Seite 1 von 5 123 ... LetzteLetzte
Ergebnis 1 bis 10 von 47

Thema: bhv/pkv/bu Spam

  1. #1
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    163

    Standard bhv/pkv/bu Spam

    Derzeit schwer aktiv sind wieder die Leads Phisher aus dem Versicherungsbereich

    Body Filter bisher (noch wachsend):

    Code:
    /(aktueller-testsieger-2016|aktueller-testsieger-2106|beitraegeguenstig|
      beitragniedriger|beitrag-rabatt|beitragrabbatt|beitragssenkung|beitrag-guenstiger|
      beitragsenken|beitragsrabbatt|beitrag-verringern|bhv-beratung|bhvinformation|
      bhv-optimierung|bhvsatz-senken|bhvtarif|bhv-tarifevergleichen|bhv-uberblick|
      bu-absichern|bu-empfehlung|buvueberblick|gewinner-tarif|gewinnertarif|guenstigebeitraege|
      guenstiger-tarif|gutetarife|gute-tarife2017|idealekonditionen|ihr-angebot|ihrangebot|
      ihrneuertarif|individuellestarifangebot|info-bu|infobu|kostenfrei-vergleichen|   
      kosten-minimieren|kosten-pruefen|kostenpruefen|neue-tariftests|neue-versicherungen|
      niederiger-beitrag|niedriger-beitrag|pkv-empfehlung|pkv-informieren|pkv-satzsenken|
      pkv-testsieger|sonderangebots-tarif|sonderangebot-tarif|pkvueberblick|tarife-berechnen|
      tarife-checken|tarifermittlung|tarifsiegernews|tarifsieger-info|tarif-sonderangebot|
      tarifuebersichtjanuar2017|uebersicht-tarife2017|versandsrv[\d]+|versicherung-news|
      versicherungs-news|vertragoptimieren|versicherungsuebersicht|vorsorgen2017|
      webclick[\d]+|web[\d]+)\.(co|download|info|net|online|org|trade|win)/
    Gibt es eigentlich eine interne/closed Datenbank, die eine Sammlung je Domain und/oder IP ermöglicht (aber mit Datenhandel ausgeschlossen)?
    Geändert von nlnn (24.01.2017 um 18:33 Uhr)
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  2. #2
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    163

    Standard

    Die neue Sammlung...
    Code:
    *\.(aktueller-testsieger-2016|aktueller-testsieger-2017|aktueller-testsieger-2106|beitraegeguenstig|beitrag-guenstiger|beitrag-niedriger|beitragniedriger|beitrag-rabatt|beitragrabbatt|beitragsenken|beitragsenkung|beitrag-senkung|beitragsrabbatt|beitragssenkung|beitrag-verringern|bhv-beratung|bhv-empfehlen|bhk-info|bhv-information|bhvinformation|bhv-optimierung|bhvsatz-senken|bhvsatzsenken|bhvtarif|bhv-tarifevergleichen|bhv-uberblick|bu-absichern|bu-empfehlung|bu-info|buvueberblick|gewinner-tarif|gewinnertarif|guenstigebeitraege|guenstiger-tarif|gutetarife|gute-tarife2017|hyperhost|idealekonditionen|ihr-angebot|ihrangebot|ihrneuertarif|ihrneuer-tarif|ihrtarif|ihrtariftest|individualtarif|individuellestarifangebot|indivual-tarif|info-bu|infobu|kostenfrei-vergleichen|kosten-minimieren|kosten-pruefen|kosten-senken|kostenpruefen|neue-bhv2017|neue-tariftests|neue-versicherungen|newstarifsieger|neuestetarifauskunft|news-tarifvergleich|newstarifvergleich|niederiger-beitrag|niedriger-beitrag|persoenlicher-tarifvergleich|persoenlichertarifvergleich|plegeversicherung-sparen|pflege-2016|pk-versicherung|pkv-empfehlung|pkv-informieren|pkv-satzsenken|pkv-tarifevergleiche|pkv-testsieger|pkvueberblick|sonderangebots-tarif|sonderangebot-tarif|superkonditionen|tarife-berechnen|tarife-checken|tarife-ermitteln|tarifermittlung|tarifepruefen|tarifindividuell|tarifsieger-info|tarifsiegernews|tarif-sonderangebot|tarifuebersichtjanuar2017|tarifuebersicht-januar2017|tarifvergleichjanuar2017|topclick[\d]+|uebersicht-tarife2017|versand[\d]+|versandsrv[\d]+|versicherung-news|versicherungs-news|versicherungsuebersicht|vertrag-ideal|vertragoptimal|vertragoptimieren|vorsorgen2017|webclick[\d]+|web[\d]+)\.(co|cricket|download|info|name|net|online|org|racing|science|trade|win)/i
    Mit Dank an die fleißigen Sammler
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  3. #3
    Mitglied Avatar von carsten.gentsch
    Registriert seit
    22.04.2008
    Ort
    immer und überall
    Beiträge
    924

    Standard

    Heute wieder 2x Spam von der Sorte.
    whois:neueste-tarifnews.com post geht an info@neueste-tarifnews.com
    whois:gute-tarife2017.net post an info@gute-tarife2017.net
    32CBFB5CBCDD4ED49B0B37E8387E2A45.PROTECT@WHOISGUARD.CO
    0E26ED0446714598A7F6AF63C977ECF8.PROTECT@WHOISGUARD.COM

    Alle samt von enom registriert und schön seriös geschützte Whois Daten ein Schelm wer böses denkt.
    Sind immer die selben Ganoven da hat wohl jemand ne Datenbak übernommen. Alles nach dem selben Muster.

    Gruß
    Geändert von carsten.gentsch (31.01.2017 um 10:56 Uhr)

  4. #4
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    163

    Cool

    Also gut, 6 x an einem Tag an die gleiche Mail Adresse immer mit verschiedenen ULS's. Hier riechts aber gewaltig bzw. früher nannte man das ein einfach aq**ix

    Was zu viel ist ist zuviel, dann werden wir mal eine Domain Verbrennungsmaschine anwerfen:
    Code:
    /.*\b(aktueller.?testsieger.?(2016|2106)?|beitraege.?guenstig|beitrag.?guenstiger|beitrag.?niedriger|beitrag.?rabatt|beitrag.?rabbatt|beitrag.?senken|beitrag.?senkung|beitrags.?rabbatt|beitrags.?senkung|beitrag.?verringern|bhk.?info|bhv.?beratung|bhv.?empfehlen|bhv.?information|bhv.?optimierung|bhv.?satz.?senken|bhv.?satzsenken|bhvsatz.?senken|bhv.?tarif|bhv.?tarife.?vergleichen|bhv.?uberblick|bu.?absichern|bu.?empfehlung|bu.?info|buv.?ueberblick|empfehlung.?bhv|empfohlende.?bhv|geldeasy24|gewinner.?tarif|guenstige.?beitraege|guenstiger.?tarif|gute.?tarife|hyperhost|ideale.?konditionen|ihr.?angebot|ihrgeld2016|ihr.?neuer.?tarif|ihr.?tarif|ihr.?tarif.?test|ihr.?tarif.?vergleich|individual.?tarif|individuelles.?tarif.?angebot|indivual.?tarif|info.?bhv|info.?bu|kostenfrei.?vergleichen|kosten.?minimieren|kosten.?pruefen|kosten.?senken|link[\d]+|meine.?pflege.?vorsorge|mein.?tarif|neue.?betriebs.?haft.?pflicht|neue.?bhv.?2017|neueste.?tarif.?auskunft|neueste.?tarif.?news|neue.?tarif.?tests|neue.?versicherungen|news.?tarif.?sieger|news.?tarif.?vergleich|niederiger.?beitrag|niedriger.?beitrag|persoenlicher.?tarif.?vergleich|persoenlicher.?vergleich|pflege.?2016|pflege.?2017|pflege.?versicherung.?sparen|pflege.?vorsorge|pkv.?beratung|pkv.?empfehlung|pk.?versicherung|pkv.?informieren|pkv.?satzsenken|pkv.?tarife.?vergleiche|pkv.?testsieger|pkv-?ueberblick|sonder.?angebots.?tarif|sonder.?angebot.?tarif|super.?konditionen|tarif.?angebot.?verlaengert|tarife.?berechnen|tarife.?checken|tarife.?ermitteln|tarife.?geunstiger|tarife.?pruefen|tarif.?ermittlung|tarif.?guenstiger|tarif.?individuell|tarif.?sieger.?info|tarif.?sieger.?news|tarif.?sonder.?angebot|tarif.?uebersicht|tarif.?vergleich|topclick[\d]+|uebersicht.?tarife.?2017|versand[\d]+|versandsrv[\d]+|versicherung.?news|versicherungs.?news|versicherungs.?uebersicht|vertrag.?ideal|vertrag.?optimal|vertrag.?optimieren|vorsorgen.?2017|webclick[\d]+|web[\d]+)(.?(januar|februar|maerz|mai|juni|juli|august|september|oktober|november|dezember)?(.?2017)?)?\.(com?|cricket|download|faith|gmbh|info|name|net|online|org|racing|science|trade|win)\b/igUsX
    Strenge Warnung - das ist sehr global gefasst und sollte für den eigenen Bedarf geprüft werden, lässt sich aber leicht von Tippfaulen erweitern!
    Das regex dem spamassassin o.ä. zum Fraß vorgeworfen und mindestens mit Note +5.5 belohnt sorgt es für die korrekte Ablage und spart zumindest diese Arbeit. Verbesserungen werden dankbar hier angenommen
    Die (g)TLDs können dann einfach erweitert werden.

    Auf einer der Webseiten (es sind aber alle gleich) wird mit den Logos von "Deutscher Ring", "Signal Iduna", "Allianz", "Gothaer", "Nuernberger", "Rhion", "Hanse Merkur", "AXA", "Die Continentale" geworben. Seriös geht natürlich anders und sicherlich haben die nichts direkt damit zu tun, aber als die potentiellen Nutznießer könnte mal sie mal fragen wem sie den Zuwachs zu verdanken haben.
    Im Impressum findet sich dann noch die BSDF Society in Panama. Die Suite 604 im Azuero Business Center ist sicher auch nur ein Briefkasten. Und ich dachte Panama ist nicht mehr en vogue, die erholen sich aber schnell. Früher gab's doch mal was im Trio hilft hier jetzt vielleicht die "Famous Four" Media weiter oder sind die schon wieder out?

    Jetzt könnte ich hier noch eine CIDR Liste für Postfix reinwerfen, bin mir aber nicht sicher ob's oportun ist. Eure Meinung?
    Geändert von nlnn (02.02.2017 um 16:42 Uhr)
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  5. #5
    Mitglied
    Registriert seit
    30.12.2007
    Beiträge
    438

    Standard

    Ich habe mir in den letzten paar Tagen mal einen Postfix-Policy-Daemon gebaut, der auf der Basis von Whois-Daten arbeitet - wenn eine Domain über einen Anonymisierungsdienst registriert ist, werden Mails von dort erst mal temporär abgelehnt (ähnlich Greylisting). Falls eine manuelle Prüfung ergibt, dass es sich wohl um eine legitime Domain handelt, wird diese dann freigeschaltet. Das funktioniert extrem gut, erwischt sofort alle diese Domains und eine ganze Reihe ähnlich gestrickter Spammer-Netze.
    Ich weiß, dass die automatisierte Abfrage von Whois-Daten von vielen mit Stirnrunzeln angesehen wird, aber die Formulierung der meisten Whois-Server enthält deutlich "high-volume", und solange mir niemand zeigt, wo die Grenze genau liegt, sage ich mal, dass 5-50 Whois-Anfragen pro Stunde (bei ca. 7000-9000 legitimen Mails pro Tag plus nochmal doppelt soviel Spam-Versuchen) nicht "high-volume" ist.

    hoppala

  6. #6
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    163

    Standard

    an Erfahrungsaustausch interessesiert bin ...
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  7. #7
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    163

    Standard

    Vor ein paar Jahren hatte ich etwas in der Art schon mal probiert, eine interne Abuse Datenbank aufzubauen, bin aber von den Whois Anbietern irgendwann geblockt worden. Insofern ist mir Robtex heute eine große Hilfe, aber aufwändig weil manu/visuell. Bin aber immer noch interessiert sowas D-weit aufzubauen, aber nur interner Gebrauch (non public) -> die whois abfragen müssten dazu verteilt werden. Grober Gedanke dahinter -> Ersatz von großen Diensten, die ihre Daten aber dann doch verkaufen.
    Falls es da schon Andere gleichgesinnte geben sollte, besteht großes Interesse diese Idee weiter zu verfolgen. Könnte der e.V. so etwas (mit) leisten?
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  8. #8
    Mitglied
    Registriert seit
    24.11.2008
    Ort
    Dortmund
    Beiträge
    962

    Standard

    Was spricht dagegen, einen eigenen whois server aufzusetzen? Ähnlich einem eigenen Bind.
    Evtl. mal mit Manitu sprechen.
    ____
    IANAL

  9. #9
    Mitglied
    Registriert seit
    30.12.2007
    Beiträge
    438

    Standard

    Da müsste man sich sehr genau überlegen, was man erreichen will und wieviel man dafür zu leisten bereit ist. Ich mache diese Sachen in meiner Freizeit, die ist ziemlich unterschiedlich gut verfügbar. Für so einen einzelnen Server kann man das schaffen, aber für ein Netz, von dem x Server abhängig sind, geht das nicht.
    Das andere ist, dass man sich unter Umständen angreifbar macht, wenn man so etwas in größerem Maßstab macht. Ich habe weder viel Bock auf das Durchstehen von DDoS-Angriffen noch auf rechtliche Streitereien, und so etwas vollständig anonym aufzuziehen, ist auch ziemlich aufwändig und nicht ganz mein Ding.

    hoppala

  10. #10
    Mitglied
    Registriert seit
    30.12.2007
    Beiträge
    438

    Standard

    Zitat Zitat von Ralgert Beitrag anzeigen
    Was spricht dagegen, einen eigenen whois server aufzusetzen? Ähnlich einem eigenen Bind.
    Evtl. mal mit Manitu sprechen.
    Whois-Daten kopieren und speichern geht nicht. Das sind personenbezogene Daten, da kann man sich ziemlich die Finger bei verbrennen.
    Was man machen könnte, wäre eine DNS-basierte Domain-Blacklist (die meisten RBLs arbeiten mit der IP-Adresse, aber es müsste auch klappen, nach Domain zu suchen, muss ich nur nachschauen, wie das genau geht).

    hoppala

Seite 1 von 5 123 ... LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen