PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Complaint-Aktion gegen Spam aus Wanadoo-Netzen



DocSnyder
16.04.2004, 21:40
Nachdem der französische Provider Wanaspew^WWanadoo leider in Sachen Spam weltweit zu trauriger Berühmtheit gelangt ist und ihm sogar eine DNSBL "wanadoo-fr.blackholes.us" gewidmet ist, habe ich beim letzten Treffen des ECO-Verbands die ebenfalls vertretene französische Providervereinigung AFA France darauf aufmerksam gemacht. Deshalb habe ich heute meine Spamtrap-Subdomains für Wanaspew aufgemacht und werfe jede Spam- bzw. Wurmmail, die über Wanaspew-Netze kommt, abuse [at] wanadoo.fr vor. Wenn dies noch ein paar Bespammte tun, sollte dieses europäische Spamcast-Äquivalent zumindest durch quantitative Argumentation aufwachen. Es reicht, wenn man dies nur für Spamtrapaccounts tut, oder für Empfänger, die aus welchen Gründen auch immer Mails von Wanaspew annehmen müssen.
Das Ganze möchte ich ca. eine Woche lang durchziehen und anschließend die Ergebnisse ECO und AFA France vorlegen.
Eine völlig formlose und einfach gehaltene Vorlage reicht dazu. Vorteilhaft ist die IP-Adresse der Spamquelle (zusätzlich des Wanaspew-Relays, falls dieses benutzt wurde) im Subject.
-----
Subject: [Spam] $IP (+ $RelayIP)
Dear administrators,
Source of spam: $ip
(Relayed via $RelayIP)
Best regards,
/me
--- Spam
[Spam]
-----
/.
DocSnyder.

--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/

DocSnyder
18.04.2004, 23:09
Kurzer Zwischenstand: das europäische Spamcast (== Wanaspew) ist nur noch um Haaresbreite von einer unbefristeten Merkbefreiung und einem großen Blacklisting entfernt. Seit gestern sind über deren offizielle Relays fast hundert Spam-Mails gekommen, die von gerade mal vier (!) Kunden-PCs ins Netz geblasen wurden. Insgesamt habe ich 21 Complaints an abuse [at] wanadoo.fr geschickt und jedes Spam in Spamcop eingeworfen. Irgendwann hat Spamadoo den Ignorebot eingeschaltet, um mir weis zu machen, die würden sich dem Problem annehmen.
Was aber nicht geschah. Jede dieser vier IPs spuckt nach wie vor ungebremst Spam ins Netz. AFA France habe ich über den Zwischenstand natürlich auch informiert. Wenn der ganze Spuk morgen kein Ende gefunden hat, schalte ich die Blacklistings um deren Relays wieder scharf.
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/

DocSnyder
20.04.2004, 22:33
Nachdem ich heute mittag erst AFA und dann Spamadoo unmissverständlich in bestem Küchenfranzösisch erklärt habe, dass ein Blacklisting der Wanaspew-Relays quasi unmittelbar bevorsteht, sollte von denselben IPs weiterhin Spam kommen, und ich ihnen die entsprechende Diskussion im Usenet (http://groups.google.com/groups?threadm=1vogl1-san.ln1 [at] news.home.docsnyder.de) unter die Nase gehalten habe, ist nun anscheinend doch etwas passiert. Entweder hat der ReverZ-Spammer einfach die aktuelle Spamwelle abgeschlossen, oder Wanaspew hat gehandelt. Das letzte Spam von deren Relays kam nämlich um 16:30 Uhr, wonach die Flut abrupt endete - sechs Stunden Wanadoo-Flaute gab es das letzte Mal vor Monaten.
Natürlich kann es auch sein, dass der ReverZ-Spammer einfach mit der aktuellen Spamwelle "durch" ist und erst später wieder loslegt, was erfahrungsgemäß nicht lange dauert. Aber diese Ruhe im Syslog ist schon fast gespenstisch, verglichen mit der "Action" bis heute nachmittag.
(ich habe die DNS-Views der betroffenen Subdomains so eingestellt, dass deren MX-Records nur von Wanaspew`s DNS aus abgefragt werden können, deshalb trifft darauf momentan ausschließlich der Spam ein, der über Wanaspew kommt. Alle anderen bespammen sich selbst.)
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/

DocSnyder
20.04.2004, 22:48
Dreimal darf geraten werden, was zehn Sekunden nach diesem Posting im Syslog zu sehen war... http://img.homepagemodules.de/sick.gifhttp://img.homepagemodules.de/spook.gifhttp://img.homepagemodules.de/rolling_eyes.gif
*sacklzementvafluachtesaubaziskruzinesnnomalnei*
[update] allerdings nicht ReverZ, sondern ein anderer Spammer, der dank kilometerlangem CC verrät, dass sich nun etliche spamfreundliche Zeitgenossen ganz besonders freuen, darunter "online-marketing-albrecht.de", "optininc.com", "weserverlag.de", "videokontakte.com", "farmgirls4free.com", "pillsavings.biz", "playandwin.de", "prozessfinanz.ch", "primekom.de" und noch ein paar andere. http://img.homepagemodules.de/grin.gifhttp://img.homepagemodules.de/smokin.gifhttp://img.homepagemodules.de/devil.gif
Da sich die Wanaspew-Relays inzwischen Krankenakten-Scores um die 3.7 angefuttert haben, ist dieses Spam trotz "nur" 4.4 SpamAssassin-Punkten zuverlässig mit 16paarzerquetschten im "High"-Bereich (ab 12.0) gelandet, was die Wirksamkeit dieses Systems bestätigt.
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/

cycomate
21.04.2004, 12:30
Ich krieg alle Jubeljahre mal was von Wanadoo, und heute ist scheint`s so ein Jubeljahr wieder um:

*** BLOCK:Apr 21 xx:xx:xx RCPT from Mix-Toulouse-206-1-174.w193-248.abo.wanadoo.fr[193.248.213.174]: 554 Service unavailable; Client host [193.248.213.174] blocked using dul.dnsbl.sorbs.net; Dynamic IP Address See: http://www.dnsbl.sorbs.net/cgi-bin/lookup?IP=193.248.213.174; from=<brad_ley [at] bettahits.biz> to=<info@######> proto=SMTP helo=<Mix-Toulouse-206-1-174.w193-248.abo.wanadoo.fr>
Auf meinen Spamtraps ist bisher noch keine email von Wanadoo eingetroffen, auf den role accounts ist das seit zwei Jahren heute die dritte email (auch wenn sie geblockt wurde). Meine "echten" accounts sind allesamt verschont geblieben.

--
http://images.cycdolphin.net/cycomate.gifDisclaimer:This post is for educational and entertainment purpose only
`In short: just say NO TO DRUGS, and maybe you won`t end up like the Hurd people.` (Linus Torvalds)

Haase
22.04.2004, 13:09
Return-Path: <jake_mortonwn [at] telsur.cl>
X-Flags: 0000
Delivered-To: GMX delivery to xxx
Received: (qmail 19226 invoked by UID: [UID filtered]
Received: from APuteaux-152-2-8-77.w82-120.abo.wanadoo.fr (EHLO toile.qc.ca) (82.120.168.77)
by mx0.gmx.net (mx037) with SMTP; 23 Apr 2004 xx:xx:xx +0200
Message-ID: [ID filtered]
Subject: **SPAM** =?ISO-8859-1?b?WW91IGdldCBNb3JlIGZvciBoYWxmIHRoZSBwcmljZSE=?=
X-MimeOLE: Produced By Microsoft Exchange V6.0.6748.0
From: "Jake Morton" <jake_mortonwn [at] telsur.cl>
Date: Fri, 23 Apr 2004 xx:xx:xx +0000
To: xxx
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0318_921B13BA.90A0A7FC"
Tja, scheint als ob ich in der nächsten Zeitzone wohn, aber auch hier ist das Jahr zuendehttp://img.homepagemodules.de/mad.gif

pewe222
22.04.2004, 14:08
Wegen weserverlag.de hatte fastix doch gerade was gepostet (Opfer von Adressmarketing / Weserverlag ... gesucht)

DocSnyder
23.04.2004, 02:13
Wie schon in einem anderen Thread und im Usenet gepostet: der ReverZ-Spammer ist wieder da und benutzt dieselben IP-Adressen, die ich Wanaspew seit Sonntag um die Ohren gehauen habe.
/.
DocSnyder.

--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/