Newsletter und SenderBase "poor"

Ralf Hildebrandt Ralf.Hildebrandt at charite.de
Mi Feb 21 11:04:17 CET 2018


* "Frank J. Dürring" <frank.duerring at condero.com>:
> Hallo zusammen,
> 
> ich habe vor zwei Wochen schon einmal geschrieben das SenderBase bzw.
> Cisco/Talos (https://www.talosintelligence.com
> <https://www.talosintelligence.com/>) den versandt von E-Mails eines
> Kunden über unseren MTA verhindert.
> 
> Unser Kunde ist ein öffentliche Organisation (Wirtschaftsförderung) die
> nun mal einen großen Newsletter (> 10.000 Empfänger alle 14 Tage)
> verschickt. Über Jahre hinweg gab es auch keine Probleme bis Talos nun
> die Systeme (inzwischen mehrere getestet) als „poor“ einstufen und die
> Nachricht garnicht mehr annehmen. 

https://www.talosintelligence.com/reputation_center/lookup#contact-form

Gründe sind:

* There have been reports of spam from your IP. Look up your IP's
  reputation on Talos Reputation Center and check the "DNS Based Block
  Lists" area to see whether it is listed on any of the common DNSBLs.
  
  --> Die Frage ist hier: 
      1) Kann man sich aus dem Newsletter EINFACH austragen (unsubscribe Link)
      2) Werden unzustellbare Adresse automatisch ausgetragen?
      3) Gibt es eine Funktionierende postmaster/abuse Adresse in der Absender Domain?

* Your IP exhibits DNS patterns that indicate compromise by a SpamBot.
  Make sure your DNS is configured according to the protocol for
  RFC5321, section 4.1.1.1 (https://www.ietf.org/rfc/rfc5321.txt)
  
  --> klingt MÖGLICH

* Our sensors have received emails from your IP that contained links to
  domains hosting or distributing malware
  
  --> ich denke das könnt ihr ausschliessen
  
> Hat jemand eine Idee wie ich das Problem lösen kann ohne dem Kunden zu
> sagen er soll den Newsletter sein lassen? Gibt es mit Postfix eine
> Möglichkeit den E-Mail Versand eines konkreten Absenders zu
> verlangsamen?

Ich hatte dazu mal ein Scirpt geschrieben, daß alle M;ails eines
Absenders auf HOLD setzt und dann die sukzessive in 100er Blöcken
freiläßt. Oder so ähnlich.

> > Dear Frank,
> > 
> > Our worldwide sensor network indicates that spam originated from IP
> > xx.xx.xx.xx as recently as 2/16/2018 (approximately 48.8 hours ago).

War da gerade ein Newsletter Lauf?
 
> > In some cases we are authorized to share headers of the received
> > spam, but for these particular sensors we have non-disclosure
> > agreements that prevent us from providing anything but the date the
> > last spam was received. 

Sehr schlau, dann kann man die nichtmal austragen :/
  
> > In addition, our sensors indicate server access attempts from this IP
> > to mail servers within our Sensor Network.  This behavior is
> > indicative of email directory harvesting attempts and also results in
> > reputation impact to the IP.  Directory harvest detection fires when
> > you are sending to invalid email addresses.

Ist eure Adressliste voller unzustellbarer Adressen? (suche nach
"status=bounced"

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | https://www.charite.de
	    


Mehr Informationen über die Mailingliste Postfixbuch-users