laggflor
Goto Top

Neue Spammer umgehen DNS-Blacklists

Hallo!
Bis vor ein paar Tagen war mein Mailserver komplett Spamfrei. Jetzt gibts ein kleines Problem:
Ein oder einzelne Spammer umgehen die DNS-Blacklists (zB Spamhaus) indem Sie im Email einen Link auf einen Redirect zu Ihrer Seite setzen. Diese redirects werden offensichtlich per Wurm/Virus eingerichtet. Mehr zu meinen Vermutungen im Inhalt.

Kennt Ihr auch schon die Seite des King Dice Casinos? Ich kenn sie leider schon zur Genüge.

Um Ihren Spam zu verteilen gehen die offensichtlich folgendermaßen vor: (alles nur Vermutungen - aber sehr stichhaltig)

  • Ein Virus/Wurm/wasauchimmer greift verschiedene Webserver an, legt dort eine Datei 2009.php im Hauptverzeichnis ab.
Dieser verschickt dann Emails (wie auch immer) die den Link auf http://www.unauffaellige-domain.com/2009.php enthalten.
Beim klicken auf den Link erfolgt eine Weiterleitung auf http://58.65.232.17/~casino/ (die King Dice Casinos Seite, so schön ohne Impressum und dem Hinweis: "Erhalten Sie auf Ihre naechste Einzahlung 209% Bonus bis zu einem unbegrenzten Betrag." - Ja klar. 0% Auszahlung auf alle Einzahlungen triffts wahrscheinlich besser.)

So sieht ein solches Mail zB aus:
Betreff:
Money is falling to your feet like stars.
Text:
The miracles do happen and this time we are telling about the real miracle that brings you good cash. Register here and our casino will give you a sign up bonus. You have nothing to lose - the winnings are guaranteed.

http://beefbeef.com.br/2009.php

Die Website http://beefbeef.com.br ist völlig in Ordnung. Deren Pech ist nur, dass Ihr Webserver anfällig war für irgendeinen Angriff. Wenn man die IP dieser Domain (67.15.188.4) bei http://www.dnsbl.info/ checkt passt alles (auf keiner Blacklist).

Anders sieht es bei der 58.65.232.17 aus - die IP der King Dice Casinos Seite. Gelistet bei:
b.barracudacentral.org
spam.dnsbl.sorbs.net
sbl.spamhaus.org
zen.spamhaus.org

Somit haben die Jungs eine Möglichkeit entdeckt wie man einfach eine DNS-BL umgehen kann. Auch die Eintragung der beefbeef.com.br-Domain in die Blacklist bringt nix, beim nächsten Spammail des Casinos ist eine Andere Seite der Vermittler.

Alle anderen Spamfilter schlagen ebenfalls fehl... Bayes-Test ist unauffällig, sogar die Absenderadressenprüfung greift hier nicht. Ich kann auch nicht alles Blocken das einen Link enthält der auf "/2009.php" endet ... Diesen könnte es in einem echten Mail ebenfalls geben. Ansonsten habe ich keine Spams auf dem Mailserver - und das soll auch wieder so werden.

LÖSUNGSVORSCHLAG und Frage nach der Implementierung:
Ich habe einen evtl. möglichen Lösungsansatz. Evtl. habt Ihr bessere Ideen...

  • Exim (mein Mailserver) könnte mit einem Skript dazu gebracht werden sich die Kopfzeilen aller URL's in einem E-Mail herunterzuladen und nach HTTP Redirects suchen. Wenn welche vorhanden sind - diesen folgen und diese Seiten ebenfalls gegen die DNS-BL prüfen. Derzeit sind mir nur Seiten untergekommen mit einer einzelnen Weiterleitung. Eine Weiterleitung über mehrere Hops war bis jetzt noch nicht dabei. Somit sollte sich der zusätzliche Netzwerkverkehr in Grenzen halten.
  • Evtl. könnte dieses Skript auch die IP des gehackten Webservers in die DNS-Blacklist eintragen. Dies spart anderen wiederum die Notwendigkeit den HTTP Redirect zu prüfen.

