AW: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken

Ronny Wagner r.wagner at licoho.de
Di Jul 5 15:41:49 CEST 2016 

Hallo Martin,

ich habe die ähnlichen Probleme seit ein paar Tagen und blockiere die TLDs vollständig (Danke an Uwe's Vorschlag hier in der Liste).

Spamassassin hat bei diesen Mails so gut wie gar nicht angeschlagen (BAYES_00 hat bei mir zu den Mails leider eine gute Bewertung abgegeben, somit sind die durchgerutscht).

Hätte bisher folgende IP´s gefunden, welche Spam verschickt haben:
139.59.177.14
139.59.190.249
146.185.181.162
95.85.8.85
178.62.217.225
178.62.236.40
178.62.228.167

cat /etc/postfix/sender_access.regexp
/\.xyz$/           REJECT Mail from .xyz not accepted
/\.pw$/            REJECT Mail from .pw not accepted
/\.hk$/            REJECT Mail from .hk not accepted
/\.club$/          REJECT Mail from .club not accepted
/\.space$/         REJECT Mail from .space not accepted
/\.click$/         REJECT Mail from .click not accepted
/\.faith$/         REJECT Mail from .faith not accepted
/\.link$/          REJECT Mail from .link not accepted
/\.review$/        REJECT Mail from .review not accepted
/\.rocks$/         REJECT Mail from .rocks not accepted
/\.site$/          REJECT Mail from .site not accepted
/\.top$/           REJECT Mail from .top not accepted
/\.work$/          REJECT Mail from .work not accepted
/\.black$/         REJECT Mail from .black not accepted
/\.blue$/          REJECT Mail from .blue not accepted
/\.fyi$/           REJECT Mail from .fyi not accepted
/\.love$/          REJECT Mail from .love not accepted
/\.pro$/           REJECT Mail from .pro not accepted
/\.website$/       REJECT Mail from .website not accepted
/\.bid$/           REJECT Mail from .bid not accepted
/\.win$/           REJECT Mail from .win not accepted
/\.racing$/        REJECT Mail from .racing not accepted
/\.accountant$/    REJECT Mail from .accountant not accepted
/\.date$/          REJECT Mail from .date not accepted      
/\.download$/	REJECT Mail from .download not accepted
/\.gnd$/	REJECT Mail from .gnd not accepted
/\.tokyo$/	REJECT Mail from .tokyo not accepted
/\.science$/	REJECT Mail from .science not accepted

Die Anpassung hat heute schon mal geholfen:
Jul  5 04:46:13 as01 postfix-ipv4_25/smtpd[21810]: NOQUEUE: reject: RCPT from webmail.mailing79.site[46.101.222.138]: 554 5.7.1 <BOUNCE_PREFIX-1467681151.33820.8FQKaSUY5Xfl at mailing79.site>: Sender address rejected: Mail from .site not accepted; from=<BOUNCE_PREFIX-1467681151.33820.8FQKaSUY5Xfl at mailing79.site> to=<tom at tomtb.de> proto=ESMTP helo=<webmail.mailing79.site>
Jul  5 04:46:30 as01 postfix-ipv4_25/smtpd[21810]: NOQUEUE: reject: RCPT from webmail.mailing71.site[46.101.99.215]: 554 5.7.1 <BOUNCE_PREFIX-1467680090.33755.PHDuaSUY5Xfl at mailing71.site>: Sender address rejected: Mail from .site not accepted; from=<BOUNCE_PREFIX-1467680090.33755.PHDuaSUY5Xfl at mailing71.site> to=<tom at tomtb.de> proto=ESMTP helo=<webmail.mailing71.site>
Jul  5 04:46:36 as01 postfix-ipv4_25/smtpd[21810]: NOQUEUE: reject: RCPT from webmail.mailing82.site[46.101.106.27]: 554 5.7.1 <BOUNCE_PREFIX-1467682944.33835.0Wk6GyDITKeD at mailing82.site>: Sender address rejected: Mail from .site not accepted; from=<BOUNCE_PREFIX-1467682944.33835.0Wk6GyDITKeD at mailing82.site> to=<gene_simons at tomtb.de> proto=ESMTP helo=<webmail.mailing82.site>
Jul  5 04:46:42 as01 postfix-ipv4_25/smtpd[21810]: NOQUEUE: reject: RCPT from webmail.mailing74.site[46.101.105.225]: 554 5.7.1 <BOUNCE_PREFIX-1467679180.33770.SbWaGyDITKeD at mailing74.site>: Sender address rejected: Mail from .site not accepted; from=<BOUNCE_PREFIX-1467679180.33770.SbWaGyDITKeD at mailing74.site> to=<gene_simons at tomtb.de> proto=ESMTP helo=<webmail.mailing74.site>
Jul  5 04:50:13 as02 postfix-ipv4_25/smtpd[4423]: NOQUEUE: reject: RCPT from webmail.mailing89.site[46.101.209.55]: 554 5.7.1 <BOUNCE_PREFIX-1467686125.33899.3YT3PFRXDFVg at mailing89.site>: Sender address rejected: Mail from .site not accepted; from=<BOUNCE_PREFIX-1467686125.33899.3YT3PFRXDFVg at mailing89.site> to=<r.wagner at licoho.de> proto=ESMTP helo=<webmail.mailing89.site>
Jul  5 04:50:47 as01 postfix-ipv4_25/smtpd[21810]: NOQUEUE: reject: RCPT from webmail.mailing74.site[46.101.105.225]: 554 5.7.1 <BOUNCE_PREFIX-1467678746.33767.4xGGPFRXDFVg at mailing74.site>: Sender address rejected: Mail from .site not accepted; from=<BOUNCE_PREFIX-1467678746.33767.4xGGPFRXDFVg at mailing74.site> to=<r.wagner at licoho.de> proto=ESMTP helo=<webmail.mailing74.site>
Jul  5 04:50:54 as01 postfix-ipv4_25/smtpd[21810]: NOQUEUE: reject: RCPT from webmail.mailing82.site[46.101.106.27]: 554 5.7.1 <BOUNCE_PREFIX-1467682456.33832.HroDPFRXDFVg at mailing82.site>: Sender address rejected: Mail from .site not accepted; from=<BOUNCE_PREFIX-1467682456.33832.HroDPFRXDFVg at mailing82.site> to=<r.wagner at licoho.de> proto=ESMTP helo=<webmail.mailing82.site>

Mit freundlichen Grüßen/Best Regards
Ronny Wagner



-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Martin Steigerwald
Gesendet: Dienstag, 5. Juli 2016 12:13
An: postfixbuch-users at listen.jpberlin.de
Betreff: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken

Hallo!

Ich hab das Postfix-Buch derzeit noch nicht, aber eine Bestellung abgegeben, 
darauf hoffend das bald eine neue Auflage kommt. Und auch bereits etwas 
Erfahrung mit Postfix. Dennoch, falls meine Frage bereits im Buch beantwortet 
ist, gebt gerne einen passenden Hinweis.

Ich habe Postfix + policyd-weight + SpamAssassin mit Heinlein und Michael 
Monnerie-Regeln sowie Dovecot + Docecot LDA mit Sieve, nutze jedoch 
hauptsächlich POP3.



Trotz der Spam-Vorkehrungen, ich lasse von policyd-weight und SpamAssasin via 
REJECT auf SMTP-Ebene ablehnen, bekomme in den letzten Wochen verstärkt Spam-
Mails von irgendwelchen Hosts in Digital Ocean-Netzwerken die dann Hostnamen 
mit neuen TLDs aka .xyz, .site usw. haben. Die scheinen offenbar nicht im 
Griff zu haben, wer da Kunde wird, oder haben viele Kunden, die auf ihre 
Cloud-Maschinen nicht aufpassen.

Daher habe ich dann recht pauschal dieses hier gemacht:

smtpd_recipient_restrictions =
        permit_mynetworks
        permit_sasl_authenticated
        reject_non_fqdn_recipient
        reject_unknown_recipient_domain
        reject_unauth_destination
        check_client_access hash:/etc/postfix/client_checks
        check_sender_access pcre:/etc/postfix/sender_checks
        check_policy_service inet:127.0.0.1:12525

(SpamAssassin ist derzeit über master.cf mit spamc/spamd eingehängt.)

[…]/etc/postfix> cat sender_checks 
/klicken.*\.xyz/ DISCARD S2016-06: Spam discarded.
/klicken.*\.accountant/ DISCARD S2016-06: Spam discarded.

/mailing.*\.xyz/ DISCARD S2016-06: Spam discarded.
/mailing.*\.site/ DISCARD S2016-06: Spam discarded.

/server.*\.xyz/ DISCARD S2016-06: Spam discarded.

/weiter.*\.top/ DISCARD S2016-06: Spam discarded.

/aufmachen.*\.party/ DISCARD S2016-06: Spam discarded.

/95\.85\.8\.87/ DISCARD S2016-06: Spam discarded.

/178\.62\.235\.237/ DISCARD S2016-06: Spam discarded.

/46\.101\.111\.79/ DISCARD S2016-06: Spam discarded.


Die regulären Ausdrücke sind mindestens in zweierlei Hinsicht für Domain-Namen 
wie mailing274.xyz zu weit gefasst:

1. Ich prüfe nicht auf eine Nummer.

2. Und wer würde dann auch meinserver.xyz erfassen.

Das war mir jetzt aber erstmal egal.

Ich arbeite da mit DISCARD, da ich die Spammer gar nicht mehr informieren 
möchte, dass ich die Mail wegwerfe. Es handelt sich zudem um einen privat 
genutzen Mailserver.


Ich habe für die dortigen IPs dann auch Abuse Reports an Digital Ocean 
abgesetzt, aber außer einer automatisierten Antwort bislang keine Reaktion 
erhalten. Außerdem kamen eben immer wieder neue Hosts dazu, die Spams 
schicken.


Ich bin daher versucht, komplette Netzwerke von Digital Ocean zu blocken, 
würde dann jedoch wieder mit einem REJECT arbeiten, das den Sender auffordert, 
sich einen Cloud-Betreiber zu suchen, der sicherstellt, dass Kunden-Systeme 
keine Spams verschicken. So weiß der Sender dann zumindest, warum ich seine 
Mail blocke.

Allerdings wäre das extrem pauschal, selbst wenn ich mit einem REJECT arbeite.


Eine weiter Möglichkeit wäre, komplette TLDs wie .xyz oder Ähnliches zu 
blocken, das wäre aber noch pauschaler.



Ich würd das gerne anders lösen, möchte aber nicht jeden 2. Tag eine neue 
Regel einfügen, um Spam wegzublocken.

Irgendeine Idee, die zwischen pauschal blocken und alle zwei Tagen wieder 
hinfassen liegt?


Theoretisch sind die Spams, die ich alle wieder entsorgt habe (auch die Abuse 
Reports), da ich so einen Müll einfach nicht archivieren möchte, alle ähnlich 
aufgebaut. Da ist in der Regel im Wesentlich immer ein Tracking-Link auf eine 
dubiose Webseite drin.

Ciao,
-- 
Martin
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4880 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20160705/27c8888f/attachment.p7s>

Mehr Informationen über die Mailingliste Postfixbuch-users