Spamwelle unterwegs

Carsten Rosenberg cr at ncxs.de
Di Feb 13 20:51:16 CET 2024 

Jetzt war ich doch glatt in meinen eigenen Anti-Spam Schutz gefallen :D


> Reporting-MTA: dns; srv.ncx-systems.de
> X-Postfix-Queue-ID: D1BB89CDDC3
> X-Postfix-Sender: rfc822; cr at ncxs.de
> Arrival-Date: Tue, 13 Feb 2024 20:35:12 +0100 (CET)
> 
> Final-Recipient: rfc822; postfixbuch-users at listen.jpberlin.de
> Original-Recipient: rfc822;postfixbuch-users at listen.jpberlin.de
> Action: failed
> Status: 5.7.1
> Remote-MTA: dns; 10.0.4.1
> Diagnostic-Code: smtp; 554 5.7.1 Spam message rejected



Moin,

welche Anti-Spam Software setzt du denn ein? Wenn du die aktuelle 
Bitcoin Spamwelle meinst, die wird bei mir alleine über verschiedenste 
RBLs gut erkannt. Ich bekomme bei den Mails 70-130 Punkte bei einem 
Schwellwert von 15. Und dabei sind die einzelnen Gruppen schon mit einem 
maximalen Score versehen.
Aber selbst bei einem Standard-Setup sollten Rspamd und auch 
Spamassassin schon gut greifen.

Hier ein Beispiel - auch ohne extra Regeln werden die 15 Punkte vom 
Rspamd locker erreicht.

Score: 108.64
Symbols:

ARC_NA(0.00)
ARC_SIGNED(0.00) [ncxs.de:s=dkim:i=1]
ASDB_HS_BITCOIN_SPAM(8.00) [redacted]
ASN(0.00) [asn:147314, ipnet:103.89.240.0/24, country:BD]
AX_BITCOIN(7.00) [8eb163b72e48a6adab3d910844179c78bd5f6241:selector]
BAYES_SPAM(2.95) [93.39%]
BITCOIN_ADDR(0.00) [redacted]
BITCOIN_REPUTATION(4.00) [0.999999981704]
DATE_IN_FUTURE(4.00) [5]
DCC_BULK(3.00) [bulk Body=1 Fuz1=78967 Fuz2=many rep=100% ]
DMARC_POLICY_REJECT(2.00) [ncxs.de : No valid SPF, No valid DKIM, reject]
FORCE_ACTION_DMARC_REJECT(0.00) [reject]
FROM_EQ_ENVFROM(0.00)
FROM_NO_DN(0.00)
FUZZY_DENIED(12.00) [1:e1ffe05542:1.00:txt, 1:707353d920:1.00:txt]
GROUP_RBL_FROM_REJECT(0.00)
HAS_X_PRIO_THREE(0.00) [3]
HELO_TLD_NO_RES(0.00) [ip: [103.89.240.227]]
HFILTER_HELO_BAREIP(3.00) [103.89.240.227, 1]
HFILTER_HOSTNAME_UNKNOWN(2.50)
HS_RS_FAKED_MYMAIL(5.00)
INCOMING_DEFAULT(0.00)
INCOMING(0.00)
INTERNAL_DOMAIN_RCPT(0.00) [ncxs.de]
INTERNAL_DOMAIN_SENDER(0.00) [ncxs.de]
IXHASH_TEST(0.00) [6f631a98c9c218d23fdd830df3fee275, 
65a3fe92e3ae7eeb65682aa6799a2db5, 1951e629e5f847df57823e589106ea3a, 
af614df212e2a03606ea5db2be178ee5]
LEAKED_PASSWORD_SCAM_RE(0.00)
LEAKED_PASSWORD_SCAM(7.00)
LOCAL_FUZZY_AUTOLEARN(1.00) [type 1 (weight: 6)]
LOCAL_FUZZY_DENIED(5.00) [1:e1ffe05542:1.00:txt, 1:707353d920:1.00:txt]
MAILBABY_FUZZY_PROB(0.00) [12:80352d8d3b:0.90:txt]
MIME_GOOD(-0.10) [multipart/alternative, text/plain]
MIME_TRACE(0.00) [0:+, 1:+, 2:~]
MISSING_MID(2.50)
MISSING_XM_UA(0.00)
MX_GOOD(-0.01) []
NON_LOCAL_IP(0.00) [103.89.240.227]
ONCE_RECEIVED(0.10)
PYZOR(2.00) [bl_197_wl_0]
R_DKIM_NA(0.00)
R_SPF_SOFTFAIL(0.00) [~all]
RATELIMIT_RCPT_HOUR(0.00) [from(RLby7dj5tssf1757u69a4)]
RBL_AX_AUTHBL_IP(5.00) [103.89.240.227:from]
RBL_AX_COMB_BLACK_HEUR(0.00) [103.89.240.227:from]
RBL_AX_COMB_BLACK(0.00) [103.89.240.227:from]
RBL_AX_COMB_EXPLOIT(0.00) [103.89.240.227:from]
RBL_AX_COMB_NO_RDNS(0.00) [103.89.240.227:from]
RBL_HOSTKARMA_BLACK(0.10) [103.89.240.227:from]
RBL_HOSTKARMA_QUIT_WL(-0.10) [103.89.240.227:from]
RBL_NIXSPAM(3.00) [103.89.240.227:from]
RBL_SENDERSCORE(0.00) [103.89.240.227:from]
RBL_SH_AUTHBL_IP(5.00) [103.89.240.227:from]
RBL_SH_ZEN_CSS(0.00) [103.89.240.227:from]
RBL_SH_ZEN_XBL(0.00) [103.89.240.227:from]
RBL_VIRUSFREE_BOTNET(2.00) [103.89.240.227:from]
RBLSA_INTERSERVER(1.00) [103.89.240.227:from]
RCPT_COUNT_ONE(0.00) [1]
RCVD_COUNT_ZERO(0.00) [0]
RDNS_NONE(1.00)
SENDER_MAIL_REPUTATION(-0.50) [-0.49911613655943]
SH_HBL_CW_BTC(7.00) [8eb163b72e48a6adab3d910844179c78bd5f6241:selector]
SPAMD_NIXSPAM_IXHASH(4.00) [NIXSPAM_IXHASH]
SPAMD(4.70) [BITCOIN_SPAM_07, BITCOIN_TOEQFM, BITCOIN_XPRIO, 
HTML_MESSAGE, MISSING_MID, NO_RECEIVED, NO_RELAYS, PDS_BTC_ID, 
T_SCC_BODY_TEXT_LINE, XPRIO]
SUBJECT_REPUTATION(2.00) [0.99999997888179]
TO_DN_NONE(0.00)
TO_EQ_FROM(0.00)
TO_MATCH_ENVRCPT_ALL(0.00)
VIOLATED_DIRECT_SPF(3.50)

Ohne RBLs und Rspamd Fuzzy (was ja auch limitiert ist) müsstest du hier 
vielleicht die Rspamd eigenen Symbole kombinieren oder dir z.B. eine 
Bitcoin Multimap dazu bauen. Die variieren nicht so stark.
Das Beispiel hier würde aber auch locker ohne abgelehnt werden.

Ich denke für kleine Setups sollte man das Spamhaus und Fuzzy Limit eher 
nicht erreichen. Bei Abusix geht das schon schneller.

Und die DMARC Prüfung ja würde auch schon zu einem Reject führen.
Postscreen hab ich gar nicht mehr im Einsatz.

Viele Grüße

Carsten

On 13.02.24 19:37, Daniel via Postfixbuch-users wrote:
> Moin,
> 
> seit gestern ca. 22 Uhr scheint wieder eine Spambotwelle unterwegs zusein,
> massive Versuche an zufällige Benutzer Spam zusenden, wo auch der Empfänger
> als Absender angegeben wird.
> 
> Eine dieser IPs 180.248.13.24 steht bei Mailspike.io auf der Blacklist und
> Whitelist... weil diese in Blacklist wohl auch Abusix, Spamcop und noch
> anderen Dienst mit verwenden.
> 
> Geht ihr da gezielt gegen vor diese IPs zu blocken damit garnicht erst
> mögliche Abfragen an DNSBL gesendet werden?
> 
> Bei Abusix und Spamhaus sind Abfragen ja limitiert pro Tag, besonders bei
> größeren Setups zahlt man ja sogar noch für die Abfragen.
> 
> Habe heute schon über 300 IPs auf Blackliste gesetzt, damit garnicht erst
> weiter DNSBL abgefragt wird. Ich betreibe nur kleinen Server für hand voll
> Leute.
> 
> Oder lasst ihr ganze einfach so laufen und nimmt es hin, da postscreen ganze
> schon macht?
> 
> Bei web.de und GMX scheint es auch seit gestern massvie Loginversuche
> zugeben, da berichten Heise und co von Hacker-Angriffe, wobei Anbieter ganze
> eher wohl beschlichtigt.
> 
> Gruß Daniel
>

Mehr Informationen über die Mailingliste Postfixbuch-users