[Postfixbuch-users] Spamproblem mit dyn DNS

Matthias Haegele mhaegele at linuxrocks.dyndns.org
Fr Jan 12 18:07:30 CET 2007


walhalla schrieb:
> hi,
> eventuell in deine access ein:
> coffeehousearoma.com  550 Behalte deinen Muell

Vermutung: Es handelt sich um eine "Wegwerfdomain" daher wird es wohl 
nur von zeitlich begrenztem Erfolg sein ...

Die Mail wurde ja recht hoch (6.x Score) bewertet, da könnte man schon 
aussortieren?
Aber das muss der OP selbst wissen ...
(Ein Reject könnte u. U. auch auf HAM passen bei der Score?)

> jens

Grüsse
MH

> 
> 
> Uwe Driessen schrieb:
>> Hallo Liste 
>>
>> Wie bekomme ich mit Postfix das Spamproblem von dyn DNS Anbietern welche in
>> der Zwischenzeit auch MX records bei der Abfrage liefern in den Griff?
>>
>> Ich möchte eigentlich diesen Spam gar nicht erst annehmen. Es geht aktuell
>> wie ich schon mal geschrieben habe um den Anbieter bei dem kommt man immer
>> auf folgende Seite. 
>> Evtl. hat die ja schon mal jemand gesehen 
>>  
>> coffeehousearoma.com (keine Ahnung ob man da noch hinkommt in den nächsten
>> 30 min da verschiedene Adressen schon dahingelaufen sind)
>>
>> ---------------------------------------------------------------------------
>> In the booming work from home trend, the use of independent telemarketers is
>> especially hot. Increasingly, companies and call centers are outsourcing
>> their sales and service responsibilities to individuals who want to work
>> from home as independent telemarkters. 
>>
>> This movement is being driven by the desire to work from home, avoid long
>> commutes, spend more time with family and loved ones, and to work more
>> flexible schedules that fit their lifestyles. These new work styles are
>> being made possible by advances in workplace technology. 
>>
>> In setting up your independent telemarketing business, there are a few
>> simple steps you can take to improve your work environment. These easy steps
>> will improve your organization, comfort and productivity. 
>>
>> Anne Smith contracts as an independent telemarketer for the
>> telecommunications industry from her own home office in Dayton, OH. She says
>> first you have to know what the companies expect from you.  
>> ----------------------------------------------------------------------------
>>
>> Da auf diese Art und weise auf meinen klitze kleinen Mailserver am Tag so um
>> die 5 -10 Mails kommen die alle auf diese Seite verweisen macht mich das
>> schon stutzig  
>>
>> Greylist alleine verhindert leider nicht immer die Annahme dieser Mails da
>> einige dieser Spamer so wie es ausschaut echte Mailserver mit error handling
>> aufgesetzt haben und immer den kompletten IP-Bereich der Maschinen die
>> dahinter stehen zu sperren und von der Annahme auszugrenzen macht auf die
>> Dauer einsam da ich nicht beurteilen kann welche Netzwerkbereiche dieser
>> ISP's für Einwahl und welche für Server genommen werden.
>>
>> Die RBLS sind in dem Fall auch keine Hilfe da bevor die dort landen die
>> Server aus einem anderen Einwahlbereich und mit anderen Helo's kommen, aber
>> ich könnte wetten es ist immer der gleiche der dahinter steht 
>>
>> Wie schon im Buch steht möchte ich gerne das der Absender die Verantwortung
>> trägt und nicht ich den ich muß eigentlich jede Mail zustellen die
>> angenommen wurde.
>>
>> Auszug aus der Mail.log
>>
>> Jan 12 14:25:54 fblan postfix/smtpd[4523]: connect from
>> 204.coffeehousearoma.com[216.74.65.204]
>> Jan 12 14:25:55 fblan postfix/smtpd[4523]: AE7234DC172:
>> client=204.coffeehousearoma.com[216.74.65.204]
>> Jan 12 14:25:55 fblan postfix/cleanup[4527]: AE7234DC172:
>> message-id=<20070112132555.AE7234DC172 at mail.fblan.de>
>> Jan 12 14:25:55 fblan postfix/qmgr[966]: AE7234DC172:
>> from=<NewPhones at coffeehousearoma.com>, size=2746, nrcpt=1 (queue active)
>> Jan 12 14:25:55 fblan amavis[1595]: (01595-08) ESMTP::10024
>> /var/lib/amavis/amavis-20070112T123213-01595:
>> <NewPhones at coffeehousearoma.com> -> <xxxxxxxx@       amazonas-tours.de>
>> SIZE=2746 BODY=8BITMIME ENVID=19464 Received: from mail.fblan.de
>> ([127.0.0.1]) by localhost (fblan.de [127.0.0.1]) (amavisd-new, port
>> 10024) with ESMTP for <xxxxxxxx at amazonas-tours.de>; Fri, 12 Jan 2007
>> 14:25:55 +0100 (CET)
>> Jan 12 14:25:55 fblan amavis[1595]: (01595-08) Checking: x8GRVlnkehAw
>> <NewPhones at coffeehousearoma.com> -> <xxxxxxxx at amazonas-tours.de>
>> Jan 12 14:25:55 fblan amavis[1595]: (01595-08) p001 1 Content-Type:
>> text/html, size: 1391 B, name:
>> Jan 12 14:25:56 fblan postfix/smtpd[4523]: disconnect from
>> 204.coffeehousearoma.com[216.74.65.204]
>> Jan 12 14:25:58 fblan amavis[1595]: (01595-08) skip local delivery(3):
>> <NewPhones at coffeehousearoma.com> -> <spam-quarantine>
>> Jan 12 14:25:58 fblan amavis[1595]: (01595-08) SPAM,
>> <NewPhones at coffeehousearoma.com> -> <xxxxxxxx at amazonas-tours.de>, Yes,
>> score=6.571 tag=2 tag2=6.31 kill=6.52 tests=[HTML_IMAGE_ONLY_16=0.627,
>> HTML_IMAGE_RATIO_02=0.192, HTML_MESSAGE=0.001, HTML_MIME_NO_HTML_TAG=0.512,
>> HTML_SHORT_LINK_IMG_2=0.951, MIME_HTML_ONLY=0.001, MSGID_FROM_MTA_ID=0.927,
>> URIBL_JP_SURBL=3.36], autolearn=no, quarantine x8GRVlnkehAw
>> (spam-quarantine)
>> Jan 12 14:25:58 fblan amavis[1595]: (01595-08) DSN: NOTIFICATION:
>> Action:failed, LOCAL 554 Spam, <NewPhones at coffeehousearoma.com> ->
>> <xxxxxxxx at amazonas-tours. de>
>> Jan 12 14:25:59 fblan postfix/smtpd[4531]: connect from
>> localhost.localdomain[127.0.0.1]
>> Jan 12 14:25:59 fblan postfix/smtpd[4531]: 0AE704DC79C:
>> client=localhost.localdomain[127.0.0.1]
>> Jan 12 14:25:59 fblan postfix/cleanup[4527]: 0AE704DC79C:
>> message-id=<SSx8GRVlnkehAw at fblan.de>
>> Jan 12 14:25:59 fblan postfix/qmgr[966]: 0AE704DC79C: from=<>, size=4062,
>> nrcpt=1 (queue active)
>> Jan 12 14:25:59 fblan postfix/smtpd[4531]: disconnect from
>> localhost.localdomain[127.0.0.1]
>> Jan 12 14:25:59 fblan amavis[1595]: (01595-08) SEND via SMTP: <> ->
>> <NewPhones at coffeehousearoma.com>, ENVID=AM..20070112T132559Z at fblan.de 250
>> 2.6.0 Ok,       id=01595-08, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok:
>> queued as 0AE704DC79C
>> Jan 12 14:25:59 fblan amavis[1595]: (01595-08) Not-Delivered,
>> <NewPhones at coffeehousearoma.com> -> <xxxxxxxx at amazonas-tours.de>, quarantine
>> x8GRVlnkehAw,       Message-ID: <20070112132555.AE7234DC172 at mail.fblan.de>,
>> Hits: 6.571
>> Jan 12 14:25:59 fblan amavis[1595]: (01595-08) TIMING [total 3257 ms] - SMTP
>> EHLO: 8 (0%)0, SMTP pre-MAIL: 1 (0%)0, SMTP pre-DATA-flush: 8 (0%)1, SMTP
>> DATA:  39 (1%)2, body_digest: 4 (0%)2, gen_mail_id: 1 (0%)2, mime_decode: 24
>> (1%)3, get-file-type1: 31 (1%)4, decompose_part: 2 (0%)4, parts_decode: 0
>> (0%)4, AV-    scan-1: 36 (1%)5, spam-wb-list: 8 (0%)5, SA msg read: 2 (0%)5,
>> SA parse: 7 (0%)5, SA check: 2737 (84%)89, SA finish: 9 (0%)90,
>> update_cache: 4 (0%)90,        decide_mail_destiny: 4 (0%)90,
>> save-to-local-mailbox: 17 (1%)90, prepare-dsn: 194 (6%)96, fwd-connect: 8
>> (0%)97, fwd-mail-from: 2 (0%)97, fwd-rcpt-to: 5      (0%)97, fwd-data-cmd: 1
>> (0%)97, write-header: 3 (0%)97, fwd-data-contents: 28 (1%)98, fwd-data-end:
>> 56 (2%)99, fwd-rundown: 4 (0%)100, main_log_entry: 7      (0%)100,
>> update_snmp: 5 (0%)100, unlink-1-files: 3 (0%)100, rundown: 1 (0%)100
>>
>>  
>> Evtl hat das ja schon mal jemand gelöst.
>>
>> Die smtpd_sender_restrictions =permit_mynetworks,
>>                            permit_tls_clientcerts,
>>                            permit_sasl_authenticated,
>>                            check_sender_access pcre:/etc/postfix/apostroph
>>                            check_sender_mx_access cidr:/etc/postfix/bogus_mx
>>                            reject_non_fqdn_recipient,
>>                            reject_unknown_client_hostname
>>                            reject_unknown_recipient_domain
>>                            reject_unknown_sender_domain,
>>                            reject_non_fqdn_sender,
>>                            reject_unauth_pipelining,
>>                            reject_sender_login_mismatch,
>>                            reject_unauthenticated_sender_login_mismatch
>>                            reject_unauth_destination,
>>                            check_policy_service inet:127.0.0.1:60000
>>                            reject_rhsbl_client rhsbl.sorbs.net,
>>                            reject_rbl_client dynablock.njabl.org,
>>                            reject_rbl_client dialup.blacklist.jippg.org,
>>                            reject_rbl_client multihop.dsbl.org,
>>                            reject_rhsbl_sender rhsbl.sorbs.net,
>>                            reject_rbl_client zen.spamhaus.org,
>>                            reject_rbl_client proxies.blackholes.wirehub.net
>>                            reject_rbl_client list.dsbl.org,
>>                            reject_rbl_client unconfirmed.dsbl.org,
>>                            reject_rbl_client list.dsbl.org,
>>                            reject_rbl_client dynablock.njabl.org,
>>                            reject_rbl_client dialup.blacklist.jippg.org,
>>                            reject_rbl_client multihop.dsbl.org
>>
>> evtl. weis ja auch jemand eine RBL die genau diesen fall abfängt 
>>
>> abfrage des MX
>>
>> dig coffeehousearoma.com mx
>>
>> ; <<>> DiG 9.3.2-P1 <<>> coffeehousearoma.com mx
>> ;; global options:  printcmd
>> ;; Got answer:
>> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22923
>> ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 5
>>
>> ;; QUESTION SECTION:
>> ;coffeehousearoma.com.          IN      MX
>>
>> ;; ANSWER SECTION:
>> coffeehousearoma.com.   1800    IN      MX      10 coffeehousearoma.com.
>>
>> ;; AUTHORITY SECTION:
>> coffeehousearoma.com.   1014    IN      NS      dns1.name-services.com.
>> coffeehousearoma.com.   1014    IN      NS      dns2.name-services.com.
>> coffeehousearoma.com.   1014    IN      NS      dns3.name-services.com.
>> coffeehousearoma.com.   1014    IN      NS      dns4.name-services.com.
>> coffeehousearoma.com.   1014    IN      NS      dns5.name-services.com.
>>
>> ;; ADDITIONAL SECTION:
>> dns1.name-services.com. 29714   IN      A       69.25.142.1
>> dns2.name-services.com. 29714   IN      A       216.52.184.230
>> dns3.name-services.com. 29714   IN      A       63.251.92.193
>> dns4.name-services.com. 29714   IN      A       64.74.96.242
>> dns5.name-services.com. 29714   IN      A       70.42.37.1
>>
>> ;; Query time: 110 msec
>> ;; SERVER: 193.158.36.23#53(193.158.36.23)
>> ;; WHEN: Fri Jan 12 17:02:19 2007
>> ;; MSG SIZE  rcvd: 243
>>
>> Besten dank 
>>
>> Gruß Uwe
>>
>>
>>
>> Software & Computer
>> Uwe Drießen
>> Lembergstraße 33
>> 67824 Feilbingert
>> Tel.: 06708 / 660045
>> Fax: 06708 / 661397
>>
>>
>>
> 





Mehr Informationen über die Mailingliste Postfixbuch-users