Spamproblem
Moin,
seit einigen Wochen habe Ich auf einem meiner Server ein ziemlich übles Spamproblem. Täglich kommen alleine auf 3 meiner eigenen Mailadressen (interessanterweise ist dort auch eine dabei, die nirgends im Internet veröffentlicht ist) ca. 30 Spammails von ein und demselben Spamversender an.
Der Inhalt wechselt von Tag zu Tag. Mal ist es ein Bild, welches freigeschaltet wurde, mal wurde Ich angestupst, etc.
Anfangs wurde immer von den gleichen Servern verschickt, diese habe Ich dann über eine RegExp in den Filterregeln von Postfix direkt bei der Anlieferung abgelehnt. Inzwischen ist es aber so, dass diese Spammails über "die Cloud" (DigitalOcean) verschickt werden. D.h. jeden Tag ändert sich die IP-Adresse, sowie die Absender-Domainnamen und -endungen. Somit funktioniert natürlich auch das reine filtern über eine RegExp nicht mehr.
Spamassassin erkennt diese Mails - wie unten zu sehen - mal so rein gar nicht als Spam. Ebenfalls sind die IPs in keiner RBL eingetragen und Postfix nimmt diese Mails fleissig an.
Meine einzige verbleibende Idee wäre es die IP-Range von DigitalOcean zu blockieren, aber das wäre m.M.n. mit Kanonen auf Spatzen schiessen.
Hat vllt. noch jemand eine Idee für mich?
Eingesetztes Setup: Postfix in Kombination mit Amavis und Spamassassin auf einem Debian.
Hier mal der Header einer dieser eMails
Inhalt:
LG
Flo
seit einigen Wochen habe Ich auf einem meiner Server ein ziemlich übles Spamproblem. Täglich kommen alleine auf 3 meiner eigenen Mailadressen (interessanterweise ist dort auch eine dabei, die nirgends im Internet veröffentlicht ist) ca. 30 Spammails von ein und demselben Spamversender an.
Der Inhalt wechselt von Tag zu Tag. Mal ist es ein Bild, welches freigeschaltet wurde, mal wurde Ich angestupst, etc.
Anfangs wurde immer von den gleichen Servern verschickt, diese habe Ich dann über eine RegExp in den Filterregeln von Postfix direkt bei der Anlieferung abgelehnt. Inzwischen ist es aber so, dass diese Spammails über "die Cloud" (DigitalOcean) verschickt werden. D.h. jeden Tag ändert sich die IP-Adresse, sowie die Absender-Domainnamen und -endungen. Somit funktioniert natürlich auch das reine filtern über eine RegExp nicht mehr.
Spamassassin erkennt diese Mails - wie unten zu sehen - mal so rein gar nicht als Spam. Ebenfalls sind die IPs in keiner RBL eingetragen und Postfix nimmt diese Mails fleissig an.
Meine einzige verbleibende Idee wäre es die IP-Range von DigitalOcean zu blockieren, aber das wäre m.M.n. mit Kanonen auf Spatzen schiessen.
Hat vllt. noch jemand eine Idee für mich?
Eingesetztes Setup: Postfix in Kombination mit Amavis und Spamassassin auf einem Debian.
