4
Ironport erhöhte Directory Harvest Attacks
Moin,
wer hat eine Ironport (aktuelles Release) im Einsatz und kann ggfs. bestätigen, dass in den letzten Wochen deutlich mehr Directory Harvest Attacks verzeichnet werden?
Während normalerweise ein bis zwei solcher Fälle pro Woche vorkamen, habe ich in den letzten Tagen mehrere pro 24h bei überschaubaren Mailverkehr pro h.
Das ist natürlich nicht kritisch oder wichtig und ich weiß auch wie man die Meldungen abstellen kann (und einen TAC eröffnet), ich möchte hier nur Erfahrungswerte hören, um zu sehen ob das anderen auch aufgefallen ist oder nicht.
Daher bitte nur antworten, wenn eine Ironport eingesetzt wird.
Danke
Gruss
wer hat eine Ironport (aktuelles Release) im Einsatz und kann ggfs. bestätigen, dass in den letzten Wochen deutlich mehr Directory Harvest Attacks verzeichnet werden?
Während normalerweise ein bis zwei solcher Fälle pro Woche vorkamen, habe ich in den letzten Tagen mehrere pro 24h bei überschaubaren Mailverkehr pro h.
Das ist natürlich nicht kritisch oder wichtig und ich weiß auch wie man die Meldungen abstellen kann (und einen TAC eröffnet), ich möchte hier nur Erfahrungswerte hören, um zu sehen ob das anderen auch aufgefallen ist oder nicht.
Daher bitte nur antworten, wenn eine Ironport eingesetzt wird.
Danke
Gruss
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 495883
Url: https://administrator.de/contentid/495883
Printed on: April 19, 2024 at 21:04 o'clock
4 Comments
Latest comment
Ich ignoriere mal deine Bitte 
Wir haben hier keine Ironport sondern normale Postfix im Einsatz: Aber dort sehen wir seit ca. 10 Tagen auf allen Domains deutlich mehr Harvesting-Versuche. Pro Domain ungefähr 3-4 Versuche pro Tag und immer die gleichen Local-Parts (info@, admin@, noreply@, contact@, postmaster@....).
Alle diese Versuche kamen bisher aus AS51787, was so ein etwas konspirativer Lorem-Ipsum-Hoster zu sein scheint.
Das, was dir dein Ironport zeigt, ist also mit hoher Wahrscheinlichkeit richtig und entspricht der Realität.
Du kannst ja mal nach "biuro@" (exakt so geschrieben) in euren Logs suchen - die Anzahl der Suchtreffer wird sicherlich der Anzahl gemeldeter Harvesting-Attacks entsprechen
Wir haben hier keine Ironport sondern normale Postfix im Einsatz: Aber dort sehen wir seit ca. 10 Tagen auf allen Domains deutlich mehr Harvesting-Versuche. Pro Domain ungefähr 3-4 Versuche pro Tag und immer die gleichen Local-Parts (info@, admin@, noreply@, contact@, postmaster@....).
Alle diese Versuche kamen bisher aus AS51787, was so ein etwas konspirativer Lorem-Ipsum-Hoster zu sein scheint.
Das, was dir dein Ironport zeigt, ist also mit hoher Wahrscheinlichkeit richtig und entspricht der Realität.
Du kannst ja mal nach "biuro@" (exakt so geschrieben) in euren Logs suchen - die Anzahl der Suchtreffer wird sicherlich der Anzahl gemeldeter Harvesting-Attacks entsprechen
Servus. Bin ich jetzt raus, weil ich keine einzige Mail mit büro@ in meinen Logs finde ? 
Menno, nie bekomme ich was vom Kuchen ab.
Menno, nie bekomme ich was vom Kuchen ab.
Zitat von @Henere:
Servus. Bin ich jetzt raus, weil ich keine einzige Mail mit büro@ in meinen Logs finde ?
Servus. Bin ich jetzt raus, weil ich keine einzige Mail mit büro@ in meinen Logs finde ?
"biuro". Exakt so. Keine Umlaute - ein i, dann ein u
Wer richtig lesen kann 
Jo, die habe ich auch (81an der Zahl), wurden dank Spamhaus.org zuverlässig recycelt.
Jo, die habe ich auch (81an der Zahl), wurden dank Spamhaus.org zuverlässig recycelt.
