[Postfixbuch-users] UPS/DHL Spam

Carsten postfixer99 at gmail.com
Do Mär 5 16:59:43 CET 2015 

Am 05.03.2015 um 15:55 schrieb Paul:
> Für den Fall dass Return-Path @dhl.com/.de ist, mag das helfen, aber die
> (derzeit 2) Mails, die ich gesichtet habe, kommen bspw von
> rosner14 at smtp.dragon.cz über
> Received: from smtp.dragon.cz (smtp.dragon.cz [213.168.176.4])
> oder
> rezsoh at mail.1ahosting.hu
> Received: from mail.1ahosting.hu (mail.1ahosting.hu [62.68.162.114])

Das hast Du falsch verstanden. Die Mails die Du siehst sind mit höchster 
Wahrscheinlichkeit Spam.
Ich schicke die korrekt signierten Mails am Spamfilter vorbei, sodass 
sie nicht mehr geprüft werden.
Das geht mit DKIM sehr gut. Die echten Mails sind nämlich von "@dhl.de" 
und "@dhl.com".


> Momentan ist noch der Betreff in einem schlechten Deutsch verfasst und
> bei meinen beiden Spammails nahezu identisch. Header-Check oder amavis
> Regel schaffen da evtl. Abhilfe.
Ähhm, kann ich nicht nachvollziehen. Die Betreffs sind immer mit 
"Paketankündigung" oder "Zustellbenachrichtigung" etc. und einer 
Paketnummer.
Da ist kein schlechtes deutsch im Betreff, höchstens im Content.
Die Betreffs variieren sehr stark in der Anordnung, daher ist das ein 
mittelgutes Kriterium.


> Mich interessiert, wie du das umgesetzte hast.
> Kannst du mal grob beschreiben wie, womit du die Prüfung und die
> Abweisung machst?
Naja die Prüfung auf korrekt signierte Mails geht mit Amvis Boardmitteln:

@author_to_policy_bank_maps = ( {

'rechnungsstelle at 1und1.de'     => 'WHITELIST',

'1und1.de' => 'WHITELIST',

'rechnungonline at telekom.de'    => 'WHITELIST',

'servicecenter.gk at telekom.de'  => 'WHITELIST',

'buchungbestaetigung at bahn.de'  => 'WHITELIST',

'bahn.de' => 'WHITELIST',

     'deutschebahn.com' => 'WHITELIST',

'commerzbank.com' => 'WHITELIST',

'paypal.com' => 'WHITELIST',

'ebay.de' => 'WHITELIST',

'dhl.de' => 'WHITELIST',

'dhl.com' => 'WHITELIST',

'ups.com' => 'WHITELIST',

'kundenservice.vodafone.com'   => 'WHITELIST',

} );

$policy_bank{'WHITELIST'} = {

   bypass_spam_checks_maps => [1],

spam_lovers_maps => [1],

};



Danach baust Du mit Spamassassin Regeln zum Blockieren der Fälschungen. 
Hier kann man schon harte Regeln bauen,
weil die echten Mails ja niemals den Spamfilter erreichen.
Ich nutze mehrere Regeln zur Sicherheit, das muss aber jeder selbst 
entscheiden.

Eine grobe Regel sieht z.b. so aus.
Wem das zu hart ist, kann sich ja Meta-Regeln bauen, die auch den 
Betreff mit einbeziehen.

header   MY_HEADER_104         From =~ /DHL.*<.*>/
describe MY_HEADER_104         gefaelschte DHL-Paketankuendigungen
score    MY_HEADER_104         8

Man kann natürlich das ganze verfeiern.

Wer kein DKIM prüfen kann, könnte sich auch einer Prüfung des 
Return-Paths bedienen,
da dieser schwerer zu fälschen ist, und sowieso nicht bei den geklauten 
Accounts (welche das Botnet nutzt) machbar ist.
Der Return-Path der echten Mails lautet paket at dhl.de

Beste Grüße

Carsten








-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20150305/105f42ac/attachment.html>

Mehr Informationen über die Mailingliste Postfixbuch-users