mailer-daemon spam

Hier horen vragen over google, irc, nieuwsgroepen, e-mail enz....
Plaats reactie
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 4578
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 58 keer
Bedankt: 446 keer

Een paar dagen geleden is er een ware mailer-daemon spamstorm beginnen binnenkomen op 1 van mijn mailadressen.
Tot op vandaag gaat deze door, voornamelijk omdat er blijkbaar nog meer als genoeg servers zijn die geen dkim of spf checks doen.

De mails zijn namelijk niet afkomstig van mijn server, en zouden dus ook totaal de dkim en spf testen niet doorstaan,
maar hier is blijkbaar geen enkele controle op bij de servers die me spammen met failure notices.
Het is weer eens wat andere spam...

Blijkbaar zijn de hele headers fake:

Code: Selecteer alles

Return-Path: <MIJN EMAILADRES>
Received: from 8787GOGO (218-166-195-38.dynamic.hinet.net [218.166.195.38])
	by obiwan.mehlrelay.de (8.13.8/8.13.8/SuSE Linux 0.8) with ESMTP id qA42vJCO011513
	for <[email protected]>; Sun, 4 Nov 2012 03:57:23 +0100
Received: from [218.166.195.38] by mail.MIJN.SERVER; Sun, 4 Nov 2012 19:22:54 +0800
Date: 	Sun, 4 Nov 2012 19:22:54 +0800
From: "Olga Abrams" <MIJN EMAILADRES>
X-Mailer: The Bat! (v2.00.2) Business
Reply-To: MIJN EMAILADRES
X-Priority: 3 (Normal)
Message-ID: <322965122.07118393017202@MIJNDOMEIN>
To: [email protected]
Subject: save 90% on watches! visit replica store
MIME-Version: 1.0
Content-Type: text/plain;  charset=windows-1250
Content-Transfer-Encoding: 7bit
X-Greylist: Recipient e-mail whitelisted, not delayed by milter-greylist-4.0 (obiwan.mehlrelay.de [217.7.63.5]); Sun, 04 Nov 2012 03:57:24 +0100 (CET)

                                         


Return-Path: <MIJN EMAILADRES>
Received: by mail.goetel.net (Postfix)
	id 247F26B0908; Sun,  4 Nov 2012 03:56:00 +0100 (CET)
Delivered-To: [email protected]
X-No-Auth: unauthenticated sender
X-No-Relay: not in my network
Received: from retail.dynamic.sify.net (unknown [118.95.59.226])
	by mail.goetel.net (Postfix) with ESMTP id D4F986B08F4
	for <[email protected]>; Sun,  4 Nov 2012 03:55:58 +0100 (CET)
Received: from [118.95.59.226] by mail.MIJN.SERVER; Sun, 4 Nov 2012 16:51:30 +0530
Date: 	Sun, 4 Nov 2012 16:51:30 +0530
From: 	"Marion Hawk" <MIJN EMAILADRES>
X-Mailer: The Bat! (v3.80.06) Educational
Reply-To: MIJN EMAILADRES
X-Priority: 3 (Normal)
Message-ID: <338527529.91259396241840@MIJNDOMEIN>
To: [email protected]
Subject: Beautiful quartz, water-resistant Replica watches
MIME-Version: 1.0
Content-Type: text/plain;  charset=iso-8859-2
Content-Transfer-Encoding: 7bit
gezien je in principe mailer-daemon mails niet mag bouncen, vraag ik me af wat hier dan de beste oplossing voor is?
Omhoog
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 4578
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 58 keer
Bedankt: 446 keer

niemand?

ik word er zo stilaan gek van om braaf te blijven en toch de joe job spam te ontwijken :(
ondertussen heb ik dus maar SA ingesteld om ook de mailer-daemon berichten te filteren,
maar ik wou eigenlijk een "mooiere" oplossing dan het ook allemaal in SA te gooien...

ondanks SPF en DKIM nemen servers van overal blijkbaar toch mail aan die niet van mij,
of mijn server, afkomstig is...
gaande van japan, rusland, engeland, tot duitsland en frankrijk...
ze passeren allemaal de revue.
en ondertussen met mijn nieuwe regels krijg ik nu zelfs confirm/notify's van yahoo groups japan :s
Omhoog
Gebruikersavatar
meon
Administrator
Administrator
Berichten: 16609
Lid geworden op: 18 feb 2003, 22:02
Twitter: meon
Locatie: Bree
Uitgedeelde bedankjes: 564 keer
Bedankt: 759 keer
Contacteer:
Contacteer meon

Een move-rule op die "spam" dan maar? (geen bounce)
Omhoog
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 4578
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 58 keer
Bedankt: 446 keer

jep, zoiets doe ik nu: accepten, door SA gooien, en dan gewoon naar /dev/null,
ben ik er ook (grotendeels) vanaf.

maar de last gaat maar door: "geldige" mailer-daemon failures (voor mails die nooit gezonden zijn),
"geldige" bevestigingen en auto-reply's, verify-human mails, ...

ik implementeer al een paar jaar SPF en DKIM, en heb SPF laatst nog maar wat strenger gemaakt,
maar het baat niet als de ontvangende server er geen enkele controle op doet,
en ik ben deze week echt gebombardeerd met spam als reactie op mails die ik niet verstuurd heb gehad.

wat ze allemaal in common hebben: allemaal de x-mailer: the bat.
wel verschillende versies, en hoogstwaarschijnlijk ook niet effectief van een the bat mailclient afkomstig, maar soit.
hetgene dat ik nog het meest frappant vond, is dat er zelfs een received header gefaked wordt:
Received: from [201.21.2.86] by mail.MIJN.DOMEIN; Tue, 6 Nov 2012 00:14:58 -0300 (ip varieert naargelang de spam mail)

onder andere door het feit dat al de andere headers ontbreken (ik laat mijn server onder andere een header toevoegen om aan te geven welke mailserver de mail behandelde), is er geen enkele twijfel dat het nooit door mijn mailserver gegaan is.

het valt wel aan te pakken, maar het is, op zijn minst, vervelend.
surtout als er straks nog mailservers gaan beslissen, zonder controle te doen, dat mijn mailadres een spammer is,
want dan krijg ik straks niets meer verstuurd.
(dat is eigenlijk hetgene waar ik het meest problemen mee heb: onterecht met mijn mailadres als spammer aanzien worden, gezien het mijn primair mailadres betreft)
Omhoog
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 4578
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 58 keer
Bedankt: 446 keer

eventueel voor anderen indien ze dit probleem zouden hebben of krijgen:

ik controleer nu ook tegen ips.backscatterer.org .
de meeste van de foutgeconfigureerde mailservers die me spam bezorgden, staan op die lijst.

hopelijk ben ik er nu vanaf :)
Omhoog
Gebruikersavatar
meon
Administrator
Administrator
Berichten: 16609
Lid geworden op: 18 feb 2003, 22:02
Twitter: meon
Locatie: Bree
Uitgedeelde bedankjes: 564 keer
Bedankt: 759 keer
Contacteer:
Contacteer meon

Ik heb nu pas door dat SA = SpamAssassin.
Omhoog
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 4578
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 58 keer
Bedankt: 446 keer

kan gebeuren als de afkorting hier niet genoeg gebruikt wordt ;)

maar momenteel (hout vasthouden) lijk ik ervan af te zijn.
Omhoog
Plaats reactie

Terug naar “Algemeen Internet-Gebruik”