- Date: Tue, 19 May 2015 09:59:34 +0200 From: Sören Mindorf soeren+postfixde@mindorf-it.de Subject: DHL Spam To: postfix-users@de.postfix.org
Hallo zusammen,
wir bekommen hier in den letzten Wochen immer wieder DHL Paketankündigungen mit Links oder mit Dateianhängen in denen dann der Email Inhalt mit dem Link angehängt ist. Der Link ist entweder ein reines PDF oder aber ein PDF im ZIP.
Konntet Ihr dies auch beobachten und wenn ja, wie kann ich das wegfiltern?
Ich habe nichts gefunden, worauf man irgendwelche Regex machen kann.
Hier mal eine Mail von denen:
schau mal, hier fehlt das Leerzeichen zwischen Klartextnamen und Mailadresse: From: "DHL Team"<web25p4>
Viele Gruesse Helga
Unser Mailgateway ist eine Sophos und ich würde gerne davor oder dahinter ein Postfix stellen, wenn dieser besser filtern könnte, aber mir fällt nichts ein, wie ich das bewerkstelligen kann.
Was mich am Meisten verwundert ist die Tatsache, dass die Spammer unsere Email Adressen kennen, auch die internen, die in keinem Adressbuch vorhanden sind.
Danke und Gruß Sören
-- Sören Mindorf
----- End message from Sören Mindorf soeren+postfixde@mindorf-it.de -----
Hallo Sören,
DHL verwendet SPF und DMARC, damit kannst du solche Fake-Mails leicht rausfiltern.
Deine Mailadressen kannst du heutzutage nicht mehr geheim halten. Die Spammer verwenden heute Trojaner die infizierte Rechner nach Mailadressbüchern (z.B. Outlook) durchsuchen und nach Hause schicken. Sobald deine Mailadresse bei jemandem gespeichert ist der sich solch einen Trojaner eingefangen hat, landet sie direkt bei den Spammern.
Am 19.05.2015 um 09:59 schrieb Sören Mindorf:
Hallo zusammen,
wir bekommen hier in den letzten Wochen immer wieder DHL Paketankündigungen mit Links oder mit Dateianhängen in denen dann der Email Inhalt mit dem Link angehängt ist. Der Link ist entweder ein reines PDF oder aber ein PDF im ZIP.
Konntet Ihr dies auch beobachten und wenn ja, wie kann ich das wegfiltern?
Ich habe nichts gefunden, worauf man irgendwelche Regex machen kann.
Hier mal eine Mail von denen:
Unser Mailgateway ist eine Sophos und ich würde gerne davor oder dahinter ein Postfix stellen, wenn dieser besser filtern könnte, aber mir fällt nichts ein, wie ich das bewerkstelligen kann.
Was mich am Meisten verwundert ist die Tatsache, dass die Spammer unsere Email Adressen kennen, auch die internen, die in keinem Adressbuch vorhanden sind.
Danke und Gruß Sören
-- Mit besten Grüßen Joachim Fahrner
Am 19.05.2015 um 09:59 schrieb Sören Mindorf:
Hallo zusammen,
wir bekommen hier in den letzten Wochen immer wieder DHL Paketankündigungen mit Links oder mit Dateianhängen in denen dann der Email Inhalt mit dem Link angehängt ist. Der Link ist entweder ein reines PDF oder aber ein PDF im ZIP.
Konntet Ihr dies auch beobachten
kommt immer wieder mal ,in Wellen
und wenn ja, wie kann ich das wegfiltern?
Ich habe nichts gefunden, worauf man irgendwelche Regex machen kann.
mit regex geht evtl das From: , ist aber sicher keine Dauer Loesung
Hier mal eine Mail von denen:
Unser Mailgateway ist eine Sophos und ich würde gerne davor oder dahinter ein Postfix stellen, wenn dieser besser filtern könnte, aber mir fällt nichts ein, wie ich das bewerkstelligen kann.
Amavis sollte die beste Loesung sein weil sehr flexibel, aber auch das catched nicht immer alles, kannst du als Gateway konfigurieren
Was mich am Meisten verwundert ist die Tatsache, dass die Spammer unsere Email Adressen kennen, auch die internen, die in keinem Adressbuch vorhanden sind.
woher willst du wissen in welchen Adressbuechern oder sonstigen Datenbanken "deine" Adressen existieren oder nicht.....
betreibe mal mehr log Analyse mit diesen Mails evtl sind es immer die gleichen Sender ips etc
Danke und Gruß Sören
Best Regards MfG Robert Schetterer
Kann man direkt weglöschen. Die Streiken doch sowieso und liefern nicht aus :-)
Magnus
-----Original Message----- From: postfix-users [mailto:postfix-users-bounces+wagner=dhm.de@de.postfix.org] On Behalf Of Robert Schetterer Sent: Tuesday, May 19, 2015 5:19 PM To: postfix-users@de.postfix.org Subject: Re: DHL Spam
Am 19.05.2015 um 09:59 schrieb Sören Mindorf:
Hallo zusammen,
wir bekommen hier in den letzten Wochen immer wieder DHL Paketankündigungen mit Links oder mit Dateianhängen in denen dann der Email Inhalt mit dem Link angehängt ist. Der Link ist entweder ein reines PDF oder aber ein PDF im ZIP.
Konntet Ihr dies auch beobachten
kommt immer wieder mal ,in Wellen
und wenn ja, wie kann ich das wegfiltern?
Ich habe nichts gefunden, worauf man irgendwelche Regex machen kann.
mit regex geht evtl das From: , ist aber sicher keine Dauer Loesung
Hier mal eine Mail von denen:
Unser Mailgateway ist eine Sophos und ich würde gerne davor oder dahinter ein Postfix stellen, wenn dieser besser filtern könnte, aber mir fällt nichts ein, wie ich das bewerkstelligen kann.
Amavis sollte die beste Loesung sein weil sehr flexibel, aber auch das catched nicht immer alles, kannst du als Gateway konfigurieren
Was mich am Meisten verwundert ist die Tatsache, dass die Spammer unsere Email Adressen kennen, auch die internen, die in keinem Adressbuch vorhanden sind.
woher willst du wissen in welchen Adressbuechern oder sonstigen Datenbanken "deine" Adressen existieren oder nicht.....
betreibe mal mehr log Analyse mit diesen Mails evtl sind es immer die gleichen Sender ips etc
Danke und Gruß Sören
Best Regards MfG Robert Schetterer
participants (5)
-
Helga Mayer -
Joachim Fahrner -
Magnus Wagner -
Robert Schetterer -
Sören Mindorf