PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Spammer versuchen, RBL zu umgehen



cycomate
28.09.2002, 11:57
Hallo allerseits -
heute ist das erste Mal, seit ich RBL und RHSBL benutze, SPAM eingetrudelt.
Interessant dabei ist, daß der Spammer sich dazu meines backup-MX bediente, nachdem er auf dem eigentlichen Mailserver sein Glück versucht hat und mit einem 554 abgewiesen wurde.
Scheinbar ist es mehr oder weniger üblich, so auch bei mir, daß der oder die backup-MX weniger abgesichert sind.
Da ich jedoch anhand meiner einmalig vergebenen email Adressen sehr schnell herausfinden konnte, wer mir diese Schmach bereitete, wird es bei diesem ersten Mal auch bleiben.
Übrigens hatte ich mich einst bei http://www.ausderluft.de registriert, die dort verwendete email Adresse wurde an ProImmo24.de weitergegeben, die mittlerweile scheint`s Partner von ausderluft.de sind. Werbung an und Weitergabe der email Adresse habe ich nie erlaubt.
So, das war mein Wort zum Sonntag.
Haltet die Schotten dicht und sichert auch Eure(n) backup-MX ab.
Grüße,
Phil
___________________________
http://www.uni-karlsruhe.de/~unuu/cycomate.gif
Disclaimer:This post is for educational and entertainment purpose only
http://www.quarantine.de

cycomate
19.10.2002, 13:08
Paßt zwar hier nur in etwa, aber ich habe heute die erste Falschinformation von spamcop bekommen.

Oct 19 xx:xx:xx firewall postfix/smtpd[2412]: reject: CONNECT from mail.rhn.redhat.com[66.187.232.120]: 554 Service unavailable; Client host [66.187.232.120] blocked using bl.spamcop.net; Blocked - see http://spamcop.net/bl.shtml?66.187.232.120
Dieser host ist imho kein Spammer, sondern wird von Redhat für newsletter (bestellt) verwendet. Die Ausgabe von spamcop bestätigt diese Tatsache:


66.187.232.120 listed in bl.spamcop.net.
66.187.232.120 is and should be listed.
Sample traffic over 1000, counted x .1 (199); Recent spam increases spam score from 20.00 to 72.00 - spam report ratio (0.362) exceeds threshold (0.020)
More details..
Samples of reported spam:
Wrom: ULHPQQWOYIYZUNNYCGPKYLEJGDGVCJVTLBXFGGMEPYOQKEDO
Subject: RHN Errata Alert: Updated Mozilla packages fix security vulnerabilities
:
From: Red Hat Network <rhn-admin [at] rhn.redhat.com>
Subject: Red Hat Linux 8.0 now available on Red Hat Network

(Wrom? Zuviel Need for Speed gespielt?)
Ich werde daher wohl davon absehen, spamcops rbl in Zukunft weiterhin einzusetzen.

___________________________
http://www.uni-karlsruhe.de/~unuu/cycomate.gif
Disclaimer:This post is for educational and entertainment purpose only
http://www.quarantine.de

cycomate
19.10.2002, 14:45
(dieser thread lebt scheinbar nur von mir)
Die Spammer werden immer dreister - jetzt haben die scheinbar alle verfügbaren MX gleichzeitig probiert:


Oct 19 xx:xx:xx firewall postfix/smtpd[6135]: reject: CONNECT from host-148-244-235-5.block.alestra.net.mx[148.244.235.5]: 554 Service unavailable; Client host [148.244.235.5] blocked using bl.spamcop.net; Blocked - see http://spamcop.net/bl.shtml?148.244.235.5
Oct 19 xx:xx:xx firewall postfix/smtpd[6420]: reject: RCPT from sleet.ispgateway.de[62.67.200.125]: 550 <contact [at] cycdolphin.net>: User unknown; from=<eBrochures-3855r58 [at] yahoo.com> to=<contact [at] cycdolphin.net>

Merke: ich sollte domainfactory bei Gelegenheit mal als backup MX kicken. Die erzählen zwar etwas von RBL, aber es ist nicht das erste Mal, daß der main MX abgewiesen, dafür d)f als backup MX angenommen hat.

___________________________
http://www.uni-karlsruhe.de/~unuu/cycomate.gif
Disclaimer:This post is for educational and entertainment purpose only
http://www.quarantine.de

DocSnyder
19.10.2002, 15:11
> Die Spammer werden immer dreister - jetzt haben die scheinbar alle verfügbaren MX gleichzeitig probiert:
Deswegen habe ich für meine "expiring subdomains" jeweils nur einen MX-Record. Zukünftig ist eine Idee, eine Spam-Trap-Subdomain (z. B. pink.docsnyder.de) mit haufenweise MX-Records auszustatten, welche per Round-Robin-Verfahren eine Latte offener koreanischer Relays abklappern, damit sich diese gegenseitig vollmüllen.
Gibt es eigentlich einen Auto-Blacklist-Dienst, dem man per MX-Record den ganzen Senf zuspielen kann?
/.
DocSnyder.

cycomate
19.10.2002, 15:32
Nunja, für meine domains brauche ich ein gewisses Maß an Redundanz, was den Mailverkehr betrifft. Da kann ich nicht einfach mal eben die backup MX rausnehmen.
Die einzig sinnvolle Möglichkeit, die ich sehe ist, den weakest point, sprich domainfactory früher oder später zu entfernen. Die ersten beiden MX sind wunderbar mit RBL und filtern ausgestattet, nur bringt das nichts, wenn d)f dennoch versucht, es zuzustellen - grmbl.

Gibt es eigentlich einen Auto-Blacklist-Dienst, dem man per MX-Record den ganzen Senf zuspielen kann?
Nicht, daß ich wüßte, und ich glaube auch nicht, daß das sehr sinnvoll wäre, da u.U. auch das Mailaufkommen und die Netzlast massiv steigen würden. Geh lieber den Weg der "normalen" blacklists, die vorher wenigstens einigermaßen geprüft werden (z.B. MAPS).

___________________________
http://www.uni-karlsruhe.de/~unuu/cycomate.gif
Disclaimer:This post is for educational and entertainment purpose only
http://www.quarantine.de