Spammer eindämmen...
Florian Lohoff
flo at rfc822.org
Tue Jul 1 14:57:38 CEST 2003
On Tue, Jul 01, 2003 at 01:59:23PM +0200, Markus Wigge wrote:
> Moin,
>
> ich hatte letzten Monat in meiner Mailstatistik einen enormen
> Traffic-Zuwachs für einen bestimmten Tag und habe mich mal ans
> durchwühlen der Logs gemacht und bin auf folgendes gestoßen:
>
> .... to=<wyko at xxxx>
> .... to=<wylm at xxxx>
> .... to=<wyln at xxxx>
>
> Das xxxx steht für eine Domain für die der entsprechende Server als
> Backup MX eingetragen ist.
> Für mich sieht das so aus als ob jemand versucht alle Iterationen über 4
> Zeichen als Adresse für diese Domain zu prüfen, indem er eine Mail schickt.
>
> Eindeutig ein Spam-Versuch, doch da der Server für diese Domain
> verantwortlich ist muß er natürlich die Mails erstmal annehmen. Gibt es
> eine Möglichkeit trotzdem diese Massenmails als Spam zu erkennen und zu
> blocken?
>
> Absender war: frankturner17 at hotmail.com
> Adresse: c9-rba-204.dial-up.net[196.33.246.204]
>
> Am 14.6. im Zeitraum von 14:56 bis 20:11 hatte mein Postfix 1783
> connects von dieser Adresse!
Typisches Spam-Scanner verhalten - Viel schlimmer finde ich allerdings
das in letzter Zeit immer mehr domains zum spammen registriert werden
deren MX nicht erreichbar oder auf 127.0.0.1 zeigt - Damit stapelt sich
nach einer zeit die mails in der outqueue wegen timeouts beim bounce
zustellen Da trage ich immer mal wieder sachen in meine postfix db ein -
Die koennen dann einfach nicht mehr.
Z.b. diese hier:
antawabakada.net 550 Stop spamming
atepaintchips.com 550 Stop spamming
attilathehunwillkill.net 550 Stop spamming
awyeahbabyagain.net 550 Stop spamming
benisgoingforbbq.net 550 Stop spamming
cccp0007.com 550 Stop spamming
dadunkadunkdunk.com 550 Stop spamming
diamonsandpearls.net 550 Stop spamming
doyouwantsome.net 550 Stop spamming
echoechoechoechoecho.com 550 Stop spamming
epson8088.com 550 Stop spamming
fdpspewofdslam.com 550 Stop spamming
fjkdiewiwoc.com 550 Stop spamming
fodsiewjfdslld.com 550 Stop spamming
fsdjlkeiccad.com 550 Stop spamming
getyourmailon.net 550 Stop spamming
gotfiveonit.com 550 Stop spamming
holyjeezimadrunk.com 550 Stop spamming
ihavenomouthandimustscream.com 550 Stop spamming
imsorrymanthisishard.com 550 Stop spamming
isthisavailabletoohm.com 550 Stop spamming
itscoldinthewinter.net 550 Stop spamming
iwonderwhattheproblemis.com 550 Stop spamming
iycdtpyww1md.com 550 Stop spamming
jaasycfio.com 550 Stop spamming
jfdsoweoflsdoe.com 550 Stop spamming
jkl-semicolon.com 550 Stop spamming
jsdakkjweoifi.com 550 Stop spamming
jsoeof.net 550 Stop spamming
justwhateverisgood.net 550 Stop spamming
karlmarxclub.com 550 Stop spamming
keepitcomingforme.com 550 Stop spamming
kentuckysucks.net 550 Stop spamming
lacedinplatinum.com 550 Stop spamming
lesbianseagulls.net 550 Stop spamming
mankilledthedodo.com 550 Stop spamming
mexicansoapopera.com 550 Stop spamming
milkanddoughnuts.com 550 Stop spamming
mistertim.net 550 Stop spamming
mouseandthekeyboard.net 550 Stop spamming
numberonenumbertwo.net 550 Stop spamming
okanemochininarudomain.com 550 Stop spamming
onlyninetynine.com 550 Stop spamming
packetwatchers.com 550 Stop spamming
pdialp.com 550 Stop spamming
pen15club.net 550 Stop spamming
philgetslaid.com 550 Stop spamming
pootietang.net 550 Stop spamming
randomnessduplicity.com 550 Stop spamming
ridehorseswithme.net 550 Stop spamming
rollindubs.com 550 Stop spamming
sharkswithfrickinlaserbeams.net 550 Stop spamming
smaiiwtgfwt.com 550 Stop spamming
snizaltomynizal.com 550 Stop spamming
somethingisupbaby.com 550 Stop spamming
stupideverything.net 550 Stop spamming
tenmorethenimdone.com 550 Stop spamming
theneighborhoodpansy.com 550 Stop spamming
thevulgarivertour.com 550 Stop spamming
threepointonefour.net 550 Stop spamming
threewordsthreewords.net 550 Stop spamming
tobuyallthese.com 550 Stop spamming
transformerorgy.net 550 Stop spamming
trymoreevil.com 550 Stop spamming
tunnelsforfreedom.com 550 Stop spamming
two5-5inchfloppies.net 550 Stop spamming
updownallaround.com 550 Stop spamming
vaginasfornewjersey.com 550 Stop spamming
watchintransformersallday.com 550 Stop spamming
whoodoggy.com 550 Stop spamming
zoomzoomgoestheboom.com 550 Stop spamming
ultimate-savings.com 550 Stop spamming
Bei obigen verhalten bin ich gnadenlos und trage entweder
das ganze class-c oder class-b ein - Im normalfall ist das dann alles dialup
oder die selbe company. D.h. dieser spammer kommt nicht mehr zum zuge.
Sieht dann in etwa so aus:
12.247.0 550 20030428 contact flo at rfc822.org Spam source
61.159.246 550 20030428 contact flo at rfc822.org Dialup spam source
61.174.250 550 20030428 contact flo at rfc822.org Spam source
61.190.186 550 20030428 contact flo at rfc822.org Dialup spam source
63.205.33 550 20030428 contact flo at rfc822.org Dialup spam source
66.230.152 550 20030428 contact flo at rfc822.org Spam source
69.24.231 550 20030428 contact flo at rfc822.org Spam source
81.98.106 550 20030428 contact flo at rfc822.org Dialup spam source
160.116.226 550 20030428 contact flo at rfc822.org Spam source
166.82.57 550 20030428 contact flo at rfc822.org Dialup spam source
195.147.105 550 20030428 contact flo at rfc822.org Spam source
199.166.201 550 20030428 contact flo at rfc822.org Spam source
200.67.22 550 20030428 contact flo at rfc822.org Dialup spam source
200.67.244 550 20030428 contact flo at rfc822.org Dialup spam source
202.109.96 550 20030428 contact flo at rfc822.org Spam source
202.109.97 550 20030428 contact flo at rfc822.org Spam source
203.15.67 550 20030428 contact flo at rfc822.org Spam source
203.26.226 550 20030428 contact flo at rfc822.org Spam source
208.180.250 550 20030428 contact flo at rfc822.org Dialup spam source
209.126.202 550 20030428 contact flo at rfc822.org Spam source
210.83.122 550 20030428 contact flo at rfc822.org Spam source
210.83.8 550 20030428 contact flo at rfc822.org Broken smtp setup
211.148.216 550 20030428 contact flo at rfc822.org Dialup spam source
211.162.44 550 20030428 contact flo at rfc822.org Dialup spam source
211.186.107 550 20030428 contact flo at rfc822.org Spam source
218.104.34 550 20030428 contact flo at rfc822.org Spam source
218.242.165 550 20030428 contact flo at rfc822.org Dialup spam
218.66.211 550 20030428 contact flo at rfc822.org Spam source
218.90.246 550 20030428 contact flo at rfc822.org Spam source
218.91.59 550 20030428 contact flo at rfc822.org Spam source
219.234.39 550 20030428 contact flo at rfc822.org Spam source
218.18.228 550 20030428 contact flo at rfc822.org Spam source
194.242.43 550 20030428 contact flo at rfc822.org Spam source
24.49.51 550 20030428 contact flo at rfc822.org Spam source
219.93.228 550 20030428 contact flo at rfc822.org Spam source
64.119.220 550 20030428 contact flo at rfc822.org Spam source
Die werden sich schon beschweren. Um die dazu zu aergern delaye
ich die fehlermeldung bis zum "Rcpt To:" und habe dann ein extrem
langes timeout - D.h. ich klaue denen connections (Siehe Teergrube).
Flo
--
Florian Lohoff flo at rfc822.org +49-171-2280134
Heisenberg may have been here.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: not available
URL: <http://lug-owl.de/pipermail/linux/attachments/20030701/e80fb1af/attachment.sig>
More information about the Linux
mailing list