Hat jemand bereits ein Skript dass dieses Problem angeht? Gibts was fertiges?

Danke an diejenigen die bis hierher weitergelesen haben.
LG Florian

Content-Key: 105181

Url: https://administrator.de/contentid/105181

Ausgedruckt am: 28.03.2024 um 10:03 Uhr

Mitglied: Mann-IT
Mann-IT 05.01.2009 um 11:35:27 Uhr
Goto Top
Hallo Florian,

alle Spamfilter sind bullshit!

War früher auch ein Anhänger davon und hab schön brav den Mist gekauft.

Das Zauberwort heißt Greylist. Der Mailserver nimmt die erste Mail nicht an, sondern erst wenn der Sendeserver es ein zweitesmal Probiert. Da Spammer nur einen Versuch haben, kommt kein Spamm mehr rein. Früher hatte ich immer bis zu 20 am Tag, jetzt nur noch 1 pro Monat.

Schau Die mal hmailserver.com an. Ich sag nur so muß das aussehen.

Gruß Mario
Mitglied: godlie
godlie 05.01.2009 um 13:15:29 Uhr
Goto Top
Hallo Mann-IT,

deine Aussage das alle Spamfilter bullshit sind kann ich nicht teilen.
Ich betreibe derzeit 2 Mailserver mit spamassassin und blacklisting und greylisting.

Das greylisting hiflt schon sehr gut, aber es gibt auch spams die mehr als 1 mal ankommen
und zwar sind dies jene, die auf geknackten ( open relays ) Mailservern versendet werden.

Eine gute kombination aus allen 3en, is meiner meinung nach das wirksamste.

grüße
Mitglied: Mann-IT
Mann-IT 05.01.2009 um 14:07:21 Uhr
Goto Top
Hallo,

Blacklist finde ich deshalb nicht so gut, da wir die Erfahrung gemacht haben, das viele Freemailer dann geblockt werden, da wieder mal ein Account gehackt wurde.

Wir betreiben 10 Mailserver mit 1300 Domains auf den etwa pro Stunde 170000 Mails drehen. Ist nicht gerade wenig.
Früher hatten wir teuere Mailserver gekauft, mit viel Schnickschnack der nicht brachte. Seit wir auf hmailserver umgestiegen sind und greylist eingeschaltet haben. Bekommen wir einfach fast keinen Spam mehr. Sogar beschweren dich jetzt die Kunden warum die keinen Spam mehr bekommen face-smile
Mitglied: Hubert.N
Hubert.N 05.01.2009 um 14:26:13 Uhr
Goto Top
Zitat von @laggflor:
Evtl. habt Ihr bessere Ideen...

Klar : Nimm einen besseren Spamfilter. Wer sich nur auf Blacklistuing verlässt ist verlassen ;)
Mitglied: laggflor
laggflor 05.01.2009 um 15:15:07 Uhr
Goto Top
Hallo erstmal und danke für eure Kommentare.

Ich glaube ich bin nicht ganz richtig verstanden worden, ich probiers nochmals.

Zuerst mal mein Setup:
Ich verwende Exim mit sa-exim/Spamassassign und Clamav.
Meine Statistiken was Spam angeht sind sehr gut. Spam gabs bis vor ein paar Tagen bei mir nicht (nahezu 0%), und auch kein Problem mit false Positives. Auch werden die User nicht mit Spam-Ordnern oder ähnlichem belästigt, alles was Spam ist (und nur das) wird @ SMTP-Time abgelehnt. An diesem Setup möchte ich im allgemeinen nichts verändern. Außerdem basiert es vollständig auf Open Source Projekten, die sehr gut funktionieren und bei denen keine teuren Lizenzgebühren anfallen sondern nur ein wenig Arbeitszeit.

Greylisting, Teergrubing, Filter, ... werden natürlich verwendet und sind sehr effektiv.

MEINE FRAGE WAR:
Was ich euch beschrieben habe ist eine grobe Analyse einer mir neuen Art von Spams und ein möglicher Lösungsansatz. Meine Frage war - bevor ich selbst einen entsprechenden Filter für Spamassassign code - ob es für diese Art Spams bereits etwas fertiges gibt.

Diese Art von Spam fällt weder extrem durch Keywords, noch durch die versendenden Server oder Mail-Adressen auf - all dies ist völlig in Ordnung. Durch das Procedere dass ich am Ende meiner Anfrage beschrieben habe ließen sich diese jedoch 100%ig sicher ausfiltern oder bewerten.

Also nochmal:
Gibt es einen entsprechenden Filter / ein entsprechendes Tool bereits oder nicht.
Bitte keine Empfehlungen über gute Mailserver - erst recht keine Windows-basierten die wiederum im Hintergrund Spamassassign & Co. implementieren. Da ist mir mein Exim 1000x lieber (nit bös sein face-wink).
Mitglied: laggflor
laggflor 05.01.2009 um 15:35:24 Uhr
Goto Top
LOL: gerade fertiggeschrieben gibt mir mein Spamassassign im Log eine schöne Litanei von Filterregeln mit denen jetzt gerade ein Mail abgelehnt wird.

DAS HIER MUSS KEINER LESEN / OFFTOPIC:

Content analysis details: (48.4 points, 5.0 required)
pts rule name description
---- ---------------------- --------------------------------------------------
2.0 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a relay in bl.spamcop.net
[Blocked - see <http://www.spamcop.net/bl.shtml?74.219.195.143>]
3.0 RCVD_IN_XBL RBL: Received via a relay in Spamhaus XBL
[74.219.195.143 listed in zen.spamhaus.org]
0.9 RCVD_IN_PBL RBL: Received via a relay in Spamhaus PBL
0.6 RCVD_IN_SORBS_WEB RBL: SORBS: sender is a abuseable web server
[74.219.195.143 listed in dnsbl.sorbs.net]
0.9 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP address
1.5 DNS_FROM_RFC_BOGUSMX RBL: Envelope sender in bogusmx.rfc-ignorant.org
2.0 URIBL_BLACK Contains an URL listed in the URIBL blacklist
[URIs: thuspattern.com]
1.9 URIBL_AB_SURBL Contains an URL listed in the AB SURBL blocklist
[URIs: thuspattern.com]
1.5 URIBL_WS_SURBL Contains an URL listed in the WS SURBL blocklist
[URIs: thuspattern.com]
1.5 URIBL_JP_SURBL Contains an URL listed in the JP SURBL blocklist
[URIs: thuspattern.com]
1.5 URIBL_OB_SURBL Contains an URL listed in the OB SURBL blocklist
[URIs: thuspattern.com]
0.5 URIBL_SC_SURBL Contains an URL listed in the SC SURBL blocklist
[URIs: thuspattern.com]
3.5 BAYES_99 BODY: Bayesian spam probability is 99 to 100%
[score: 1.0000]
0.0 FH_HELO_EQ_D_D_D_D Helo is d-d-d-d
2.4 HELO_DYNAMIC_IPADDR Relay HELO'd using suspicious hostname (IP addr
1)
1.2 INVALID_DATE Invalid Date: header (not RFC 2822)
0.6 SPF_SOFTFAIL SPF: sender does not match SPF record (softfail)
1.4 DATE_IN_FUTURE_96_XX Date: is 96 hours or more after Received: date
2.9 MSGID_OUTLOOK_INVALID Message-Id is fake (in Outlook Express format)
1.4 FB_CIALIS_LEO3 BODY: Uses a mis-spelled version of cialis.
3.5 FB_SOFTTABS BODY: Phrase: Softabs
0.0 HTML_MESSAGE BODY: HTML included in message
1.4 MIME_QP_LONG_LINE RAW: Quoted-printable line longer than 76 chars
1.5 RAZOR2_CF_RANGE_E8_51_100 Razor2 gives engine 8 confidence level
above 50%
[cf: 100]
0.5 RAZOR2_CHECK Listed in Razor2 (http://razor.sf.net/)
1.5 RAZOR2_CF_RANGE_E4_51_100 Razor2 gives engine 4 confidence level
above 50%
[cf: 100]
0.5 RAZOR2_CF_RANGE_51_100 Razor2 gives confidence level above 50%
[cf: 100]
3.7 PYZOR_CHECK Listed in Pyzor (http://pyzor.sf.net/)
0.0 DIGEST_MULTIPLE Message hits more than one network digest check
0.3 DRUGS_ERECTILE Refers to an erectile drug
1.5 FROM_EXCESS_BASE64 From: base64 encoded unnecessarily
0.1 RDNS_DYNAMIC Delivered to trusted network by host with
dynamic-looking rDNS
2.8 DOS_OE_TO_MX Delivered direct to MX with OE headers

Soll hier noch jemand sagen mein Spamfilter is nicht effektiv face-wink
Ach ja - das ist nur der Spamassassign-Part - ein paar andere Dinge greifen auch noch face-wink

Sry, das musste jetzt sein. Bitte auf den Post davor antworten. *gg*
Mitglied: laggflor
laggflor 08.01.2009 um 00:20:30 Uhr
Goto Top
So Leute - ich habe das selbe Thema mal auf der Spamassassign-User-Liste diskutiert. Ich wurde überzeugt, dass meine "Idee" gegen Spam

1. schon von einem Tool bereitgestellt wird:
WebRedirect plugin auf http://wiki.apache.org/spamassassin/CustomPlugins

2. die Idee aber NICHT gut ist!
Ich wurde dort überzeugt dass der Mailserver dadurch für DDoS-Attacken anfällig wird und andererseits den Spammern perfekt bestätigt wird dass das Mail zugestellt werden kann (Webserver-Logs).
Außerdem gibt es noch Probleme mit Newslettern die per Klick auf einen Link bestätigt werden.

Das ganze ist also keine gute Idee und ich schließe hier als erledigt.
Um die Spams loszuwerden werde ich vermehrt den Bayes-Filter trainieren.

LG
Florian
Mitglied: linuxtom
linuxtom 12.01.2009 um 22:57:02 Uhr
Goto Top
Ich habe einen GMX-ProMail Account. Der Spamfilter dort funktioniert im Wesentlichen sehr gut. Das lasse ich mir eben etwas kosten (soll keine Werbung darstellen!).

Dennoch erhalte ich Spam, bei der die Absenderadresse gleich meiner Empfängeradresse ist. Also auch ein Weg, die Spamfilter zu umgehen. Ich denke, mit Spam muss man einfach leben.

Mein Apple Mail filtert auch nochmal zusätzlich und schmeisst Spam direkt in den Müll. Außerdem ist es lernfähig. So komme ich ganz gut zurecht.
Mitglied: laggflor
laggflor 13.01.2009 um 16:59:09 Uhr
Goto Top
Hi,
Danke für den Hinweis. Ich biete selbst Mailserverdienste an und muß mich deshalb mit Spambekämpfung beschäftigen - das bin ich meinen Kunden schuldig.

Ich hab ein paar zusätzliche Filter für Spamassassign getestet und siehe da:
Kein einziges Spam-Mail in den letzten 3 Tagen.

Man muss also nicht mit Spam leben. Aber bei 2,99 im Monat kann und will ich nicht mithalten.
Achja: Absender = Empfänger lässt sich sehr gut filtern - mit dem Wissen welche Mailserver senden dürfen (SPF-Record im DNS).

LG
Florian (http://www.lagg.at/)