On 11.07.2017 17:51, Joachim Fahrner wrote:

Langsam komme ich ins Grübeln, ob ich das nicht doch generell wieder für alles aktivieren soll. Ich bekomme in letzter Zeit häufig Spam und Phishing von "echten" Mailservern (wurden die gehackt?), für die Greylisting nicht angewandt wurde,

in welchen Ländern sind diese "echten" Mailserver? mich wundert es nur, bei meinem Mailserver - ok diese Domain kräht kein Hahn vom Dach - sieht Logwatch typischerweise so aus:

259 *Warning: Pre-queue content-filter connection overload ---------------------------------- 256 After AUTH 256 unknown 2 After CONNECT 2 unknown 1 After RCPT 1 unknown

1 Reject relay denied --------------------------------------------------------------------- 1 50.246.210.57 50-246-210-57-static.hfc.comcastbusiness.net 1cookie.nick2017@outlook.com

1 Reject HELO/EHLO ------------------------------------------------------------------------ 1 Host not found 1 67.244.24.104 cpe-67-244-24-104.nyc.res.rr.com 1 192.168.0.155

1 Reject unknown client host -------------------------------------------------------------- 1 unknown 1 192.168.98.169 1X@tea.com 1eax_64@yahoo.com

21040 Connections lost ------------------------------------------------------------------------ 21039 After AUTH 21039 cpe-67-244-24-104.nyc.res.rr.com 1 After RCPT 1 cpe-67-244-24-104.nyc.res.rr.com

2 Sent via SMTP --------------------------------------------------------------------------- 2 meine.1te.Domain 1 calcbox-worker 1calcbox@vhost.mail 1 vhost-root 1 root

3 Timeout (inbound) ----------------------------------------------------------------------- 3 After AUTH 3 cpe-67-244-24-104.nyc.res.rr.com

2 Hostname verification errors ------------------------------------------------------------ 2 Address not listed for hostname 1 89.248.160.12 serv-kobrekim.com 1 139.162.99.243 scan.security.ipip.net

2 Host offered TLS ------------------------------------------------------------------------ 2 smtp.vom.Webhoster

demnach nur gescheiterte Versuche diesen als Relay zu vergewaltigen ...

Am 11.07.2017 um 17:51 schrieb Joachim Fahrner:

Hallo, in letzter Zeit habe ich mich an Roberts Vorschlag gehalten und Greylisting nur selektiv angewandt (Dialin-IPs usw.). Langsam komme ich ins Grübeln, ob ich das nicht doch generell wieder für alles aktivieren soll. Ich bekomme in letzter Zeit häufig Spam und Phishing von "echten" Mailservern (wurden die gehackt?),

naja gehacked wurde nicht der Server, sondern die Ktos

für die

Greylisting nicht angewandt wurde, und die auch (noch) auf keiner Blacklist waren. Kurze Zeit später findet man die dann auch auf manchen Blacklists. Das heisst: die ziehen ihre Aktionen in kürzester Zeit über (gehackte?) Server durch, und suchen sich dann wieder einen anderen "unverbrauchten" Server.

hm, typisch waere eher man bringt Ktos grosser mail provider unter seine Kontrolle die senden dann eben von div ips, voellig normal

Hier würde Greylisting enorm helfen, das verzögert die Zustellung, und beim nächsten Versuch steigt die Wahrscheinlichkeit, dass sie von einer Blacklist registriert wurden.

koennte klappen, hab ich aber so fast nie erlebt und z.B google und co ist bei mir grundsaetzlich gewhitelistet ( alles andere produziert zuviel support jobs ), das muss der content filter eben richten....tut er auch

Was meint ihr?

das es da nicht viel Neues drueber zu sagen gibt .....?

Jochen

Best Regards MfG Robert Schetterer