SPAM 2017, avagy locsolók és fűrészek akcióban

Sziasztok,

cpanel-es eximem van, greylistet, RBL listákat használok, csillámpónis szolgáltató kitiltva, spamassassint és eddig kezelhető mértékű SPAM jött.
Ennek vége lett 1 hete, és özönlik a frissen (újra)regisztrált domainekről a tökéletesen szépen megszerkesztett, főleg grafikát tartalmazó mail.

Általában a levelekben csak egy továbbugró link található.

kafkasitiraf.com
kardharmedia.com

többek között ide ugrik: http://tartas javitas.com

Mit lehet ezekkel kezdeni?

Hozzászólások

Milyen RBL listákat használsz?
SA log mint mond egy ilyen levélre?
Ha a levélözön mindegyik ugyanazt a néhány linket tartalmazza akkor arra lehetne saját SA rule.

Szia!

Ez elég kevés.
SA logot tudsz bemásolni?
Ha valóban friss domainekről érkezik a levél akkor arra pl. itt egy SA szabály:

urirhssub SEM_FRESH fresh.spameatingmonkey.net. A 2
body SEM_FRESH eval:check_uridnsbl('SEM_FRESH')
describe SEM_FRESH Contains a domain registered less than 5 days ago
tflags SEM_FRESH net
score SEM_FRESH 2.5

De ezt is lehet még finomítani. Olyan további feketelistákat is alkalmaznék SA szinten mint uribl, hostkarma, psky.me...

váltózó. A sablon hasonló, de csereberélik a cuccot.
Nekünk egy Astaro öö izé Sophos UTM van előtte, van amit megfog, van, amit nem.

Kínomban nekiálltam iptables-el tiltani, akár /24-eket is. Sokat javult a helyzet, de természetesen mindig van új :(.

Szíves felhasználásra.... mind ugyanazon bűnözőhöz tartozik
66.37.19.160/27
66.45.240.144/28
109.230.237.194/27
206.72.206.13 - 212.38.189.17
212.38.189.7 - 212.38.189.8

Ez egy komplett szolgáltató tartománya. Mesések a PTR rekordjaik
185.140.108.0/23
185.140.110.0/23

Amúgy heti rendszereséggel vesznek más-más IP
szolgáltatótól tartományokat majd eldobják
őket miután kiment a temérdek SPAM.

Az IP címhez tartozó PTR rekordokat / domain neveket is úgy cserélik mint mások az alsónadrágot.

Az összes domain IP címe ide mutat:
185.140.110.3

Whois:
% Abuse contact for '185.140.108.0 - 185.140.108.255' is 'abuse@vpsszerver.net'

inetnum: 185.140.108.0 - 185.140.108.255
netname: EAN-NUM-LOG
descr: VPS SERVERS
country: HU
admin-c: ACRO384-RIPE
tech-c: ACRO384-RIPE
status: ASSIGNED PA
mnt-by: ACRO384-MNT
created: 2016-03-07T17:23:09Z
last-modified: 2016-03-07T17:23:09Z
source: RIPE

role: EAN NUM LOG Kft
address: Hungary
address: 1027 Budapest
address: Bem utca 6.
phone: +36702162941
abuse-mailbox: abuse@designineu.com
nic-hdl: ACRO384-RIPE
mnt-by: ACRO384-MNT
created: 2016-02-29T18:56:01Z
last-modified: 2017-03-17T11:46:21Z
source: RIPE # Filtered

% Information related to '185.140.108.0/23AS48131'

route: 185.140.108.0/23
descr: ENLK2-NET
descr: VPS SERVERS
origin: AS48131
mnt-by: ACRO384-MNT
created: 2016-03-17T17:10:08Z
last-modified: 2016-03-17T17:10:23Z
source: RIPE

Ha megézed a PTR rekordjait a tartományuknak akkor azt
hiszem nem marad kérdésed mit kell tenni velük...
https://pastebin.com/GDsRT2yQ
https://pastebin.com/97Vj9UGV
https://pastebin.com/ncatsKjA
https://pastebin.com/gFLkApit

További érdekesség, hogy designineu.com domain alá az IP-t a hostwind adja,
aki szintén egy hírhedt szolgáltató.....

Oda tudsz... szerencsére ki van írva, hogy kihez is kell menni:

A Cg.01-09-200121 cégjegyzékszámú EAN NUM LOG Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság "kényszertörlés alatt" (1027 Budapest, Bem utca 6.) cég 2017. augusztus 7. napján hatályos adatai a következők:

I. Cégformától független adatok1. Általános adatok
Cégjegyzékszám: 01-09-200121
Cégforma: Korlátolt felelősségű társaság
Bejegyezve: 2014/12/19
Törlés hatálya: 2016/12/06
Törlés módja: hivatalból

57. Eltiltás hatálya alatt álló tagra, képviselőre vonatkozó adatok
57/1. Gencsi Attila Sándor (an.: Juhász Ibolya Anna)
Adóazonosító jel: 8402810683
Eltiltás kezdete: 2016/12/06
Eltiltás megszűnése: 2021/12/06
A változás időpontja: 2016/12/06
Bejegyzés kelte: 2017/01/20 Közzétéve: 2017/01/31
Hatályos: 2016/12/06 ...

hm.
nekem az assphez virusirto helyett hasznalt Szenti modszerrel tuningolt kis kiegeszitom ezt adja vissza :
-----------------

#./kapdelmardel Az_eg_sz_csal_d_r_m_re_vil_g_t_p_ly_s_aut_s_j_t_k_--4203368.eml

Received: from pie.bangnahino.com ([78.129.241.136] helo=pie.bangkeogiabao.com)
Sender = =?UTF-8?Q?S=E1ndor_=C1goston?=
1: 3.110.140.185
FromDomain = bangkeogiabao.com
BadFile

-----------------

bangkeogiabao.com reverse stimmel, es ki is szedi szepen ahogy azt illik.

--
HUP te Zsiga !

Hm, ezek elég "régen" tevékenykednek, én body_check-kel elég jól megfogtam úgy egy vagy két hónapja...ami nem változik az a:
00.jpg
body_check-ben:

/\/00.jpg/ REJECT spam_reklam

üdv: pomm

A 852-es kídlap telepötúsa sikeresen befejezádétt

Ezekben a spamekben az a közös, hogy a From header-ben levő domain ugyanarra az ip címre mutat. Egy lehetséges megoldás egy általam írt SpamAssassin plugin, használd egészséggel! Azóta egyetlen ilyen spam nem jutott át.

szerk.: typo.

Sziasztok!
Én lehet, hogy találltam még egy azonosságot (ráadásul ez a szlovák verzióban is így van) mégpedig a törzsben a leiratkozó link formája: http://le.[random domain]/ub.php?[akármi]
Én erre csináltam egy szűrőt sa-nak, és azóta elvétve napi 2 max ami beesik ebből a fajtából.
Persze lehet, hogy nem ugyanarról beszélünk.

Napi friss vegyélmegmindent IP címek:
95.154.237.58:group.hphimexco.com
95.154.237.107:horn.poltokholunga.com
95.154.237.108:wrestle.yazdarzan.com
95.154.237.116:poorhouse.whatacoin.com
95.154.237.118:light.candevelops.com
95.154.237.119:squeamish.afrapay.com
95.154.237.120:join.bollycakes.com
95.154.237.128:airport.behbama.com
95.154.237.129:quaint.lequsa.com
95.154.237.130:donkey.sharekaropk.com
95.154.237.131:suet.schoolgharbd.com
95.154.237.133:listen.hipporo.com
95.154.237.135:awoke.velayatfaqih.com
95.154.237.136:release.ezgyaan.com
95.154.237.137:event.instapisos.com
95.154.237.138:tense.techitalks.com
95.154.237.145:memorize.daltano.com
95.154.237.149:blush.sharepointsteve.com
95.154.237.152:rub.neshaaneh.com
95.154.237.153:flawless.ximaphamminh.com

bar nagyon nemvagyok buszke a kodra, mert anno ezt a kis kutyut meg valamikor tavaly a zipben jovo szemet ellen, -- amikor meguntam, hogy az assp magatol tobbet dob el, mint amennyit a virusirto felismer -- szereltem ossze, azota meg csak 'hekkeljuk bele ezt. meg azt es meg amaztis' modon bovult, ( pl. kiszuri a 'Receved' sorban 'localhost ([23' stringet tartalmazo de kesobb mar inkabb a 'localhost' utan nem '([127.' -ot tartalmazo leveleket. vietnamiak kapjak be... ) kisse atlathatatlan, optimalizalatlan, raadasul bedrotozott pathokat tartalmaz, ini nincs, - pl. ha valakit kivetellistara kell tenni, akkor ujraforditom az egeszet - szoval ha valakinek ennek ellenere ingerenciaja van, akkor szivesen odaadom, amugymeg tervezem, hogy a ket unnep kozott ujrairom aztan adom oda :)

--
HUP te Zsiga !

Akkor én is ide teszem a listámat.
Amivel neked is problémád van, az azok a VM szolgáltatók, ahol api -n keresztül lehet gépet csinálni és hozzá DNS rekordot felvenni.
Általában az történik, hogy ezeket a spamer hostokat valamilyen scriptelt megoldás létrehozza, beállítja, megcsinálja a DNS bejegyzéseket, DKIM -et stb, majd a host kiküldi a leveleket. Ez után a host és a DNS bejegyzés végérvényesen megszűnik, azokat többé nem használják.
A SPAM detektálását nehezíti, hogy akár egy terítésen belül is változatos nyelvezettel árulják ugyan azt (a locsoló csőtől az orosz tengeralattjáróig kb mindent)

Link a listára: https://pastebin.com/Ly7xRKpk

----
올드보이

hat ami ezektol jon, azt nem kell csapdazni, nyugodtan eldobhato.
nemismerem a konfigodat, SA peruser konfig nem jatszik ?
a csapdacimeken leveheted 0 -ra a pontokat, hogy meglegyen a lelkibeke, a normal userek meg megszabadulnak ettol a szemettol.

--
HUP te Zsiga !

[Feliratkozás]

---
Lehet, hogy kívül szőke vagyok, de belül sötét, oké?!

64.56.69.162 - 64.56.69.190
64.56.69.194 - 64.56.69.222
64.56.69.226 - 64.56.69.254

5.133.183.157
5.133.183.158
5.133.183.159
5.133.183.160/27
5.133.183.42

Akit esetleg érdekel...
(lehet az egész szolgáltatót is tiltani mivel többszöri bejelentés és minta levelek csatolása
illetve több napos beszélgetés nyomán is kedves ügyfélnek tartják az urakat :D)

77.81.107.150
77.81.107.151
77.81.107.153
77.81.107.16
77.81.107.167
77.81.107.168/29
77.81.107.175
77.81.107.184/29
77.81.107.1
77.81.107.194

77.81.104.3
77.81.104.32
77.81.104.38
77.81.104.152
77.81.104.185
77.81.104.186
77.81.104.188
77.81.104.201
77.81.104.203
77.81.104.206
77.81.104.229
77.81.104.236
77.81.104.248

77.81.110.47
77.81.110.51
77.81.110.55
77.81.110.60
77.81.110.63
77.81.110.65
77.81.110.64/29
77.81.110.71
77.81.110.72
77.81.110.73
77.81.110.74
77.81.110.75

Kicsit felmelegítem ezt a topicot.

"Kedves" Marcell "barátunk" ismét aktív:

151.106.3.192 - 151.106.3.223

Szerk.: Kicsit pontosítok, kiegészítek...

151.106.3.194/32
151.106.3.196/32
151.106.3.199/32
151.106.3.201/32
151.106.3.204/32
151.106.3.206/32
151.106.3.211/32
151.106.3.213/32
151.106.3.216/32
151.106.3.218/32
151.106.3.220/32

151.106.49.162/32
151.106.49.164/32
151.106.49.165/32
151.106.49.167/32
151.106.49.169/32
151.106.49.172/32
151.106.49.174/32
151.106.49.177/32
151.106.49.179/32
151.106.49.181/32
151.106.49.182/32
151.106.49.184/32
151.106.49.186/32
151.106.49.188/32
151.106.49.189/32

---
Lehet, hogy kívül szőke vagyok, de belül sötét, oké?!

Ezen egy picit finomítanék:

192.155.111.*

Egyelőre legyen inkább így:

192.155.111.112/28

A DNS alapú megfejtés alatt mit értesz egész pontosan? A Szenti-féle megoldásra gondolsz? (https://hup.hu/node/155731#comment-2148865)

---
Lehet, hogy kívül szőke vagyok, de belül sötét, oké?!

Köszi, hogy szóltatok, aktualizáltam az IP címeket a kérdéses gist-ben.

Három új cím került fel:
* 185.207.11.245
* 185.207.8.246
* 174.129.25.170

A következő módosításnál kivezetem az IP címeket egy külön fájlba, hogy ip cím módosítás esetén ne a kódot kelljen piszkálni.

Tapasztalatom szertin azt csinálja, hogy szótárból összeollózótt szavak alapján regisztrál néhány domaint (lista alább) majd szintén véletlen szavakból, ezek alá létrehoz több aldomaint.

absentee.behinmahd.com
electric.behinmahd.com
harm.behinmahd.com
ice.behinmahd.com
possess.behinmahd.com
real.behinmahd.com
unkempt.behinmahd.com
warlike.behinmahd.com

De kénytelen rendesen elvégezni a dns beállításokat (pl. PTR) a spamszűrők miatt így ezzel segít is a levelek szűrésében. Az SPF rekordban megmondja hogy az adott domain melyik ip címekről küldi a leveleket. Így elég az SPF alapján kapott ip címeket szűrni.

Az általam eddig felderített domainek:

adibul.info
afghanpenpal.info
akshatuniyal.com
alrehaboman.info
altugbeyhan.info
apcadng.info
apeprocurement.com
atcleano.info
autoinsureworld.info
baheeraagroit.com
behinmahd.com
bestvipoutlite.info
bharatmatka.info
balagulquran.info
baysanslibahis.info
bharuchsports.info
bootlance.info
boroujerdico.com
bharatmatka.info
bkpersianas.info
camantours.info
cdmerens.info
cippioneer.info
dialkaroindia.info
dpalatigroup.info
easportsbeta.info
eccessorie.com
elibird.info
enriquehdz.info
expertrategia.info
gunsafeviews.com
gyasc.info
hirkantour.com
hsbcplus.info
ifsacigezgin.info
irenjoylife.com
ishwarkripa.com
jaguaryouhostal.info
kreintoracing.info
laboratoriosdmi.info
lagooniaresort.info
legendarygraphx.info
lizbethmoreano.info
metiscamping.info
mohinora.info
muditkapoor.info
nijuktimela.info
nikycart.info
nobelsikh.info
ntapsdjiewa.info
ntegtk.info
nubzchandigarh.info
nvsdisticaret.info
nyeka.info
okechanel.info
olxsouthafrica.info
omukago.info
onlybigcash.info
oohyesss.info
orangemoviesnow.info
orderoye.info
ossabhubaneswar.info
petalzboutique.com
plandevjed.info
princesinkdubai.info
puthacker.info
recuerdosublime.info
rewritecareers.info
sachnewz.info
shadikabandhan.info
sharmagarments.com
shimianeh.info
shootgeeks.info
shriramj.info
smakimya.info
softmazhomes.info
solarmovieon.info
sreenidhigroup.info
ppowersystem.info
stefankoritar.info
tamilnettv.info
techtakeaways.info
thefriendstar.com
tiaandbelle.info
toidenbaolong.com
totalblacks.info
trwsca.info
ughojor.com
unhmd.info
vakasahmad.com
wakaspoti.info
wiffoo.com
xtcarwash.info
yadanarbon.com

A helyzet az, hogy itt 27 olyan nagyobb rendszer (virtuális gép) van amelyeken egyenként 1-2 ezer domain levelezése van. Ha domainenként átlagosan csak 2-3 postafiókot számolunk, az is elég sok. Ezekre a postafiókokra naponta nem kevés spam próbál beérkezni. Az ezekkel való foglalkozás (a levelet fogadni kell és meg kell vizsgálni, majd visszautasítani ha spam) jelentős erőforrás (cpu, memória) terhelést okoz.

Az a döntés született, hogy az erőforrásokat őrizzük meg a felhasználóknak és próbáljuk meg kizárni azokat akik szükségtelenül fogyasztják. Ezért a potenciális spam küldők ip címeit a hálózati rétegben kitiltjuk. Így a levél egyáltalán nem jut el az MTA-ig és megspóroljuk a levélszűréssel járó erőforrás költségeket. Teljes ip tartományokat soha nem tiltunk mert azzal vétlen szervereket is kizárhatunk a levélküldésből.

A domain listát naponta gyűjtjük össze ezekről a szerverekről és a kapott domain listából az SPF rekordok alapján aktualizáljuk a tiltó listát is.

Te milyen dns megoldást használsz, ha nem nagy kérés részleteznéd?

Az nem segítség, hogy ide kiírod. Ha üzemeltetsz egy RBL-t, amit mások automatice tudnak használni, az már segítség.
Persze az igazi segítség az lenne, ha ez az RBL nagyobbrészt automatikusan épülne is (azaz az 1. vagy a 2. hit berakná a domaint, és x száz másik MTA is rögtön elkezdené szűrni - mert mire kézzel reagálsz, addigra n másik gépen is már bepróbálkozott a zombihad).

aki iptablessel szur, annak :
212.162.148.0/24

aki nev alapjan :

jetbrainz.com
yyndam.info
downloadispeed.com
foxnewsskin.com
servimetalic.com
tintinplay.info
drkheirandish.info
eskortsepeti.com
digipaver.com
brodivers.info
maajagdamba.info
sharecamnews.com
tuannunci.info
warisjute.com
digitalcasi.info
sgeoverseas.com
bayhighsoccer.info
goldenpures.com
nikamusicaltoys.info
nigeeks.info
hdkmimarlik.com
dronetamircisi.com
gabinetelinca.info

mariocavett.com
kurtasaree.com
aficulinarytour.info
jkstartups.com
bakecore.info
centuryexpres.com
mahaeeducation.info
saiedutrust.com
atkakala.info
rakeshsahu.com
culturaguayupe.info
tadgood.info
mariocavett.com
thevauxhalls.com
oddnessfly.info
tharkibilla.info
wishecom.com
srisaiind.info
trueboox.com
garalife.com
jecourse.info

--
HUP te Zsiga !

Ezen vagy valami hasonlón már én is gondolkodom egy ideje. Mondjuk egy HUP közösségi RBL és/vagy text alapú DNS, IP listán. De bevallom őszintén, sosem üzemeltettem ilyesmi(ke)t, s azt sem tudnám, hogy merre kellene hozzákezdeni.

Ha már utópia... Ki lehetne fundálni valamilyen adminisztrációs hierarchiát a fentivel kapcsolatban, s így nem az lenne, hogy mindenki orrba-szájba tiltogatna mindent, ami épp szembejön. Gondolom én...

---
Lehet, hogy kívül szőke vagyok, de belül sötét, oké?!

harom - negyhavonta updatelni kell valoban, de meg mindig jobb, mint egy ilyen nevlistat vagy az iptartomanyok listajat naponta karbantartani.
epp ezert rbl-t is csak ugylenne erdemes csinalni, ha valami automatizmus karbantartaná; most ido hianyaban nem irtam ossze, de a kiszurt mailokban tegnap este ota megint volt legalabb 15 uj domain meg nehany friss ip.

--
HUP te Zsiga !

Egyszerű, de nagyszerű: check_helo_access pcre:/etc/postfix/helo_access

# cat /etc/postfix/helo_access
/\.info$/ REJECT 550 "Spammer domain!"

Ezzel már baromi sok szart ki lehet szűrni.... Én még info-s domainről értelmes levelet nem kaptam. Ezután nem is fogok. :)
--
"Sose a gép a hülye."

ha balf*sz a hosting szolgáltatóm átmegyek oda ahol nem az. Ha macera veszek egy tíz docsis vps-t ott ahol rend van, és áttolom rajta a leveleket. de csak nem fogok gmailt használni, mert az a jó, és pont com-ra végződik...

Részemről lezárva, nem hiszem hogy meg fogunk egyezni abban hogy jó, vagy szükségszerű-e amit csinálsz.

KoviX

Ha az ember hazai kkv szektorban üzemeltet, ahol ismeri a szereplőket és az exportképességet, akkor szerintem egyáltalán nem gáz amit csináltál. Sokan mindig abból indulnak ki, hogy minimum te vagy a freemail.

