Mit ‘Spam’ Tagged einträge

spam aus Panama

Samstag, April 1st, 2017

Einige zeit lang hat es mich genervt das es Spam Server gibt, die von Domains verschicken die ausschließlich in Panama Register sind. Die sind mittlerweile so dreist das sie Spam score werte erreichen, die weit negativ sind, da bei ihnen alles stimmt. Aber eine Gemeinsamkeit haben Sie, neben dem whois Eintag das Sie aus Panama stammen, auch noch. Sie haben alle FreeDNS Einträge von Namecheap Inc. Ops die kann man getrost droppen:

In der /etc/postfix/main.cf habe ich den smtpd_recipient_restrictions folgende Eintrag angefügt:

smtpd_recipient_restrictions =
check_sender_ns_access hash:/etc/postfix/blacklist_ns.cf 

Dann habe ich die Datei /etc/postfix/blacklist_ns.cf angelegt:

dns1.registrar-servers.com REJECT Sender-Domain is registered at WhoisGuard Panama / Namecheap Inc
dns2.registrar-servers.com REJECT Sender-Domain is registered at WhoisGuard Panama / Namecheap Inc
dns3.registrar-servers.com REJECT Sender-Domain is registered at WhoisGuard Panama / Namecheap Inc
dns4.registrar-servers.com REJECT Sender-Domain is registered at WhoisGuard Panama / Namecheap Inc
dns5.registrar-servers.com REJECT Sender-Domain is registered at WhoisGuard Panama / Namecheap Inc

Anschließend habe ich die hash table erstellt:

postmap /etc/postfix/blacklist_ns.cf

Nach dem neu laden des Postfixes fand ich wenige Sekunden später folgendes im log:
postfix/smtpd[..]: connect from mx4.siegertarifpkv.com[...]
postfix/smtpd[..]: Anonymous TLS connection established from mx4.siegertarifpkv.com[...]: TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits)
postfix/smtpd[..]: NOQUEUE: reject: RCPT from mx4.siegertarifpkv.com[...]: 554 5.7.1 : Sender address rejected: Sender-Domain is registered at WhoisGuard Panama / Namecheap Inc; from= to= proto=ESMTP helo=
postfix/smtpd[..]: disconnect from mx4.siegertarifpkv.com[...]

[update] Wo bleibt der Spam?

Sonntag, November 23rd, 2008

In meiner E-Mail Statistik, einer meiner Frondendserver sind die Rejects heute das erste mal unter die Marke von 900 Rejects gefallen. Noch vor 2 Wochen waren es mehr als 4000. Das ist gut das 4,4 fache weniger.
mailgraph20081123
23.11.2008

mailgraph20081111
11.11.2008

Aber Warum? Gestern titelte Heise: DDoS Attacke auf InternetX. Wo angeblich 40.000 Hosts und einer Gesamtbandbreite von über 20 Gbit/s den Angriff durchführen.
Und vor eine Woche titelte Heise: US Provider ziehen Spam Schleuder den Stecker. Danach soll der Spamanteil im Internet wohl massiv zurück gegangen sein.

[update 21.11.08 19.17]
Störungsmeldung / DDOS Angriff von Schlund Technologies

Sehr geehrte Damen und Herren,
derzeit stehen die InterNetX Infrastruktur bzw. große Teile des DNS im Fokus eines massiven DDoS Angriffes. Durch Einsatz komplexer Regelwerke ist derzeit aber eine begrenzte Bandbreite verfügbar. Dies nimmt jedoch Einfluss auf die Erreichbarkeit des DNS.

Ein DDoS Angriff ist eine Attacke von außen, die zum Ziel hat, einen oder mehrere Dienste eines Hosts lahm zu legen. Mehr Informationen darüber finden Sie unter diesem Link: http://de.wikipedia.org/wiki/DDoS

Das Angriffsvolumen liegt derzeit bei ca. 40.000 Hosts und einer Gesamtbandbreite von über 20 Gbit/s. Das InterNetX Team ist in Zusammenarbeit mit zahlreichen Backbonebetreibern um eine zeitnahe Lösung bemüht.

Wir bitten die Unannehmlichkeiten zu entschuldigen und danken für das Verständnis.

Mit freundlichen Grüßen

Schlund Technologies Technik

[update 24.11.2008 12:15]
Gerade titelte heise die Bestätigung das es auch bei anderen Mailservern so aussieht: Spam fällt auf Jahrestief

Unterdessen ist bei mir die Anzahl der Spams wieder auf ein normal Niveau gestiegen:
mailgraph20081124

[update 21.11.08 21.17]
Entstörungsmeldung zum DDOS Angriff von Schlund Technologies

Sehr geehrte Damen und Herren,

am Freitag, 21.11.08, ab 09:20 Uhr, wurde auf die Schlund Technologies Infrastruktur ein massiver DDoS-Angriff gestartet. Auswertungen haben ergeben, dass der Angriff im Besonderen dem Nameserverpool galt.

Mit einer gezielten DDoS(Distributed Denial of Service)-Attacke, also einer dezentralen Angriffsstrategie, die ca. 40.000 infizierte Client- bzw. Serversysteme zum gemeinsamen Angriff auf ein Ziel koordinierte, wurde ein Peak in der Gesamtbandbreite von über 20 Gbit/s und ca. 800.000 Paketen pro Sekunde erreicht. Dies schränkte diverse Backbonebetreiber in ihren freien Ressourcen ein und führte zu temporären Störungen.

Die Angriffe wurden in Form von „UDP Fragmenten“ und reinen „UDP Floods“ geführt. Schlund Technologies hat in Zusammenarbeit mit zahlreichen Carriern und oben genannten Backbonebetreibern gemeinsam eine Lösung bzw. komplexe Regelwerke zur effizienten Filterung der Angriffe entwickelt und
seit Freitag, 21.11.2008, 15:48 Uhr, erfolgreich im Einsatz.

Wir möchten uns an dieser Stelle für etwaige Unannehmlichkeiten entschuldigen und Ihnen für Ihr Verständnis danken.

Ihr Schlund Technologies Technik-Team

[update 01.12.08 00:00]
Weitere Statistiken die den Krassen Einbruch des Spamverkehrs zeigen. Die keinen Balken unterhalb von 600k sind die Zugestellten E-Mails. Auffallend ist aber auch das auch weniger richtige E-Mails an diesem Tag gesendet wurden.
spam_november2008