AW: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken

Ronny Wagner r.wagner at licoho.de
Do Jul 7 07:16:32 CEST 2016 

Hallo Nochmal,

in der Zwischenzeit kam jetzt sogar von der TLD .trade eine Spammail, natürlich wieder von Digital Ocean, Inc.

Jetzt beginne ich die vollständige IP Range des Anbieters zu sperren.

cat /etc/postfix/client_access
#Digital Ocean, Inc.
188.166.0.0/16  REJECT Your IP range is spammer - contact abuse at digitalocean.com for help 
128.199.0.0/16  REJECT Your IP range is spammer - contact abuse at digitalocean.com for help 
178.62.128.0/17 REJECT Your IP range is spammer - contact abuse at digitalocean.com for help 
95.85.8.0/20            REJECT Your IP range is spammer - contact abuse at digitalocean.com for help 
146.185.0.0/16  REJECT Your IP range is spammer - contact abuse at digitalocean.com for help 
139.59.0.0/16           REJECT Your IP range is spammer - contact abuse at digitalocean.com for help

Mit freundlichen Grüßen/Best Regards
Ronny Wagner

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Martin Steigerwald
Gesendet: Dienstag, 5. Juli 2016 12:13
An: postfixbuch-users at listen.jpberlin.de
Betreff: Spam-Mails mit neuen TLDs und von Digital Ocean Cloud-Systemen blocken

Hallo!

Ich hab das Postfix-Buch derzeit noch nicht, aber eine Bestellung abgegeben, 
darauf hoffend das bald eine neue Auflage kommt. Und auch bereits etwas 
Erfahrung mit Postfix. Dennoch, falls meine Frage bereits im Buch beantwortet 
ist, gebt gerne einen passenden Hinweis.

Ich habe Postfix + policyd-weight + SpamAssassin mit Heinlein und Michael 
Monnerie-Regeln sowie Dovecot + Docecot LDA mit Sieve, nutze jedoch 
hauptsächlich POP3.



Trotz der Spam-Vorkehrungen, ich lasse von policyd-weight und SpamAssasin via 
REJECT auf SMTP-Ebene ablehnen, bekomme in den letzten Wochen verstärkt Spam-
Mails von irgendwelchen Hosts in Digital Ocean-Netzwerken die dann Hostnamen 
mit neuen TLDs aka .xyz, .site usw. haben. Die scheinen offenbar nicht im 
Griff zu haben, wer da Kunde wird, oder haben viele Kunden, die auf ihre 
Cloud-Maschinen nicht aufpassen.

Daher habe ich dann recht pauschal dieses hier gemacht:

smtpd_recipient_restrictions =
        permit_mynetworks
        permit_sasl_authenticated
        reject_non_fqdn_recipient
        reject_unknown_recipient_domain
        reject_unauth_destination
        check_client_access hash:/etc/postfix/client_checks
        check_sender_access pcre:/etc/postfix/sender_checks
        check_policy_service inet:127.0.0.1:12525

(SpamAssassin ist derzeit über master.cf mit spamc/spamd eingehängt.)

[…]/etc/postfix> cat sender_checks 
/klicken.*\.xyz/ DISCARD S2016-06: Spam discarded.
/klicken.*\.accountant/ DISCARD S2016-06: Spam discarded.

/mailing.*\.xyz/ DISCARD S2016-06: Spam discarded.
/mailing.*\.site/ DISCARD S2016-06: Spam discarded.

/server.*\.xyz/ DISCARD S2016-06: Spam discarded.

/weiter.*\.top/ DISCARD S2016-06: Spam discarded.

/aufmachen.*\.party/ DISCARD S2016-06: Spam discarded.

/95\.85\.8\.87/ DISCARD S2016-06: Spam discarded.

/178\.62\.235\.237/ DISCARD S2016-06: Spam discarded.

/46\.101\.111\.79/ DISCARD S2016-06: Spam discarded.


Die regulären Ausdrücke sind mindestens in zweierlei Hinsicht für Domain-Namen 
wie mailing274.xyz zu weit gefasst:

1. Ich prüfe nicht auf eine Nummer.

2. Und wer würde dann auch meinserver.xyz erfassen.

Das war mir jetzt aber erstmal egal.

Ich arbeite da mit DISCARD, da ich die Spammer gar nicht mehr informieren 
möchte, dass ich die Mail wegwerfe. Es handelt sich zudem um einen privat 
genutzen Mailserver.


Ich habe für die dortigen IPs dann auch Abuse Reports an Digital Ocean 
abgesetzt, aber außer einer automatisierten Antwort bislang keine Reaktion 
erhalten. Außerdem kamen eben immer wieder neue Hosts dazu, die Spams 
schicken.


Ich bin daher versucht, komplette Netzwerke von Digital Ocean zu blocken, 
würde dann jedoch wieder mit einem REJECT arbeiten, das den Sender auffordert, 
sich einen Cloud-Betreiber zu suchen, der sicherstellt, dass Kunden-Systeme 
keine Spams verschicken. So weiß der Sender dann zumindest, warum ich seine 
Mail blocke.

Allerdings wäre das extrem pauschal, selbst wenn ich mit einem REJECT arbeite.


Eine weiter Möglichkeit wäre, komplette TLDs wie .xyz oder Ähnliches zu 
blocken, das wäre aber noch pauschaler.



Ich würd das gerne anders lösen, möchte aber nicht jeden 2. Tag eine neue 
Regel einfügen, um Spam wegzublocken.

Irgendeine Idee, die zwischen pauschal blocken und alle zwei Tagen wieder 
hinfassen liegt?


Theoretisch sind die Spams, die ich alle wieder entsorgt habe (auch die Abuse 
Reports), da ich so einen Müll einfach nicht archivieren möchte, alle ähnlich 
aufgebaut. Da ist in der Regel im Wesentlich immer ein Tracking-Link auf eine 
dubiose Webseite drin.

Ciao,
-- 
Martin
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : F64B72EDA591C786_r.wagner at licoho.de.asc
Dateityp    : application/octet-stream
Dateigröße  : 3960 bytes
Beschreibung: F64B72EDA591C786_r.wagner at licoho.de.asc
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20160707/d5ff6cbe/attachment.obj>

Mehr Informationen über die Mailingliste Postfixbuch-users