Archiv

Artikel Tagged ‘Spam’

Amavisd-new auf einem zentralen Server für mehrere Postfix-Instanzen

21. March 2015 TheMaster Keine Kommentare

Da ich gerade selbst lange suchen musste, hier ein Kurzhowto wie man eine zentrale Amavis-Instanz für mehrere Postfix-Server verwenden  kann:

1) Amavis so konfigurieren, dass es nicht nur auf 127.0.0.1 lauscht:

@inet_acl = qw(127/8 ::1 192.168.0/24);  # adjust the list as appropriate
$inet_socket_bind = undef;

Damit wird eingestellt, dass amavis auf jeder Netzwerkkarte lauscht (inet_socket_bind) und in der acl wird definiert, dass nur lokale Clients auf der selben Maschine (127/8) oder Clients aus dem Netzwerk 192.168.0.0/24 Anfragen stellen dürfen

2) Amavis so konfigurieren, dass es die Antworten (Responses, Notifys) und eMails nach prüfung (Forward) an den anfragenden Mailserver zurückschickt:

$forward_method = ’smtp:*:*’;
$notify_method = $forward_method;

Die Antwort wird an den anfragenen Mailserver (*) geschickt und automatisch auf einen Port höher als die Anfrage kam. Wurde amavis also über den port 10024 angesprochen, kontaktiert er den anfragenden Server auf dem port 10025. Hier kann man auch fest den port 10025 einstellen, ob dies Sinnvoll ist, kann man drüber streiten.

3) Postfix beibringen, dass es auch aus dem Netzwerk Antworten auf Port 10025 annimmt:

In der master.conf eintragen:

192.168.0.55:10025 inet n – - – - smtpd
-o content_filter=
-o local_recipient_maps=
-o relay_recipient_maps=
-o smtpd_restriction_classes=
-o smtpd_client_restrictions=
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o mynetworks=127.0.0.0/8,192.168.0.0/24
-o strict_rfc821_envelopes=yes
-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
-o smtpd_bin_address=127.0.0.1

Wichtig ist hier, dass die fettmarkierten IP-Adressen korrigiert werden. Oben die eigene IP-Adresse auf der Amavis den Server kontaktiert, unten das Netzwerk aus dem es überhaupt Antworten annehmen kann, danur mynetworks zugelassen ist (s. Zeile drüber).

Es ist sinnvoll, dass die interne Kommunikation über ein eigenes – nicht öffentliches – Netzwerk geschieht, daher hier im Beispiel auch eine IP-Adresse aus einem privaten Netz (192.168.0.0/24

4) Postfix noch erklären, auf welchen Amavis er zugreifen soll

In der Main.conf noch hinterlegen:

content_filter = smtp-amavis:[192.168.0.22]:10024

Die IP-Adresse ist die des Amavis-Servers.

KategorienHowTo Tags: , , , ,

Spamversand – Da hat der Such-und Ersatzalgorithmus nicht funktioniert

27. February 2013 TheMaster Keine Kommentare

In einer über unser SpamReport Tool gemeldeten eMail fand ich einen interessanten Absender einer Spam-eMail:

*RAMDOM*.de

*RAMDOM*.de

Gewollt war sicherlich, dass hier eine Zufallsdomains aus einer vorhandenen Liste o.ä. anstatt *RAMDOM* eingesetzt wird.
Der Inhalt war das übliche:

Wir musste Ihre Bestellung leider stornieren, da Ihr Kundenaccount bei uns (einem großen Onlineversandhandel) gehackt wurde und an folgende Anschrift eine Bestellung aufgenommen wurde. Bitte loggen Sie sich unter … ein.

Der Link gibt vor eben auf die Webseite dieses Versandhandels, jedoch mit leichten Änderungen. Hinter der Domain ist dann eine infizierte Webseite, die einen Virus oder Trojaner auf dem Rechner installiert (z.B. den bekannten Bundestrojaner…).

Facebook Part II und weiter geht es auf der nächsten eMailadresse

24. April 2012 TheMaster 1 Kommentar

Jippie, nachdem meine letzten Beschwerde bei Facebook über mangelden Datenschutz und ständige Erinnerung über “Einladungen”, obwohl ausdrücklich nicht gewünscht war endlich Ruhe. leider nur für kurze Zeit, denn kurz danach kam auf meiner privaten eMaialdresse eine Facebookeinladung. Jedoch dieses mal von einer mir völlig unbekannten Person. Direkt also wieder den Link am Ende der eMail angeklickt und per Antwort an den Absender und die Facebook Support-Adresse geantwortet.

Leider natürlich wieder ohne Erfolg. Mit der Zeit kamen dann interessanterweise weitere Personen in diese Einladung hinzu. Scheinbar sammelt Facebook über Nicht-Mitglieder sogar noch Daten, wer einen wann einlädt. Wenn ich mich richtig erinnere, hatte mich die 2. Person vor längerer Zeit mal zu Facebook eingeladen…

Mal sehen, was Facebook dieses mal antwortet, vor allem über Umfang, Herkunft und Verwendung der Daten.

Spam von Facebook / Abuse-Meldung an Facebook unmöglich?

12. March 2012 TheMaster 1 Kommentar

Seit nun Januar kämpfe ich mit der Tatsache, dass einen Facebookbenutzer ohne Beachtung des Datenschutzes vermutlich einen größeren Datenstand aus seinem lokalen Adressebuch an Facebook übergeben hat, um seine “Freunde” einzuladen.

Welche Daten er im Detail übermittelt hat ist mir leider nicht bekannt, auch ist dies dem Verursacher selbst nicht bekannt.

Leider scheint es mir nicht möglich nzu sein, dies wieder rückgängig zu machen. Weder der Link am Ende der eMail zum deaktivieren der Benachrichtigungen noch eMails an den Support / Abuse-Abteilung von Facebook werden beachtet.

Unglücklicherweise hat der Facebookuser unsere Notfallemailadresse an das soziale Netzwerk übermittelt, so dass die eMailbenachrichtigungen eine Notfallmeldung mit entsprechender Benachrichtigung des diensthabenden Systemadministrators verursachen. Und da die eMails jeweils in den frühen Morgenstunden (zwischen 2 und 5 Uhr) kommen, wird dieser aus dem Schlaf gerissen.

Mittlerweile sind es bereits 3 Meldungen seit mitte Januar gewesen, die jeweils den Mitarbeiter unberechtigt alarmiert haben. eMails an die im Impressum angegebene eMailadresse werden mit einer Standardemail beantwortet, die auf die FAQ verweist. Dort heisst es unter anderem:

Report a violation: https://www.facebook.com/help/?topic=reportabuse
Learn how to report anything that you think violates our terms.

ist zwar nervig, aber OK. Also klicken wir mal den Link und melden es dort. Dort erscheint dann ein Eintrag der wie folgt lautet:

Wie melde ich Belästigungen oder Missbrauch, wenn ich kein Facebook-Konto besitze?
Jede Form der Belästigung kannst du hier melden.

Klingt ja schonmal gut. Das Wort hier ist ein Link, den ich dann mal – noch guter Dinge – fleissig anklicke.

Facebook Anmeldung: Du musst dich anmelden, um diese Seite sehen zu können.

Facebook Anmeldung: Du musst dich anmelden, um diese Seite sehen zu können.

Wie war das?

Wie melde ich Belästigungen oder Missbrauch, wenn ich kein Facebook-Konto besitze?

Die richtige Antwort wäre dann wohl eher: Gar nicht, denn nicht Facebookbenutzer sind uns egal!

Mal schauen, erstmal eine Auskunft nach BDSG über Umfang, Herkunft und bisheriger Verwendung der gespeicherten Daten angefordert. Mal sehen, ob es wirklich zum Anwalt mus…

T-Online RBL Listung

19. September 2011 TheMaster Keine Kommentare

Wie letzten Montag berichtet, sind die T-Online Mailserver aktuell auf verschiedenen Blacklists (RBL) gelistet. Allen voran Spamcop.

T-Online gesteht sich zwar nach wie vor keine Schuld ein und speisst seine Kunden mit dem Hinweis ab, die sollten den Empfänger bitte auf einem anderen Wege kontaktieren und ihn bitten deren Postmaster (eMailadmin) zu informieren, dass dort eine Fehlkonfiguration vorläge… Dies ist natürlich absoluter Hohn, denn ein Mailserver landet nicht mal einfach so auf einer RBL. OK, man landete dort sehr schnell, kann aber auch sehr schnell für ein Delisting sorgen (dauert < 5 Minuten). Sollte man aber öfters in kurzer Zeit drauf landen, so kommt es zu einer permanenten Eintrag auf der Liste, der auch nicht mehr so schnell entfernt werden kann. Und bis es dazu kommt, gehört schon einiges dazu.

Aktuell scheint das Problem bei T-Online gelöst zu sein und die Mailserver-IP-Adressen sind bei Spamcop zur Löschung in den nächsten 24 Stunden vorgesehen. Schauen wir mal, wie lange die Einträge entfernt bleiben.

Das T-Online-Team hat übrigens unter http://foren.t-online.de/foren/read.php?320,4787331,4787951#msg-4787951 eine recht ausführliche Stellungnahme geschrieben zu den Vorfällen. So wirklich auf das wirkliche Problem wird dort jedoch nicht eingegangen. Wie man auf heise.de nachlesen kann, hat die Telekom ja offiziell wirklich zugegeben, dass über deren Mailserver Spam verschickt wurde. Naja, was solls.

Über die Informationspolitik kann man hier allgemein streiten, aber dem großen Magenta Riesen etwas sagen, kann man ja auch gleich vergessen.

Artikeltauschanfrage an Domain Tech-C/Zone-C

18. April 2011 TheMaster Keine Kommentare

Gerade eben im Admin-eMailpostfach endeckt:

Betreff:     Anfrage
Datum:     Sun, 17 Apr 2011 10:34:31 +0200
Von:   YYYY <YYYY@gmail.com>
An:     Domainhostmaster@emailadres.se

Sehr geehrter Herr XXX,

wären Sie grundsätzlich an einem Artikeltausch interessiert?
Gerne teile ich Ihnen bei Interesse, mögliche Gegenleistungen mit.

Viele Grüße
YYY

Ist sicherlich eine Standard-Spamemail, jedoch mit geringer Qualitätssteigerung, denn der angesprochene Herrn XXX ist tatsächlich Kunde von uns mit mehreren Domains im SEO-Bereich. Vermutlich hat der Spammer Versender einige Domaininhaber automatisiert per Tool angeschrieben, jedoch nicht bedacht, dass bei .de Domains der eMailadressen nicht öffentlich ersichtlich sind (Die DENIC hat ja bekanntlich sogar den Domaininhaber im normalen Whois ausgeblendet.)
Naja, fangen wir mal die Woche mit Müllentsorgung an, ab in den Papierkorb mit der eMail.

Wiki als Firmenwebseite

14. September 2010 TheMaster 2 Kommentare

Man kennt ja viele Webseiten von Unternehmen und Privatpersonen, die mittels eines Wordpressblogs erstellt wurden. Daran hat man sich gewöhnt und da gibt’s auch nichts gegen zu sagen.

Aber bei der Analyse eines größeren Mailaufkommens bei einem von uns betreuten Webhoster viel mir dann eine Seite eines schweizer Ingeneurbüros auf, welches auf einem Wikimedia aufgebaut ist im Standardesign :-) Hat was, aber OK, der Newsletter passte inhaltlich auch zur Seite. Ich ging rein vom Newsletter erstmal von Spam aus :-)