Hier mal der Header einer dieser eMails
Return-Path: <BOUNCE_PREFIX-******@webclick65.party>
Delivered-To: info@******.de
Received: from localhost (localhost [127.0.0.1])
by mail.******.de (Postfix) with ESMTP id E7B972FC201A
for <info@******.de>; Mon, 18 Jul 2016 05:04:37 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at mail.******.de
X-Spam-Flag: NO
X-Spam-Score: -1.795
X-Spam-Level:
X-Spam-Status: No, score=-1.795 required=5 tests=[BAYES_00=-1.9,
PYZOR_CHECK=1.392, RP_MATCHES_RCVD=-1.287] autolearn=no
Received: from mail.******.de ([127.0.0.1])
by localhost (******.******.net [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id hD7rcK4En6rs for <info@******.de>;
Mon, 18 Jul 2016 05:04:36 +0200 (CEST)
Received: from webmail.webclick65.party (webmail.webclick65.party [139.59.147.84])
by mail.******.de (Postfix) with ESMTP id CDF362FC2015
for <info@******.de>; Mon, 18 Jul 2016 05:04:35 +0200 (CEST)
Received: by webmail.webclick65.party id hhh3k6000dsh for <info@******.de>; Sun, 17 Jul 2016 23:00:35 +0000 (envelope-from <BOUNCE_PREFIX-******@webclick65.party>)
MIME-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
From: Bilderfreigabe <Bilderfreigabe@webclick65.party>
To: info@******.de
Subject: Dein Bild wurde freigeschaltet Florian
Message-ID: <0077ff41b86732c0e301b7b4c6c8a073@webclick65.party>
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:38.0) Gecko/20100101
Thunderbird/38.4.0
List-Unsubscribe: <http://www.webclick65.party/abm{{comment_multi_line:0}}>,
<mailto:u-******-3@webclick65.party>
Date: Mon, 18 Jul 2016 03:04:35 +0000
Inhalt:
Hallo Florian,
Dein Bild wurde von unserem Team geprüft und ist nun freigeschaltet.
Du kannst es Dir hier noch einmal ansehen:
http://www.webclick65.party/******/
Viele Grüße,
Dein Freischaltteam
P.S.: Sorry dass es etwas länger gedauert hat!
LG
Flo
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 310159
Url: https://administrator.de/forum/spamproblem-310159.html
Ausgedruckt am: 23.12.2024 um 10:12 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
Du könntest hier auch den Host anhand von MX und SPF prüfen.
Der MX verweist auf mail.webclick65.party, die Mail kommt aber von webmail.webclick65.party.
SPF gibt es nicht.
Also ablehnen.
Ist nicht ganz unproblematisch und von denen auch einfach zu beheben.
Sind es denn immer die gleichen Domänen?
vermutlich nicht.
Stefan
Du könntest hier auch den Host anhand von MX und SPF prüfen.
Der MX verweist auf mail.webclick65.party, die Mail kommt aber von webmail.webclick65.party.
SPF gibt es nicht.
Also ablehnen.
Ist nicht ganz unproblematisch und von denen auch einfach zu beheben.
Sind es denn immer die gleichen Domänen?
vermutlich nicht.
Stefan
Hallo
Ich würde die main.cf so gestalten:
Musst es halt auf dich anpassen.
master.cf am Schluss
Gruss
adminst
Ich würde die main.cf so gestalten:
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
check_policy_service unix:private/policy-spf,
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_non_fqdn_sender,
reject_unknown_sender_domain,
check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf,
reject_non_fqdn_recipient,
reject_unauth_destination,
reject_unknown_recipient_domain,
reject_rbl_client ix.dnsbl.manitu.net,
reject_rbl_client bl.spamcop.net,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client combined.abuse.ch,
reject_rbl_client dul.dnsbl.sorbs.net
master.cf am Schluss
policy-spf unix - n n - - spawn
user=nobody argv=/usr/bin/policyd-spf
Gruss
adminst
Hallo,
also nach dem durchforsten der Logs unserer Mailserver gehe ich tatsächlich davon aus das Beschwerde nichts hilft. Dieser Block tritt wohl nur bei Spam in Erscheinung, also am besten 139.59.0.0/16 als Maileingang verbieten. Falls euch tatsächlich jemand aus Afrika mit diesem IP Bereich was schicken will kann man immer noch gegensteuern, aber ich glaube kaum das irgend jemand in diesem Netz einen sauberen Mailserver betreiben will.
Gruß
Andi
also nach dem durchforsten der Logs unserer Mailserver gehe ich tatsächlich davon aus das Beschwerde nichts hilft. Dieser Block tritt wohl nur bei Spam in Erscheinung, also am besten 139.59.0.0/16 als Maileingang verbieten. Falls euch tatsächlich jemand aus Afrika mit diesem IP Bereich was schicken will kann man immer noch gegensteuern, aber ich glaube kaum das irgend jemand in diesem Netz einen sauberen Mailserver betreiben will.
Gruß
Andi