[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Ein paar tausend Spams pro Tag

Michelle Konzack schrieb:
> Hello Marco Maske,
>
> Am 2011-06-16 19:26:09, hacktest Du folgendes herunter:
> > Nutze SA mit amavisd-new seit Jahren und mit vielen Mailinglisten. Habe
> > so 2 Spams die Woche, welche da durch gehen.
>
> Ich gut 10-20 pro Tag die durchkommen...  was weniger als 0,5% sind!

Du meinst von allen Deinen Domains? Das geht doch. 

> > > Ich bekomme seit ein paar Tagen pro Tag mehrere tausend spams wie
> >
> > - läuft SA definitiv!
> > - welche Regelsätze (Plugins) sind aktiviert? bzw. Enable network checks!
>
> Ist alles aktivert, aber ich bekommen nur 2.0-4.0

Wovon 2.0-4.0 ?

> Es sind die beiden Netzwerke:
>
> 173.245.204. .root.static.coolserver.info
...

>
> Ich bekomme derzeit pro Stunde auf <linux4michelle> so um die 150  spams
> von denen.  Sind alles Ubuntu Kisten und werden gerde von mir nmap'ed.
>
>  nmap -v -oG nmap_starsweet.log -sS -O 28.root.static.starsweet.info/24

Dann rejecte doch die Domain schon im MTA.
>
> > Bayes braucht aber einige hundert Mails zum lernen, bevor es aktiv wird!
> > Ich mach das mit 'nem cronjobscript.
>
> Du, ich bin kein Anfänger...

Du, das weiß ich ;-) lese hier auch schon x-Jahre. Wollte es halt nur mal 
erwähnen, weil man das nur tief in den manpages ließt.


> > Score und Regeln anpassen wenn zuviel durchkommt.
>
> URI_BL funktioniert nicht zum Beispiel.

Du meinst:
/usr/share/spamassassin/25_uribl.cf

Requires the Mail::SpamAssassin::Plugin::URIDNSBL plugin be loaded.

ist Plugin geladen? Logfile schauen ggf. loglevel anpassen. Ich weiß Du bist 
kein Anfänger ;-)

Gibt es von den Regeln die Domains noch? Bei Lenny SA 3.2.5 gibt es nur noch:
sbl.spamhaus.org, multi.surbl.org, multi.uribl.com
Der Rest ist in /usr/share/spamassassin/20_dnsbl_tests.cf braucht 
Plugin::DNSEval

> Die Frage ist, wem gehört das Netzwerk?
> Das sieht nach einem Spam-Netzwerk aus.
>
> Interessant ist, ein ping:
>
> [michelle.konzack@michelle1:~] ping -v -R -c 1 173.245.205.20
> PING 173.245.205.20 (173.245.205.20) 56(124) bytes of data.
> 64 bytes from 173.245.205.20: icmp_seq=1 ttl=46 time=455 ms
> RR:     192.168.0.91    =>  michelle1.private.tamay-dogan.net
>         10.56.8.209     =>  NXDOMAIN
>         82.113.103.51   =>  NXDOMAIN
>         195.71.237.114  =>  NXDOMAIN
>         62.53.238.14    =>  xmwc-frnk-de01-vlan-11.nw.mediaways.net
>         62.52.52.9      =>  rmwc-frnk-de01.nw.mediaways.net
>         94.142.100.79   =>  L0-grtfraix4.red.telefonica-wholesale.net
>         213.140.32.42   =>  L0-grtlontc2.red.telefonica-wholesale.net
>         64.211.111.149  =>  TenGigabitEthernet3-4.ar8.NYC1.gblx.net

>
> Denke, die werde ich mal kontaktieren bzw. Anrufen...

Wie oben erwähnt. Customrules helfen bei gleichartiger Spam schnell.
leider ist http://www.rulesemporium.com/ so gut wie tot. Da gab es immer 
aktuelle Rules. 

Ciao Marco!


-- 
Debian Tipp Nr. 10: Zu allen möglichen Themen gibt es auch eine 
Mailing-Liste: Von Benutzer-Fragen bis hin zum Inhalt der 
Debian-Richtlinien. Schauen Sie sich doch mal die Liste auf 
http://www.debian.org/MailingLists/ an und abonnieren Sie die Listen, die 
Sie interessieren.
Reply to: