[Postfixbuch-users] UPS/DHL Spam
Carsten
postfixer99 at gmail.com
Do Mär 5 16:59:43 CET 2015
Am 05.03.2015 um 15:55 schrieb Paul:
> Für den Fall dass Return-Path @dhl.com/.de ist, mag das helfen, aber die
> (derzeit 2) Mails, die ich gesichtet habe, kommen bspw von
> rosner14 at smtp.dragon.cz über
> Received: from smtp.dragon.cz (smtp.dragon.cz [213.168.176.4])
> oder
> rezsoh at mail.1ahosting.hu
> Received: from mail.1ahosting.hu (mail.1ahosting.hu [62.68.162.114])
Das hast Du falsch verstanden. Die Mails die Du siehst sind mit höchster
Wahrscheinlichkeit Spam.
Ich schicke die korrekt signierten Mails am Spamfilter vorbei, sodass
sie nicht mehr geprüft werden.
Das geht mit DKIM sehr gut. Die echten Mails sind nämlich von "@dhl.de"
und "@dhl.com".
> Momentan ist noch der Betreff in einem schlechten Deutsch verfasst und
> bei meinen beiden Spammails nahezu identisch. Header-Check oder amavis
> Regel schaffen da evtl. Abhilfe.
Ähhm, kann ich nicht nachvollziehen. Die Betreffs sind immer mit
"Paketankündigung" oder "Zustellbenachrichtigung" etc. und einer
Paketnummer.
Da ist kein schlechtes deutsch im Betreff, höchstens im Content.
Die Betreffs variieren sehr stark in der Anordnung, daher ist das ein
mittelgutes Kriterium.
> Mich interessiert, wie du das umgesetzte hast.
> Kannst du mal grob beschreiben wie, womit du die Prüfung und die
> Abweisung machst?
Naja die Prüfung auf korrekt signierte Mails geht mit Amvis Boardmitteln:
@author_to_policy_bank_maps = ( {
'rechnungsstelle at 1und1.de' => 'WHITELIST',
'1und1.de' => 'WHITELIST',
'rechnungonline at telekom.de' => 'WHITELIST',
'servicecenter.gk at telekom.de' => 'WHITELIST',
'buchungbestaetigung at bahn.de' => 'WHITELIST',
'bahn.de' => 'WHITELIST',
'deutschebahn.com' => 'WHITELIST',
'commerzbank.com' => 'WHITELIST',
'paypal.com' => 'WHITELIST',
'ebay.de' => 'WHITELIST',
'dhl.de' => 'WHITELIST',
'dhl.com' => 'WHITELIST',
'ups.com' => 'WHITELIST',
'kundenservice.vodafone.com' => 'WHITELIST',
} );
$policy_bank{'WHITELIST'} = {
bypass_spam_checks_maps => [1],
spam_lovers_maps => [1],
};
Danach baust Du mit Spamassassin Regeln zum Blockieren der Fälschungen.
Hier kann man schon harte Regeln bauen,
weil die echten Mails ja niemals den Spamfilter erreichen.
Ich nutze mehrere Regeln zur Sicherheit, das muss aber jeder selbst
entscheiden.
Eine grobe Regel sieht z.b. so aus.
Wem das zu hart ist, kann sich ja Meta-Regeln bauen, die auch den
Betreff mit einbeziehen.
header MY_HEADER_104 From =~ /DHL.*<.*>/
describe MY_HEADER_104 gefaelschte DHL-Paketankuendigungen
score MY_HEADER_104 8
Man kann natürlich das ganze verfeiern.
Wer kein DKIM prüfen kann, könnte sich auch einer Prüfung des
Return-Paths bedienen,
da dieser schwerer zu fälschen ist, und sowieso nicht bei den geklauten
Accounts (welche das Botnet nutzt) machbar ist.
Der Return-Path der echten Mails lautet paket at dhl.de
Beste Grüße
Carsten
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150305/105f42ac/attachment.html>
Mehr Informationen über die Mailingliste Postfixbuch-users