whois:
[Link nur für registrierte Mitglieder sichtbar. ] -> whois:
[Link nur für registrierte Mitglieder sichtbar. ] -> whois:
[Link nur für registrierte Mitglieder sichtbar. ]:8080
Wobei man hier anscheinend den Nameserver manipuliert hat. Pingt man die Seite direkt an, so erhält man nur 127.0.0.1, also localhost. Per Direktaufruf ist die Seite ebenfalls nicht zu erreichen. Es funktioniert nur über den Redirekt. Was natürlich wieder nur beweist, dass hier professionelle Ganoven am Werk sind, die haargenau die Illegalität ihres 'Geschäftes' kennen.
mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.
Mittlerweile sind wir bei http://bestellung.swissapotheke.ch:8080/
Direktaufruf funktioniert auch über http://83.220.33.5:8080/ (die gleiche IP wie bestellung.swissapotheke.de:8080
Gespamt über die Bermudas und final gehostet in Russland.
header:
01: Received: from unknown (HELO mail55167.chefkoch.de) [190.123.116.4]
02: by mx0.gmx.net (mx071) with SMTP; 15 Sep 2012 xx:xx:xx +0200
whois:
[Link nur für registrierte Mitglieder sichtbar. ] -> whois:
[Link nur für registrierte Mitglieder sichtbar. ] -> whois:
[Link nur für registrierte Mitglieder sichtbar. ]:8080
Villains who twirl their mustaches are easy to spot.
Those who cloak themselves in good deeds are well camouflaged.
01: Received: from customer116164.megacable.com.ar (HELO
02: mail05404.chefkoch.de) [190.107.116.164]
03: by mx0.gmx.net (mx075) with SMTP; 15 Sep 2012 xx:xx:xx +0200
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
IP: 69.58.188.39 ---> NTT
auf:
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
IP: 199.59.166.86 ---> BLACK-LOTUS-COMMUNICATIONS
auf:
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
IP: 83.220.33.5 ---> GARS TELECOM, Russia
Letzeres auch beim absoluten Schwarzhut Ukrnames registriert.
mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.
Faktisch alle Mails die momentan mit dem Envelope-Sender @chefkoch.de gesandt werden sind Spam, bzw. stammen von infizierten Rechnern, also einem Botnet. Mal ganz abgesehen davon: Ein Mailserver-Admin der Mails von IPs annimmt welche keinen reverse DNS konfiguriert haben hat null Plan. Leider gilt das auch für viele bekannte deutsche grosse Betreiber
Mal ganz abgesehen davon: Ein Mailserver-Admin der Mails von IPs annimmt welche keinen reverse DNS konfiguriert haben hat null Plan.
Leider ist das Kriterium nicht besonders brauchbar - gibt ganz viele false negatives, da doch relativ viele dynamische IPs auch reverse DNS haben, und auch mehr false positives als ich meinen Benutzern zumuten möchte...
Greylisting mit Auto-Whitelisting hat sich bei uns ziemlich bewährt, um die echten Mailserver von dynamischen IPs zu unterscheiden. Und außerdem pflege ich eine lokale Blacklist, die inzwischen kaum mehr was durchlässt.
Über den Daumen gepeilt 99% des Spams, der noch auf dem Server ankommt, kommt über Weiterleitungen oder Yahoo, also "vertrauenswürdige" IPs (wenn ich Yahoo abklemmen könnte, würde das schon eine Menge helfen...)
01: Received: from customer114058.megacable.com.ar (HELO
02: mail08434.sport1.de) [190.107.114.58]
03: by mx0.gmx.net (mx003) with SMTP; 16 Sep 2012 xx:xx:xx +0200
04: Received: from localhost.localdomain (localhost [127.0.0.1])
05: by sport1.de (Postfix) with ESMTP ID: [ID filtered]
Kette:
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
IP: 199.59.166.93 ---> BLACK-LOTUS-COMMUNICATIONS
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
IP: 83.220.33.5 ---> GARS TELECOM, Russia
mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.
Über den Daumen gepeilt 99% des Spams, der noch auf dem Server ankommt, kommt über Weiterleitungen oder Yahoo
Das ist tatsächlich ein echtes Problem. Die ganze Filterei nutzt nichts wenn die Mails über 1und1, Alice, Yahoo reinkommen. Dort interessiert man sich offenbar Null dafür. Speziell Yahoo ist in letzter Zeit ein echtes Ärgernis.
Warum soll die Nicht-Annahme von Mail von einer IP welche keinen revers DNS Namen (oder einen illegalen wie 'localhost' und ähnlich lustiges) haben false positives erzeugen? Zeige mir einen einzigen ernsthaften Mailserver der keinen reverse DNS Eintrag hat.
z.B. 85.159.242.57, über den werden Ticketversand-Infos des FC Bayern verschickt.
Der hat zwar eine reverse DNS, aber die zeigt auf fcb-tmmail-01.fcbayern.de, und deren IP wiederum ist 85.159.242.42. Postfix behandelt solche nicht passenden reverse DNS Einträge genauso wie "unknown" (tatsächlich ist es im Mail-Log nicht zu unterscheiden). Der Benutzer wäre bestimmt stinkig, wenn er die E-Mail-Infos über seine teuer erstandenen Tickets nicht bekommen würde...
Ich habe in unseren Logs noch 1-2 andere gefunden, die offenbar legitim sind (üblicherweise betrieben von kleinen Klitschen, die einen eigenen Webserver mit ausgehendem SMTP-Server bei einem kleinen Hoster betreiben und wo es keinen Admin gibt, der das reverse DNS-Problem bemerken oder beheben könnte).
Man könnte jetzt argumentieren, dass solche Klitschen die Finger vom Internet lassen sollen, aber genauso könnte man auch fordern, dass Windows-Benutzer ohne Internet-Führerschein keinen Zugang bekommen sollen...
Das sind aber Exotenfälle. Kontakte doch mal den Admin dort, meist sind die aufgeschlossen.
Es gibt im übrigen auch andere sehr einfache + zielführende Filtermöglichkeiten was reverse DNS betrifft - nämlich generische reverse DNS Namen. Sehr zielführend soll hier die Nichtannahme von Mails mit dem reverse DNS Namen 'hosted-by.leaseweb.com' sein
Lesezeichen