[postfix-users] massiver spam Anstieg
sorry fuer evtl doppelt mail , ich hab doch glatt die verkehrte Empfaenger Adresse der liste benutzt
hi @ll, mal kleine Umfrage ich sehe derzeit ( seit heut morgen ) auf allen von mir betreuten Mailservern einen massiven Anstieg des spam aufkommens bzw Anstieg der rejects deswegen ich spekuliere auf ein Amok laufendes Bot Netz wie siehts bei euch aus ?
Am 19. Mai 2009 15:38 schrieb Robert Schetterer robert@schetterer.org:
sorry fuer evtl doppelt mail , ich hab doch glatt die verkehrte Empfaenger Adresse der liste benutzt
hi @ll, mal kleine Umfrage ich sehe derzeit ( seit heut morgen ) auf allen von mir betreuten Mailservern einen massiven Anstieg des spam aufkommens bzw Anstieg der rejects deswegen ich spekuliere auf ein Amok laufendes Bot Netz wie siehts bei euch aus ? -- Best Regards
MfG Robert Schetterer
Germany/Munich/Bavaria _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Hallo Robert,
ich betreue nur einen Mail-Server mit einem halben dutzend Domains und kann es nicht bestätigen. Allerdings kommt heute der localpart "nibbels" vermehrt vor. ;-)
MfG
Robyn Bachofer
Am/On Tue, 19 May 2009 15:38:39 +0200 schrieb/wrote Robert Schetterer:
sorry fuer evtl doppelt mail , ich hab doch glatt die verkehrte Empfaenger Adresse der liste benutzt
hi @ll, mal kleine Umfrage ich sehe derzeit ( seit heut morgen ) auf allen von mir betreuten Mailservern einen massiven Anstieg des spam aufkommens bzw Anstieg der rejects deswegen ich spekuliere auf ein Amok laufendes Bot Netz wie siehts bei euch aus ?
kann ich nicht bestätigen ... hier
cheers, Matthias
On 05/19/2009 03:38 PM Robert Schetterer wrote:
hi @ll, mal kleine Umfrage ich sehe derzeit ( seit heut morgen ) auf allen von mir betreuten Mailservern einen massiven Anstieg des spam aufkommens bzw Anstieg der rejects deswegen ich spekuliere auf ein Amok laufendes Bot Netz wie siehts bei euch aus ?
Naja, seit ca. 10:20 gab es etwas mehr Spam. Rund 2 Stunden später wurde nochmal nachgelegt. Aber so spammy wie Mi./Do. letzter Woche ist es noch nicht.
Gruß Pascal
Robert Schetterer schrieb:
sorry fuer evtl doppelt mail , ich hab doch glatt die verkehrte Empfaenger Adresse der liste benutzt
hi @ll, mal kleine Umfrage ich sehe derzeit ( seit heut morgen ) auf allen von mir betreuten Mailservern einen massiven Anstieg des spam aufkommens bzw Anstieg der rejects deswegen ich spekuliere auf ein Amok laufendes Bot Netz wie siehts bei euch aus ?
Die Rejects haben sich seit Mittag mehr als verdoppelt. Interessant. Was geht denn da wieder ab?
Frank
On Tuesday 19 May 2009 15:38:39 Robert Schetterer wrote:
hi @ll, mal kleine Umfrage ich sehe derzeit ( seit heut morgen ) auf allen von mir betreuten Mailservern einen massiven Anstieg des spam aufkommens bzw Anstieg der rejects deswegen ich spekuliere auf ein Amok laufendes Bot Netz wie siehts bei euch aus ?
Ich habs zeitlich noch nicht näher eingegrenzt (sprich: wann's angefangen hat), aber, ja, ich sehe das selbe, auf allen von mir/uns betreuten Mailservern.
Lustigerweise bauen die Bots anscheinend immer so vier bis acht gleichzeitige Verbindungen zu einem Mailserver auf, und stellen über jede der parallel offenen Verbindungen immer nur an eine Zieladdresse zu (aber mit unterschiedlichen Absendeaddressen).
Ich denk eher nicht, dass es was mit Amok zu tun hat, sondern dass da jemand probiert, Mailserver zu "überlasten" (dadurch, dass z.B. amavis/welcher Filter auch immer nur eine bestimmte Menge an Mails gleichzeitig behandelt), und sich damit Chancen erhofft, Mails durchzukriegen, wenn der Filter so konfiguriert ist, dass Mails "über dem Limit" ohne Test zugestellt und nicht mit einem 400- er Fehler quittiert werden (was man durchaus findet).
Aber: Keine Ahnung, was unsere lieben Spammer zur Zeit wieder probieren...
Heiko Wundram schrieb:
On Tuesday 19 May 2009 15:38:39 Robert Schetterer wrote:
hi @ll, mal kleine Umfrage ich sehe derzeit ( seit heut morgen ) auf allen von mir betreuten Mailservern einen massiven Anstieg des spam aufkommens bzw Anstieg der rejects deswegen ich spekuliere auf ein Amok laufendes Bot Netz wie siehts bei euch aus ?
Ich habs zeitlich noch nicht näher eingegrenzt (sprich: wann's angefangen hat), aber, ja, ich sehe das selbe, auf allen von mir/uns betreuten Mailservern.
Lustigerweise bauen die Bots anscheinend immer so vier bis acht gleichzeitige Verbindungen zu einem Mailserver auf, und stellen über jede der parallel offenen Verbindungen immer nur an eine Zieladdresse zu (aber mit unterschiedlichen Absendeaddressen).
jo so siehts bei mir auch aus
Ich denk eher nicht, dass es was mit Amok zu tun hat, sondern dass da jemand probiert, Mailserver zu "überlasten" (dadurch, dass z.B. amavis/welcher Filter auch immer nur eine bestimmte Menge an Mails gleichzeitig behandelt), und sich damit Chancen erhofft, Mails durchzukriegen, wenn der Filter so konfiguriert ist, dass Mails "über dem Limit" ohne Test zugestellt und nicht mit einem 400- er Fehler quittiert werden (was man durchaus findet).
Aber: Keine Ahnung, was unsere lieben Spammer zur Zeit wieder probieren...
tja keine Ahnung, man koennte zu Verschwoerungstherorie noch die Spekulation auf die kuerzlich gefundene cyrus sasl Luecke hinzufuegen *g
am 19.05.2009 17:49 Uhr schrieb Robert Schetterer robert@schetterer.org:
Heiko Wundram schrieb:
On Tuesday 19 May 2009 15:38:39 Robert Schetterer wrote:
hi @ll, mal kleine Umfrage ich sehe derzeit ( seit heut morgen ) auf allen von mir betreuten Mailservern einen massiven Anstieg des spam aufkommens bzw Anstieg der rejects deswegen ich spekuliere auf ein Amok laufendes Bot Netz wie siehts bei euch aus ?
Ich habs zeitlich noch nicht näher eingegrenzt (sprich: wann's angefangen hat), aber, ja, ich sehe das selbe, auf allen von mir/uns betreuten Mailservern.
Lustigerweise bauen die Bots anscheinend immer so vier bis acht gleichzeitige Verbindungen zu einem Mailserver auf, und stellen über jede der parallel offenen Verbindungen immer nur an eine Zieladdresse zu (aber mit unterschiedlichen Absendeaddressen).
jo so siehts bei mir auch aus
bei mir auch seit ca. Mittag
On Behalf Of Robert Schetterer
Heiko Wundram schrieb:
On Tuesday 19 May 2009 15:38:39 Robert Schetterer wrote:
hi @ll, mal kleine Umfrage ich sehe derzeit ( seit heut morgen ) auf allen von mir betreuten Mailservern einen massiven Anstieg des spam aufkommens bzw Anstieg der rejects deswegen ich spekuliere auf ein Amok laufendes Bot Netz wie siehts bei euch aus ?
Ich habs zeitlich noch nicht näher eingegrenzt (sprich: wann's angefangen hat), aber, ja, ich sehe das selbe, auf allen von mir/uns betreuten Mailservern.
Lustigerweise bauen die Bots anscheinend immer so vier bis acht gleichzeitige Verbindungen zu einem Mailserver auf, und stellen über jede der parallel offenen Verbindungen immer nur an eine Zieladdresse zu (aber mit unterschiedlichen Absendeaddressen).
jo so siehts bei mir auch aus
Ca. 10% mehr aber nichts außergewöhnliches, liegt noch in den normalen Schwankungen Allerdings auch auf mehrfach Einlieferungsversuche bzw. gleichzeitige Verbindungen zurückzuführen in der Hauptsache von unknown und Dialin
Ich denk eher nicht, dass es was mit Amok zu tun hat, sondern dass da jemand probiert, Mailserver zu "überlasten" (dadurch, dass z.B. amavis/welcher Filter auch immer nur eine bestimmte Menge an Mails gleichzeitig behandelt), und sich damit Chancen erhofft, Mails durchzukriegen, wenn der Filter so konfiguriert ist, dass Mails "über dem Limit" ohne Test zugestellt und nicht mit einem 400- er Fehler quittiert werden (was man durchaus findet).
Aber: Keine Ahnung, was unsere lieben Spammer zur Zeit wieder probieren...
tja keine Ahnung, man koennte zu Verschwoerungstherorie noch die Spekulation auf die kuerzlich gefundene cyrus sasl Luecke hinzufuegen *g
Welche sasl Lücke denn (habs ja nicht mehr im Einsatz gezwungener maßen umgestellt)
Mit freundlichen Grüßen
Drießen
On 05/19/2009 06:23 PM Uwe Driessen wrote:
Welche sasl Lücke denn (habs ja nicht mehr im Einsatz gezwungener
maßen umgestellt)
Die da: http://www.heise.de/newsticker/meldung/138021
Gruß Pascal
Uwe Driessen schrieb:
On Behalf Of Robert Schetterer
Heiko Wundram schrieb:
On Tuesday 19 May 2009 15:38:39 Robert Schetterer wrote:
hi @ll, mal kleine Umfrage ich sehe derzeit ( seit heut morgen ) auf allen von mir betreuten Mailservern einen massiven Anstieg des spam aufkommens bzw Anstieg der rejects deswegen ich spekuliere auf ein Amok laufendes Bot Netz wie siehts bei euch aus ?
Ich habs zeitlich noch nicht näher eingegrenzt (sprich: wann's angefangen hat), aber, ja, ich sehe das selbe, auf allen von mir/uns betreuten Mailservern.
Lustigerweise bauen die Bots anscheinend immer so vier bis acht gleichzeitige Verbindungen zu einem Mailserver auf, und stellen über jede der parallel offenen Verbindungen immer nur an eine Zieladdresse zu (aber mit unterschiedlichen Absendeaddressen).
jo so siehts bei mir auch aus
Ca. 10% mehr aber nichts außergewöhnliches, liegt noch in den normalen Schwankungen Allerdings auch auf mehrfach Einlieferungsversuche bzw. gleichzeitige Verbindungen zurückzuführen in der Hauptsache von unknown und Dialin
Ich denk eher nicht, dass es was mit Amok zu tun hat, sondern dass da jemand probiert, Mailserver zu "überlasten" (dadurch, dass z.B. amavis/welcher Filter auch immer nur eine bestimmte Menge an Mails gleichzeitig behandelt), und sich damit Chancen erhofft, Mails durchzukriegen, wenn der Filter so konfiguriert ist, dass Mails "über dem Limit" ohne Test zugestellt und nicht mit einem 400- er Fehler quittiert werden (was man durchaus findet).
Aber: Keine Ahnung, was unsere lieben Spammer zur Zeit wieder probieren...
tja keine Ahnung, man koennte zu Verschwoerungstherorie noch die Spekulation auf die kuerzlich gefundene cyrus sasl Luecke hinzufuegen *g
Welche sasl Lücke denn (habs ja nicht mehr im Einsatz gezwungener maßen umgestellt)
guggst du http://www.heise.de/newsticker/Sicherheits-Update-fuer-Authentifizierungsfra...
Mit freundlichen Grüßen
Drießen
Zitat von Robert Schetterer robert@schetterer.org:
sorry fuer evtl doppelt mail , ich hab doch glatt die verkehrte Empfaenger Adresse der liste benutzt
hi @ll, mal kleine Umfrage ich sehe derzeit ( seit heut morgen ) auf allen von mir betreuten Mailservern einen massiven Anstieg des spam aufkommens bzw Anstieg der rejects deswegen ich spekuliere auf ein Amok laufendes Bot Netz wie siehts bei euch aus ?
Hab mal kurz den "Spam-Status" überprüft...
- Anzahl der "smtpd" Prozesse leicht über normal (ca. +20%) - Anzahl der Greylisting-Leichen normal, für heute allerdings noch keine Werte - Anzahl der IP-Blocklisten Gäste leicht erhöht, aber deutlich unter dem Wert vom 16.05.09
Alles in allem noch kein Grund zur Sorge ;-)
Gruß aus Freiburg
Andreas
Am 19.05.2009 um 15:38 schrieb Robert Schetterer:
sorry fuer evtl doppelt mail , ich hab doch glatt die verkehrte Empfaenger Adresse der liste benutzt
hi @ll, mal kleine Umfrage ich sehe derzeit ( seit heut morgen ) auf allen von mir betreuten Mailservern einen massiven Anstieg des spam aufkommens bzw Anstieg der rejects deswegen ich spekuliere auf ein Amok laufendes Bot Netz wie siehts bei euch aus ? -- Best Regards
MfG Robert Schetterer
Germany/Munich/Bavaria _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Hier auch massiver Anstieg. Etliche "connection rate limit exceeded" hier von unbekannten Adressen. Griechenland, Italien, Ägypten, ... alles dabei.
Gruß Sven
Robert Schetterer wrote:
sorry fuer evtl doppelt mail , ich hab doch glatt die verkehrte Empfaenger Adresse der liste benutzt
hi @ll, mal kleine Umfrage ich sehe derzeit ( seit heut morgen ) auf allen von mir betreuten Mailservern einen massiven Anstieg des spam aufkommens bzw Anstieg der rejects deswegen ich spekuliere auf ein Amok laufendes Bot Netz wie siehts bei euch aus ?
Seit ein paar wochen viel mehr Spam, seit heut mittag... noch eins drauf.
-- Grüsse, Andres
* Andres Gonzalez Pareja postfix-users@de.postfix.org:
Robert Schetterer wrote:
sorry fuer evtl doppelt mail , ich hab doch glatt die verkehrte Empfaenger Adresse der liste benutzt
hi @ll, mal kleine Umfrage ich sehe derzeit ( seit heut morgen ) auf allen von mir betreuten Mailservern einen massiven Anstieg des spam aufkommens bzw Anstieg der rejects deswegen ich spekuliere auf ein Amok laufendes Bot Netz wie siehts bei euch aus ?
Seit ein paar wochen viel mehr Spam, seit heut mittag... noch eins drauf.
Ralf und ich sehen seit ca. 2 Wochen auch mehr SPAM auf Server zukommen. Heute verzeichnen wir keinen Anstieg.
Interessant finde ich, dass es Premium Spam ist - handoptimiert und fast immer haarscharf unterm Schwellwert hindurch.
sourceforge.net scheint mißbraucht zu werden. Habe ich mir aber noch nicht näher angesehen.
Auf anderen, ausländischen Server sehe ich aber keine Anstieg - zumindest auf denen auf die ich meine Finger legen darf. ;)
p@rick
Patrick Ben Koetter schrieb:
- Andres Gonzalez Pareja postfix-users@de.postfix.org:
Robert Schetterer wrote:
sorry fuer evtl doppelt mail , ich hab doch glatt die verkehrte Empfaenger Adresse der liste benutzt
hi @ll, mal kleine Umfrage ich sehe derzeit ( seit heut morgen ) auf allen von mir betreuten Mailservern einen massiven Anstieg des spam aufkommens bzw Anstieg der rejects deswegen ich spekuliere auf ein Amok laufendes Bot Netz wie siehts bei euch aus ?
Seit ein paar wochen viel mehr Spam, seit heut mittag... noch eins drauf.
Ralf und ich sehen seit ca. 2 Wochen auch mehr SPAM auf Server zukommen. Heute verzeichnen wir keinen Anstieg.
Interessant finde ich, dass es Premium Spam ist - handoptimiert und fast immer haarscharf unterm Schwellwert hindurch.
kann ich nicht beurteilen weil so gut wie alles rejected wird, die ueblichen Spam Netze duerfen schon lange nichts mehr einliefern hier
sourceforge.net scheint mißbraucht zu werden. Habe ich mir aber noch nicht näher angesehen.
hier kam davon nichts an
Auf anderen, ausländischen Server sehe ich aber keine Anstieg - zumindest auf denen auf die ich meine Finger legen darf. ;)
der grosse Sturm scheint heut morgen vorrueber weiss der himmel was das sollte, aber schoen es keinen Server zerlegt hat *g
p@rick
* Robert Schetterer robert@schetterer.org:
Interessant finde ich, dass es Premium Spam ist - handoptimiert und fast immer haarscharf unterm Schwellwert hindurch.
kann ich nicht beurteilen weil so gut wie alles rejected wird, die ueblichen Spam Netze duerfen schon lange nichts mehr einliefern hier
Dann würde man wohl doch einen Anstieg sehen
Ralf Hildebrandt schrieb:
- Robert Schetterer robert@schetterer.org:
Interessant finde ich, dass es Premium Spam ist - handoptimiert und fast immer haarscharf unterm Schwellwert hindurch.
kann ich nicht beurteilen weil so gut wie alles rejected wird, die ueblichen Spam Netze duerfen schon lange nichts mehr einliefern hier
Dann würde man wohl doch einen Anstieg sehen
Hallo Ralf , hab ich ja aber ob die Dinger nun besonders optimiert sind inhaltlich oder wie sie spamassassin bewerten wuerde kann ich nicht sehen, weil rejected, der Inhalt interesiert mich auch nicht so brennend, mein Problem mit einem Server ist eher dass sich allein die Masse schon wie ein DOS Angriff ausnimmt
Bez. Anstieg des Spamaufkommens: Trend des starken Anstiegs kann ich allgemein bestätigen. Habe spam/viren filter vor meinem derzeitigen mailserver qmail (wird demnächst durch postfix/dovecot abgelöst). Die Statistik (51kb jpeg) davon findet Ihr bei Interesse unter folgendem Link: http://www.jedermann.at/mailfirewall.jpg
Liebe Gruesse, Georg Käfer
-----Ursprüngliche Nachricht----- Von: postfix-users-bounces@de.postfix.org [mailto:postfix-users-bounces@de.postfix.org] Im Auftrag von Patrick Ben Koetter Gesendet: Dienstag, 19. Mai 2009 23:13 An: postfix-users@de.postfix.org Betreff: Re: [postfix-users] massiver spam Anstieg
* Andres Gonzalez Pareja postfix-users@de.postfix.org:
Robert Schetterer wrote:
sorry fuer evtl doppelt mail , ich hab doch glatt die verkehrte Empfaenger Adresse der liste benutzt
hi @ll, mal kleine Umfrage ich sehe derzeit ( seit heut morgen ) auf allen von mir betreuten Mailservern einen massiven Anstieg des spam aufkommens bzw Anstieg der rejects deswegen ich spekuliere auf ein Amok laufendes Bot Netz wie siehts bei euch aus ?
Seit ein paar wochen viel mehr Spam, seit heut mittag... noch eins drauf.
Ralf und ich sehen seit ca. 2 Wochen auch mehr SPAM auf Server zukommen. Heute verzeichnen wir keinen Anstieg.
Interessant finde ich, dass es Premium Spam ist - handoptimiert und fast immer haarscharf unterm Schwellwert hindurch.
sourceforge.net scheint mißbraucht zu werden. Habe ich mir aber noch nicht näher angesehen.
Auf anderen, ausländischen Server sehe ich aber keine Anstieg - zumindest auf denen auf die ich meine Finger legen darf. ;)
p@rick
Hi Liste,
ich kann ebenfalls den Trend der ansteigenden Spam Mails bestätigen. Außerdem habe ich gerade gesehen, dass es gerade in der letzten Woche deutlich mehr wurde.
Mit freundlichen Grüßen aus Aachen
Patrick Ben Koetter wrote: [...]
Seit ein paar wochen viel mehr Spam, seit heut mittag... noch eins drauf.
Ralf und ich sehen seit ca. 2 Wochen auch mehr SPAM auf Server zukommen. Heute verzeichnen wir keinen Anstieg.
[...]
Auf anderen, ausländischen Server sehe ich aber keine Anstieg
Doch, unsere server sind hauptsächlich in Spanien.
-- Grüsse, Andres
Hallo Patrick, hallo Leute,
Am Dienstag, 19. Mai 2009 schrieb Patrick Ben Koetter:
Ralf und ich sehen seit ca. 2 Wochen auch mehr SPAM auf Server zukommen. Heute verzeichnen wir keinen Anstieg.
Naja, kommt drauf an[tm] ;-)
Ich finde es in den letzten Tagen besonders lustig, wie mein Faulpelz-MX [1] bombardiert wird. Ich hatte schon Tage, wo von einer einzelnen IP 40.000 Einlieferungsversuche (mit identischem Absender und Empfänger) probiert wurden. Zu blöd, dass er immer nur mit '451 I'm a Faulpelz' antwortet ;-)
Interessant finde ich, dass es Premium Spam ist - handoptimiert und fast immer haarscharf unterm Schwellwert hindurch.
Was ich schon längere Zeit interessant finde: Der Spam, der bei mir durchkommt, geht großteils an die Adresse in meinem GPG-Key. Ob da jemand einen Keyserver abgegrast hat und nun diese Adressen mit "optimiertem" Spam versorgt?
Spam an meine anderen Adressen gibt es natürlich auch, aber der wird von Blacklisten und Spamassassin deutlich erfolgreicher rausgefiltert.
sourceforge.net scheint mißbraucht zu werden. Habe ich mir aber noch nicht näher angesehen.
Oh ja. Man schickt Spam an benutzername@users.sourceforge.net und der Sourceforge-Server leitet ihn brav an den jeweiligen User weiter, auch wenn die Mails eindeutig Spam sind (>15 Punkte laut Sourceforge-Spamheader).
Die Methode hat für den Spammer gleich noch den Vorteil, dass die Blacklisten-Checks auf meinem Server nicht mehr anschlagen - mx.sourceforge.net steht sogar auf einer Whitelist und kommt bei meinem Spamassassin mit 3 oder 4 Punkten durch.
Ich hab das Problem auch mal bei Sourceforge gemeldet. Die Details könnt Ihr unter http://apps.sourceforge.net/trac/sourceforge/ticket/724 nachlesen, jedenfalls ist Sourceforge unfähig und/oder unwillig, Spam zu REJECTen :-(
Daher war ich die letzten Tage etwas am Basteln, um das Problem auf meiner Seite zu lösen.
Blöderweise kann Spamassassin nicht auf externe X-Spam-* Header filtern (warum auch immer, jedenfalls werden diese Header im Code ausdrücklich ignoriert). Letztenendes habe ich doch noch einen "funktionierenden" Header gefunden, den der Sourceforge-Server setzt: X-VA-Spam-Flag
Derzeit habe ich folgende Einträge in meiner local.cf (meine "echte" Sourceforge-Mailadresse habe ich hier durch USERNAME ersetzt):
# Hilfsregel, um die folgenden Regeln weitgehend auf meine Sourceforge-Adresse zu beschränken header CB_TO_CBOLTZ_SOURCEFORGE To =~ /USERNAME.users.sourceforge.net/i describe CB_TO_CBOLTZ_SOURCEFORGE Sent to USERNAME@users.sourceforge.net score CB_TO_CBOLTZ_SOURCEFORGE 0.001
# X-Spam-Score und einige andere X-Spam-Header werden grundsaetzlich ignoriert. # daher funktioniert die folgende Regel nicht :-/ #header CB_COMES_WITH_SPAMSCORE X-Spam-Score =~ /^[0-9][0-9]/i #describe CB_COMES_WITH_SPAMSCORE Contains X-Spam-Score header with at least 10 points #score CB_COMES_WITH_SPAMSCORE 0.001
# X-VA-Spam-Flag wird nicht ignoriert ;-) header CB_COMES_WITH_VA_SPAM_FLAG X-VA-Spam-Flag =~ /YES/i describe CB_COMES_WITH_VA_SPAM_FLAG Contains X-VA-Spam-Flag: YES header score CB_COMES_WITH_VA_SPAM_FLAG 1
# die folgende body-Regel (für Bounces) funktioniert leider nicht - warum? body CB_BODY_COMES_WITH_SPAMSCORE /X-VA-Spam-Flag:[ ]*YES/i describe CB_BODY_COMES_WITH_SPAMSCORE Contains X-VA-Spam-Flag: YES in body (bounce?) score CB_BODY_COMES_WITH_SPAMSCORE 0.001
# <Marktschreier>Punkte! Braucht jemand Punkte?</Marktschreier> ;-) meta CB_SPAM_RELAYED_BY_SOURCEFORGE (CB_TO_CBOLTZ_SOURCEFORGE && CB_COMES_WITH_VA_SPAM_FLAG) describe CB_SPAM_RELAYED_BY_SOURCEFORGE Spam sent to USERNAME@users.sourceforge.net score CB_SPAM_RELAYED_BY_SOURCEFORGE 3
meta CB_SPAM_BOUNCED_BY_SOURCEFORGE (CB_TO_CBOLTZ_SOURCEFORGE && CB_BODY_COMES_WITH_SPAMSCORE) describe CB_SPAM_BOUNCED_BY_SOURCEFORGE Spam sent to USERNAME@users.sourceforge.net score CB_SPAM_BOUNCED_BY_SOURCEFORGE 0.1
Damit blocke ich den via Sourceforge eingehenden Spam recht zuverlässig. Als Nebeneffekt mache ich Sourceforge zum Backscatterer - aber das ist mir nach ihrer Reaktion auf meine Anfrage ehrlich gesagt ziemlich egal *g*
Verbleibendes Problem ist dann aber ironischerweise doch Sourceforge- Backscatter - einige Spammer setzen die @users.sourceforge.net-Adresse nämlich auch als Absender ein. Ich bekomme dann lustige Bounces mit dem Hinweis, dass mein Server die Mail als Spam abgelehnt hat.
Hat jemand eine Idee, warum meine body-Regel nicht greift? (Nein, es liegt nicht an der geringen Punktzahl - die Regel trifft wirklich nicht.)
Auf anderen, ausländischen Server sehe ich aber keine Anstieg - zumindest auf denen auf die ich meine Finger legen darf. ;)
Mit Ausnahme derer, die meinen Faulpelz quälen, und des über @users.sourceforge.net verschickten Spams ist das Spamlevel IMHO normal. Das ist allerdings u. a. der ix.dnsbl.manitu.net und dem DynIP-Teil von Spamhaus zu verdanken (hat ein Kunde unfreiwillig ausprobiert, bei dem diese Blacklisten noch nicht eingetragen waren ;-)
Gruß
Christian Boltz
[1] http://blog.cboltz.de/archives/45-Faulpelz-MX.html
* Christian Boltz postfix-users@de.postfix.org:
# Hilfsregel, um die folgenden Regeln weitgehend auf meine Sourceforge-Adresse zu beschränken header CB_TO_CBOLTZ_SOURCEFORGE To =~ /USERNAME.users.sourceforge.net/i describe CB_TO_CBOLTZ_SOURCEFORGE Sent to USERNAME@users.sourceforge.net score CB_TO_CBOLTZ_SOURCEFORGE 0.001
# X-Spam-Score und einige andere X-Spam-Header werden grundsaetzlich ignoriert. # daher funktioniert die folgende Regel nicht :-/ #header CB_COMES_WITH_SPAMSCORE X-Spam-Score =~ /^[0-9][0-9]/i #describe CB_COMES_WITH_SPAMSCORE Contains X-Spam-Score header with at least 10 points #score CB_COMES_WITH_SPAMSCORE 0.001
# X-VA-Spam-Flag wird nicht ignoriert ;-) header CB_COMES_WITH_VA_SPAM_FLAG X-VA-Spam-Flag =~ /YES/i describe CB_COMES_WITH_VA_SPAM_FLAG Contains X-VA-Spam-Flag: YES header score CB_COMES_WITH_VA_SPAM_FLAG 1
# die folgende body-Regel (für Bounces) funktioniert leider nicht - warum? body CB_BODY_COMES_WITH_SPAMSCORE /X-VA-Spam-Flag:[ ]*YES/i describe CB_BODY_COMES_WITH_SPAMSCORE Contains X-VA-Spam-Flag: YES in body (bounce?) score CB_BODY_COMES_WITH_SPAMSCORE 0.001
# <Marktschreier>Punkte! Braucht jemand Punkte?</Marktschreier> ;-) meta CB_SPAM_RELAYED_BY_SOURCEFORGE (CB_TO_CBOLTZ_SOURCEFORGE && CB_COMES_WITH_VA_SPAM_FLAG) describe CB_SPAM_RELAYED_BY_SOURCEFORGE Spam sent to USERNAME@users.sourceforge.net score CB_SPAM_RELAYED_BY_SOURCEFORGE 3
meta CB_SPAM_BOUNCED_BY_SOURCEFORGE (CB_TO_CBOLTZ_SOURCEFORGE && CB_BODY_COMES_WITH_SPAMSCORE) describe CB_SPAM_BOUNCED_BY_SOURCEFORGE Spam sent to USERNAME@users.sourceforge.net score CB_SPAM_BOUNCED_BY_SOURCEFORGE 0.1
Damit blocke ich den via Sourceforge eingehenden Spam recht zuverlässig. Als Nebeneffekt mache ich Sourceforge zum Backscatterer - aber das ist mir nach ihrer Reaktion auf meine Anfrage ehrlich gesagt ziemlich egal *g*
Verbleibendes Problem ist dann aber ironischerweise doch Sourceforge- Backscatter - einige Spammer setzen die @users.sourceforge.net-Adresse nämlich auch als Absender ein. Ich bekomme dann lustige Bounces mit dem Hinweis, dass mein Server die Mail als Spam abgelehnt hat.
Hat jemand eine Idee, warum meine body-Regel nicht greift? (Nein, es liegt nicht an der geringen Punktzahl - die Regel trifft wirklich nicht.)
Du meinst die CB_BODY_COMES_WITH_SPAMSCORE-Regel? Weil "X-VA-Spam-Flag:" ein Header- und kein Body-Element ist?
p@rick
Hallo Patrick, hallo Leute,
Am Donnerstag, 21. Mai 2009 schrieb Patrick Ben Koetter:
- Christian Boltz postfix-users@de.postfix.org:
# die folgende body-Regel (für Bounces) funktioniert leider nicht - warum? body CB_BODY_COMES_WITH_SPAMSCORE /X-VA-Spam-Flag:[ ]*YES/i describe CB_BODY_COMES_WITH_SPAMSCORE Contains X-VA-Spam-Flag: YES in body (bounce?) score CB_BODY_COMES_WITH_SPAMSCORE 0.001
Hat jemand eine Idee, warum meine body-Regel nicht greift? (Nein, es liegt nicht an der geringen Punktzahl - die Regel trifft wirklich nicht.)
Du meinst die CB_BODY_COMES_WITH_SPAMSCORE-Regel? Weil "X-VA-Spam-Flag:" ein Header- und kein Body-Element ist?
Es geht mir in diesem Fall speziell um _Bounces_. Und da steht X-VA-Spam-Flag dann wirklich im Body.
Der komplette Bounce sieht dann folgendermaßen aus: (meine Mailadressen sind maskiert)
----------------------------------------------------------------------
Return-Path: <MAILER-DAEMON> Delivered-To: main@cboltz.de Received: from localhost (localhost [127.0.0.1]) by server.sprachakt.com (Postfix) with ESMTP id B55D8388229 for ...@cboltz.de; Tue, 19 May 2009 02:48:11 +0200 (CEST) X-Virus-Scanned: amavisd-new at sprachakt.com X-Spam-Flag: NO X-Spam-Score: 4.291 X-Spam-Level: **** X-Spam-Status: No, score=4.291 tagged_above=-999 required=7 tests=[ALL_TRUSTED=-1.8, AWL=1.228, BAYES_50=0.001, CB_TO_CBOLTZ_SOURCEFORGE=0.001, URIBL_AB_SURBL=1.86, URIBL_JP_SURBL=1.501, URIBL_WS_SURBL=1.5] Received: from mail.cboltz.de ([127.0.0.1]) by localhost (mail.sprachakt.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id sb3BpfM9EPjx for ...@cboltz.de; Tue, 19 May 2009 02:48:05 +0200 (CEST) X-Greylist: from auto-whitelisted by SQLgrey-1.6.8 Received: from mx.sourceforge.net (mx.sourceforge.net [216.34.181.68]) (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)) (Client did not present a certificate) by mail.cboltz.de (Postfix) with ESMTPS for ...@cboltz.de; Tue, 19 May 2009 02:48:05 +0200 (CEST) Received: from exim by 3b2kzd1.ch3.sourceforge.com with local (Exim 4.69) id 1M6DUy-0006Mx-Ot for USERNAME@users.sourceforge.net; Tue, 19 May 2009 00:48:04 +0000 X-Failed-Recipients: ...@cboltz.de Auto-Submitted: auto-replied From: Mail Delivery System Mailer-Daemon@sourceforge.net To: USERNAME@users.sourceforge.net Subject: Mail delivery failed: returning message to sender Message-Id: E1M6DUy-0006Mx-Ot@3b2kzd1.ch3.sourceforge.com Date: Tue, 19 May 2009 00:48:04 +0000 Status: R X-Status: NPC X-KMail-EncryptionState: X-KMail-SignatureState: X-KMail-MDN-Sent:
This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed:
...@cboltz.de (generated from USERNAME@users.sourceforge.net) SMTP error from remote mail server after end of data: host mailtest.cboltz.de [78.46.208.169]: 554 5.7.0 Reject, id=06334-06 - SPAM
------ This is a copy of the message, including all the headers. ------
Return-path: USERNAME@users.sourceforge.net X-ACL-Warn: Received: from [190.148.90.116] by 3b2kzd1.ch3.sourceforge.com with esmtp (Exim 4.69) id 1M6DUK-0005me-Vm for USERNAME@users.sourceforge.net; Tue, 19 May 2009 00:47:58 +0000 Message-Id: <200905197492.3B24D4A59DE98A@[190.148.90.116]> From: "Sentz Seymour" USERNAME@users.sourceforge.net To: USERNAME@users.sourceforge.net Content-Type: text/html; charset="UTF-8" Content-Transfer-Encoding: 7bit MIME-Version: 1.0 X-Spam-Score: 17.9 (+++++++++++++++++) X-Spam-Report: Spam Filtering performed by mx.sourceforge.net. See http://spamassassin.org/tag/ for more details. 2.0 URIBL_BLACK Contains an URL listed in the URIBL blacklist [URIs: prolivate.ru] 0.0 MISSING_DATE Missing Date: header 0.0 HTML_IMAGE_RATIO_08 BODY: HTML has a low ratio of text to image area 0.0 HTML_MESSAGE BODY: HTML included in message 1.7 MIME_HTML_ONLY BODY: Message only has text/html MIME parts 1.5 RAZOR2_CF_RANGE_E8_51_100 Razor2 gives engine 8 confidence level above 50% [cf: 100] 1.5 RAZOR2_CF_RANGE_E4_51_100 Razor2 gives engine 4 confidence level above 50% [cf: 100] 2.0 RAZOR2_CHECK Listed in Razor2 (http://razor.sf.net/) 0.5 RAZOR2_CF_RANGE_51_100 Razor2 gives confidence level above 50% [cf: 100] 0.5 RCVD_IN_PBL RBL: Received via a relay in Spamhaus PBL [190.148.90.116 listed in zen.spamhaus.org] 2.9 RCVD_IN_XBL RBL: Received via a relay in Spamhaus XBL 2.0 URIBL_AB_SURBL Contains an URL listed in the AB SURBL blocklist [URIs: prolivate.ru] 0.5 URIBL_WS_SURBL Contains an URL listed in the WS SURBL blocklist [URIs: prolivate.ru] 2.9 URIBL_JP_SURBL Contains an URL listed in the JP SURBL blocklist [URIs: prolivate.ru] X-VA-Spam-Flag: YES X-Spam-Flag: YES X-Headers-End: 1M6DUK-0005me-Vm Subject: [SPAM] Scientists' mass-suicide
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> [...]
----------------------------------------------------------------------
Falls jemand einen Vorschlag für eine funktionierende SA-Regel hat - immer her damit ;-)
Gruß
Christian Boltz
* Christian Boltz postfix-users@cboltz.de:
Was ich schon längere Zeit interessant finde: Der Spam, der bei mir durchkommt, geht großteils an die Adresse in meinem GPG-Key. Ob da jemand einen Keyserver abgegrast hat und nun diese Adressen mit "optimiertem" Spam versorgt?
Intelligent, nicht wahr ?
Ich hab das Problem auch mal bei Sourceforge gemeldet. Die Details könnt Ihr unter http://apps.sourceforge.net/trac/sourceforge/ticket/724 nachlesen, jedenfalls ist Sourceforge unfähig und/oder unwillig, Spam zu REJECTen :-(
Ich habe dafür gestimmt! https://apps.sourceforge.net/ideatorrent/sourceforge/ideatorrent/idea/21/
Hallo Ralf, hallo Leute,
Am Freitag, 22. Mai 2009 schrieb Ralf Hildebrandt:
- Christian Boltz postfix-users@cboltz.de:
Was ich schon längere Zeit interessant finde: Der Spam, der bei mir durchkommt, geht großteils an die Adresse in meinem GPG-Key. Ob da jemand einen Keyserver abgegrast hat und nun diese Adressen mit "optimiertem" Spam versorgt?
Intelligent, nicht wahr ?
So könnte man es nennen :-/
Ich hab das Problem auch mal bei Sourceforge gemeldet. Die Details könnt Ihr unter http://apps.sourceforge.net/trac/sourceforge/ticket/724 nachlesen, jedenfalls ist Sourceforge unfähig und/oder unwillig, Spam zu REJECTen :-(
Ich habe dafür gestimmt! https://apps.sourceforge.net/ideatorrent/sourceforge/ideatorrent/idea /21/
Danke!
Und ich habe inzwischen dafür gesorgt, dass mein Postfach von via Sourceforge relaytem Spam und zugehörigem Backscatter verschont bleibt ;-)
Meine Regeln verwenden recht hohe Punktzahlen - da sie aber sehr zielgerichtet sind, dürfte das nicht zu false positives führen.
Da ich vermutlich nicht als einziger Spam via Sourceforge bekomme, hier meine /etc/mail/spamassassin/local.cf:
#------------------------------------------------------------------------------------------------------------------------------ # [cb] 2009-05-23 via Sourceforge relayter Spam # [cb] a) eingehender Spam via Sourceforge # USERNAME mit dem Sourceforge-Benutzernamen ersetzen # oder entfernen, wenn alle @users.sourceforge.net-Adressen gefiltert werden sollen. header CB_TO_CBOLTZ_SOURCEFORGE To =~ /USERNAME.users.sourceforge.net/i describe CB_TO_CBOLTZ_SOURCEFORGE Sent to USERNAME@users.sourceforge.net score CB_TO_CBOLTZ_SOURCEFORGE 0.001
#header CB_COMES_WITH_SPAMSCORE X-Spam-Score =~ /^[0-9][0-9]/i # X-Spam-Score und einige andere X-Spam-Header werden grundsaetzlich ignoriert. # daher funktioniert die folgende Regel nicht :-/ #header CB_COMES_WITH_SPAMSCORE X-Spam-Score =~ /./i #describe CB_COMES_WITH_SPAMSCORE Contains X-Spam-Score header with at least 10 points #score CB_COMES_WITH_SPAMSCORE 0.001
# X-VA-Spam-Flag wird nicht ignoriert ;-) header CB_COMES_WITH_VA_SPAM_FLAG X-VA-Spam-Flag =~ /YES/i describe CB_COMES_WITH_VA_SPAM_FLAG Contains X-VA-Spam-Flag: YES header score CB_COMES_WITH_VA_SPAM_FLAG 1
meta CB_SPAM_RELAYED_BY_SOURCEFORGE (CB_TO_CBOLTZ_SOURCEFORGE && CB_COMES_WITH_VA_SPAM_FLAG) describe CB_SPAM_RELAYED_BY_SOURCEFORGE Spam sent to USERNAME@users.sourceforge.net score CB_SPAM_RELAYED_BY_SOURCEFORGE 8
#------------------------------------------------------------------------------------------------------------------------------ # [cb] 2009-05-23 via Sourceforge relayter Spam # [cb] b) Backscatter von abgewiesenem Sourceforge-Spam body CB_BODY_COMES_WITH_SPAMFLAG /X-VA-Spam-Flag:[ ]*YES/i describe CB_BODY_COMES_WITH_SPAMFLAG Contains X-VA-Spam-Flag: YES in body (bounce?) score CB_BODY_COMES_WITH_SPAMFLAG 0.001
body CB_BODY_COMES_WITH_SPAMSCORE /X-Spam-Score:[ ]*[0-9][0-9]/i describe CB_BODY_COMES_WITH_SPAMSCORE Contains X-Spam-Score >= 10 in body (bounce?) score CB_BODY_COMES_WITH_SPAMSCORE 0.001
# already spam-blocked by us? # (Hostname und IP anpassen!) body CB_BODY_ALREADY_SPAMBLOCKED /host mailtest.cboltz.de .78.46.208.169.: 554 5.7.0 Reject, id=[0-9-]* - SPAM/i describe CB_BODY_ALREADY_SPAMBLOCKED Was already spam-blocked by mailtest.cboltz.de score CB_BODY_ALREADY_SPAMBLOCKED 1
meta CB_SPAM_BOUNCED_BY_SOURCEFORGE (CB_TO_CBOLTZ_SOURCEFORGE && CB_BODY_COMES_WITH_SPAMSCORE) describe CB_SPAM_BOUNCED_BY_SOURCEFORGE Spam bounced to USERNAME@users.sourceforge.net score CB_SPAM_BOUNCED_BY_SOURCEFORGE 10
#------------------------------------------------------------------------------------------------------------------------------
Gruß
Christian Boltz
Christian Boltz schrieb:
Hallo Ralf, hallo Leute,
Am Freitag, 22. Mai 2009 schrieb Ralf Hildebrandt:
- Christian Boltz postfix-users@cboltz.de:
Was ich schon längere Zeit interessant finde: Der Spam, der bei mir durchkommt, geht großteils an die Adresse in meinem GPG-Key. Ob da jemand einen Keyserver abgegrast hat und nun diese Adressen mit "optimiertem" Spam versorgt?
Intelligent, nicht wahr ?
So könnte man es nennen :-/
Ich hab das Problem auch mal bei Sourceforge gemeldet. Die Details könnt Ihr unter http://apps.sourceforge.net/trac/sourceforge/ticket/724 nachlesen, jedenfalls ist Sourceforge unfähig und/oder unwillig, Spam zu REJECTen :-(
Ich habe dafür gestimmt! https://apps.sourceforge.net/ideatorrent/sourceforge/ideatorrent/idea /21/
Danke!
Und ich habe inzwischen dafür gesorgt, dass mein Postfach von via Sourceforge relaytem Spam und zugehörigem Backscatter verschont bleibt ;-)
Meine Regeln verwenden recht hohe Punktzahlen - da sie aber sehr zielgerichtet sind, dürfte das nicht zu false positives führen.
Da ich vermutlich nicht als einziger Spam via Sourceforge bekomme, hier meine /etc/mail/spamassassin/local.cf:
#------------------------------------------------------------------------------------------------------------------------------ # [cb] 2009-05-23 via Sourceforge relayter Spam # [cb] a) eingehender Spam via Sourceforge # USERNAME mit dem Sourceforge-Benutzernamen ersetzen # oder entfernen, wenn alle @users.sourceforge.net-Adressen gefiltert werden sollen. header CB_TO_CBOLTZ_SOURCEFORGE To =~ /USERNAME.users.sourceforge.net/i describe CB_TO_CBOLTZ_SOURCEFORGE Sent to USERNAME@users.sourceforge.net score CB_TO_CBOLTZ_SOURCEFORGE 0.001
#header CB_COMES_WITH_SPAMSCORE X-Spam-Score =~ /^[0-9][0-9]/i # X-Spam-Score und einige andere X-Spam-Header werden grundsaetzlich ignoriert. # daher funktioniert die folgende Regel nicht :-/ #header CB_COMES_WITH_SPAMSCORE X-Spam-Score =~ /./i #describe CB_COMES_WITH_SPAMSCORE Contains X-Spam-Score header with at least 10 points #score CB_COMES_WITH_SPAMSCORE 0.001
# X-VA-Spam-Flag wird nicht ignoriert ;-) header CB_COMES_WITH_VA_SPAM_FLAG X-VA-Spam-Flag =~ /YES/i describe CB_COMES_WITH_VA_SPAM_FLAG Contains X-VA-Spam-Flag: YES header score CB_COMES_WITH_VA_SPAM_FLAG 1
meta CB_SPAM_RELAYED_BY_SOURCEFORGE (CB_TO_CBOLTZ_SOURCEFORGE && CB_COMES_WITH_VA_SPAM_FLAG) describe CB_SPAM_RELAYED_BY_SOURCEFORGE Spam sent to USERNAME@users.sourceforge.net score CB_SPAM_RELAYED_BY_SOURCEFORGE 8
#------------------------------------------------------------------------------------------------------------------------------ # [cb] 2009-05-23 via Sourceforge relayter Spam # [cb] b) Backscatter von abgewiesenem Sourceforge-Spam body CB_BODY_COMES_WITH_SPAMFLAG /X-VA-Spam-Flag:[ ]*YES/i describe CB_BODY_COMES_WITH_SPAMFLAG Contains X-VA-Spam-Flag: YES in body (bounce?) score CB_BODY_COMES_WITH_SPAMFLAG 0.001
body CB_BODY_COMES_WITH_SPAMSCORE /X-Spam-Score:[ ]*[0-9][0-9]/i describe CB_BODY_COMES_WITH_SPAMSCORE Contains X-Spam-Score >= 10 in body (bounce?) score CB_BODY_COMES_WITH_SPAMSCORE 0.001
# already spam-blocked by us? # (Hostname und IP anpassen!) body CB_BODY_ALREADY_SPAMBLOCKED /host mailtest.cboltz.de .78.46.208.169.: 554 5.7.0 Reject, id=[0-9-]* - SPAM/i describe CB_BODY_ALREADY_SPAMBLOCKED Was already spam-blocked by mailtest.cboltz.de score CB_BODY_ALREADY_SPAMBLOCKED 1
meta CB_SPAM_BOUNCED_BY_SOURCEFORGE (CB_TO_CBOLTZ_SOURCEFORGE && CB_BODY_COMES_WITH_SPAMSCORE) describe CB_SPAM_BOUNCED_BY_SOURCEFORGE Spam bounced to USERNAME@users.sourceforge.net score CB_SPAM_BOUNCED_BY_SOURCEFORGE 10
#------------------------------------------------------------------------------------------------------------------------------
Gruß
Christian Boltz
Hallo Chris, danke dafuer ! witzigerweise hab ich keinerlei spam von sourceforge erhalten obwohl ich eigentlich sonst wirklich fast alles neue zuerst bekomme *g die Spamlast ist jetzt bei mir auch wieder retur gegangen allerdings auf hoeherem Level
participants (16)
-
Andres Gonzalez Pareja -
Boris Kunstleben onOffice Software GmbH -
Christian Boltz -
Frank Müller -
Georg Käfer -
Heiko Wundram -
Jim Knuth -
lst_hoe02@kwsoft.de -
Matthias Schmidt -
Pascal Volk -
Patrick Ben Koetter -
Ralf Hildebrandt -
Robert Schetterer -
Robyn Bachofer -
Sven Eulberg -
Uwe Driessen