nolucker
Jul 18, 2016
view1793
view10
0
Goto Top

Spamproblem

GermansolvedQuestionE-MailInternet
Moin,

seit einigen Wochen habe Ich auf einem meiner Server ein ziemlich übles Spamproblem. Täglich kommen alleine auf 3 meiner eigenen Mailadressen (interessanterweise ist dort auch eine dabei, die nirgends im Internet veröffentlicht ist) ca. 30 Spammails von ein und demselben Spamversender an.

Der Inhalt wechselt von Tag zu Tag. Mal ist es ein Bild, welches freigeschaltet wurde, mal wurde Ich angestupst, etc.
Anfangs wurde immer von den gleichen Servern verschickt, diese habe Ich dann über eine RegExp in den Filterregeln von Postfix direkt bei der Anlieferung abgelehnt. Inzwischen ist es aber so, dass diese Spammails über "die Cloud" (DigitalOcean) verschickt werden. D.h. jeden Tag ändert sich die IP-Adresse, sowie die Absender-Domainnamen und -endungen. Somit funktioniert natürlich auch das reine filtern über eine RegExp nicht mehr.

Spamassassin erkennt diese Mails - wie unten zu sehen - mal so rein gar nicht als Spam. Ebenfalls sind die IPs in keiner RBL eingetragen und Postfix nimmt diese Mails fleissig an.
Meine einzige verbleibende Idee wäre es die IP-Range von DigitalOcean zu blockieren, aber das wäre m.M.n. mit Kanonen auf Spatzen schiessen.

Hat vllt. noch jemand eine Idee für mich?

Eingesetztes Setup: Postfix in Kombination mit Amavis und Spamassassin auf einem Debian.

Hier mal der Header einer dieser eMails
Return-Path: <BOUNCE_PREFIX-******@webclick65.party>
Delivered-To: info@******.de
Received: from localhost (localhost [127.0.0.1])
	by mail.******.de (Postfix) with ESMTP id E7B972FC201A
	for <info@******.de>; Mon, 18 Jul 2016 05:04:37 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at mail.******.de
X-Spam-Flag: NO
X-Spam-Score: -1.795
X-Spam-Level: 
X-Spam-Status: No, score=-1.795 required=5 tests=[BAYES_00=-1.9,
	PYZOR_CHECK=1.392, RP_MATCHES_RCVD=-1.287] autolearn=no
Received: from mail.******.de ([127.0.0.1])
	by localhost (******.******.net [127.0.0.1]) (amavisd-new, port 10024)
	with ESMTP id hD7rcK4En6rs for <info@******.de>;
	Mon, 18 Jul 2016 05:04:36 +0200 (CEST)
Received: from webmail.webclick65.party (webmail.webclick65.party [139.59.147.84])
	by mail.******.de (Postfix) with ESMTP id CDF362FC2015
	for <info@******.de>; Mon, 18 Jul 2016 05:04:35 +0200 (CEST)
Received: by webmail.webclick65.party id hhh3k6000dsh for <info@******.de>; Sun, 17 Jul 2016 23:00:35 +0000 (envelope-from <BOUNCE_PREFIX-******@webclick65.party>)
MIME-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
From: Bilderfreigabe <Bilderfreigabe@webclick65.party>
To: info@******.de
Subject: Dein Bild wurde freigeschaltet Florian
Message-ID: <0077ff41b86732c0e301b7b4c6c8a073@webclick65.party>
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:38.0) Gecko/20100101
 Thunderbird/38.4.0
List-Unsubscribe: <http://www.webclick65.party/abm{{comment_multi_line:0}}>,
 <mailto:u-******-3@webclick65.party>
Date: Mon, 18 Jul 2016 03:04:35 +0000

Inhalt:
Hallo  Florian,

Dein Bild wurde von unserem Team geprüft und ist nun freigeschaltet.

Du kannst es Dir hier noch einmal ansehen:

http://www.webclick65.party/******/

Viele Grüße,
Dein Freischaltteam

P.S.: Sorry dass es etwas länger gedauert hat!

LG
Flo
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 310159

Url: https://administrator.de/contentid/310159

Printed on: April 24, 2024 at 13:04 o'clock

10 Comments
Latest comment
Goto Top
Member: Lochkartenstanzer
Lochkartenstanzer Jul 18, 2016 at 07:51:04 (UTC)
Goto Top
Moin,

Da hilft nur, den Spamassassin etwas zu trainieren.

lks
Member: NoLucker
NoLucker Jul 18, 2016 at 07:54:30 (UTC)
Goto Top
Moin,

mache Ich im Grunde einmal wöchentlich. Ich sammel die Müll-Mails in einem Ordner und lasse Spamassasin dann mit folgendem Befehl lernen:
sa-learn --username=amavis --spam /var/vmail/***.de/***/Maildir/Spam/

Hat bis jetzt nur leider bei o.g. Mails nichts bewirkt. Bei anderem Spam ist SA inzwischen besser ^^
Member: adminst
adminst Jul 18, 2016 at 09:29:14 (UTC)
Goto Top
Hallo NoLucker
Der muss auch HAM lernen. Post mal die Postfixkonfiguration + Amavis Konfig.
Ausserdem wäre die SA-Learn Statistik intersannt.

Gruss
adminst
Member: StefanKittel
StefanKittel Jul 18, 2016 at 13:42:21 (UTC)
Goto Top
Hallo,

Du könntest hier auch den Host anhand von MX und SPF prüfen.
Der MX verweist auf mail.webclick65.party, die Mail kommt aber von webmail.webclick65.party.
SPF gibt es nicht.
Also ablehnen.

Ist nicht ganz unproblematisch und von denen auch einfach zu beheben.

Sind es denn immer die gleichen Domänen?
vermutlich nicht.

Stefan
Member: NoLucker
NoLucker Jul 19, 2016 updated at 11:07:11 (UTC)
Goto Top
Moin!

Zitat von @adminst:

Hallo NoLucker
Der muss auch HAM lernen. Post mal die Postfixkonfiguration + Amavis Konfig.
Ausserdem wäre die SA-Learn Statistik intersannt.

Gruss
adminst

Der muss auch HAM lernen? Das war mir bis jetzt nicht bewusst face-confused

Hier einfach mal ganz platt die komplette Postfix-Config
myhostname = mail.*****.de
myorigin = /etc/mailname
mydestination = mail.*****.de, localhost
relayhost = 
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
inet_interfaces = all
default_destination_concurrency_limit = 2
inet_protocols = ipv4

alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases

smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain = 
smtpd_sasl_path = private/auth
smtpd_sasl_type = dovecot
broken_sasl_auth_clients = yes

tls_high_cipherlist = ECDH+aRSA+AES256:ECDH+aRSA+AES128:AES256-SHA:DES-CBC3-SHA

smtpd_tls_security_level = may
smtpd_tls_cert_file = /etc/ssl/*****.de/mail.*****.de.crt
smtpd_tls_key_file = /etc/ssl/*****.de/mail.*****.de.key
smtpd_tls_CAfile = /etc/ssl/*****.de/ca-bundle.pem
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls=yes

smtp_tls_security_level = may
smtp_tls_cert_file = /etc/ssl/*****.de/mail.*****.de.crt
smtp_tls_key_file = /etc/ssl/*****.de/mail.*****.de.key
smtp_tls_CAfile = /etc/ssl/*****.de/ca-bundle.pem
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

smtpd_tls_mandatory_protocols = TLSv1, TLSv1.1, TLSv1.2
smtpd_tls_protocols = TLSv1, TLSv1.1, TLSv1.2
smtp_tls_mandatory_protocols = TLSv1, TLSv1.1, TLSv1.2
smtp_tls_protocols = TLSv1, TLSv1.1, TLSv1.2

smtpd_tls_ciphers = high
smtpd_tls_mandatory_ciphers = high
smtp_tls_ciphers = high
smtp_tls_mandatory_ciphers = high

smtpd_delay_reject = yes
smtpd_helo_restrictions = reject_invalid_hostname
smtpd_sender_restrictions = check_client_access cidr:/etc/postfix/whitelist, reject_unknown_address
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_rbl_client bl.spamcop.net, reject_rbl_client zen.spamhaus.org, reject_unauth_destination, check_client_access cidr:/etc/postfix/ip-block
header_checks = pcre:/etc/postfix/header_check.pcre

home_mailbox = Maildir/
mailbox_command = procmail -a "$EXTENSION"  
mailbox_size_limit = 0
message_size_limit = 104857600
unknown_local_recipient_reject_code = 550
recipient_delimiter = +

biff = no
allow_percent_hack = no
append_at_myorigin = no
append_dot_mydomain = no
swap_bangpath = no
readme_directory = no
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf
virtual_transport = dovecot
dovecot_destination_recipient_limit = 1
soft_bounce = no
content_filter = amavis:[127.0.0.1]:10024
smtpd_banner = $myhostname ESMTP
default_transport = smtp
relay_transport = smtp
receive_override_options = no_address_mappings

Welche Config-Blöcke von Amavis interessieren dich genau?

Zitat von @StefanKittel:

Hallo,

Du könntest hier auch den Host anhand von MX und SPF prüfen.
Der MX verweist auf mail.webclick65.party, die Mail kommt aber von webmail.webclick65.party.
SPF gibt es nicht.
Also ablehnen.

Ist nicht ganz unproblematisch und von denen auch einfach zu beheben.

Sind es denn immer die gleichen Domänen?
vermutlich nicht.

Stefan

Ich hab SPF irgendwie nie wirklich funktionierend ans laufen bekommen face-sad
Nein, leider sind es jeden Tag andere Domänen. Teilweise pro Spamwelle sogar für jede Mail eine neue Domain.
Nichtmal die angeblichen Abmeldelinks haben irgendeine Ähnlichkeit (z.B. in der ID), so dass man die Mails direkt filtern könnte ...

Beispiel von heute:
Return-Path: <BOUNCE_PREFIX-*****@topklick53.accountant>
Delivered-To: info@*****.de
Received: from localhost (localhost [127.0.0.1])
	by mail.*****.de (Postfix) with ESMTP id 1AC34D88002
	for <info@*****.de>; Tue, 19 Jul 2016 05:19:38 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at mail.*****.de
X-Spam-Flag: NO
X-Spam-Score: -3.187
X-Spam-Level:
X-Spam-Status: No, score=-3.187 required=5 tests=[BAYES_00=-1.9,
	RP_MATCHES_RCVD=-1.287] autolearn=ham
Received: from mail.*****.de ([127.0.0.1])
	by localhost (*****.*****.net [127.0.0.1]) (amavisd-new, port 10024)
	with ESMTP id 7EpeqX6Lj0rl for <info@*****.de>;
	Tue, 19 Jul 2016 05:19:35 +0200 (CEST)
Received: from mail.topklick53.accountant (mail.topklick53.accountant [139.59.159.84])
	by mail.*****.de (Postfix) with ESMTP id A9702D88001
	for <info@*****.de>; Tue, 19 Jul 2016 05:19:35 +0200 (CEST)
Received: by mail.topklick53.accountant id hhme4e000ds3 for <info@*****.de>; Mon, 18 Jul 2016 23:42:26 +0000 (envelope-from <BOUNCE_PREFIX-*****@topklick53.accountant>)
MIME-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
From: Facbeook-Zentrale Deutschland
 <Facbeook-Zentrale-Deutschland@topklick53.accountant>
To: info@*****.de
Subject: Freundschaftsanfrage von Caroline
Message-ID: <347c7bb7c54fdc3bcb887bab7e36add8@topklick53.accountant>
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:38.0) Gecko/20100101
 Thunderbird/38.4.0
List-Unsubscribe: <http://www.topklick53.accountant/abm{{comment_multi_line:0}}>,
 <mailto:u-*****@topklick53.accountant>
Date: Tue, 19 Jul 2016 03:19:35 +0000
Member: AndiEoh
AndiEoh Jul 21, 2016 at 14:39:12 (UTC)
Goto Top
Hallo,

einfach mal bei abuse@digitalocean.com beschweren, falls die nicht wollen in check_client_access cidr:/etc/postfix/ip-block einfach 139.59.0.0/16 eintragen. Nach dem was ich in den Logs sehe geht dir da nichts verloren...

Gruß

Andi
Member: NoLucker
NoLucker Jul 22, 2016 at 08:20:12 (UTC)
Goto Top
Zitat von @AndiEoh:

Hallo,

einfach mal bei abuse@digitalocean.com beschweren, falls die nicht wollen in check_client_access cidr:/etc/postfix/ip-block einfach 139.59.0.0/16 eintragen.

Hi

bereits mehrfacht beschwert, bis jetzt noch keine Rückmeldung / Reaktion. Ich vermute aber auch fast, dass die gar nicht so schnell hinterherkommen, da der Spammer vermutlich jeden Tag mit neuen Kundendaten neue Container anlegt.

Über den Subnetz-Ban hab Ich bereits nachgedacht, aber damit könnte ich natürlich auch einen potenziellen Nicht-Spammer-Dienst ausschliessen.

Nach dem was ich in den Logs sehe geht dir da nichts verloren...
In welchen Logs?

LG
Flo
Member: adminst
Solution adminst Jul 22, 2016 updated at 12:50:38 (UTC)
Goto Top
Hallo
Ich würde die main.cf so gestalten:
smtpd_recipient_restrictions = 
	permit_mynetworks,
	 permit_sasl_authenticated,
	 check_policy_service unix:private/policy-spf,
	 reject_invalid_hostname,
	 reject_non_fqdn_hostname,
	 reject_non_fqdn_sender,
	 reject_unknown_sender_domain,
	 check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf,
	 reject_non_fqdn_recipient,
	 reject_unauth_destination,
	 reject_unknown_recipient_domain,
	 reject_rbl_client ix.dnsbl.manitu.net,
	 reject_rbl_client bl.spamcop.net,
	 reject_rbl_client zen.spamhaus.org,
	 reject_rbl_client combined.abuse.ch,
	 reject_rbl_client dul.dnsbl.sorbs.net
Musst es halt auf dich anpassen.
master.cf am Schluss
policy-spf  unix  -       n       n       -       -       spawn
     user=nobody argv=/usr/bin/policyd-spf

Gruss
adminst
Member: AndiEoh
Solution AndiEoh Jul 22, 2016 at 13:35:06 (UTC)
Goto Top
Hallo,

also nach dem durchforsten der Logs unserer Mailserver gehe ich tatsächlich davon aus das Beschwerde nichts hilft. Dieser Block tritt wohl nur bei Spam in Erscheinung, also am besten 139.59.0.0/16 als Maileingang verbieten. Falls euch tatsächlich jemand aus Afrika mit diesem IP Bereich was schicken will kann man immer noch gegensteuern, aber ich glaube kaum das irgend jemand in diesem Netz einen sauberen Mailserver betreiben will.

Gruß

Andi
Member: NoLucker
NoLucker Jul 27, 2016 at 09:40:36 (UTC)
Goto Top
Moin,

sorry für die späte Rückmeldung - hab momentan echt viel zu tun face-sad

Ich hab' nun in der Tat den vorgeschlagenen Subnetz-Ban in meine Konfiguration aufgenommen. Seitdem ist Ruhe face-smile
Interessant daran: Es gab nach dem Aufnehmen des Bans nur einen weiteren Kontaktversuch, der natürlich abgelehnt wurde. Danach allerdings auch keinen weiteren mehr ...

Danke und LG
Flo
GermansolvedQuestionE-MailInternet
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments