PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : "Global Contact" bzw. "adressen-de.com" ... wieso sind die nicht blacklisted?



mapet
27.10.2010, 09:34
Hallo allerseits,

ich denke die oben genannten Kandidaten "Global Contact" bzw. "adressen-de.com" dürften hier bekannt sein.

Wem der Satz "Wir sind in Besitz neuer, aktualisierter Datenbanken deutscher Firmen und Unternehmen." bekannt vorkommt weiss wovon ich rede.

Die Frage die ich mir nun stelle ist folgende:

Wie schaffen die es, als einzige Spammer durch die Filter zu kommen. Meine Firmen-E-Mailadresse habe ich über 10 Jahre und habe dank diverser Filter, insbesondere dank Greylisting habe ich auch weitgehend meine Ruhe - mit einer regelmäßigen, oben genannten Ausnahme.

Ich frage mich also:

Wieso landet dieser Spammer nicht auf den Blacklisten?
Wenn er drauf landet, wieso filtern meine Filter die Mails nicht?


Wäre froh, wenn mich jemand dahingehend aufklären würde.

Grüße, mapet

Grisu_LZ22
27.10.2010, 09:43
Hmmm... ich denke dass lässt sich so ganz ohne weiteres nicht beantworten da:
- wir nicht die EInstellungen Deines Spamfilters kennen
- ohne Header-Analyse ist es schwer rauszufinden ob die immer aus dem gleichen IP-Adressraum stammen (dann könnte man den sperren)
- die Absende-Adressen nicht bekannt sind um ggf. nach denen zu filtern etc

Aber vielleicht hat ja einer der technisch versierteren User eine Lösung.

PS: M.E. ist der Thread besser in 3.5 Technische Abwehr von Spam aufgehoben
@Mods: Verschieben?
Habs mal verschoben: Gruß skater

mapet
27.10.2010, 09:56
Hallo,

den Header liefere ich natürlich gerne nach:

Return-Path: <info [at] info.db-az.info>
X-Original-To: xxx
Delivered-To: xxx
X-policyd-weight:
NOT_IN_SBL_XBL_SPAMHAUS=-1.5
NOT_IN_SPAMCOP=-1.5
NOT_IN_BL_NJABL=-1.5
DSBL_ORG=ERR(0)
IN_IX_MANITU=4.35
CL_IP_EQ_FROM_IP=-2
CL_SEEMS_DIALUP=3.75 (check from: .db-az. - helo: .info.db-az. - helo-domain: .db-az.)
FROM/MX_MATCHES_HELO(DOMAIN)=-2; rate: -0.4
Received: from info.db-az.info (hbk178.internetdsl.tpnet.pl [79.187.36.178])
by xxx (Postfix) with ESMTP ID: [ID filtered]
for <xxx>; Wed, 27 Oct 2010 xx:xx:xx +0200 (CEST)
To: xxx
From: "Kontakt DE" <info [at] info.db-az.info>
Subject: Antwort.
Date: Wed, 27 Oct 2010 xx:xx:xx +0200
Message-ID: [ID filtered]
X-Mailer: WebMail
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset="iso-8859-1"
Mime-Version: 1.0

Es dürfte sich bei dem Spammer um den handeln, der bereits in folgendem Thread behandelt wird:
http://www.antispam-ev.de/forum/showthread.php?16684-Angebot-von-GlobalContact/page21&

Grüße, Mapet

Gerlach
27.10.2010, 11:04
Die spammen eigentlich immer aus dem gleichen Adressraum und seit Jahren mit freundlicher Unterstützung der Telekomunikacja Polen.

Bei mir gespammt von: http://83.18.137.132 (Telekomunikacja Polen)
Beworbene URL: http://www.adressen-de.com = http://195.116.35.251 (Alfa Systems, aber Telekomunikacja Polen als Abuse eingetragen)
http://dns.alfa-system.pl

Frühere Spamruns:
http://212.244.190.56 (20.10., 13.10., 6.10., 29.9., 23.9.) (Telekomunikacja Polen)

Eigentlich gehört das alles aber doch eher in den Glob-Contact-Thread (http://www.antispam-ev.de/forum/showthread.php?16684-Angebot-von-GlobalContact).

Ergänzung: Beschwerde an abuse [at] tpnet.pl sollte erfolgen. Die sind zwar ziemlich merkbefreit, aber ich habe etwas das Gefühl, sie sind die dauernden Beschwerden langsam leID: [ID filtered]

conny25
17.11.2010, 08:05
Ich frage mich also:

Wieso landet dieser Spammer nicht auf den Blacklisten?




Das frage ich mich auch schon die ganze Zeit... Warum unternimmt denn keiner was. Und nochmals: kann man sich nicht direkt an die DNSBL-Listen Betreiber selbst wenden ? Bei Spam-Cop z.B. kommt "nicht gelistet" und dann die abuse-Adresse, die einen ja herzlich wenig weiterhilft wie man sieht. Dass es da keine Stelle gibt die etwas unternehmen kann als der eigene Provider ? Vermutlich wird der Provider finanziell tatkräftig unterstützt von diesem "Datenbanken-Verein", so dass die auch niemals vorhaben etwas zu unternehmen, so wie die bis jezt reagiert haben.

Also wenn die nicht wollen, dann will ich auch nicht und sind für mich für ein und alle Mal gesperrt..., gleich die ganzen Ranges von Telekomunikacja Polen außer der Human nutzt das Kontakformular, welches auf eine ganz andere Mail-Adresse kommt, als die abgebildete.

Johannes
09.02.2011, 08:06
Hier schlug deren Spam mit folgendem Header auf:


From: - Wed Feb 09 xx:xx:xx 2011
X-Account-Key: account3
X-UIDL: [UID filtered]
X-Mozilla-Status: 0000
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
X-Envelope-From: <info [at] pro.newcontact.info>
X-Envelope-To: <poor [at] spamvictim.tld>
X-Delivery-Time: 1297219399
X-UID: [UID filtered]
Return-Path: <info [at] pro.newcontact.info>
X-RZG-CLASS-ID: [ID filtered]
Received: from pro.newcontact.info (81-210-3-118.ip.netia.com.pl [81.210.3.118]) by mailin.webmailer.de (plinge mi39) (RZmta 25.3) with ESMTP ID: [ID filtered]
To: poor [at] spamvictim.tld
From: Service <info [at] pro.newcontact.info>
Subject: Fw: Offerte
Date: Wed, 9 Feb 2011 xx:xx:xx +0100
Message-ID: [ID filtered]
X-Mailer: WebMail
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset="iso-8859-1"
Mime-Version: 1.0
X-AntiVirus: checked (incoming) by AntiVir MailGuard (Version: 10.0.1.38; AVE: 8.2.4.162; VDF: 7.11.2.104)

Und wieder/immer noch alles über Polen.
Gut, dass Polen mit seinen "Standards" ja nun auch endlich in der EU ist...

alariel
09.02.2011, 09:17
Auch wenn's ne späte Antwort ist, aber wenn so geprüft wird ist ein durchkommen auch nicht wunderlich:


05: NOT_IN_SBL_XBL_SPAMHAUS=-1.5
06: NOT_IN_SPAMCOP=-1.5
07: NOT_IN_BL_NJABL=-1.5
09: IN_IX_MANITU=4.35
10: CL_IP_EQ_FROM_IP=-2
11: CL_SEEMS_DIALUP=3.75 (check from: .db-az. - helo: .info.db-az. - helo-domain: .db-az.) Eindeutig: Viel zu viele Minus...
Wenn man schon mit SA (o.ä.) filtert, dann auch ordentlich.
"NOT_IN..." ergibt "0", nicht "-x".
Denn, s.Header, "IN_IX_MANITU" wird so nicht ausgehebelt. Es reicht doch wohl, wenn ein Absender in einer BL steht...
Zudem ist der Score für CL_SEEMS_DIALUP aus meiner Sicht viel zu niedrig eingestellt... da sollte irgendwas um die tausend stehen, oder so... ;)

Lange Rede, kurzer Sinn, wenn man viele BLs abfragt und Minuswerte für jede vergibt, wo der Absender _nicht_ draufsteht, dann ist das Filtern nahezu wirkungslos.