Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 47

Thema: bhv/pkv/bu Spam

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    167

    Standard bhv/pkv/bu Spam

    Derzeit schwer aktiv sind wieder die Leads Phisher aus dem Versicherungsbereich

    Body Filter bisher (noch wachsend):

    Code:
    /(aktueller-testsieger-2016|aktueller-testsieger-2106|beitraegeguenstig|
      beitragniedriger|beitrag-rabatt|beitragrabbatt|beitragssenkung|beitrag-guenstiger|
      beitragsenken|beitragsrabbatt|beitrag-verringern|bhv-beratung|bhvinformation|
      bhv-optimierung|bhvsatz-senken|bhvtarif|bhv-tarifevergleichen|bhv-uberblick|
      bu-absichern|bu-empfehlung|buvueberblick|gewinner-tarif|gewinnertarif|guenstigebeitraege|
      guenstiger-tarif|gutetarife|gute-tarife2017|idealekonditionen|ihr-angebot|ihrangebot|
      ihrneuertarif|individuellestarifangebot|info-bu|infobu|kostenfrei-vergleichen|   
      kosten-minimieren|kosten-pruefen|kostenpruefen|neue-tariftests|neue-versicherungen|
      niederiger-beitrag|niedriger-beitrag|pkv-empfehlung|pkv-informieren|pkv-satzsenken|
      pkv-testsieger|sonderangebots-tarif|sonderangebot-tarif|pkvueberblick|tarife-berechnen|
      tarife-checken|tarifermittlung|tarifsiegernews|tarifsieger-info|tarif-sonderangebot|
      tarifuebersichtjanuar2017|uebersicht-tarife2017|versandsrv[\d]+|versicherung-news|
      versicherungs-news|vertragoptimieren|versicherungsuebersicht|vorsorgen2017|
      webclick[\d]+|web[\d]+)\.(co|download|info|net|online|org|trade|win)/
    Gibt es eigentlich eine interne/closed Datenbank, die eine Sammlung je Domain und/oder IP ermöglicht (aber mit Datenhandel ausgeschlossen)?
    Geändert von nlnn (24.01.2017 um 18:33 Uhr)
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  2. #2
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    167

    Standard

    Die neue Sammlung...
    Code:
    *\.(aktueller-testsieger-2016|aktueller-testsieger-2017|aktueller-testsieger-2106|beitraegeguenstig|beitrag-guenstiger|beitrag-niedriger|beitragniedriger|beitrag-rabatt|beitragrabbatt|beitragsenken|beitragsenkung|beitrag-senkung|beitragsrabbatt|beitragssenkung|beitrag-verringern|bhv-beratung|bhv-empfehlen|bhk-info|bhv-information|bhvinformation|bhv-optimierung|bhvsatz-senken|bhvsatzsenken|bhvtarif|bhv-tarifevergleichen|bhv-uberblick|bu-absichern|bu-empfehlung|bu-info|buvueberblick|gewinner-tarif|gewinnertarif|guenstigebeitraege|guenstiger-tarif|gutetarife|gute-tarife2017|hyperhost|idealekonditionen|ihr-angebot|ihrangebot|ihrneuertarif|ihrneuer-tarif|ihrtarif|ihrtariftest|individualtarif|individuellestarifangebot|indivual-tarif|info-bu|infobu|kostenfrei-vergleichen|kosten-minimieren|kosten-pruefen|kosten-senken|kostenpruefen|neue-bhv2017|neue-tariftests|neue-versicherungen|newstarifsieger|neuestetarifauskunft|news-tarifvergleich|newstarifvergleich|niederiger-beitrag|niedriger-beitrag|persoenlicher-tarifvergleich|persoenlichertarifvergleich|plegeversicherung-sparen|pflege-2016|pk-versicherung|pkv-empfehlung|pkv-informieren|pkv-satzsenken|pkv-tarifevergleiche|pkv-testsieger|pkvueberblick|sonderangebots-tarif|sonderangebot-tarif|superkonditionen|tarife-berechnen|tarife-checken|tarife-ermitteln|tarifermittlung|tarifepruefen|tarifindividuell|tarifsieger-info|tarifsiegernews|tarif-sonderangebot|tarifuebersichtjanuar2017|tarifuebersicht-januar2017|tarifvergleichjanuar2017|topclick[\d]+|uebersicht-tarife2017|versand[\d]+|versandsrv[\d]+|versicherung-news|versicherungs-news|versicherungsuebersicht|vertrag-ideal|vertragoptimal|vertragoptimieren|vorsorgen2017|webclick[\d]+|web[\d]+)\.(co|cricket|download|info|name|net|online|org|racing|science|trade|win)/i
    Mit Dank an die fleißigen Sammler
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  3. #3
    Mitglied Avatar von carsten.gentsch
    Registriert seit
    22.04.2008
    Ort
    immer und überall
    Beiträge
    942

    Standard

    Heute wieder 2x Spam von der Sorte.
    whois:neueste-tarifnews.com post geht an info@neueste-tarifnews.com
    whois:gute-tarife2017.net post an info@gute-tarife2017.net
    32CBFB5CBCDD4ED49B0B37E8387E2A45.PROTECT@WHOISGUARD.CO
    0E26ED0446714598A7F6AF63C977ECF8.PROTECT@WHOISGUARD.COM

    Alle samt von enom registriert und schön seriös geschützte Whois Daten ein Schelm wer böses denkt.
    Sind immer die selben Ganoven da hat wohl jemand ne Datenbak übernommen. Alles nach dem selben Muster.

    Gruß
    Geändert von carsten.gentsch (31.01.2017 um 10:56 Uhr)

  4. #4
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    167

    Cool

    Also gut, 6 x an einem Tag an die gleiche Mail Adresse immer mit verschiedenen ULS's. Hier riechts aber gewaltig bzw. früher nannte man das ein einfach aq**ix

    Was zu viel ist ist zuviel, dann werden wir mal eine Domain Verbrennungsmaschine anwerfen:
    Code:
    /.*\b(aktueller.?testsieger.?(2016|2106)?|beitraege.?guenstig|beitrag.?guenstiger|beitrag.?niedriger|beitrag.?rabatt|beitrag.?rabbatt|beitrag.?senken|beitrag.?senkung|beitrags.?rabbatt|beitrags.?senkung|beitrag.?verringern|bhk.?info|bhv.?beratung|bhv.?empfehlen|bhv.?information|bhv.?optimierung|bhv.?satz.?senken|bhv.?satzsenken|bhvsatz.?senken|bhv.?tarif|bhv.?tarife.?vergleichen|bhv.?uberblick|bu.?absichern|bu.?empfehlung|bu.?info|buv.?ueberblick|empfehlung.?bhv|empfohlende.?bhv|geldeasy24|gewinner.?tarif|guenstige.?beitraege|guenstiger.?tarif|gute.?tarife|hyperhost|ideale.?konditionen|ihr.?angebot|ihrgeld2016|ihr.?neuer.?tarif|ihr.?tarif|ihr.?tarif.?test|ihr.?tarif.?vergleich|individual.?tarif|individuelles.?tarif.?angebot|indivual.?tarif|info.?bhv|info.?bu|kostenfrei.?vergleichen|kosten.?minimieren|kosten.?pruefen|kosten.?senken|link[\d]+|meine.?pflege.?vorsorge|mein.?tarif|neue.?betriebs.?haft.?pflicht|neue.?bhv.?2017|neueste.?tarif.?auskunft|neueste.?tarif.?news|neue.?tarif.?tests|neue.?versicherungen|news.?tarif.?sieger|news.?tarif.?vergleich|niederiger.?beitrag|niedriger.?beitrag|persoenlicher.?tarif.?vergleich|persoenlicher.?vergleich|pflege.?2016|pflege.?2017|pflege.?versicherung.?sparen|pflege.?vorsorge|pkv.?beratung|pkv.?empfehlung|pk.?versicherung|pkv.?informieren|pkv.?satzsenken|pkv.?tarife.?vergleiche|pkv.?testsieger|pkv-?ueberblick|sonder.?angebots.?tarif|sonder.?angebot.?tarif|super.?konditionen|tarif.?angebot.?verlaengert|tarife.?berechnen|tarife.?checken|tarife.?ermitteln|tarife.?geunstiger|tarife.?pruefen|tarif.?ermittlung|tarif.?guenstiger|tarif.?individuell|tarif.?sieger.?info|tarif.?sieger.?news|tarif.?sonder.?angebot|tarif.?uebersicht|tarif.?vergleich|topclick[\d]+|uebersicht.?tarife.?2017|versand[\d]+|versandsrv[\d]+|versicherung.?news|versicherungs.?news|versicherungs.?uebersicht|vertrag.?ideal|vertrag.?optimal|vertrag.?optimieren|vorsorgen.?2017|webclick[\d]+|web[\d]+)(.?(januar|februar|maerz|mai|juni|juli|august|september|oktober|november|dezember)?(.?2017)?)?\.(com?|cricket|download|faith|gmbh|info|name|net|online|org|racing|science|trade|win)\b/igUsX
    Strenge Warnung - das ist sehr global gefasst und sollte für den eigenen Bedarf geprüft werden, lässt sich aber leicht von Tippfaulen erweitern!
    Das regex dem spamassassin o.ä. zum Fraß vorgeworfen und mindestens mit Note +5.5 belohnt sorgt es für die korrekte Ablage und spart zumindest diese Arbeit. Verbesserungen werden dankbar hier angenommen
    Die (g)TLDs können dann einfach erweitert werden.

    Auf einer der Webseiten (es sind aber alle gleich) wird mit den Logos von "Deutscher Ring", "Signal Iduna", "Allianz", "Gothaer", "Nuernberger", "Rhion", "Hanse Merkur", "AXA", "Die Continentale" geworben. Seriös geht natürlich anders und sicherlich haben die nichts direkt damit zu tun, aber als die potentiellen Nutznießer könnte mal sie mal fragen wem sie den Zuwachs zu verdanken haben.
    Im Impressum findet sich dann noch die BSDF Society in Panama. Die Suite 604 im Azuero Business Center ist sicher auch nur ein Briefkasten. Und ich dachte Panama ist nicht mehr en vogue, die erholen sich aber schnell. Früher gab's doch mal was im Trio hilft hier jetzt vielleicht die "Famous Four" Media weiter oder sind die schon wieder out?

    Jetzt könnte ich hier noch eine CIDR Liste für Postfix reinwerfen, bin mir aber nicht sicher ob's oportun ist. Eure Meinung?
    Geändert von nlnn (02.02.2017 um 16:42 Uhr)
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  5. #5
    Mitglied
    Registriert seit
    30.12.2007
    Beiträge
    461

    Standard

    Ich habe mir in den letzten paar Tagen mal einen Postfix-Policy-Daemon gebaut, der auf der Basis von Whois-Daten arbeitet - wenn eine Domain über einen Anonymisierungsdienst registriert ist, werden Mails von dort erst mal temporär abgelehnt (ähnlich Greylisting). Falls eine manuelle Prüfung ergibt, dass es sich wohl um eine legitime Domain handelt, wird diese dann freigeschaltet. Das funktioniert extrem gut, erwischt sofort alle diese Domains und eine ganze Reihe ähnlich gestrickter Spammer-Netze.
    Ich weiß, dass die automatisierte Abfrage von Whois-Daten von vielen mit Stirnrunzeln angesehen wird, aber die Formulierung der meisten Whois-Server enthält deutlich "high-volume", und solange mir niemand zeigt, wo die Grenze genau liegt, sage ich mal, dass 5-50 Whois-Anfragen pro Stunde (bei ca. 7000-9000 legitimen Mails pro Tag plus nochmal doppelt soviel Spam-Versuchen) nicht "high-volume" ist.

    hoppala

  6. #6
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    167

    Standard

    an Erfahrungsaustausch interessesiert bin ...
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  7. #7
    Neues Mitglied
    Registriert seit
    21.05.2017
    Beiträge
    14

    Standard

    @meraldo: Na klar. Anscheinend hat sich seit Monaten niemand die Mühe gemacht sich genauer damit zu beschäftigen (bis auf nlnn - Danke, hat die Regeln nochmal verbessert).
    Folgende Spamassassin Regeln sind genau auf deren CRM-System bzw. Mailer abgestimmt. Vorerst einzutragen in /etc/spamassassin/local.cf .
    Vielleicht werden sie ja noch in ein paar Spamassassin Channels veröffentlicht. Urheberrecht gibt es keins. Den Score kann man nach gusto anpassen.

    Wie schaffen die es eigentlich solange von DNS-Blacklists verschont zu bleiben? Wie kommt man da rauf?
    # Versicherungsspam , #Versicherungsphishing , Versicherung, Spam, Fiching, Phishing

    Code:
    header __INSPHISH_LIST_AFTER		List-Unsubscribe =~ /^\s*<http:\/\/.*(tarif|privat|persoen|fuersiege|ihr|indivi|mein|guenstig|niede?rig|empfehl|info-|pflege|empfo|aktuell|schnell|vergleich|ueberbli|test|beitra|erstattu|wechseln|vorsorge|mein|jetzt|neue|super|top|optimal|optimiert|beste|ideal|perfekt|unverbindlich).*?(neu|sieger|guensti|indiv|niedri|senk|test|angebot|vergleich|beitrae?g|private|betriebshaftp|versicherung|bhv|buv|pkv|pzv|rlv|tarif|kredit|rabatt|kondition|vertrag|vorsorge|-2017).*?(2017)?\.(com|net|org|online|info)\/.*/
    
    header __INSPHISH_REPLY_AFTER		Reply-To =~ 	/<info\@.*(tarif|privat|persoen|fuersiege|ihr|indivi|mein|guenstig|niede?rig|empfehl|info-|pflege|empfo|aktuell|schnell|vergleich|ueberbli|test|beitra|erstattu|wechseln|vorsorge|mein|jetzt|neue|super|top|optimal|optimiert|beste|ideal|perfekt|unverbindlich).*?(neu|sieger|guensti|indiv|niedri|senk|test|angebot|vergleich|beitrae?g|private|betriebshaftp|versicherung|bhv|buv|pkv|pzv|rlv|tarif|kredit|rabatt|kondition|vertrag|vorsorge|-2017).*?(2017)?\.(com|net|org|online|info)>/
    
    header __INSPHISH_SENDER_AFTER		Sender =~ 	/<info\@.*(tarif|privat|persoen|fuersiege|ihr|indivi|mein|guenstig|niede?rig|empfehl|info-|pflege|empfo|aktuell|schnell|vergleich|ueberbli|test|beitra|erstattu|wechseln|vorsorge|mein|jetzt|neue|super|top|optimal|optimiert|beste|ideal|perfekt|unverbindlich).*?(neu|sieger|guensti|indiv|niedri|senk|test|angebot|vergleich|beitrae?g|private|betriebshaftp|versicherung|bhv|buv|pkv|pzv|rlv|tarif|kredit|rabatt|kondition|vertrag|vorsorge|-2017).*?(2017)?\.(com|net|org|online|info)>/
    
    header __INSPHISH_ABUSE_AFTER 		X-Report-Abuse =~ /<abuse\@.*(tarif|privat|persoen|fuersiege|ihr|indivi|mein|guenstig|niede?rig|empfehl|info-|pflege|empfo|aktuell|schnell|vergleich|ueberbli|test|beitra|erstattu|wechseln|vorsorge|mein|jetzt|neue|super|top|optimal|optimiert|beste|ideal|perfekt|unverbindlich).*?(neu|sieger|guensti|indiv|niedri|senk|test|angebot|vergleich|beitrae?g|private|betriebshaftp|versicherung|bhv|buv|pkv|pzv|rlv|tarif|kredit|rabatt|kondition|vertrag|vorsorge|-2017).*?(2017)?\.(com|net|org|online|info)>/
    
    meta INSPHISH_COMBI_AFTER  (__INSPHISH_LIST_AFTER && __INSPHISH_REPLY_AFTER && __INSPHISH_SENDER_AFTER && __INSPHISH_ABUSE_AFTER)
    describe INSPHISH_COMBI_AFTER 		deutscher Versicherungsspam und Versicherungsphishing
    score  INSPHISH_COMBI_AFTER 5
    
    
    header __INSPHISH_LIST_BEFORE 		List-Unsubscribe =~ /^\s*<http:\/\/.*(versicherung|vertrag|private|persoen|pflege|vorsorge|betriebshaftp|zahnzusatz|bhv|buv|pkv?|pzv|rlv|tarif|test|heute|schnell|kosten|sonder).*?(guenstig|aktuel|news|vergleic|empfehl|pruefen|profi|ermitteln|senken|berat|angebot|vorsorge|kalkulieren|berechn|kondition|verlaenger|getestet|tarif|sieger|report|auskunft|versicherung|ue?berbli|info|uebersicht|beitra|wechseln|jetzt|profis|super|optimal|optimiert|minimi|beste|ideal|perfekt).*(2017)?\.(com|net|org|online|info)\/.*/
    
    header __INSPHISH_REPLY_BEFORE		Reply-To =~ /<info\@.*(versicherung|vertrag|private|persoen|pflege|vorsorge|betriebshaftp|zahnzusatz|bhv|buv|pkv?|pzv|rlv|tarif|test|heute|schnell|kosten|sonder).*?(guenstig|aktuel|news|vergleic|empfehl|pruefen|profi|ermitteln|senken|berat|angebot|vorsorge|kalkulieren|berechn|kondition|verlaenger|getestet|tarif|sieger|report|auskunft|versicherung|ue?berbli|info|uebersicht|beitra|wechseln|jetzt|profis|super|optimal|optimiert|minimi|beste|ideal|perfekt).*(2017)?\.(com|net|org|online|info)>/
    
    header __INSPHISH_SENDER_BEFORE		Sender =~ /<info\@.*(versicherung|vertrag|private|persoen|pflege|vorsorge|betriebshaftp|zahnzusatz|bhv|buv|pkv?|pzv|rlv|tarif|test|heute|schnell|kosten|sonder).*?(guenstig|aktuel|news|vergleic|empfehl|pruefen|profi|ermitteln|senken|berat|angebot|vorsorge|kalkulieren|berechn|kondition|verlaenger|getestet|tarif|sieger|report|auskunft|versicherung|ue?berbli|info|uebersicht|beitra|wechseln|jetzt|profis|super|optimal|optimiert|minimi|beste|ideal|perfekt).*(2017)?\.(com|net|org|online|info)>/
    
    header __INSPHISH_ABUSE_BEFORE 		X-Report-Abuse =~  /<abuse\@.*(versicherung|vertrag|private|persoen|pflege|vorsorge|betriebshaftp|zahnzusatz|bhv|buv|pkv?|pzv|rlv|tarif|test|heute|schnell|kosten|sonder).*?(guenstig|aktuel|news|vergleic|empfehl|pruefen|profi|ermitteln|senken|berat|angebot|vorsorge|kalkulieren|berechn|kondition|verlaenger|getestet|tarif|sieger|report|auskunft|versicherung|ue?berbli|info|uebersicht|beitra|wechseln|jetzt|profis|super|optimal|optimiert|minimi|beste|ideal|perfekt).*(2017)?\.(com|net|org|online|info)>/
    
    meta INSPHISH_COMBI_BEFORE  (__INSPHISH_LIST_BEFORE && __INSPHISH_REPLY_BEFORE && __INSPHISH_SENDER_BEFORE && __INSPHISH_ABUSE_BEFORE)
    describe INSPHISH_COMBI_AFTER 		deutscher Versicherungsspam und Versicherungsphishing
    score  INSPHISH_COMBI_BEFORE 9.5

  8. #8
    Mitglied
    Registriert seit
    30.12.2007
    Beiträge
    461

    Standard

    Zitat Zitat von Versichungsdetektiv Beitrag anzeigen
    @meraldo: Na klar. Anscheinend hat sich seit Monaten niemand die Mühe gemacht sich genauer damit zu beschäftigen (bis auf nlnn - Danke, hat die Regeln nochmal verbessert).
    Doch, ich, täglich eigentlich. Nur ist mein Ansatz im Moment noch nicht zum Teilen geeignet (ich verzichte auf Regex, weil ich das Gefühl habe, dass man da nicht hinterherkommt). Wenn (falls) ich irgendwann mal genug Zeit und Energie habe, dafür eine DNSBL bzw. eine Domain-Blacklist ähnlich URIBL aufzusetzen, würde ich das hier kundtun. Die Chancen sind aber nicht so rosig.

    Zitat Zitat von Versichungsdetektiv Beitrag anzeigen
    Wie schaffen die es eigentlich solange von DNS-Blacklists verschont zu bleiben? Wie kommt man da rauf?
    Offenbar benutzen sie gerne große Hosting-Provider mit mehr oder weniger trägen Abuse-Abteilungen. Im Moment sind Aruba und OVH am besten vertreten, ansonsten wird auch bei Contabo, DigitalOcean, Vultr und einigen anderen gehostet. Dass die Domains nur kurze Zeit leben (bei Aruba und OVH auch schon mal ein ganzes Stück länger) scheint die Spammer nicht zu stören, sie registrieren einfach neue. Ob sie bei den Hostern auch unter immer neuen Identitäten auftreten, weiß ich nicht, halt es aber für wahrscheinlich.
    Registriert werden die Domains (fast?) immer anonym über WhoisGuard, Name Service ist meistens bei registrar-servers.com (was logisch ist, gehört beides zu NameCheap.com). Abuse-Mails an NameCheap kann man sich sparen, da passiert nichts.

    hoppala

  9. #9
    Verbalakrobat Avatar von Goofy
    Registriert seit
    17.07.2005
    Ort
    Überall und nirgends
    Beiträge
    24.287

    Standard

    Namecheap.com = Enom = im Besitz der russischen Spam-Mafia.
    Goofy
    ______________________________
    Weisheiten des Trullius L. Guficus, 80 v.Chr.:
    "Luscinia, te pedem supplodere audio" - Nachtigall, ick hör dir trapsen
    "Vita praediolum eculeorum non est" - Das Leben ist kein Ponyhof
    "Avia mea in stabulo gallinario rotam automotam vehit" - Meine Oma fährt im Hühnerstall Motorrad
    "Sed illi, dicito: me in ano lambere potest" - Jenem aber, sag es ihm: er kann mich am Arsch lecken

  10. #10
    Neues Mitglied
    Registriert seit
    21.05.2017
    Beiträge
    14

    Standard

    Nachtrag: Es ist Sonntag Abend, ich habe diesem Zeug ziemlich viele Stunden meiner kostbaren Zeit geopfert. Die RegEx erfassen nur ca. 95%++ , aber False Positives sollten vorerst zu einem wesentlich höheren Prozentsatz ausgeschlossen sein. Und denen ist dann sowieso kaum noch zu helfen.
    Man verzeihe mir den Namen...

Seite 1 von 2 12 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen