Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 18

Thema: Eonix , Serverhub + Namecheap Spam

  1. #1
    Neues Mitglied
    Registriert seit
    29.08.2014
    Beiträge
    16

    Standard Eonix , Serverhub + Namecheap Spam

    aus den USA Kommt Scam Terror von der Firma Eonix bzw Serverhub ist scheinbar ein lukrativer prifträchtiger Verbund und natürlich der Nummer eins Für Scam Domains Namecheap*com
    Namecheap interessiert es eine scheiss genau wie Eonix bzw Serverhub




    header:
    01: Return-Path: <SRS0=cx7z=HZ=monsterwind*cyou=slant(at)*>
    02: Received: by . (Postfix, from userID: [ID filtered]
    03: ID: [ID filtered]
    04: Authentication-Results: .;
    05: spf=pass (sender IP is 127.0.0.1)
    06: smtp.mailfrom=srs0=cx7z=hz=monsterwind*cyou=slant(at)* smtp.helo=localhost
    07: Received-SPF: pass (.: localhost is always allowed.) client-ip=127.0.0.1;
    08: envelope-from=srs0=cx7z=hz=monsterwind*cyou=slant(at)*; helo=localhost;
    09: X-Original-To: fax(at)*
    10: Delivered-To: fax(at)*
    11: Received: from monsterwind*cyou (unknown [50.3.251.217])
    12: by . (Postfix) with ESMTP ID: [ID filtered]
    13: for <fax(at)*>; Tue, 23 Feb 2021 xx:xx:xx +0100 (CET)
    14: Received-SPF: pass (.: domain of
    15: monsterwind*cyou designates 50.3.251.217 as permitted sender)
    16: client-ip=50.3.251.217; envelope-from=slant(at)monsterwind*cyou;
    17: helo=monsterwind*cyou;
    18: Date: Tue, 23 Feb 2021 xx:xx:xx -0500
    19: From: "Silencil" <slant(at)monsterwind*cyou>
    20: MIME-Version: 1.0
    21: Precedence: bulk
    22: To: <fax(at)*>
    23: Subject: Tinnitus Discovery Leaves Doctors Speechless (Video)
    24: Message-ID: [ID filtered]
    25: Content-Type: text/html; charset=ISO-8859-1
    26: Content-Transfer-Encoding: quoted-printable
    27: X-PPP-Message-ID: [ID filtered]
    28: X-PPP-Vhost: *

    <a href=3D"http:/=/www.monsterwind*cyou/yboegsn/qjdoxmc789306ocamfp/ExEDBkuuOFNklWRS2PjvdfhaJaijJlK-Nel4R9pxURg/=
    zTRabJNS2WxVUOvMdhwSPPZse7LPyjT2VWMxN_JOFZNauv4Ngoiqs6iBvUYh7Yj7IQzvwZABqrWhOqE3 684V2u6j7FqQhbxoO-2CHceIZduLaAS6SqeJ0nk3spHHHYKH">

    <span style=3D"font-size:36px;"><strong>1 Simple Recipe E=nds Tinnitus - Try Tonight
    <a href=3D"http://www.monsterwind*cyou/yboegsn/qjdoxmc789306=ocamfp/ExEDBkuuOFNklWRS2PjvdfhaJaijJlK-Nel4R9pxURg/zTRabJNS2WxVUOvMdhwSPPZse7LPyjT2VWMxN_JOFZNauv4Ngoiqs6iBvUYh7Yj7IQzvwZABqrWhOqE3 684V2u6j7FqQhbxoO-2CHceIZduLaAS6SqeJ0nk3spHHHYKH"><span style=3D"font-size:36px;"><s=
    trong>
    <img alt=3D"" src=3D"http://www.monsterwind*cyou/Eekqlihme/mindlr763=426xtnwqm/.jpg" style=3D"width: 687px; height: 535px;" />

    2021-02-23 08:44:19 SPAM[block_rbl_lists (dnsbl.spfbl.net)] no 50.3.251.218 candid.certifiedtopproducts.com marsembark*cyou shave(at)marsembark*cyou
    2021-02-23 08:14:57 SPAM[block_rbl_lists (dnsbl.spfbl.net)] no 50.3.251.217 street.certifiedtopproducts.com monsterwind*cyou slant(at)monsterwind*cyou
    2021-02-23 07:44:47 SPAM[block_rbl_lists (dnsbl.spfbl.net)] no 50.3.251.216 probe.certifiedtopproducts.com daytrue*cyou claim(at)daytrue*cyou

    ...

    2021-02-21 20:04:34 SPAM[block_rbl_lists (dnsbl.spfbl.net)] no 108.174.203.3 client-108-174-203-3.hostwindsdns.com dramacoast*cyou cap(at)dramacoast*cyou
    2021-02-21 13:07:53 SPAM[ip_blacklist] no 23.231.108.62 tdixnghkuj.advancedtechmedia.com crybeer*cyou grind(at)crybeer*cyou
    2021-02-21 12:37:55 SPAM[ip_blacklist] no 23.231.108.61 jgjpppefvc.advancedtechmedia.com tracesession*cyou unity(at)tracesession*cyou
    2021-02-21 12:07:51 SPAM[ip_blacklist] no 23.231.108.60 cujtytqkuh.advancedtechmedia.com crasheditor*cyou payment(at)crasheditor*cyou
    2021-02-21 11:38:16 SPAM[ip_blacklist] no 23.231.108.59 jqkfomjatk.advancedtechmedia.com amendqueen*cyou rube(at)amendqueen*cyou
    2021-02-21 11:07:53 SPAM[ip_blacklist] no 23.231.108.58 wtvbkoyxsr.advancedtechmedia.com sustainfishing*cyou slant(at)sustainfishing*cyou

    ...

    2021-02-20 17:28:14 SPAM[ip_blacklist] no 23.231.108.26 sjglgbpogh.insurancewhileyoulive.com grandslice*cyou drown(at)grandslice*cyou

    ...

    2021-02-05 06:31:50 SPAM[check_ip_reverse_dns] no 50.3.239.28 (null) glidenervous*cyou askew(at)glidenervous*cyou
    2021-02-05 06:16:06 SPAM[check_ip_reverse_dns] no 50.3.239.27 (null) mistextinct*cyou newsletter(at)mistextinct*cyou
    2021-02-05 05:59:58 SPAM[check_ip_reverse_dns] no 50.3.239.26 (null) userwalk*cyou outer(at)userwalk*cyou
    Geändert von cmds (24.02.2021 um 16:40 Uhr) Grund: Unsinn entfernt, Müll aus Mailbody entfernt, Header gesetzt, Blacklist verkleinert

  2. #2
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    229

    Idee Harden Postfix

    Ich sehe Du verwendet postfix und die Zeile
    Received: from monsterwind*cyou (unknown [50.3.251.217])
    deutet darauf hin, dass Du Mail von Hosts annimmst, die gar nicht richtig als Mailserver konfiguriert sind. Damit hat z.B. auch MS derzeit Probleme, da dort massenweise Mail aus deren Bereichen ins Netzt gekippt wird. Stichwort azure...
    Um das wirksam zu verhindern könntest Du folgendes in der main.cf verbessern.
    Code:
    smtpd_client_restrictions = [..permits (mynetworks etc...], reject_unknown_client_hostname, reject_unknown_reverse_client_hostname, [checks...]
    smtpd_recipient_restrictions = reject_unauth_pipelining, reject_unknown_recipient_domain, [..permits (mynetworks, sasl auth etc...],  reject_invalid_hostname, reject_unknown_reverse_client_hostname, reject_non_fqdn_recipient, reject_unauth_destination, [checks...]
    unknown_client_reject_code = 512
    unknown_hostname_reject_code = 512
    Erklärung: Ein Mailserver muss einen DNS Eintrag haben und ideallerweise auch gleichlautenden EHLO. Wenn der Hostname fehlt, bzw. vom DNS nicht rückwärts aufgelöst werden kann, versteht der Sender sowieso nix vom Mailserverbetreiben und von so einem willst vermtl. auch keine Mail. Wenn dann auch noch dein postscreen korrekt konfiguriert ist kannst Du viel vom dem Müll verhindern, bevor er Dir Arbeit macht.
    Der Reject Code muss umsetzt werden sonst kriegen die ein 450 gemeldet und versuchen es immer wieder.
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  3. #3
    Neues Mitglied Avatar von Dr_Who
    Registriert seit
    07.05.2019
    Ort
    Gallifrey
    Beiträge
    5

    Standard

    Sag mal antispamuser,
    HEADER tags und weitere Formatierungshilfen um so eine Textwand zu ordnen, kenst du nicht?
    Ich bin ein Timelord vom Planeten Gallifrey

  4. #4
    Neues Mitglied
    Registriert seit
    24.02.2021
    Beiträge
    6

    Standard

    Eigentlich könnte mal auf *@cyou als Absender alles rejecten, oder?

    Mir geht der Mist auch gerade mächtig auf den Sender

  5. #5
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    229

    Standard

    Na, wer da kreativ werden will, aber das machen eigentlich nur die Pösen
    Code:
    /^Received: .*\.(asia|cam|casa|club|cyou|fun|icu|link|monster|online|space|store|surf|web(site)?|xyz)/ REJECT
    Wobei ich mit manchen vorsichtiger wäre, da die real in Gebrauch sind (nicht nur bei Spammern). Die softe Variante wäre
    Code:
    /^Received: .*\.(cam|cyou|fun|icu|link|monster|space|surf|xyz)/ REJECT
    , da habe ich noch nichts sinnvolles gesehen, d.h. noch nicht mal eine als Nonspam geflagged. Aber das ist oft wirksamer in den body_checks.pcre - ohne ^Received: , da die sich noch als .eu und .de Server verkleiden um dann die Links (s.vorher) oft in östliche Regionen zu lenken.
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  6. #6
    Neues Mitglied
    Registriert seit
    24.02.2021
    Beiträge
    6

    Standard

    Ich habe da eine olle Noobfrage, aber bekommt der Versender oder Mailadmin des sendenden Systems eine Mail über dein Reject?
    Und wenn ja, dann mit welchem Text?
    Geändert von schara56 (25.02.2021 um 06:02 Uhr) Grund: Vollzitat entfernt

  7. #7
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    229

    Standard

    Wenn er die Logfiles anschaut sieht er das was hinter dem REJECT steht. also z.B.
    Code:
    /regex/ REJECT Diese Mail konnte nicht angenommen werden
    Hier sieht der Admin in den Log Files den Text "Diese Mail konnte nicht angenommen werden" zu den Referenz Angaben der Mail, REJECT oder eine 4/5xx Nummer weist Postfix an die Mail zu bouncen, ab 500 ist es ein harter Bounce.
    Ein Admin der seine Logfiles nicht regelmäßig prüft, lässt den Missbrauch indirekt zu, denn das ist der Ort wo er am schnellsten erkennt, ob ein Missbrauch seiner Server stattfindet und kann entsprechend reagieren z.B. Kontakt zu dem Nutzer aufnehmen zur Abklärung.
    Der Versender erhält eine Unzustellbarkeitsnachricht, auch in dieser steht der Text (Einschränkung: wenn es den Versender überhaupt gibt).

    Die harten Spammer lesen das aber nicht, deren Business ist es den Müll zu verbreiten und das soll möglichst oft passieren, schließlich bewerben Sie ihre "Kunden" damit: Ich versende soundsoviel Mail und habe x "Abonnenten", denen ist das das egal ob die Dinger bouncen. Nur 10 Leute die auf so einen Müll reinfallen rechtfertigen den Aufwand millionenfach Müll zu verbreiten. Die versenden auch nach Jahren noch immer an, inzwischen längst nicht mehr existierende, Adressen. Das Ganze ist ein bisschen die "Geschichte von den Ahnungslosen, den Dummen, den Bösen und den Kriminellen".
    • Die Ahnungslosen glauben das ist ok, nach dem Motto "Probieren kann man das ja mal" - hier besteht Hoffnung auf eine Lernkurve - manchmal hilft eine RBL dabei die Lernkurve steiler zu machen.
    • Die Dummen kriegen nicht mit, dass sie andere schlicht belästigen - Logfiles sind für sie ein Fremwort und das Motto lautet "funktioniert doch".
    • Die Bösen tarnen sich oft als Affilitate Partner und sharen fleißig die Email Adressen ihrer Kunden für die Müllverbreitung, was die anderen Kunden aber nicht wissen. Die nerven alle, glauben aber das sei gerechtfertigt weil ihr Geschäftsmodel nicht mehr hergibt.
    • Die Kriminellen sind meist nicht dumm und haben teils beträchtliche Ressourcen zur Verfügung. Wenn eine Masche nicht mehr verfängt sind sie in kurzer Zeit in der Lage ihre Infrastruktur zu verändern, sie haben Zugriff auf massenhaft Domains, virtuelle Server etc. Diese findet man bei Namecheap, auf den "Steuerschwindel Inseln" und bei bestimmten Providern (mir fällt seit einiger Zeit da OVH z.B. auf). Deren Geschäftsmodell ist Viagra, Bitcoin, und alles wofür sich Menschen schämen wenn es bekannt wird. Erst werden Links zu Pornos versendet, dann kommt ein Link mit der Bitcoin Erpressung "Ich habe Dich beim Video gucken erwischt, mein Trojaner weiß alles" (i.Ü. sie wissen nix und können auch nix - aber es gibt genug, die darauf rein falllen).
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  8. #8
    Neues Mitglied
    Registriert seit
    24.02.2021
    Beiträge
    6

    Standard

    Dann finde ich deinen Weg besser mit dem Rejecten.
    Mein Anbieter sagt, dass wenn es so einfach ist, dass die immer (wie da oben mit der Zeile: /^Received: .*\.(asia|cam|casa|club|cyou|fun|icu|link|monster|online|space|store|surf|web(si te)?|xyz)/ REJECT gezeigt) die gleichen tld versenden, ich einfach in meinem Outlook das so einrichten soll, dass die gelöscht werden. Aber das ist nicht mein Ziel. Ich will verdammtnochmal nicht, dass der Scheiß zugestellt wird. Solchen Scheißhaufen wie Serverhub gehört der Arsch versohlt. Verstehe nicht, warum sich die "guten Admins" nicht zusammenschließen können und solche Spamschleudern abklemmen, bzw. nichts von denen zulassen UND/ODER diese Server ddosen oder was auch immer da möglich ist, um einen abzuschießen.

  9. #9
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    229

    Standard

    Ich glaube die guten Admins wollen das alle, aber Geld regiert die Welt. Und noch ein aber, die Großen buhlen eher um Marktanteile und ethische Grundsätze bringen halt kein Geld - dabei wird dann gerne übersehen was man sich für ein Gesindel ins Haus holt. Es gibt wenige löbliche Ausnahmen. Provider wie aws, azure etc. sind mehr ohne weniger Dulder in meinen Augen, die schauen einfach nicht genau genug hin.

    I.Ü. sind es eigentlich im Verhältnis zu der Gesamtzahl der Mailnutzer wenige, die zu den großen Belästigern gezählt werden müssen - zugegeben, die nerven aber gewaltig. Die Cidr /20-24 Netze (Spammer freundliche Netze), die den Müll verbreiten sind übersichtlich (wenige tausend) und könnten leicht von jedem Mailserver Betreiber auf eine access denied Liste gestellt werden, da bräuchte es noch nicht mal eine RBL Abfrage.

    DDOS halte ich für keinen guten Ansatz, erstens macht man sich mitschuldig an dem unsinnigen Teil des Internet, zweitens wird das die - die Du treffen möchtest - wenig beeindrucken, dann wechseln sie eben von OVH, Baxet, Ghostnet (und wie sie noch alle heißen) und zum anderen haben heute alle größeren Provider wirksame Maßnahmen gegen DDOS im Einsatz, drittens ist Rache immer eine schlechte Motivation.

    Hier findest Du aber genügend Mitglieder, die Dir helfen das zu analysieren und die Spuren der Spammer und Zusammenhänge aufzuzeigen und offenzulegen. Ansonsten ist Aufklärung im privaten Umfeld vermutlich das effizienteste Werkzeug, denn die Spammer leben von denen die darauf reinfallen - und das sind eben leider ganz viele von uns normalen Menschen. Bring den FreundInnen bei, nicht in jedes Feld das im Internet angeboten wird die eigene Mail Adresse reinzuschreiben und nicht zu glauben, dass es was geschenkt gibt oder jetzt als Schnäppchen. Ich steige jetzt aber aus, das wird alles ziemlich offtopic...
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  10. #10
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    229

    Standard

    Aktuell passt zu
    Provider wie aws, azure etc. sind mehr ohne weniger Dulder in meinen Augen, die schauen einfach nicht genau genug hin.
    dann auch ein Artikel https://t3n.de/news/amazon-whistlebl...chutz-1358723/. Ersetze "Amazon" mit "webapp.azure.com" und das Ergebnis würde nach meinem Gefühl genau so passen.
    Chuck Norris isst keinen Honig, er kaut die Bienen!

Seite 1 von 2 12 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen