[postfix-users] Teergruben für Spammer
Hallo,
seit meinem Serverumzug vor ein paar Tagen schau ich nun wieder öfter mein Logfile an.... und bin entsetzt!
Innerhalb von 2 Tagen finde ich 87 Mails von einem Botnetz welches nach offenen Relays sucht. Absender ist jedesmal test@live.com, Empfänger ist meist therichsheickc@yahoo.com.
Yahoo darüber zu informieren dürfte wenig nützen, diese Adresse ist schon seit mehreren Jahren Empfänger für die Botnetz-Messages. Interessiert Yahoo offensichtlich nicht die Bohne.
Irgendwie nervt es mich aber auch, dass die meine Resourcen verschwenden und meine Logs zumüllen. Irgendwie muss man sich doch dagegen wehren.
Mein erster Gedanke war eine Teergrube einzurichten, um das Botnetz wenigstens etwas auszubremsen. Würden das alle machen, wäre der Spuk schnell vorbei, weil ineffektiv.
Gibt es eine Möglichkeit, alle abgewiesenen SMTP-Clients zu verzögern bis dieser freiwilig aufgibt? Das soll natürlich nur für die passieren, die nicht durch die access restrictions gekommen sind. Alle legitimen Mailserver sollen nicht behindert werden.
Am 22.03.2014 18:57, schrieb JF via postfix-users:
Hallo,
seit meinem Serverumzug vor ein paar Tagen schau ich nun wieder öfter mein Logfile an.... und bin entsetzt!
Innerhalb von 2 Tagen finde ich 87 Mails von einem Botnetz welches nach offenen Relays sucht. Absender ist jedesmal test@live.com, Empfänger ist meist therichsheickc@yahoo.com.
sei mir nicht boese, aber das ist Kinderkram 87 botmails hatte ich schon per sekunde ( mit einer mini domain auf dedizierten Server ), solange du die mails abweist ist es nur ein kosmetisches Problem
Yahoo darüber zu informieren dürfte wenig nützen, diese Adresse ist schon seit mehreren Jahren Empfänger für die Botnetz-Messages. Interessiert Yahoo offensichtlich nicht die Bohne.
was soll denn yahoo da konkret tun, sender und empfaenger sind doch beliebig einricht bzw faelschbar
Irgendwie nervt es mich aber auch, dass die meine Resourcen verschwenden und meine Logs zumüllen. Irgendwie muss man sich doch dagegen wehren.
das kann allerdings zum Problem werden, bei einem kleinen server wuerde ich fail2ban empfehlen
ansonsten lies dir das hier mal durch
https://sys4.de/de/blog/2012/12/28/botnets-mit-rsyslog-und-iptables-recent-m...
Mein erster Gedanke war eine Teergrube einzurichten, um das Botnetz wenigstens etwas auszubremsen. Würden das alle machen, wäre der Spuk schnell vorbei, weil ineffektiv.
also sehr gut ist postscreen zur botabwehr
Gibt es eine Möglichkeit, alle abgewiesenen SMTP-Clients zu verzögern bis dieser freiwilig aufgibt? Das soll natürlich nur für die passieren, die nicht durch die access restrictions gekommen sind. Alle legitimen Mailserver sollen nicht behindert werden.
du willst keinen Muell verzoegern, auch verzoegern bindet resourcen, du willst ihn loswerden, zu deiner Frage, ich hatte solche Teergruben im Einsatz ,hilft nix
Allerdings muss man bei der Spamabwehr immer dazusagen jeder hat seinen eigenen Spam, deshalb sind Empfehlungen dazu nicht per se in jedes Setup uebertragbar, du machst das also schon richtig log ansehen, und sich dann ueberlegen welche Massnahme die Richtige ist. Voellig loswerden wirst du diesen Botmuell nie ganz.
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
Am 22.03.2014 19:49, schrieb Robert Schetterer via postfix-users:
was soll denn yahoo da konkret tun, sender und empfaenger sind doch beliebig einricht bzw faelschbar
Es ging nicht um Spam, sondern um Botnetze die offene Relais aufspüren. Im Falle dass ein offenes Relais gefunden wurde geht die Info an die Empfängeradresse. Also bei Yahoo. Solange Yahoo diese Konten nicht sperrt geht das Treiben munter weiter.
Natürlich könnten die sofort wieder ein neues Konto aufmachen, aber dann müssten sie auch ihre Auswerte-Software anpassen. Auf jeden Fall macht sich Yahoo mitschuldig.
Am 22.03.2014 19:59, schrieb JF via postfix-users:
Am 22.03.2014 19:49, schrieb Robert Schetterer via postfix-users:
was soll denn yahoo da konkret tun, sender und empfaenger sind doch beliebig einricht bzw faelschbar
Es ging nicht um Spam, sondern um Botnetze die offene Relais aufspüren. Im Falle dass ein offenes Relais gefunden wurde geht die Info an die Empfängeradresse. Also bei Yahoo. Solange Yahoo diese Konten nicht sperrt geht das Treiben munter weiter.
und wenn das ein legitimes kto ist , woher weisst du dass es nicht gesperrt ist, und wie du schon selbst bemerkt hast wo soll das enden die spammer koennen das zu jeder Zeit aendern, alle Adressen kann man einfach nicht sperren, das ist kein sinnvoller Ansatz, das kann man per se gleich lassen
Natürlich könnten die sofort wieder ein neues Konto aufmachen, aber dann müssten sie auch ihre Auswerte-Software anpassen. Auf jeden Fall macht sich Yahoo mitschuldig.
alles reine Spekulation, solange du den code des bots nicht kennst
meist haben bots es nicht noetig irgendwas zu validieren, die schiessen auf alles was port 25 offen hat, gehts durch ok , wenn nicht egal, die Antwort wird fuer gewoehnlich nicht gross ausgewertet, sonst hatten "meine" bots schon vor Jahren damit aufgehoert, dem ist aber nicht so.
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
Am 22.03.2014 22:00, schrieb Robert Schetterer via postfix-users:
und wenn das ein legitimes kto ist , woher weisst du dass es nicht gesperrt ist, und wie du schon selbst bemerkt hast wo soll das enden die spammer koennen das zu jeder Zeit aendern, alle Adressen kann man einfach nicht sperren, das ist kein sinnvoller Ansatz, das kann man per se gleich lassen
Hier ist beschrieben wie der Bot funktioniert: http://blog.wordtothewise.com/2013/12/open-relays/
Die schreiben die IP des offenen Servers in den Betreff rein. Also müssen sie die Mails selber empfangen um den auswerten zu können.
Die Zombis feuern einfach wild Mails durch die Gegend, die kümmern sich nicht darum ob die zustellbar waren.
Am 23.03.2014 07:17, schrieb JF via postfix-users:
Am 22.03.2014 22:00, schrieb Robert Schetterer via postfix-users:
und wenn das ein legitimes kto ist , woher weisst du dass es nicht gesperrt ist, und wie du schon selbst bemerkt hast wo soll das enden die spammer koennen das zu jeder Zeit aendern, alle Adressen kann man einfach nicht sperren, das ist kein sinnvoller Ansatz, das kann man per se gleich lassen
Hier ist beschrieben wie der Bot funktioniert: http://blog.wordtothewise.com/2013/12/open-relays/
You can see that they use multiple test destination addresses, so that even if they lose access to some they won’t lose the results of the relay test. In this case they’re using yahoo.com addresses, which isn’t at all unusual.
also nichts Neues, wie ich schon sagte kosmetisches Problem, solange auf deinem Server davon nichts relayed wird, wenns dich arg stoert setze eine fail2ban regex mit iptables reject auf die Empfaenger Adressen an, wird aber sicher nicht lange was nutzen
Die schreiben die IP des offenen Servers in den Betreff rein. Also müssen sie die Mails selber empfangen um den auswerten zu können.
Die Zombis feuern einfach wild Mails durch die Gegend, die kümmern sich nicht darum ob die zustellbar waren.
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
participants (2)
-
JF via postfix-users -
Robert Schetterer via postfix-users