[Postfixbuch-users] Aktuelle Spamwelle "Deutsche Bank"
Robert Felber
r.felber at ek-muc.de
Fr Okt 6 22:09:00 CEST 2006
On Fri, Oct 06, 2006 at 09:48:53PM +0200, Ralf Hildebrandt wrote:
> * Robert Felber <r.felber at ek-muc.de>:
> > On Fri, Oct 06, 2006 at 07:50:44PM +0200, Ralf Hildebrandt wrote:
> > > Für header_checks empfehle ich:
> > >
> > > /^Subject: Du hast eine neue Anzeige/ REJECT Deutsche Bank Spam I 06.10.2006
> > > Postfixbuch-users at listi.jpberlin.de
> >
> > Header_checks issn bissi late, weil bandbreite eh schon futsch. Was wird
> > denn als envelope sender angegeben?
>
> from=<nobody at host171.ipowerweb.com>
>
> hauptsaechlich
/var/log/mail/maillog.1.bz2:Oct 4 03:39:56 fpsvr1z150 postfix/policyd-weight[11700]: decided action=PREPEND X-policyd-weight: NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_BL_NJABL=-1.5 NOT_IN_SPAMCOP=-1.5 CL_IP_EQ_FROM_IP=-2 FROM_NBDY_ANON=1.17 (check from: .ipowerweb. - helo: .host173.ipowerweb.) FROM_MATCHES_HELO=-2 <client=66.235.199.131> <helo=host173.ipowerweb.com> <from=anonymous at host173.ipowerweb.com> <to=robtone at ek-muc.de>, rate: -7.33
/var/log/mail/maillog.1.bz2:Oct 4 03:40:01 fpsvr1z150 amavis[79343]: (79343-05) Passed SPAMMY, <anonymous at host173.ipowerweb.com> -> <robtone at ek-muc.de>, Hits: 2.57, tag=-10, tag2=2, kill=6.3, queued_as: 4DD33C3878, L/Y/Y/0
Hm. Habs wohl reflex-artig geloescht. Das ist momentan der einzige Eintrag zu
dem network und helo.
Sieht irgendwie nach abused formulars/web-app aus.
NANAS hat's schon:
http://groups.google.com/groups?q=ipowerweb&start=0&scoring=d&
--
Robert Felber (PGP: 896CF30B)
Munich, Germany
Mehr Informationen über die Mailingliste Postfixbuch-users