Ergebnis 1 bis 10 von 18

Thema: Eonix , Serverhub + Namecheap Spam

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Neues Mitglied
    Registriert seit
    29.08.2014
    Beiträge
    26

    Standard Eonix , Serverhub + Namecheap Spam

    aus den USA Kommt Scam Terror von der Firma Eonix bzw Serverhub ist scheinbar ein lukrativer prifträchtiger Verbund und natürlich der Nummer eins Für Scam Domains Namecheap*com
    Namecheap interessiert es eine scheiss genau wie Eonix bzw Serverhub




    header:
    01: Return-Path: <SRS0=cx7z=HZ=monsterwind*cyou=slant(at)*>
    02: Received: by . (Postfix, from userID: [ID filtered]
    03: ID: [ID filtered]
    04: Authentication-Results: .;
    05: spf=pass (sender IP is 127.0.0.1)
    06: smtp.mailfrom=srs0=cx7z=hz=monsterwind*cyou=slant(at)* smtp.helo=localhost
    07: Received-SPF: pass (.: localhost is always allowed.) client-ip=127.0.0.1;
    08: envelope-from=srs0=cx7z=hz=monsterwind*cyou=slant(at)*; helo=localhost;
    09: X-Original-To: fax(at)*
    10: Delivered-To: fax(at)*
    11: Received: from monsterwind*cyou (unknown [50.3.251.217])
    12: by . (Postfix) with ESMTP ID: [ID filtered]
    13: for <fax(at)*>; Tue, 23 Feb 2021 xx:xx:xx +0100 (CET)
    14: Received-SPF: pass (.: domain of
    15: monsterwind*cyou designates 50.3.251.217 as permitted sender)
    16: client-ip=50.3.251.217; envelope-from=slant(at)monsterwind*cyou;
    17: helo=monsterwind*cyou;
    18: Date: Tue, 23 Feb 2021 xx:xx:xx -0500
    19: From: "Silencil" <slant(at)monsterwind*cyou>
    20: MIME-Version: 1.0
    21: Precedence: bulk
    22: To: <fax(at)*>
    23: Subject: Tinnitus Discovery Leaves Doctors Speechless (Video)
    24: Message-ID: [ID filtered]
    25: Content-Type: text/html; charset=ISO-8859-1
    26: Content-Transfer-Encoding: quoted-printable
    27: X-PPP-Message-ID: [ID filtered]
    28: X-PPP-Vhost: *

    <a href=3D"http:/=/www.monsterwind*cyou/yboegsn/qjdoxmc789306ocamfp/ExEDBkuuOFNklWRS2PjvdfhaJaijJlK-Nel4R9pxURg/=
    zTRabJNS2WxVUOvMdhwSPPZse7LPyjT2VWMxN_JOFZNauv4Ngoiqs6iBvUYh7Yj7IQzvwZABqrWhOqE3 684V2u6j7FqQhbxoO-2CHceIZduLaAS6SqeJ0nk3spHHHYKH">

    <span style=3D"font-size:36px;"><strong>1 Simple Recipe E=nds Tinnitus - Try Tonight
    <a href=3D"http://www.monsterwind*cyou/yboegsn/qjdoxmc789306=ocamfp/ExEDBkuuOFNklWRS2PjvdfhaJaijJlK-Nel4R9pxURg/zTRabJNS2WxVUOvMdhwSPPZse7LPyjT2VWMxN_JOFZNauv4Ngoiqs6iBvUYh7Yj7IQzvwZABqrWhOqE3 684V2u6j7FqQhbxoO-2CHceIZduLaAS6SqeJ0nk3spHHHYKH"><span style=3D"font-size:36px;"><s=
    trong>
    <img alt=3D"" src=3D"http://www.monsterwind*cyou/Eekqlihme/mindlr763=426xtnwqm/.jpg" style=3D"width: 687px; height: 535px;" />

    2021-02-23 08:44:19 SPAM[block_rbl_lists (dnsbl.spfbl.net)] no 50.3.251.218 candid.certifiedtopproducts.com marsembark*cyou shave(at)marsembark*cyou
    2021-02-23 08:14:57 SPAM[block_rbl_lists (dnsbl.spfbl.net)] no 50.3.251.217 street.certifiedtopproducts.com monsterwind*cyou slant(at)monsterwind*cyou
    2021-02-23 07:44:47 SPAM[block_rbl_lists (dnsbl.spfbl.net)] no 50.3.251.216 probe.certifiedtopproducts.com daytrue*cyou claim(at)daytrue*cyou

    ...

    2021-02-21 20:04:34 SPAM[block_rbl_lists (dnsbl.spfbl.net)] no 108.174.203.3 client-108-174-203-3.hostwindsdns.com dramacoast*cyou cap(at)dramacoast*cyou
    2021-02-21 13:07:53 SPAM[ip_blacklist] no 23.231.108.62 tdixnghkuj.advancedtechmedia.com crybeer*cyou grind(at)crybeer*cyou
    2021-02-21 12:37:55 SPAM[ip_blacklist] no 23.231.108.61 jgjpppefvc.advancedtechmedia.com tracesession*cyou unity(at)tracesession*cyou
    2021-02-21 12:07:51 SPAM[ip_blacklist] no 23.231.108.60 cujtytqkuh.advancedtechmedia.com crasheditor*cyou payment(at)crasheditor*cyou
    2021-02-21 11:38:16 SPAM[ip_blacklist] no 23.231.108.59 jqkfomjatk.advancedtechmedia.com amendqueen*cyou rube(at)amendqueen*cyou
    2021-02-21 11:07:53 SPAM[ip_blacklist] no 23.231.108.58 wtvbkoyxsr.advancedtechmedia.com sustainfishing*cyou slant(at)sustainfishing*cyou

    ...

    2021-02-20 17:28:14 SPAM[ip_blacklist] no 23.231.108.26 sjglgbpogh.insurancewhileyoulive.com grandslice*cyou drown(at)grandslice*cyou

    ...

    2021-02-05 06:31:50 SPAM[check_ip_reverse_dns] no 50.3.239.28 (null) glidenervous*cyou askew(at)glidenervous*cyou
    2021-02-05 06:16:06 SPAM[check_ip_reverse_dns] no 50.3.239.27 (null) mistextinct*cyou newsletter(at)mistextinct*cyou
    2021-02-05 05:59:58 SPAM[check_ip_reverse_dns] no 50.3.239.26 (null) userwalk*cyou outer(at)userwalk*cyou
    Geändert von cmds (24.02.2021 um 16:40 Uhr) Grund: Unsinn entfernt, Müll aus Mailbody entfernt, Header gesetzt, Blacklist verkleinert

  2. #2
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    270

    Idee Harden Postfix

    Ich sehe Du verwendet postfix und die Zeile
    Received: from monsterwind*cyou (unknown [50.3.251.217])
    deutet darauf hin, dass Du Mail von Hosts annimmst, die gar nicht richtig als Mailserver konfiguriert sind. Damit hat z.B. auch MS derzeit Probleme, da dort massenweise Mail aus deren Bereichen ins Netzt gekippt wird. Stichwort azure...
    Um das wirksam zu verhindern könntest Du folgendes in der main.cf verbessern.
    Code:
    smtpd_client_restrictions = [..permits (mynetworks etc...], reject_unknown_client_hostname, reject_unknown_reverse_client_hostname, [checks...]
    smtpd_recipient_restrictions = reject_unauth_pipelining, reject_unknown_recipient_domain, [..permits (mynetworks, sasl auth etc...],  reject_invalid_hostname, reject_unknown_reverse_client_hostname, reject_non_fqdn_recipient, reject_unauth_destination, [checks...]
    unknown_client_reject_code = 512
    unknown_hostname_reject_code = 512
    Erklärung: Ein Mailserver muss einen DNS Eintrag haben und ideallerweise auch gleichlautenden EHLO. Wenn der Hostname fehlt, bzw. vom DNS nicht rückwärts aufgelöst werden kann, versteht der Sender sowieso nix vom Mailserverbetreiben und von so einem willst vermtl. auch keine Mail. Wenn dann auch noch dein postscreen korrekt konfiguriert ist kannst Du viel vom dem Müll verhindern, bevor er Dir Arbeit macht.
    Der Reject Code muss umsetzt werden sonst kriegen die ein 450 gemeldet und versuchen es immer wieder.
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  3. #3
    Neues Mitglied Avatar von Dr_Who
    Registriert seit
    07.05.2019
    Ort
    Gallifrey
    Beiträge
    29

    Standard

    Sag mal antispamuser,
    HEADER tags und weitere Formatierungshilfen um so eine Textwand zu ordnen, kenst du nicht?
    Ich bin ein Timelord vom Planeten Gallifrey

  4. #4
    Neues Mitglied
    Registriert seit
    24.02.2021
    Beiträge
    6

    Standard

    Eigentlich könnte mal auf *@cyou als Absender alles rejecten, oder?

    Mir geht der Mist auch gerade mächtig auf den Sender

  5. #5
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    270

    Standard

    Na, wer da kreativ werden will, aber das machen eigentlich nur die Pösen
    Code:
    /^Received: .*\.(asia|cam|casa|club|cyou|fun|icu|link|monster|online|space|store|surf|web(site)?|xyz)/ REJECT
    Wobei ich mit manchen vorsichtiger wäre, da die real in Gebrauch sind (nicht nur bei Spammern). Die softe Variante wäre
    Code:
    /^Received: .*\.(cam|cyou|fun|icu|link|monster|space|surf|xyz)/ REJECT
    , da habe ich noch nichts sinnvolles gesehen, d.h. noch nicht mal eine als Nonspam geflagged. Aber das ist oft wirksamer in den body_checks.pcre - ohne ^Received: , da die sich noch als .eu und .de Server verkleiden um dann die Links (s.vorher) oft in östliche Regionen zu lenken.
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  6. #6
    Neues Mitglied
    Registriert seit
    24.02.2021
    Beiträge
    6

    Standard

    Ich habe da eine olle Noobfrage, aber bekommt der Versender oder Mailadmin des sendenden Systems eine Mail über dein Reject?
    Und wenn ja, dann mit welchem Text?
    Geändert von schara56 (25.02.2021 um 06:02 Uhr) Grund: Vollzitat entfernt

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen