Email-Spam blocken wenn Spammer ständig Domain wechselt?

[SaschaR]

Hallo,

ist es möglich Email-Spam zu blocken, wenn der Spammer ständig die Domain wechselt?

Vielen Dank

[Ostfriese]

Solange sich nur die Domain, aber nicht die IP des Servers ändert, könnte man versuchen, die IP zu blocken. Das würde dann aber auch alle erwünschten Mails die über die IP verschickt werden, blocken.

[Goofy]

Wenn er keinen Zugriff auf seinen Mailserver hat (Mailprovider...), kann er das eh nicht.

Da hilft nur filtern.
Spamfilter

Denn oft sind ja z.B. bestimmte Textmerkmale in den Spams immer dieselben.

[truelife]

Hast du Beispiele? Wenn ja, bitte mal die EMailHeader und die Mailtexte hier posten, danke! Bitte die Header mit dem entsprechenden Header-Tag einrahmen.

[SaschaR]

header:

01: Return-Path: <susannenq5jr5eleverenz [at] fcunidos.com>
02: X-Original-To: xxx
03: Delivered-To: poor [at] spamvictim.tld
04: X-policyd-weight:  NOT_IN_SPAMCOP=-1.5 IN_BARRACUDA=3.25 NOT_IN_IX_MANITU=-1.5
05: 	CL_IP_EQ_HELO_IP=-2 (check from: .fcunidos. - helo: .upland.fcunidos. - helo-domain:
06: 	.fcunidos.)  FROM/MX_MATCHES_HELO(DOMAIN)=-2; rate: -3.75
07: Received: from upland.fcunidos.com (upland.fcunidos.com [185.140.108.64])
08: 	by dd2302.kasserver.com (Postfix) with ESMTP ID: [ID filtered]
09: 	for <poor [at] spamvictim.tld>; Mon, 18 Jul 2016 xx:xx:xx +0200 (CEST)
10: DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=dkim; d=fcunidos.com;
11:  h=To:Subject:Message-ID:Date:From:Reply-To:Content-Type:Content-Transfer-Encoding;
12: 	i=susannenq5jr5eleverenz [at] fcunidos.com;
13:  bh=NWBDWVl4swTqIcZM+t5+bE3kYNw=;
14:  b=VOgyTl1TyFMfHxdfFjnJmWYm6KVHySmzAWDpudTlaYEheBdTt3FGLNnTSjrcCi+TDAl0cUdJV+d2
15:    LIe7X57bQ4fB+qf7IIRqPdS+k4A3x2IySi24o3xnATHvQF7S2g9ydDb65hEvqfAqFJ7B1KEp4CiK
16:    TSaizS6nBuc6rJhQS68=
17: DomainKey-Signature: a=rsa-sha1; c=nofws; q=dns; s=dkim; d=fcunidos.com;
18:  b=iyeA8en3WBIQD6NbhlFqdYNc69xwI2R0OcA9P65V1jhWn+8wmFRaUzRvAUw3/SSEUZ8mVetApREO
19:    4RLC9Df1lJAQyJ1/243mehwXVb2ebGkucA26xUm6hEYf19hhwiijboRF8clII2NWK6Z06yXx8vjX
20:    6fqo9bydw9rMfuRrzYo=;
21: To: poor [at] spamvictim.tld
22: Subject: =?UTF-8?B?VW5pdmVyc2FsZXMgV2Vya3pldWdzZXQgZsO8ciBadWhhdXNlIHVuZCBCw7xybw==?=
23: Message-ID: [ID filtered]
24: Date: Mon, 18 Jul 2016 xx:xx:xx +0000
25: From: "Susanne" <susannenq5jr5eleverenz [at] fcunidos.com>
26: Reply-To: susannenq5jr5eleverenz [at] fcunidos.com
27: Content-Type: text/html; charset="UTF-8"
28: Content-Transfer-Encoding: 8bit
29: X-KasLoop: m0316bd9
30: X-KasSpamfilter: match on brbl

<html>
<head>
</head><body>
<center>
Universales Werkzeugset für Zuhause und Büro<br />
<a href="http://adk.fcunidos.com/" style="border-right-width: 1px;
border-top-color:#ffffff ; " ><img src="http://img2.fcunidos.com/00.jpg"
/></a><br /><br />
<a style="width: auto ;padding-top:1px ; " href="http://adk.fcunidos.com/"
>FÜR DAS BÜRO: Set für Reparaturen und Montagen &raquo;</a><br />
<br /><br /><a href="http://adk3.fcunidos.com/" style="border-right-width:
1px; border-top-color:#ffffff ; " ><img
src="http://img3.fcunidos.com/00.jpg" /></a><br /><br />
<a style="width: auto ;padding-top:1px ; " href="http://adk3.fcunidos.com/"
>Details &raquo;</a><br />
<br /><br /><a href="http://adk4.fcunidos.com/" style="border-right-width:
1px; border-top-color:#ffffff ; " ><img
src="http://img4.fcunidos.com/00.jpg" /></a><br /><br />
<a style="width: auto ;padding-top:1px ; " href="http://adk4.fcunidos.com/"
>Details &raquo;</a><br />
<div style="height: 350px ; line-height: normal; width:100%; margin-left:
3px ; "> 184 professionelle Werkzeuge für Reparaturen und Renovierungen<br
/><img src="http://imgde.fcunidos.com/00bde.jpg" /><br />
<a href="http://mde17.fcunidos.com/"><img
src="http://imgde.fcunidos.com/mde17.jpg" /></a>
<a href="http://mde09.fcunidos.com/"><img
src="http://imgde.fcunidos.com/mde09.jpg" /></a>
<a href="http://mde01.fcunidos.com/"><img
src="http://imgde.fcunidos.com/mde01.jpg" /></a>
<a href="http://mde06.fcunidos.com/"><img
src="http://imgde.fcunidos.com/mde06.jpg" /></a>
<a href="http://mde07.fcunidos.com/"><img
src="http://imgde.fcunidos.com/mde07.jpg" /></a>
</div><br />
<a
href="http://fcunidos.com/00de63/u.php?M=RJFKP842370ZHNPT&S=ZJ&C=ESJWD8000fc2d2272be7688f613cd631272b8QNYFK&G=W&L =28&F=W&N=32&KQ=R"
style="color: #cc0000; border-bottom-color: #0000cc ; background-color:
#ffffff ;font-size:12px ; border-left-color:#007700; " >&nbsp;Hier a
bmeld-en&nbsp;</a><br />
</center>
Für Reparaturen und Renovierungen- verwenden Sie dieses!
<img
src="http://fcunidos.com/00de63/o.php?M=RJFKP842370ZHNPT&S=ZJ&L=28&F=W&N=32&KQ=R&F=H&EW=BJP&image=.jpg"
/></body>
</html>

[hoppala]

Diese Mail kommt aus dem IP-Bereich der ungarischen Spamsupport-Firma "EAN NUM LOG Kft" (185.140.108.0/24).
Der gesamte Bereich wird offenbar an Spammer vermietet, auf Abuse-Beschwerden reagiert dort niemand (hab ich ausprobiert).
Wenn man seinen eigenen Mailserver betreibt, kann man 185.140.108.0/24 verlustfrei blockieren.
Mit einem Spam-Filter, der sich auf beliebige Header-Zeilen einstellen lässt, geht es auch ("[185.140.108." in Received-Headerzeilen).
Wenn man schon dabei ist, kann man auch den möglicherweise verbandelten Spam-Hoster "Teratrade Kft" mit dem IP-Bereich 95.140.38.0/23 sperren ("[95.140.38." und "[95.140.39." in Received-Headerzeilen).
Wirkt auch sehr effektiv.

hoppala

[SaschaR]

Idee hört sich wirklich sehr gut an...

Wenn man seinen eigenen Mailserver betreibt, kann man 185.140.108.0/24 verlustfrei blockieren.

Habe allerdings Webhosting-Paket. Hoster kann / will IP nicht sperren.

[Goofy]

Catch-All ausmachen (muss der Hoster ggf. konfigurieren, oft gibt es aber für den Mailaccount beim Hosting dafür eine Option)

Und dann Filterregeln anlegen wie oben beschrieben gegen die IP-Adressen.

[schara56]

Themenlink: gehört wohl zu [Link nur für registrierte Mitglieder sichtbar. ]