AW: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken
Ronny Wagner
r.wagner at licoho.de
Do Jul 7 07:16:32 CEST 2016
Hallo Nochmal,
in der Zwischenzeit kam jetzt sogar von der TLD .trade eine Spammail, natürlich wieder von Digital Ocean, Inc.
Jetzt beginne ich die vollständige IP Range des Anbieters zu sperren.
cat /etc/postfix/client_access
#Digital Ocean, Inc.
188.166.0.0/16 REJECT Your IP range is spammer - contact abuse at digitalocean.com for help
128.199.0.0/16 REJECT Your IP range is spammer - contact abuse at digitalocean.com for help
178.62.128.0/17 REJECT Your IP range is spammer - contact abuse at digitalocean.com for help
95.85.8.0/20 REJECT Your IP range is spammer - contact abuse at digitalocean.com for help
146.185.0.0/16 REJECT Your IP range is spammer - contact abuse at digitalocean.com for help
139.59.0.0/16 REJECT Your IP range is spammer - contact abuse at digitalocean.com for help
Mit freundlichen Grüßen/Best Regards
Ronny Wagner
-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Martin Steigerwald
Gesendet: Dienstag, 5. Juli 2016 12:13
An: postfixbuch-users at listen.jpberlin.de
Betreff: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken
Hallo!
Ich hab das Postfix-Buch derzeit noch nicht, aber eine Bestellung abgegeben,
darauf hoffend das bald eine neue Auflage kommt. Und auch bereits etwas
Erfahrung mit Postfix. Dennoch, falls meine Frage bereits im Buch beantwortet
ist, gebt gerne einen passenden Hinweis.
Ich habe Postfix + policyd-weight + SpamAssassin mit Heinlein und Michael
Monnerie-Regeln sowie Dovecot + Docecot LDA mit Sieve, nutze jedoch
hauptsächlich POP3.
Trotz der Spam-Vorkehrungen, ich lasse von policyd-weight und SpamAssasin via
REJECT auf SMTP-Ebene ablehnen, bekomme in den letzten Wochen verstärkt Spam-
Mails von irgendwelchen Hosts in Digital Ocean-Netzwerken die dann Hostnamen
mit neuen TLDs aka .xyz, .site usw. haben. Die scheinen offenbar nicht im
Griff zu haben, wer da Kunde wird, oder haben viele Kunden, die auf ihre
Cloud-Maschinen nicht aufpassen.
Daher habe ich dann recht pauschal dieses hier gemacht:
smtpd_recipient_restrictions =
permit_mynetworks
permit_sasl_authenticated
reject_non_fqdn_recipient
reject_unknown_recipient_domain
reject_unauth_destination
check_client_access hash:/etc/postfix/client_checks
check_sender_access pcre:/etc/postfix/sender_checks
check_policy_service inet:127.0.0.1:12525
(SpamAssassin ist derzeit über master.cf mit spamc/spamd eingehängt.)
[…]/etc/postfix> cat sender_checks
/klicken.*\.xyz/ DISCARD S2016-06: Spam discarded.
/klicken.*\.accountant/ DISCARD S2016-06: Spam discarded.
/mailing.*\.xyz/ DISCARD S2016-06: Spam discarded.
/mailing.*\.site/ DISCARD S2016-06: Spam discarded.
/server.*\.xyz/ DISCARD S2016-06: Spam discarded.
/weiter.*\.top/ DISCARD S2016-06: Spam discarded.
/aufmachen.*\.party/ DISCARD S2016-06: Spam discarded.
/95\.85\.8\.87/ DISCARD S2016-06: Spam discarded.
/178\.62\.235\.237/ DISCARD S2016-06: Spam discarded.
/46\.101\.111\.79/ DISCARD S2016-06: Spam discarded.
Die regulären Ausdrücke sind mindestens in zweierlei Hinsicht für Domain-Namen
wie mailing274.xyz zu weit gefasst:
1. Ich prüfe nicht auf eine Nummer.
2. Und wer würde dann auch meinserver.xyz erfassen.
Das war mir jetzt aber erstmal egal.
Ich arbeite da mit DISCARD, da ich die Spammer gar nicht mehr informieren
möchte, dass ich die Mail wegwerfe. Es handelt sich zudem um einen privat
genutzen Mailserver.
Ich habe für die dortigen IPs dann auch Abuse Reports an Digital Ocean
abgesetzt, aber außer einer automatisierten Antwort bislang keine Reaktion
erhalten. Außerdem kamen eben immer wieder neue Hosts dazu, die Spams
schicken.
Ich bin daher versucht, komplette Netzwerke von Digital Ocean zu blocken,
würde dann jedoch wieder mit einem REJECT arbeiten, das den Sender auffordert,
sich einen Cloud-Betreiber zu suchen, der sicherstellt, dass Kunden-Systeme
keine Spams verschicken. So weiß der Sender dann zumindest, warum ich seine
Mail blocke.
Allerdings wäre das extrem pauschal, selbst wenn ich mit einem REJECT arbeite.
Eine weiter Möglichkeit wäre, komplette TLDs wie .xyz oder Ähnliches zu
blocken, das wäre aber noch pauschaler.
Ich würd das gerne anders lösen, möchte aber nicht jeden 2. Tag eine neue
Regel einfügen, um Spam wegzublocken.
Irgendeine Idee, die zwischen pauschal blocken und alle zwei Tagen wieder
hinfassen liegt?
Theoretisch sind die Spams, die ich alle wieder entsorgt habe (auch die Abuse
Reports), da ich so einen Müll einfach nicht archivieren möchte, alle ähnlich
aufgebaut. Da ist in der Regel im Wesentlich immer ein Tracking-Link auf eine
dubiose Webseite drin.
Ciao,
--
Martin
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : F64B72EDA591C786_r.wagner at licoho.de.asc
Dateityp : application/octet-stream
Dateigröße : 3960 bytes
Beschreibung: F64B72EDA591C786_r.wagner at licoho.de.asc
URL : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20160707/d5ff6cbe/attachment.obj>
Mehr Informationen über die Mailingliste Postfixbuch-users