Fwd: Kundensicherheit
Hallo Liste,
langsam habe ich die Nase voll von diesen Phishing-Mails über 1&1 Server. Siehe Anhang.
Hat jemand eine Idee wie man das effektiv blocken kann, ohne gleich die Server von mout.kundenserver.de komplett zu blocken?
MfG
Jochen
Am 17.12.2016 um 13:01 schrieb Joachim Fahrner:
Hallo Liste,
langsam habe ich die Nase voll von diesen Phishing-Mails über 1&1 Server. Siehe Anhang.
Hat jemand eine Idee wie man das effektiv blocken kann, ohne gleich die Server von mout.kundenserver.de komplett zu blocken?
MfG
Jochen
Aus der Nummer kommst du nur durch haerteres Content scanning raus, das bedeuted vermutlich aber viel Mehraufwand fuer alle Mails.
Wenn du arg leidest waere die Idee wohl smtp von mout.kundenserver.de gleich auf einen anderen Pfad zu schicken. Dafuer gibt natuerlich mehrere Moeglichkeiten.
Vieleicht geht sowas...
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, ... check_client_access hash:/etc/postfix/client_accesss_kundenserver
client_accesss_kundenserver
212.227.17.13 kundenserver_check
restriction_classes = kundenserver_check
kundenserver_check = permit_mynetworks, permit_sasl_authenticated,
von hier ab muss man sehen was zielfuehrend ist evtl waere sinnvoll vieleicht ein sender_verify davor evtl noch eine manuelle domain whitelist
Vieleicht kannst du auch noch nachfragen ob die Sender Domains auf die 1u1 Nameserver laufen und/ob ueberhaupt ein MX existertiert usw
Stichwort:
check_sender_mx_access check_sender_ns_access
das sollte alles kombinierbar sein
eine andere Moeglichkeit waere evtl mit milter_manager als Weiche eine zweite Spamassassin Instanz mit haerteren Einstellungen anzuwaehlen
Best Regards MfG Robert Schetterer
Hallo Robert,
das hört sich ja ziemlich aufwendig an. Ich habe jetzt einfach mal alle Server von mout.kundenserver.de geblockt. Mir ist momentan nicht bewußt, dass da jemals legitime Mails hergekommen wären. Ich beobachte halt jetzt täglich ob da was zuviel geblockt wurde.
Ich verstehe nicht, warum 1&1 dem Misbrauch ihrer Server tatenlos zusieht. Und ich verstehe auch nicht, warum deren Server immer noch auf der dnswl.org Whitelist sind. Das führt die Whitelist ad absurdum. Wie kommt man eigentlich auf diese Whitelist? Gegen Geld? Läuft das da ähnlich wie bei den Adblockern mit den "acceptable ads"?
Am 17.12.2016 um 15:49 schrieb Robert Schetterer:
Aus der Nummer kommst du nur durch haerteres Content scanning raus, das bedeuted vermutlich aber viel Mehraufwand fuer alle Mails.
Wenn du arg leidest waere die Idee wohl smtp von mout.kundenserver.de gleich auf einen anderen Pfad zu schicken. Dafuer gibt natuerlich mehrere Moeglichkeiten.
Vieleicht geht sowas...
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, ... check_client_access hash:/etc/postfix/client_accesss_kundenserver
client_accesss_kundenserver
212.227.17.13 kundenserver_check
restriction_classes = kundenserver_check
kundenserver_check = permit_mynetworks, permit_sasl_authenticated,
von hier ab muss man sehen was zielfuehrend ist evtl waere sinnvoll vieleicht ein sender_verify davor evtl noch eine manuelle domain whitelist
Vieleicht kannst du auch noch nachfragen ob die Sender Domains auf die 1u1 Nameserver laufen und/ob ueberhaupt ein MX existertiert usw
Stichwort:
check_sender_mx_access check_sender_ns_access
das sollte alles kombinierbar sein
eine andere Moeglichkeit waere evtl mit milter_manager als Weiche eine zweite Spamassassin Instanz mit haerteren Einstellungen anzuwaehlen
Best Regards MfG Robert Schetterer
Joachim Fahrner wrote:
Ich verstehe nicht, warum 1&1 dem Misbrauch ihrer Server tatenlos zusieht.
AFAIK hat 1&1 eine Abuse-Abteilung, bei denen Du Misbrauch ihrer Server melden kannst. "Tatlos zusehen" ist also was anderes.
Ciao, Michael.
Am 17.12.2016 um 16:28 schrieb Michael Ströder:
AFAIK hat 1&1 eine Abuse-Abteilung, bei denen Du Misbrauch ihrer Server melden kannst. "Tatlos zusehen" ist also was anderes.
Ciao, Michael.
Tut mir Leid, aber das sehe ich anders. 1&1 müsste Vorkehrungen treffen damit über ihre Webhosting-Pakete kein Massenmailversand möglich ist. Was soll das bringen, wenn ich jede Mail an die Abuse-Abteilung melden muss? Da ist löschen deutlich weniger Aufwand für mich. Ich will nicht durch 1&1 belästigt werden, und nicht ihr Hilfsheriff sein, der ihnen Misbrauch durch ihre Kunden meldet.
Gruss Jochen
Joachim Fahrner wrote:
Am 17.12.2016 um 16:28 schrieb Michael Ströder:
AFAIK hat 1&1 eine Abuse-Abteilung, bei denen Du Misbrauch ihrer Server melden kannst. "Tatlos zusehen" ist also was anderes.
Tut mir Leid, aber das sehe ich anders. 1&1 müsste Vorkehrungen treffen damit über ihre Webhosting-Pakete kein Massenmailversand möglich ist.
Du kannst es sehen wie Du willst.
Aber beim Massen-Hosting ist IMO dieses Problem nicht wirklich einfach zu lösen.
Was soll das bringen, wenn ich jede Mail an die Abuse-Abteilung melden muss? Da ist löschen deutlich weniger Aufwand für mich.
Dann lösche halt.
Ich will nicht durch 1&1 belästigt werden, und nicht ihr Hilfsheriff sein, der ihnen Misbrauch durch ihre Kunden meldet.
Es ist immer sehr einfach zu fordern, dass andere etwas besser machen müssten, um ein eigenes Problem zu lösen. Aber dieses Rumjammern hilft nix und niemandem.
Ciao, Michael.
Am 17.12.2016 um 16:39 schrieb Joachim Fahrner:
Am 17.12.2016 um 16:28 schrieb Michael Ströder:
AFAIK hat 1&1 eine Abuse-Abteilung, bei denen Du Misbrauch ihrer Server melden kannst. "Tatlos zusehen" ist also was anderes.
Ciao, Michael.
Tut mir Leid, aber das sehe ich anders. 1&1 müsste Vorkehrungen treffen damit über ihre Webhosting-Pakete kein Massenmailversand möglich ist. Was soll das bringen, wenn ich jede Mail an die Abuse-Abteilung melden muss? Da ist löschen deutlich weniger Aufwand für mich. Ich will nicht durch 1&1 belästigt werden, und nicht ihr Hilfsheriff sein, der ihnen Misbrauch durch ihre Kunden meldet.
Gruss Jochen
Hallo Jochen, du bist hier wirklich auf dem Holzweg, du kannst davon ausgehen dass es Vorkehrungen gegen Spam auch bei 1u1 gibt, eine Meldung im Abuse Fall ist gaengige Praxis, ob das gut funktioniert ist eine andere Sache
Best Regards MfG Robert Schetterer
Hallo Robert,
Am 17.12.2016 um 17:37 schrieb Robert Schetterer:
Hallo Jochen, du bist hier wirklich auf dem Holzweg, du kannst davon ausgehen dass es Vorkehrungen gegen Spam auch bei 1u1 gibt, eine Meldung im Abuse Fall ist gaengige Praxis, ob das gut funktioniert ist eine andere Sache
Ich hab das schon mehrfach versucht, keine Reaktion! Und selbst wenn, was soll es bringen? Bis die reagieren und den Account sperren, hat der Spammer seine Aktion doch längst erfolgreich ausgeführt. Dann holt er sich eben für die nächste Aktion ein neues Paket für 5€. Wer es den Spammern so leicht macht, braucht sich über Misbrauch nicht wundern.
Gruss Jochen
Hallo Joachim, hallo zusammen,
Am Samstag, 17. Dezember 2016, 18:14:30 CET schrieb Joachim Fahrner:
Am 17.12.2016 um 17:37 schrieb Robert Schetterer:
Hallo Jochen, du bist hier wirklich auf dem Holzweg, du kannst davon ausgehen dass es Vorkehrungen gegen Spam auch bei 1u1 gibt, eine Meldung im Abuse Fall ist gaengige Praxis, ob das gut funktioniert ist eine andere Sache
Ich hab das schon mehrfach versucht, keine Reaktion! Und selbst wenn, was soll es bringen? Bis die reagieren und den Account sperren, hat der Spammer seine Aktion doch längst erfolgreich ausgeführt. Dann holt er sich eben für die nächste Aktion ein neues Paket für 5€.
Nö, so einfach ist das nicht. Laut Aussage eines ehemaligen 1&1- Mitarbeiters mir gegenüber wird die Abuse-Abteilung Neukunden gegenüber schon aktiv. Der Spammer muss also mindestens 4 Wochen die Füße stillhalten und die erste Rechnung bezahlen ;-)
Was das im Umkehrschluss für Bestandskunden heißt, darfst Du gern zwischen den Zeilen lesen.
Davon abgesehen: Wenn alle großen Provider den Versand von Spam unterbinden würden - wer würde dann noch freiwillig den Aufpreis für den Spamfilter fürs eigene Postfach bezahlen? ;-) (Ja, auch dieser Punkt kam in diesem Gespräch auf.)
Gruß
Christian Boltz
PS: Wer Sarkasmus findet, darf ihn behalten ;-)
On 17.12.2016 20:52, Christian Boltz wrote:
Davon abgesehen: Wenn alle großen Provider den Versand von Spam unterbinden würden
wäre zumindest ein erster Schritt getan, eine derartige Resourcenverschwendung etwas einzudämmen; wenn Du denkst, es gäbe dann keinen SPAM hast Du Dich ohnehin geschnitten ...
- wer würde dann noch freiwillig den Aufpreis für den
Spamfilter fürs eigene Postfach bezahlen? ;-)
so lange ISPs nicht durch irgendwelche Richtlinien, Verträge verpflichtet werden (können) Mailverkehr ausschließlich über deren Mailserver ausgehend zuzulassen, wirst Du den auf die Art generierten SPAM ohnehin nicht los ...
Joachim Fahrner schrieb am 17.12.2016 um 18:14:
Am 17.12.2016 um 17:37 schrieb Robert Schetterer:
Hallo Jochen, du bist hier wirklich auf dem Holzweg, du kannst davon ausgehen dass es Vorkehrungen gegen Spam auch bei 1u1 gibt, eine Meldung im Abuse Fall ist gaengige Praxis, ob das gut funktioniert ist eine andere Sache
Ich hab das schon mehrfach versucht, keine Reaktion!
Wir zum Beispiel reagieren zwar entsprechend, antworten aber häufig dem Meldenden nicht - das frisst nur Zeit auf unserer Seite und auf der des Meldenden. Das mag vielleicht jemand wollen, der nur einmal die Woche etwas meldet und sonst nein Abuse-Handling hat...
On 17.12.2016 16:28, Michael Ströder wrote:
Joachim Fahrner wrote:
Ich verstehe nicht, warum 1&1 dem Misbrauch ihrer Server tatenlos zusieht.
AFAIK hat 1&1 eine Abuse-Abteilung,
die hat die Telekom auch, und dahinter sitzen Unwissende ... (dort wird man nur tätig, wenn man einen E-mail Header vorlegen kann ...)
bei denen Du Misbrauch ihrer Server melden kannst.
hier würde ich eher mich SPAMcop bedienen als mich mit einzelnen herumschlagen ...
"Tatlos zusehen" ist also was anderes.
dann nenne es Volgelstrauß Politik, das Ergebnis ist jedenfalls das selbe ...
