SPAM-Aufkommen

    • Offizieller Beitrag

    In letzter Zeit hat das Spam-Aufkommen bei mir stark zugenommen.

    Auf meiner privaten Email-Adresse sind zuletzt täglich ca. 100 Spam Mails reingekommen.

    Der eingebaute Filter von Thunderbird konnte die natürlich nicht alle automatisch erkennen, aber er ist ja lernfähig.

    Aber jeden Tag etliche Spam-Mails für den lernenden Filter zu markieren ist mir auf Dauer aber auch zu nervig.

    Daher habe ich (nach langer Zeit) mal wieder die Anti-Spam Einstellungen meines Mailserver unter die Lupe genommen.

    Den hatte ich bisher so eingestellt, daß er Spam Mails zwar im Betreff kennzeichnet, nicht aber aussortiert.

    Als ich das eingerichtet habe, wollte ich sicherstellen, daß keine Mail aussortiert werden, die in Wirklichkeit kein Spam sind.

    Zu den DNS Blacklists spamhaus.org und spamcop.net, die ich bisher im Mailserver drin hatte, habe ich jetzt noch wbpl.info und sorbs.net dazugenommen.

    Jeder DNS Blacklist Treffer erhält einen Score von 5.

    Einen Score von 3 gibt es jeweils für Prüfungen auf HELO, gültigen MX-Eintrag und DKIM Signatur.

    Als SPAM gekennzeichnet wird alles mit einem Score ab 5.

    Ich kann mich nicht erinnern, mal eine vom Mailserver als Spam gekennzeichnete Mail gesehen zu haben, die kein Spam war.

    Jetzt habe ich den Mailserver so konfiguriert, daß er alles mit einem Score ab 10 zurückweist.

    Damit fliegt also alles raus, was auf mindestens zwei Blacklist steht, oder was auf einer Blacklist steht und bei mindestens 2 der weiteren Prüfungen versagt.

    Ich bin gespannt, wie sich die neuen Einstellungen auswirken ...

    • Offizieller Beitrag

    Du bist aber tolerant.


    Ich habe 2 DNSBL (ix.dnsbl.manitu.net, zen.spamhaus.or, inaktiv: dnsbl.sorbs.net). Wird die IP als Spammer gemeldet, wird die Verbindung sofort abgebrochen.


    Weiterhin habe ich mehrere selbstgeschriebene Scripte., die mir unerlaubte Zugriffe oder Versuche auf POP Konten, SMTP Verbindungen ohne Mail, ftp Conencts und aehnliches melden. IPs, die hier auffallen, kommen auf die DropIP Liste meiner Firewall. Fuer diese IPs existiert der Rechner nicht mehr.

  • Ich strafe zusätzlich noch alle Mails, die per IPv4 zugestellt werden ab. Quasi alle Spam-Mails werden nicht per IPv6 zugestellt, und in Anbetracht der Tatsache, dass IPv6 dieses Jahr 20 wird (!), sollte mittlerweile jeder, der einen ordentlichen Mailserver betreibt, IPv6 unterstützen. Wenn nicht: Es wird Zeit ;)

    • Offizieller Beitrag

    Weiterhin habe ich mehrere selbstgeschriebene Scripte., die mir unerlaubte Zugriffe oder Versuche auf POP Konten, SMTP Verbindungen ohne Mail, ftp Conencts und aehnliches melden. IPs, die hier auffallen, kommen auf die DropIP Liste meiner Firewall. Fuer diese IPs existiert der Rechner nicht mehr.

    Wie lange bleiben die Einträge bei Dir in der Drop Liste drin?

    Bei mir werden alle IPs, von denen auf dem Mailserver innerhalb einer Stunde zwei Loginversuche fehlschlagen, für 3 Stunden blockiert.

    Beim FTP-Server sperre ich IPs nach 5 fehlgeschlagenen Login-Versuchen in einer Stunde für 999 Stunden.

    • Offizieller Beitrag

    Ich strafe zusätzlich noch alle Mails, die per IPv4 zugestellt werden ab. Quasi alle Spam-Mails werden nicht per IPv6 zugestellt, und in Anbetracht der Tatsache, dass IPv6 dieses Jahr 20 wird (!), sollte mittlerweile jeder, der einen ordentlichen Mailserver betreibt, IPv6 unterstützen. Wenn nicht: Es wird Zeit ;)

    Ich glaube ja, daß die vollständige Umstellung auf IPv6 nicht vor der vollständigen Abschaltung des Internets abgeschlossen sein wird... :tüdeldü:

  • Hehe...

    Zumindest nicht, wenn man Unitymedia-Kunde ist. Die Helden bieten einem ja nur entweder oder.


    Naja, 99% der Mails erreichen mich schon seit Jahren per IPv6, daher die Idee IPv4 abzustrafen.

    • Offizieller Beitrag

    Meine geänderten Einstellungen zeigen Wirkung:

    Ich habe seit den Änderungen (ca. 48 Stunden) noch 24 Spam-Mails bekommen, die fast alle von Thunderbird aussortiert wurden.

    Zusätzlich zu den oben bereits genannten Checks habe ich jetzt noch SPF ativiert (Score 3).



    Sich mal ordentlich mit dem Thema zu befassen war durchaus eine gute Idee.

    Um auch anderem Spam entgegenzuwirken, also nicht nur dem, der mich erreicht, habe ich meinen Mailserver angewiesen, DKIM-Signaturen zu erstellen.

    Die neu ertsellten Einträge für DKIM und SPF sind im DNS aktiv, und die entsprechenden Checks sind durch.

    Somit sollte also niemand mehr in der Lage sein, Spam unter Mißbrauch meiner Domain zu versenden, solange die Empfänger entsprechend konfigurierte Mailserver benutzen.


    Eine Sache ist mir aber aufgefallen:

    Ein T-Online Mailserver, der mir eine Mail von einem Vereinsmitglied übermittelt hat, stand in der DNS Blacklist auf bl.spamcop.net.

    Alle anderen Checks / DNSBL Abfragen waren OK.

    Daher werde ich sicherheitshalber auch weiterhin keine Mails zurückweisen, bei denen ledigleich eine DNS Blackist meckert.

  • Eine Sache ist mir aber aufgefallen:

    Ein T-Online Mailserver, der mir eine Mail von einem Vereinsmitglied übermittelt hat, stand in der DNS Blacklist auf bl.spamcop.net.

    Alle anderen Checks / DNSBL Abfragen waren OK.

    Daher werde ich sicherheitshalber auch weiterhin keine Mails zurückweisen, bei denen ledigleich eine DNS Blackist meckert.

    Wir hatten hier mal in der Uni vor Jahren einen Fall, dass ein Account eines Studenten gehackt wurde. Da war wohl das Passwort zu schwach. Und dann kam es, wie es kommen musste: ein superperformanter Mailserver und eine 10GBit-Anbindung an den Knoten in Frankfurt. Und das zu einer Zeit, als DSL die Megabit kaum knacken konnte. Innerhalb weniger Minuten gingen Hunderttausende von SPAM-Mails raus, und die ganze Uni landete auf einer Blacklist, bevor jemand "Piep" sagen konnte. Später war auch mal der von mir privat genutzte 1&1-Server auf einer Blacklist, vermutlich aus ähnlichen Gründen.

    :tuschel: Suche: BeBox, Commodore 900, KIM-1 :tuschel:

  • Deswegen sollte man bei einem Mailserver, der nicht nur von einem selbst privat genutzt wird, grundsätzlich auch ausgehende Mails durch den Spamfilter jagen, um zu verhindern, dass man auf den Blacklists landet.

    Mails mit verrecktem SPF werden bei mir sofort abgelehnt, Mails von Servern ohne gültigen PTR ebenfalls. Zudem sind alle dynamischen IP-Bereiche blackgelistet, ohne Authentifizierung wird von denen auch sofort abgewiesen.

    Ein paar Blacklists, denen ich voll vertraue, nutze ich auch, um direkt die Verbindung zu killen. Andere, etwas überempfindliche, wie z.B. SORBS habe ich dann in Spamassassin um die Mails mit einem (saftigen) Malus zu versehen.

    Bei mir schlagen so im Monat maximal zwei Spam-Mails auf, die dann auch korrekt im Spamordner landen.


    Greylisting bringt schon seit fast zehn Jahren gar nichts mehr, da die Spammer mittlerweile größtenteils Server nutzen, die mehrmals zustellen. Das nervt nur im Normalbetrieb mit zum Teil extrem verzögerter Zustellung.

  • hier der Header eine Mail, die an mich ging.







    Das sieht nicht gut aus, denn die Mail kam wohl tatsächlich vom Forum. Das muss sich also der Admin ganz dringend mal ansehen...

    PDP-11/34a, IBM System /23, IBM PS2 Mod.25/30/55, Tandon 286, IBM XT 5150, 5160, 5170, Apple 2, ...

  • Auch eben bekommen. Sieht aber danach aus, als ob sich einfach ein User "katarina" angemeldet hat und wahllos an Alle verschiedene Nachrichten mit Spam über die foreneigenen Funktionen verschickt.

  • Das Mailsystem ist wohl nicht sauber konfiguriert, eben kam die Mail an administrator zurück



    <administrator@classic-computing.org>: host

    mail.classic-computing.org[148.251.2.249] said: 550 5.1.1

    <administrator@classic-computing.org>: Recipient address rejected:

    undeliverable address: unknown user: "administrator" (in reply to RCPT TO

    command)

  • bei mir ebenfalls:sense:

    Viele Grüße,

    Knut

    :cat2:

    • Offizieller Beitrag

    Wir kümmern uns drum! Danke für den Hinweis.


    Ich glaube da muss sich wer manuell angemeldet haben, ich bekomme gefühlt jeden Monat eine Mail von jemand, der an der "BASIC BYTES FREE" Abfrage scheitert.....


    Edit: Katrina ist erst mal gesperrt. Bitte hier wieder melden, wenn jemand noch sein Unwesen treiben sollte....

    • Offizieller Beitrag

    Hier sind die Adressen, die wir konfiguriert haben zu finden:


    https://www.classic-computing.org/der-verein/wir-ueber-uns/


    Weiterhin gibt es eine "webmaster@..." und eine "forum@...." Adresse.


    Eine administrator@.... gibt es derzeit nicht, hat es auch meiner Ansicht nach nie gegeben.

    • Offizieller Beitrag

    Hach und ich dachte, Katrina will nur was von mir X/:S:sabber:::leia::