PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Spam? Gähnende leere



Gaston
25.05.2007, 10:14
Gerade hab ich etwas sehr merkwürdiges bekommen und ich weiß nicht mal woher.
Ich hab einen Maileingang ohne irgendwelche Angaben. Weder Absender, Adresse, noch Text???
Wenn mein Antiviren Programm zugegriffen hat, konnte ich dies immer nachvollziehen, aber hier???
Auch der Versuch den Quelltext einzusehen ist fehlgeschlagen, nur gähnende leere.
Und spätestens dort konnte ich dann versteckte Links etc. (die z.B. Weiß auf weißen Grund gehalten waren) sehen.

Irgendwie seltsam.

Nun nichts hier einzustellen, ist auch nicht einfach. Deswegen verzichte ich darauf. ;)
Kennt das jemand, weiß da jemand drüber bescheid???

homer
25.05.2007, 10:18
Kennt das jemand, weiß da jemand drüber bescheid???

Ja, das kommt gelegentlich vor. Bei mir gibt das meist über ein, zwei Wochen verstreut solche "Leermails". Ich vermute, da betreibt ein Spammer Listwashing. Wird die Mail angenommen ist die Mailadrese aktiv, ansonsten fliegt sie aus der Datenbank. Und dazu muss man nicht mehr Daten als unbedingt nötig schicken.

wisi
29.05.2007, 14:24
Listwashing ist was wohl leider nicht, hatte ich auch schon vermutet und deshalb solche Emails per Config blockiert - Spamaufkommen ist dadurch leider nicht gesunken, zumindest bei den Zustellungsversuchen ;)

homer
29.05.2007, 14:38
Listwashing ist was wohl leider nicht, hatte ich auch schon vermutet und deshalb solche Emails per Config blockiert - Spamaufkommen ist dadurch leider nicht gesunken

Wie geht denn das? Das Listwashing funktioniert bereits im am Anfang des SMTP-Dialoges, da kann der Server noch gar keine Mailinhalte gesehen haben:



homer [at] marge:~> telnet mx.meinedomain.tld 25
Trying 127.0.0.1...
Connected to mx.meinedomain.tld.
Escape character is '^]'.
<-- 220 mx.meinedomain.tld ESMTP
--> HELO dude
<-- 250 mx.meinedomain.tld
--> MAIL FROM: <me [at] meinedomain.tld>
<-- 250 ok
--> RCPT TO: <uetzelbruetzel [at] meinedomain.tld>
<-- 511 sorry, no mailbox here by that name (#5.1.1 - chkuser)
--> QUIT
<-- 221 mx.meinedomain.tld
Connection closed by foreign host.


Hier wurde nicht eine einzige Zeile Mail übertragen, die nicht existierende Adresse allerdings herausgefunden. Was der Mailserver mit dem Rest des SMTP-Dialoges macht ist dem Spammer egal.

wisi
29.05.2007, 14:49
Naja, die Meldung wird halt nach dem Data-Teil herausgegeben. Afaik machen das auch einige MTA "normalerweise" auch so, wenn die Mailadresse nicht existiert. Das Problem hatte ich zumindest oft früher mal kurz als ich den Spamassessin erst nach der Annahme der Mails laufen hatte (mit Bounce bei entsprechend hoher Punktzahl, zuerst überprüfe ich immer per Verify Callout die Absendeadresse, also nur HELO/MAIL FROM <>/RCPT TO ABSENDER) , trotzdem waren dann die resultierenden Bounces oft nicht zustellbar. Ich denke, Exchange macht das so... (Diesen Unsinn habe ich dann auch schnell gegen einen Scan während des Empfangens und nem direkten Reject umgestellt.)
Bei den leeren Emails kommt bei mir kein Reject sondern "Mailbox unavailable". Aber gut möglich, daß Spammer das dann schon ignorieren - aber eigentlich würde dann auch nichts zugestellt, das Ausliefern erfolgt erst nach dem "." im DATA-mode. Von der Seite macht es überhaupt keinen Sinn, daß Spammer Emails so verifizieren, es sei denn, sie wollen das erste Blanko-ok nach dem RCPT to von Exchange(?) noch abwarten. Ansonsten würden sie nur MAIL FROM <> und RCPT TO <testaddresse> machen und da das Ok abwarten, es würde aber keine Email ausgelöst...