Walter H. schrieb am 17.12.2016 um 19:31:
On 17.12.2016 16:28, Michael Ströder wrote:
Joachim Fahrner wrote:
Ich verstehe nicht, warum 1&1 dem Misbrauch ihrer Server tatenlos zusieht.
AFAIK hat 1&1 eine Abuse-Abteilung,
die hat die Telekom auch, und dahinter sitzen Unwissende ... (dort wird man nur tätig, wenn man einen E-mail Header vorlegen kann ...)
ohne Vorlage des Mail Headers wird kaum jemand reagieren, wir auch nicht.
On 18.12.2016 18:05, Andreas Ziegler wrote:
ohne Vorlage des Mail Headers wird kaum jemand reagieren, wir auch nicht.
das ist genau das Problem bei Unwissenden, denn ein Log, welcher zeigt dass ein bestimmter Host, im Minutentakt versucht ein Mail abzuladen¹, hat nun mal nur die Mail-Enevelopes, aber keine Mail-Header ...
¹ vor einigen Jahren schnappte mein SMTP derartiges auf, es gab eben nur die Mail-Envelopes, weil sie nicht angenommen wurden; und es handelte sich damals um einen Host eines Kunden der Dt. Telekom, der Mitglied eines Botnetzes war, welches wie wild Mails durch die Gegend sendete und dooferweise meinen SMTP als Mail-Relay zu mißbrauchen versuchte ...
Walter H. schrieb am 18.12.2016 um 20:03:
On 18.12.2016 18:05, Andreas Ziegler wrote:
ohne Vorlage des Mail Headers wird kaum jemand reagieren, wir auch nicht.
das ist genau das Problem bei Unwissenden, denn ein Log, welcher zeigt dass ein bestimmter Host, im Minutentakt versucht ein Mail abzuladen¹, hat nun mal nur die Mail-Enevelopes, aber keine Mail-Header ...
¹ vor einigen Jahren schnappte mein SMTP derartiges auf, es gab eben nur die Mail-Envelopes, weil sie nicht angenommen wurden; und es handelte sich damals um einen Host eines Kunden der Dt. Telekom, der Mitglied eines Botnetzes war, welches wie wild Mails durch die Gegend sendete und dooferweise meinen SMTP als Mail-Relay zu mißbrauchen versuchte ...
ok, ich hatte mich jetzt nur konkret auf erhaltene Spam-Mails bezogen, nicht auf andere Arten von Abuse. Dein Fall wäre natürlich auch zu bearbeiten.
Am 17.12.2016 um 16:20 schrieb Joachim Fahrner:
Hallo Robert,
das hört sich ja ziemlich aufwendig an. Ich habe jetzt einfach mal alle Server von mout.kundenserver.de geblockt. Mir ist momentan nicht bewußt, dass da jemals legitime Mails hergekommen wären. Ich beobachte halt jetzt täglich ob da was zuviel geblockt wurde.
Achso , wenn du dir das leisten kannst ist das OK, ich dachte du willst das vermeiden
Ich verstehe nicht, warum 1&1 dem Misbrauch ihrer Server tatenlos zusieht. Und ich verstehe auch nicht, warum deren Server immer noch auf der dnswl.org Whitelist sind. Das führt die Whitelist ad absurdum. Wie kommt man eigentlich auf diese Whitelist? Gegen Geld? Läuft das da ähnlich wie bei den Adblockern mit den "acceptable ads"?
Jeder kann sich da anmelden, es geht auch nicht darum dass von dort niemals Spam kommt ( es gibt niemand der das garantieren kann ) sondern das der Betreiber aktiv reagiert bei z.B Meldung, ob das zutrifft kann ich nicht wirklich beurteilen
Am 17.12.2016 um 15:49 schrieb Robert Schetterer:
Aus der Nummer kommst du nur durch haerteres Content scanning raus, das bedeuted vermutlich aber viel Mehraufwand fuer alle Mails.
Wenn du arg leidest waere die Idee wohl smtp von mout.kundenserver.de gleich auf einen anderen Pfad zu schicken. Dafuer gibt natuerlich mehrere Moeglichkeiten.
Vieleicht geht sowas...
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, ... check_client_access hash:/etc/postfix/client_accesss_kundenserver
client_accesss_kundenserver
212.227.17.13 kundenserver_check
restriction_classes = kundenserver_check
kundenserver_check = permit_mynetworks, permit_sasl_authenticated,
von hier ab muss man sehen was zielfuehrend ist evtl waere sinnvoll vieleicht ein sender_verify davor evtl noch eine manuelle domain whitelist
Vieleicht kannst du auch noch nachfragen ob die Sender Domains auf die 1u1 Nameserver laufen und/ob ueberhaupt ein MX existertiert usw
Stichwort:
check_sender_mx_access check_sender_ns_access
das sollte alles kombinierbar sein
eine andere Moeglichkeit waere evtl mit milter_manager als Weiche eine zweite Spamassassin Instanz mit haerteren Einstellungen anzuwaehlen
Best Regards MfG Robert Schetterer
Best Regards MfG Robert Schetterer
Am 17.12.2016 um 17:35 schrieb Robert Schetterer:
Achso , wenn du dir das leisten kannst ist das OK, ich dachte du willst das vermeiden
Naja, ist halt eine Frage des Aufwandes. Wenn es einfacher möglich gewesen wäre, wäre das ja ok. Aber der von dir gezeigte Weg ist mir doch zu aufwendig. Ich bin ja kein Mailprovider, hier geht es nur um die Mails der Familienmitglieder. Da kann ich es mir leisten kundenserver.de auch komplett zu blocken.
Ich finde es auch ein bischen traurig, wie einfach es sich die Großen im Geschäft machen, frei nach der Devise "too big to fail". Jeder kleine Mailprovider muss sich bemühen nicht auf diversen Blacklists zu landen, bzw. schnell wieder entfernt zu werden. Aber die Großen, wie T-Online oder 1&1 (GMX) kümmert das überhaupt nicht. 1&1 wirft sogar sämtliche Server in den gleichen "SPF-Topf", also die von GMX und von kundenserver.de. So kann jeder mit einem Webhosting-Paket von 1&1 die GMX-Adressen faken. Das ist doch der Wahnsinn! Wer soll denn da noch auf SPF vertrauen? Die Großen machen offenbar was sie wollen, ohne Rücksicht auf Verluste. Und nachdem sie die Standards bestens ignoriert und aufgeweicht haben, bewerben sie ihr eigenes DE-Mail. So geht Monopol. :-(
Gruss Jochen
On 17.12.2016 16:20, Joachim Fahrner wrote:
Hallo Robert,
das hört sich ja ziemlich aufwendig an. Ich habe jetzt einfach mal alle Server von mout.kundenserver.de geblockt. Mir ist momentan nicht bewußt, dass da jemals legitime Mails hergekommen wären. Ich beobachte halt jetzt täglich ob da was zuviel geblockt wurde.
Ich verstehe nicht, warum 1&1 dem Misbrauch ihrer Server tatenlos zusieht. Und ich verstehe auch nicht, warum deren Server immer noch auf der dnswl.org Whitelist sind. Das führt die Whitelist ad absurdum. Wie kommt man eigentlich auf diese Whitelist? Gegen Geld? Läuft das da ähnlich wie bei den Adblockern mit den "acceptable ads"?
versuche mal sowas ...
smtpd_sender_restrictions = check_sender_mx_access cidr:/etc/postfix/drop.cidr, check_sender_ns_access cidr:/etc/postfix/drop.cidr, reject_non_fqdn_sender, reject_unknown_sender_domain
und /etc/postfix/drop.cidr generierst Du so ...
wget -q -nd --output-document=- http://www.spamhaus.org/drop/drop.lasso |awk '/; SBL/ { printf( "%s\tREJECT %s\n", $1, $3 ) }'
/etc/postfix/drop.cidr
Grüße Walter
participants (6)
-
Andreas Ziegler -
Christian Boltz -
Joachim Fahrner -
Michael Ströder -
Robert Schetterer -
Walter H.