Hallo Liste, es gibt da einen ziemlich üblen kriminellen Burschen namens Mario Rönsch. Der hat diverse Datenbanken gehackt und sich deren Mailadressen bemächtigt. Nun schickt der Typ penetrant rechtsextreme Mails an all diese Adressen. Ihm gehört die Seite anonymousnews.ru, früher migrantenschreck.ru (das war ein Onlineshop der ihm von den Behörden dicht gemacht wurde), und mittlerweile betreibt er einen neuen Shop patriotenshop.com für den er Werbung macht.
Ich hab keinen Plan wie ich den effektiv blocken kann. Ich weiß auch nicht wie er es schafft unter dem Radar diverser Blacklists zu bleiben. Wahrscheinlich, weil seine Adressen eben echte Adressen sind und keine Honigtöpfe. Hat jemand eine Idee? Das ist eine aktuelle Mail von ihm:
Jul 18 18:06:04 server postfix/postscreen[8738]: CONNECT from [193.70.118.115]:62287 to [172.31.1.100]:25 Jul 18 18:06:04 server postfix/dnsblog[8739]: addr 193.70.118.115 listed by domain dnsbl-2.uceprotect.net as 127.0.0.2 Jul 18 18:06:04 server postfix/postscreen[8738]: PREGREET 11 after 0.01 from [193.70.118.115]:62287: EHLO User\r\n Jul 18 18:06:04 server postfix/postscreen[8738]: DNSBL rank 2 for [193.70.118.115]:62287 Jul 18 18:06:04 server postfix/postscreen[8738]: DISCONNECT [193.70.118.115]:62287 Jul 18 18:09:01 server postfix/postscreen[8938]: CONNECT from [198.2.181.10]:29100 to [172.31.1.100]:25 Jul 18 18:09:01 server postfix/postscreen[8938]: PASS OLD [198.2.181.10]:29100 Jul 18 18:09:01 server postfix/smtpd[8939]: connect from mail10.suw17.mcsv.net[198.2.181.10] Jul 18 18:09:05 server postgrey[2574]: action=pass, reason=triplet found, delay=907, client_name=mail10.suw17.mcsv.net, client_address=198.2.181.10, s ender=bounce-mc.us16_78343126.45573-jf=fahrner.name@mail10.suw17.mcsv.net, recipient=jf@fahrner.name Jul 18 18:09:05 server postfix/policyd-weight[23996]: decided action=PREPEND X-policyd-weight: using cached result; rate: -6.1; <client=mail10.suw17.m csv.net[198.2.181.10]> <helo=mail10.suw17.mcsv.net> from=bounce-mc.us16_78343126.45573-jf=fahrner.name@mail10.suw17.mcsv.net to=jf@fahrner.name; d elay: 0s Jul 18 18:09:05 server postfix/smtpd[8939]: D52EC1000F7: client=mail10.suw17.mcsv.net[198.2.181.10] Jul 18 18:09:05 server postfix/cleanup[8983]: D52EC1000F7: message-id=<78975410ea83919029406d9c3.90be32de70.20170718155312.e4577d47ca.b67f221f@mail10. suw17.mcsv.net> Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: mail10.suw17.mcsv.net [198.2.181.10] not internal Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: not authenticated Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: DKIM verification successful Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: s=k1 d=mail10.suw17.mcsv.net SSL Jul 18 18:09:06 server opendmarc[3989]: D52EC1000F7: patriotenshop.com none Jul 18 18:09:06 server spamd[16259]: spamd: got connection over /var/run/spamd.sock Jul 18 18:09:06 server spamd[16259]: spamd: processing message 78975410ea83919029406d9c3.90be32de70.20170718155312.e4577d47ca.b67f221f@mail10.suw17.mcsv.net for jf:116 Jul 18 18:09:08 server spamd[16259]: spamd: clean message (1.1/5.0) for jf:116 in 1.4 seconds, 67257 bytes. Jul 18 18:09:08 server spamd[16259]: spamd: result: . 1 - HEADER_FROM_DIFFERENT_DOMAINS,HTML_MESSAGE,MIME_QP_LONG_LINE,T_DKIM_INVALID,UNPARSEABLE_RELAY,URIBL_GREY scantime=1.4,size=67257,user=jf,uid=116,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=/var/run/spamd.sock,mid=78975410ea83919029406d9c3.90be32de70.20170718155312.e4577d47ca.b67f221f@mail10.suw17.mcsv.net,autolearn=no autolearn_force=no Jul 18 18:09:08 server postfix/qmgr[22427]: D52EC1000F7: from=bounce-mc.us16_78343126.45573-jf=fahrner.name@mail10.suw17.mcsv.net, size=66809, nrcpt=1 (queue active) Jul 18 18:09:08 server spamd[6562]: prefork: child states: II Jul 18 18:09:08 server postfix/smtpd[8939]: disconnect from mail10.suw17.mcsv.net[198.2.181.10] Jul 18 18:09:08 server postfix/pipe[8985]: D52EC1000F7: to=<...>, orig_to=jf@fahrner.name, relay=dovecot, delay=6.6, delays=6.5/0.02/0/0.13, dsn=2.0.0, status=sent (delivered via dovecot service) Jul 18 18:09:08 server postfix/qmgr[22427]: D52EC1000F7: removed
On 18.07.2017 18:32, Joachim Fahrner wrote:
Ich hab keinen Plan wie ich den effektiv blocken kann. Ich weiß auch nicht wie er es schafft unter dem Radar diverser Blacklists zu bleiben. Wahrscheinlich, weil seine Adressen eben echte Adressen sind und keine Honigtöpfe. Hat jemand eine Idee?
wenn Du die Domains schon kennst, einfach die sperren ... header_checks und FROM eben auf .ru, fertig ...
Das ist eine aktuelle Mail von ihm:
eigentlich ein Maillogauszug ...
Jul 18 18:06:04 server postfix/postscreen[8738]: ...
wie sieht wirklich so eine Mail (Mail-Header) aus?
Am 18.07.2017 um 18:32 schrieb Joachim Fahrner:
Hallo Liste, es gibt da einen ziemlich üblen kriminellen Burschen namens Mario Rönsch. Der hat diverse Datenbanken gehackt und sich deren Mailadressen bemächtigt. Nun schickt der Typ penetrant rechtsextreme Mails an all diese Adressen. Ihm gehört die Seite anonymousnews.ru, früher migrantenschreck.ru (das war ein Onlineshop der ihm von den Behörden dicht gemacht wurde), und mittlerweile betreibt er einen neuen Shop patriotenshop.com für den er Werbung macht.
Ich hab keinen Plan wie ich den effektiv blocken kann. Ich weiß auch nicht wie er es schafft unter dem Radar diverser Blacklists zu bleiben. Wahrscheinlich, weil seine Adressen eben echte Adressen sind und keine Honigtöpfe. Hat jemand eine Idee? Das ist eine aktuelle Mail von ihm:
Jul 18 18:06:04 server postfix/postscreen[8738]: CONNECT from [193.70.118.115]:62287 to [172.31.1.100]:25 Jul 18 18:06:04 server postfix/dnsblog[8739]: addr 193.70.118.115 listed by domain dnsbl-2.uceprotect.net as 127.0.0.2 Jul 18 18:06:04 server postfix/postscreen[8738]: PREGREET 11 after 0.01 from [193.70.118.115]:62287: EHLO User\r\n Jul 18 18:06:04 server postfix/postscreen[8738]: DNSBL rank 2 for [193.70.118.115]:62287 Jul 18 18:06:04 server postfix/postscreen[8738]: DISCONNECT [193.70.118.115]:62287 Jul 18 18:09:01 server postfix/postscreen[8938]: CONNECT from [198.2.181.10]:29100 to [172.31.1.100]:25 Jul 18 18:09:01 server postfix/postscreen[8938]: PASS OLD [198.2.181.10]:29100 Jul 18 18:09:01 server postfix/smtpd[8939]: connect from mail10.suw17.mcsv.net[198.2.181.10] Jul 18 18:09:05 server postgrey[2574]: action=pass, reason=triplet found, delay=907, client_name=mail10.suw17.mcsv.net, client_address=198.2.181.10, s ender=bounce-mc.us16_78343126.45573-jf=fahrner.name@mail10.suw17.mcsv.net, recipient=jf@fahrner.name Jul 18 18:09:05 server postfix/policyd-weight[23996]: decided action=PREPEND X-policyd-weight: using cached result; rate: -6.1; <client=mail10.suw17.m csv.net[198.2.181.10]> <helo=mail10.suw17.mcsv.net> from=bounce-mc.us16_78343126.45573-jf=fahrner.name@mail10.suw17.mcsv.net to=jf@fahrner.name; d elay: 0s Jul 18 18:09:05 server postfix/smtpd[8939]: D52EC1000F7: client=mail10.suw17.mcsv.net[198.2.181.10] Jul 18 18:09:05 server postfix/cleanup[8983]: D52EC1000F7: message-id=<78975410ea83919029406d9c3.90be32de70.20170718155312.e4577d47ca.b67f221f@mail10.
suw17.mcsv.net> Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: mail10.suw17.mcsv.net [198.2.181.10] not internal Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: not authenticated Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: DKIM verification successful Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: s=k1 d=mail10.suw17.mcsv.net SSL Jul 18 18:09:06 server opendmarc[3989]: D52EC1000F7: patriotenshop.com none Jul 18 18:09:06 server spamd[16259]: spamd: got connection over /var/run/spamd.sock Jul 18 18:09:06 server spamd[16259]: spamd: processing message 78975410ea83919029406d9c3.90be32de70.20170718155312.e4577d47ca.b67f221f@mail10.suw17.mcsv.net for jf:116 Jul 18 18:09:08 server spamd[16259]: spamd: clean message (1.1/5.0) for jf:116 in 1.4 seconds, 67257 bytes. Jul 18 18:09:08 server spamd[16259]: spamd: result: . 1 - HEADER_FROM_DIFFERENT_DOMAINS,HTML_MESSAGE,MIME_QP_LONG_LINE,T_DKIM_INVALID,UNPARSEABLE_RELAY,URIBL_GREY scantime=1.4,size=67257,user=jf,uid=116,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=/var/run/spamd.sock,mid=78975410ea83919029406d9c3.90be32de70.20170718155312.e4577d47ca.b67f221f@mail10.suw17.mcsv.net,autolearn=no autolearn_force=no Jul 18 18:09:08 server postfix/qmgr[22427]: D52EC1000F7: from=bounce-mc.us16_78343126.45573-jf=fahrner.name@mail10.suw17.mcsv.net, size=66809, nrcpt=1 (queue active) Jul 18 18:09:08 server spamd[6562]: prefork: child states: II Jul 18 18:09:08 server postfix/smtpd[8939]: disconnect from mail10.suw17.mcsv.net[198.2.181.10] Jul 18 18:09:08 server postfix/pipe[8985]: D52EC1000F7: to=<...>, orig_to=jf@fahrner.name, relay=dovecot, delay=6.6, delays=6.5/0.02/0/0.13, dsn=2.0.0, status=sent (delivered via dovecot service) Jul 18 18:09:08 server postfix/qmgr[22427]: D52EC1000F7: removed
sowas gab es schon mal ,war aber sehr primitiv damals man konnte mit body checks arbeiten , da die Botschaften sehr primitiv und einfoermig waren, haste mal ein Beispiel des contents ?
Best Regards MfG Robert Schetterer
* Robert Schetterer rs@sys4.de:
Am 18.07.2017 um 18:32 schrieb Joachim Fahrner:
Hallo Liste, es gibt da einen ziemlich üblen kriminellen Burschen namens Mario Rönsch. Der hat diverse Datenbanken gehackt und sich deren Mailadressen bemächtigt. Nun schickt der Typ penetrant rechtsextreme Mails an all diese Adressen. Ihm gehört die Seite anonymousnews.ru, früher migrantenschreck.ru (das war ein Onlineshop der ihm von den Behörden dicht gemacht wurde), und mittlerweile betreibt er einen neuen Shop patriotenshop.com für den er Werbung macht.
sowas gab es schon mal ,war aber sehr primitiv damals man konnte mit body checks arbeiten , da die Botschaften sehr primitiv und einfoermig waren, haste mal ein Beispiel des contents ?
Gutes Gedächtnis! :) Die header_checks (!) haben wir damals gepostet:
https://listi.jpberlin.de/pipermail/postfixbuch-users/2005-May/016810.html
Dem kannst Du im Ansatz folgen.
p@rick
Am 19.07.2017 um 09:28 schrieb Patrick Ben Koetter:
- Robert Schetterer rs@sys4.de:
Am 18.07.2017 um 18:32 schrieb Joachim Fahrner:
Hallo Liste, es gibt da einen ziemlich üblen kriminellen Burschen namens Mario Rönsch. Der hat diverse Datenbanken gehackt und sich deren Mailadressen bemächtigt. Nun schickt der Typ penetrant rechtsextreme Mails an all diese Adressen. Ihm gehört die Seite anonymousnews.ru, früher migrantenschreck.ru (das war ein Onlineshop der ihm von den Behörden dicht gemacht wurde), und mittlerweile betreibt er einen neuen Shop patriotenshop.com für den er Werbung macht.
sowas gab es schon mal ,war aber sehr primitiv damals man konnte mit body checks arbeiten , da die Botschaften sehr primitiv und einfoermig waren, haste mal ein Beispiel des contents ?
Gutes Gedächtnis! :)
gehts so *g
Die header_checks (!) haben wir damals gepostet:
siehste ich war bei body checks ....also doch nimmer so gut die grauen Zellen ...
im konkreten Fall ( hatte ein Bsp offlist ) wuerden die evtl auch funktionieren
<https://listi.jpberlin.de/pipermail/postfixbuch-users/2005-May/016810.html>Dem kannst Du im Ansatz folgen.
p@rick
schaetze es wurden genug Loesungsansaetze gepostet, sollte reichen
Best Regards MfG Robert Schetterer
Am 18.07.2017 um 18:32 schrieb Joachim Fahrner:
Hallo Liste, es gibt da einen ziemlich üblen kriminellen Burschen namens Mario Rönsch. Der hat diverse Datenbanken gehackt und sich deren Mailadressen bemächtigt. Nun schickt der Typ penetrant rechtsextreme Mails an all diese Adressen. Ihm gehört die Seite anonymousnews.ru, früher migrantenschreck.ru (das war ein Onlineshop der ihm von den Behörden dicht gemacht wurde), und mittlerweile betreibt er einen neuen Shop patriotenshop.com für den er Werbung macht.
Ich hab keinen Plan wie ich den effektiv blocken kann. Ich weiß auch nicht wie er es schafft unter dem Radar diverser Blacklists zu bleiben. Wahrscheinlich, weil seine Adressen eben echte Adressen sind und keine Honigtöpfe. Hat jemand eine Idee? Das ist eine aktuelle Mail von ihm:
Jul 18 18:06:04 server postfix/postscreen[8738]: CONNECT from [193.70.118.115]:62287 to [172.31.1.100]:25 Jul 18 18:06:04 server postfix/dnsblog[8739]: addr 193.70.118.115 listed by domain dnsbl-2.uceprotect.net as 127.0.0.2 Jul 18 18:06:04 server postfix/postscreen[8738]: PREGREET 11 after 0.01 from [193.70.118.115]:62287: EHLO User\r\n Jul 18 18:06:04 server postfix/postscreen[8738]: DNSBL rank 2 for [193.70.118.115]:62287 Jul 18 18:06:04 server postfix/postscreen[8738]: DISCONNECT [193.70.118.115]:62287 Jul 18 18:09:01 server postfix/postscreen[8938]: CONNECT from [198.2.181.10]:29100 to [172.31.1.100]:25 Jul 18 18:09:01 server postfix/postscreen[8938]: PASS OLD [198.2.181.10]:29100 Jul 18 18:09:01 server postfix/smtpd[8939]: connect from mail10.suw17.mcsv.net[198.2.181.10] Jul 18 18:09:05 server postgrey[2574]: action=pass, reason=triplet found, delay=907, client_name=mail10.suw17.mcsv.net, client_address=198.2.181.10, s ender=bounce-mc.us16_78343126.45573-jf=fahrner.name@mail10.suw17.mcsv.net, recipient=jf@fahrner.name Jul 18 18:09:05 server postfix/policyd-weight[23996]: decided action=PREPEND X-policyd-weight: using cached result; rate: -6.1; <client=mail10.suw17.m csv.net[198.2.181.10]> <helo=mail10.suw17.mcsv.net> from=bounce-mc.us16_78343126.45573-jf=fahrner.name@mail10.suw17.mcsv.net to=jf@fahrner.name; d elay: 0s Jul 18 18:09:05 server postfix/smtpd[8939]: D52EC1000F7: client=mail10.suw17.mcsv.net[198.2.181.10] Jul 18 18:09:05 server postfix/cleanup[8983]: D52EC1000F7: message-id=<78975410ea83919029406d9c3.90be32de70.20170718155312.e4577d47ca.b67f221f@mail10.
suw17.mcsv.net> Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: mail10.suw17.mcsv.net [198.2.181.10] not internal Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: not authenticated Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: DKIM verification successful Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: s=k1 d=mail10.suw17.mcsv.net SSL Jul 18 18:09:06 server opendmarc[3989]: D52EC1000F7: patriotenshop.com none Jul 18 18:09:06 server spamd[16259]: spamd: got connection over /var/run/spamd.sock Jul 18 18:09:06 server spamd[16259]: spamd: processing message 78975410ea83919029406d9c3.90be32de70.20170718155312.e4577d47ca.b67f221f@mail10.suw17.mcsv.net for jf:116 Jul 18 18:09:08 server spamd[16259]: spamd: clean message (1.1/5.0) for jf:116 in 1.4 seconds, 67257 bytes. Jul 18 18:09:08 server spamd[16259]: spamd: result: . 1 - HEADER_FROM_DIFFERENT_DOMAINS,HTML_MESSAGE,MIME_QP_LONG_LINE,T_DKIM_INVALID,UNPARSEABLE_RELAY,URIBL_GREY scantime=1.4,size=67257,user=jf,uid=116,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=/var/run/spamd.sock,mid=78975410ea83919029406d9c3.90be32de70.20170718155312.e4577d47ca.b67f221f@mail10.suw17.mcsv.net,autolearn=no autolearn_force=no Jul 18 18:09:08 server postfix/qmgr[22427]: D52EC1000F7: from=bounce-mc.us16_78343126.45573-jf=fahrner.name@mail10.suw17.mcsv.net, size=66809, nrcpt=1 (queue active) Jul 18 18:09:08 server spamd[6562]: prefork: child states: II Jul 18 18:09:08 server postfix/smtpd[8939]: disconnect from mail10.suw17.mcsv.net[198.2.181.10] Jul 18 18:09:08 server postfix/pipe[8985]: D52EC1000F7: to=<...>, orig_to=jf@fahrner.name, relay=dovecot, delay=6.6, delays=6.5/0.02/0/0.13, dsn=2.0.0, status=sent (delivered via dovecot service) Jul 18 18:09:08 server postfix/qmgr[22427]: D52EC1000F7: removed
aso und wenn du spamassassin laufen hast kannst du da domains auch blacklisten, sollte auch mit sieve dovecot funktionieren mit zb globaler filter rule auf die domain evtl kombiniert mit einem content filter
Best Regards MfG Robert Schetterer
Am 2017-07-18 19:46, schrieb Robert Schetterer:
aso und wenn du spamassassin laufen hast kannst du da domains auch blacklisten, sollte auch mit sieve dovecot funktionieren mit zb globaler filter rule auf die domain evtl kombiniert mit einem content filter
Sieve habe ich auch, damit wäre es einfach. Aber mit Sieve rejecten ist nicht die feine Art (Stichwort Backscatter). Ich könnte es natürlich auch einfach in den Müll schieben. Aber lieber wäre mir ein echter Reject auf MTA Ebene, damit der Absender auch was davon hat. ;-)
Am 18.07.2017 um 19:55 schrieb Joachim Fahrner:
Am 2017-07-18 19:46, schrieb Robert Schetterer:
aso und wenn du spamassassin laufen hast kannst du da domains auch blacklisten, sollte auch mit sieve dovecot funktionieren mit zb globaler filter rule auf die domain evtl kombiniert mit einem content filter
Sieve habe ich auch, damit wäre es einfach. Aber mit Sieve rejecten ist nicht die feine Art (Stichwort Backscatter).
je nachdem wie du das realisiert hast muss du dir daruber keinen Kopf machen, wirklichen Backscatter hab ich damit noch nicht gesehen aber es ist natuerlich rein technisch schon moeglich bleibt also blacklisten im spamassassin, habe ich als milter damit ist es unbedenklich
Ich könnte es natürlich
auch einfach in den Müll schieben. Aber lieber wäre mir ein echter Reject auf MTA Ebene, damit der Absender auch was davon hat. ;-)
zb. body checks fuer dein Beispiel
Best Regards MfG Robert Schetterer
Am 2017-07-18 19:46, schrieb Robert Schetterer:
aso und wenn du spamassassin laufen hast kannst du da domains auch blacklisten, sollte auch mit sieve dovecot funktionieren mit zb globaler filter rule auf die domain evtl kombiniert mit einem content filter
Spamassassin ist ein guter Tipp. Mit blacklist_from *@patriotenshop.com
müsste es eigentlich klappen. Bin gespannt ob jetzt Ruhe ist.
Hallo Joachim, Hallo Liste
Ich habe es z.B. mit "header_checks.pcre" gelöst
Postconf:
~
header_checks = pcre:/etc/postfix/header_checks.pcre
~
mail:/etc/postfix # cat header_checks.pcre # Spammschutz # # Whitelist! #/jan@friedrichs.xyz/ OK >> TEST Whitelist << # blocked Addresses # /^From:.*admin@goodservers.com/ REJECT spam protection Rule From *SPAMMER* /^From:.*@traffic4u.tk/ REJECT spam protection Rule From *SPAMMER* #/@gmail.com/ REJECT >> TEST << #/^From:.*@gmail.com/ REJECT >> TEST 2 << # # blocked Subjects # #/^Subject:.*Test/ REJECT spam protection Subject-Rule-1 #/^Subject:.*Blub/ REJECT spam protection Subject-Rule-2 # # blocked Domains # #/^From:.*@gmx.de/ REJECT spam protection Domain-Rule-1 /^From:.*@info.sixt.de/ REJECT *Unsubscribe Newsletter not possible!*
Ich habe mal bewusst die "Test" und Übungs" Eintrage drinn gelassen.
Grüße Jan
Am 18.07.2017 um 20:26 schrieb Joachim Fahrner:
Am 2017-07-18 19:46, schrieb Robert Schetterer:
aso und wenn du spamassassin laufen hast kannst du da domains auch blacklisten, sollte auch mit sieve dovecot funktionieren mit zb globaler filter rule auf die domain evtl kombiniert mit einem content filter
Spamassassin ist ein guter Tipp. Mit blacklist_from *@patriotenshop.com
müsste es eigentlich klappen. Bin gespannt ob jetzt Ruhe ist.
Am 2017-07-18 23:32, schrieb Jan F:
Ich habe es z.B. mit "header_checks.pcre" gelöst
Danke für dein Beispiel. Mit header_checks habe ich mich bisher noch nicht befasst. Werde es mal ausprobieren.
Am 18.07.2017 um 18:32 schrieb Joachim Fahrner:
Hallo Liste, es gibt da einen ziemlich üblen kriminellen Burschen namens Mario Rönsch. Der hat diverse Datenbanken gehackt und sich deren Mailadressen bemächtigt. Nun schickt der Typ penetrant rechtsextreme Mails an all diese Adressen. Ihm gehört die Seite anonymousnews.ru, früher migrantenschreck.ru (das war ein Onlineshop der ihm von den Behörden dicht gemacht wurde), und mittlerweile betreibt er einen neuen Shop patriotenshop.com für den er Werbung macht.
Ich hab keinen Plan wie ich den effektiv blocken kann. Ich weiß auch nicht wie er es schafft unter dem Radar diverser Blacklists zu bleiben. Wahrscheinlich, weil seine Adressen eben echte Adressen sind und keine Honigtöpfe. Hat jemand eine Idee?
Wenn es hier nur um Deinen privaten Mailserver geht, und Du sonst keine legitimen Nachrichten aus Russland bekommst, kannst Du es mit 'check_sender_ns_access' versuchen. Seine Domains verweisen alle auf die selben Nameserver: ns4.nic.ru ns3.nic.ru ns8.nic.ru
Am 2017-07-19 09:07, schrieb Alex JOST:
Wenn es hier nur um Deinen privaten Mailserver geht, und Du sonst keine legitimen Nachrichten aus Russland bekommst, kannst Du es mit 'check_sender_ns_access' versuchen. Seine Domains verweisen alle auf die selben Nameserver: ns4.nic.ru ns3.nic.ru ns8.nic.ru
Hab ich auch schon überlegt. Mir ist aber noch nicht ganz klar wie die Mail gelaufen ist, und was ich sonst noch alles damit blockiere. Versendet hat er die Mail über mailchimp.com, ein Mailinglisten-Betreiber aus den USA. Wieso das dann über russische Server läuft ist mir noch unklar.
Der Abuse-Support von mailchimp scheint ganz aktiv zu sein. Ich hatte denen gestern die Header geschickt, und 2 Stunden später die Antwort erhalten, dass sie den Account darüber feststellen konnten und den Fall untersuchen werden. Vielleicht schmeissen die den ja raus. Dann sucht er sich wieder einen anderen Dienst um seinen Müll zu verbreiten.
Jochen
Am 19.07.2017 um 09:20 schrieb Joachim Fahrner:
Am 2017-07-19 09:07, schrieb Alex JOST:
Wenn es hier nur um Deinen privaten Mailserver geht, und Du sonst keine legitimen Nachrichten aus Russland bekommst, kannst Du es mit 'check_sender_ns_access' versuchen. Seine Domains verweisen alle auf die selben Nameserver: ns4.nic.ru ns3.nic.ru ns8.nic.ru
Hab ich auch schon überlegt. Mir ist aber noch nicht ganz klar wie die Mail gelaufen ist, und was ich sonst noch alles damit blockiere. Versendet hat er die Mail über mailchimp.com, ein Mailinglisten-Betreiber aus den USA. Wieso das dann über russische Server läuft ist mir noch unklar.
Bei 'check_sender_ns_access' geht's um den Nameserver der Domain im MAIL FROM, das hat nichts mit Mailchimp zu tun.
Am 2017-07-19 09:25, schrieb Alex JOST:
Bei 'check_sender_ns_access' geht's um den Nameserver der Domain im MAIL FROM, das hat nichts mit Mailchimp zu tun.
Schon klar. Aber die Frage bleibt: wenn die Mail bei mailchimp eingekippt wurde, wieso läuft sie dann über Russland? Und wenn ich den russischen Nameserver blocke, was blocke ich dann sonst noch alles mit? Das kann doch kein Mensch beurteilen.
Im Auftrag von Joachim Fahrner
Am 2017-07-19 09:25, schrieb Alex JOST:
Bei 'check_sender_ns_access' geht's um den Nameserver der Domain im MAIL FROM, das hat nichts mit Mailchimp zu tun.
Schon klar. Aber die Frage bleibt: wenn die Mail bei mailchimp eingekippt wurde, wieso läuft sie dann über Russland? Und wenn ich den russischen Nameserver blocke, was blocke ich dann sonst noch alles mit? Das kann doch kein Mensch beurteilen.
Eine Tod wirst sterben müssen Kannst das ja beobachten wer da alles so abgewiesen wird Der Absender bekommt eine eindeutige Nachricht das seine Mail abgelehnt wurde Dann kann er auf andere Weise mit dir in Kontakt treten wenn es wichtig ist. Wirklich Wichtiges und den 2 Millionen Euro Auftrag wird man nicht nur über Mail kommunizieren.
Mit freundlichen Grüßen
Uwe Drießen -- Software & Computer
Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner !
Uwe Drießen Lembergstraße 33 67824 Feilbingert
Tel.: 06708660045
* Joachim Fahrner jf@fahrner.name:
Am 2017-07-19 09:25, schrieb Alex JOST:
Bei 'check_sender_ns_access' geht's um den Nameserver der Domain im MAIL FROM, das hat nichts mit Mailchimp zu tun.
Schon klar. Aber die Frage bleibt: wenn die Mail bei mailchimp eingekippt wurde, wieso läuft sie dann über Russland? Und wenn ich den russischen Nameserver blocke, was blocke ich dann sonst noch alles mit? Das kann doch kein Mensch beurteilen.
Die Spreu vom Weizen zu trennen ist mühselig. Herauszuarbeiten, welche Informationen belastbar und welche nicht verwertbar sind, verlangt Zeit und Erfahrung. Beides erfordert Geld. Und da wird gespart und stattdessen spam ertragen. Wirtschaftlich betrachtet kann ich das nachvollziehen.
Auf diese Karte setzen viele Spammer. Wenn sie gut sind, arbeiten sie so, dass sie schon Erfolg haben wenn allein die erste Welle durchkommt.
Gut gemachten Abuse kannst Du als einzelne Plattform, ohne Wissen was die anderen Plattformen gerade "erleben", nur sehr sehr bedingt ausfiltern. Gerade da liegt der Vorteil von z.B. DNSBL-Anbietern, weil allein die Beobachtung eines Massenphänomens wie "X clients fragen gerade nach der Reputation der IP Y" ein guter Hinweis auf abuse ist.
Am wirksamsten wäre immer noch eine Einschränkung dessen, was Clients im Netz ihres Anbieters ausgehend tun dürfen. Aber das - und da bin ich innerlich sofort mit dabei - schränkt die Anspruchshaltung vieler Kunden ein. Selbst wenn sie die Möglichkeit, ausgehend beliebig Verbindungen aufbauen zu können, nicht nutzen sind sie dennoch nicht bereit dieses Privileg aufzugeben.
In meiner Rolle als Leiter der "Kompetenzgruppe Abuse" der eco kann ich Dir sagen, das Thema beschäftigt Anbieter wie Kunden. Die Anbieter kostet der abuse Ressourcen, die sie ihren Kunden zur Verfügung stellen wollen, aber nicht können, weil die Kunden ja nicht "bevormundet" werden wollen. Abuse ist ein Preistreiber, aber in der Gesellschaft der "entdecke die Möglichkeiten" wird bewußte Einschränkung negativ gewertet.
Andere widerum begreifen die Möglichkeit beliebig Verbindungen aufbauen zu können als Gewohnheitsrecht und die Einschränkung als Downgrade. Noch andere stellen das Thema in den Kontext der Netzneutralität.
Viele Interessensgruppen sind vertreten. Sie sitzen nicht an einem Tisch. Sie reden nicht miteinander. Teils unterstellen sie sich, dass die eine Seite die andere übervorteilen will.
So ein Klima ist ein guter Nährboden für Abuse. Da läßt sich prima zwischendurch schlängeln.
Und - auch wenn es das Thema spam jetzt nicht besser macht - spam bewegt sich, gemessen an seiner Bedeutung im Katalog möglichen Missbrauchs zwischen Ärgernis und Geschäftsschädigung. Ein Verbrechen wie z.B. Missbrauch von Schutzbefohlenen (Stichwort: Kinderpornographie) ist es nicht.
Damit schliesst sich der Kreis. Wenn Herr Rönsch, so wie ich Dein Posting interpretiere, gewalt- und nazi-verherrlichende Nachrichten versendet dann solltest Du das nicht nur blocken, sondern auch den Behörden melden. Entsprechenden Kontakt stelle ich bei Bedarf gerne her.
p@rick
Hallo Patrick,
Am 2017-07-19 10:17, schrieb Patrick Ben Koetter:
In meiner Rolle als Leiter der "Kompetenzgruppe Abuse" der eco kann ich Dir sagen, das Thema beschäftigt Anbieter wie Kunden.
Das kann ich gut verstehen. Seriöse Anbieter sehen durch sowas ja auch ihren guten Ruf gefährdet. Die haben sicher kein Interesse daran auf immer mehr Blacklists zu landen. Das gefährdet ja ihr Geschäftsmodell.
Damit schliesst sich der Kreis. Wenn Herr Rönsch, so wie ich Dein Posting interpretiere, gewalt- und nazi-verherrlichende Nachrichten versendet dann solltest Du das nicht nur blocken, sondern auch den Behörden melden. Entsprechenden Kontakt stelle ich bei Bedarf gerne her.
Das wäre sicher nicht verkehrt. Ich wollte ja schon öfter mal Phishing-Betrüger melden, vor allem wenn die Mails von deutschen Servern kamen und Urheber somit leicht festzustellen sein müsste. Aber ich habe im Netz leider keine Stelle der Polizei gefunden, wo man solche Fälle melden könnte. Überall heisst es nur, erstatten Sie Anzeige bei Ihre lokalen Polizeidienstelle. Als ob das was bringen würde, wenn ich zu meinem Dorfpolizisten gehe und dem verklickere was Phishing ist. Die sind doch da schon mit Fahrraddiebstählen überfordert. Und warum sollte ich Anzeige erstatten, wenn ich nicht direkt betroffen bin? Ich falle ja auf sowas nicht rein. Aber Prävention gehört doch auch zu den Polizeiaufgaben, dann sollten sie auch Stellen einrichten wo man sowas ohne großen Aufwand melden kann.
Was jetzt diesen Mario Rönsch betrifft: nachdem fahnden sie ja immer noch (einfach mal googeln). Seine Seite migrantenschreck.ru haben sie beschlagnahmt und die Kunden besucht. Heute kam wieder eine aktuelle Meldung dazu: http://www.epochtimes.de/politik/welt/zoll-findet-13-schusswaffen-bei-kunden... Mittlerweile betreibt er sein Geschäft ja unter patriotenshop.com weiter, und über die Seite anonymousnews.ru verbreitet er rechtsextreme Hetze. Solange der nicht hinter Gittern sitzt wird der immer so weiter machen.
Jochen
Joachim Fahrner - 19.07.17, 09:20:
Am 2017-07-19 09:07, schrieb Alex JOST:
Wenn es hier nur um Deinen privaten Mailserver geht, und Du sonst keine legitimen Nachrichten aus Russland bekommst, kannst Du es mit 'check_sender_ns_access' versuchen. Seine Domains verweisen alle auf die selben Nameserver: ns4.nic.ru ns3.nic.ru ns8.nic.ru
Hab ich auch schon überlegt. Mir ist aber noch nicht ganz klar wie die Mail gelaufen ist, und was ich sonst noch alles damit blockiere. Versendet hat er die Mail über mailchimp.com, ein Mailinglisten-Betreiber aus den USA. Wieso das dann über russische Server läuft ist mir noch unklar.
Mailchimp hat in der Vergangenheit sehr schnell und für mich zufriedenstellend auf Spam-Berichte reagiert:
MailChimp Abuse Desk abuse@mailchimp.com
(Ich bin ansonsten kein Freund von den via MailChimp im Kunden-Auftrag versendeten Newsletter mit Tracking-Links. Aber das liegt auch daran, dass ich Newsletter mit Tracking-Links, außer die fürs Austragen, generell nicht mag.)
Danke,
Martin Steigerwald - 19.07.17, 14:24:
Joachim Fahrner - 19.07.17, 09:20:
Am 2017-07-19 09:07, schrieb Alex JOST:
Wenn es hier nur um Deinen privaten Mailserver geht, und Du sonst keine legitimen Nachrichten aus Russland bekommst, kannst Du es mit 'check_sender_ns_access' versuchen. Seine Domains verweisen alle auf die selben Nameserver: ns4.nic.ru ns3.nic.ru ns8.nic.ru
Hab ich auch schon überlegt. Mir ist aber noch nicht ganz klar wie die Mail gelaufen ist, und was ich sonst noch alles damit blockiere. Versendet hat er die Mail über mailchimp.com, ein Mailinglisten-Betreiber aus den USA. Wieso das dann über russische Server läuft ist mir noch unklar.
Mailchimp hat in der Vergangenheit sehr schnell und für mich zufriedenstellend auf Spam-Berichte reagiert:
MailChimp Abuse Desk abuse@mailchimp.com
(Ich bin ansonsten kein Freund von den via MailChimp im Kunden-Auftrag versendeten Newsletter mit Tracking-Links. Aber das liegt auch daran, dass ich Newsletter mit Tracking-Links, außer die fürs Austragen, generell nicht mag.)
Kleiner Zusatz: Ich hab Mailchimp irgendwann mal gebeten, mich auf eine globale Blacklist zu setzen. Seitdem bekomme ich von denen gar keine Mail mehr. (Selbst an sich mal bestellte Newsletter, die leider doch über Mailchimp laufen, kommen nicht mehr…)
Ciao,
participants (8)
-
Alex JOST -
Jan F -
Joachim Fahrner -
Martin Steigerwald -
Patrick Ben Koetter -
Robert Schetterer -
Uwe Drießen -
Walter H.