Szerintem az optimalizáció része, hogy nem végtelen nagy n-ekre utazunk, hanem az életből vett valós számok mentén vizsgálódunk, mert egyes megoldások csak nagy n-ek esetén optimálisak, míg mások nem. Ez esetben ráadásul volt ismert anyag, ami akár több év levelezése is lehetett. Nálam is kisebb veszteség lenne 1-1 levél elvesztése, mint sok szemét beengedése. Az üzleti folyamatokban ritka aki csak küld egy levelet és vár. Legtöbbször telefonos kommunikáció megelőzte a levélküldését.

Pár ügyfélnek biztosítjuk a levelezését. Nem a mennyiségre megyünk, hanem a minőségre. Tipikusan a mindenféle hostingoktól szoktuk őket elhozni, ahol megunták a korlátokat (általában zéró vagy minimális konfigurálási lehetőséged van, és persze nem tudsz utánanézni semminek, hogy miért nem ment el vagy jött be a levél), a spameket, hogy még mindig luxus az IMAP biztosítása, az SSL, TLS, vagy a nem-25-ös porton futó SMTP biztosítása. Volt olyan, akit áthoztunk, és pár nap után szólt, hogy nézzük már meg a levelezést, mert valami nem stimmel. Nagyon kevés levelet kapnak. Most így konkrétan nem tudják mi hiányzik, de nagyon kevés. Persze minden rendben volt, és a puhatolózás és pár intelligensebb userrel történő beszélgetés után kiderült, hogy semmi probléma, csak nem esik be 5 percenként valami spam vagy "hírlevél", és nem prüntyög a thunderbird...
Aztán van pár, akinek külön szervere van, ott meg mindent teljesen úgy állítunk, ahogy neki jó. Volt, aki kérte, hogy inkább vegyünk ki minden szűrést, inkább kitörli a napi 300 spamet, de ne dobjon vissza egy levelet se.
Továbbá abban is megegyezhetünk, hogy az info domainnek azért nem a legjobb a reputációja, szóval aki valami nagy komoly dolgot akar, az vesz hu-t, eu-t, com-ot vagy bármi mást amire szükség van.
--
"Sose a gép a hülye."

kérdés: postfix-ben szeretnem a leveleket droppolni aminek cirill karakter van a subject-ben.
Hogy lehet ezt megvalositani?

Na, elkezdtem... Viszlát t-online email. Hogy hány rohadt helyen kell módosítanom az email címem...

Szándékosan engdik tele spammel a levelezést, mert nem akarják fenntartani ezt az ingyenes, ugyanakkor költséges szolgáltatást, inkább hagyják hogy az ügyfelek eltavolodjanak a t-email környékéről is...

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Lehet benne valami. Nem olyan rég csináltak egy szanálást, ahol a nem használt postafiókokat törölték. Előtte meg egy darabig nem volt webmail, mert hogy "fejlesztik". Az lett a vége, hogy kaptunk egy magenta cukormázzal leborított horde mail-t, köszönjük. Ezt már említettem korábban is talán. Az utóbbi időben pedig egyre használhatatlanabb lett. Napi több "tonna" spam, aminek nagy része az érkezett mappában köt ki.
Most keresek valami használható szolgáltatót, ahol van IMAP is. A google is jó lenne, csak azokra is berágtam egyszer, töröltem a fiókomat, és azzal a névvel már nem tudom visszaállítani. Csináltam egy új fiókot az android miatt, de az meg "komolytalan", már foglalt volt az összes értelmes név.
Jelenleg protonmail tűnik még használhatónak, de ott meg az ingyenesben csak 500 MB van, és nincs IMAP. Lehet megér havi 5€-t, hogy legyen nagyobb tárhely és IMAP.
Van még régről egy icloud is, az sem rossz, de ott sincs IMAP.
Vagy saját domain+levelező szerver, de azt meg üzemeltetni kell...

"használható szolgáltatót, ahol van IMAP is."

2006-ban építettem az első szervert, már akkor sem tűnt extrának. Nem is értem ennyi év után miért okoz bárkinek is problémát.
Kell alá diszk, mert minden levél fent van. Na de ha az ügyfél kifizeti?
Az én olvasatomban, ahol nincs IMAP, onnan szaladni kell. Megragadtak a betárcsázós freemail pop3 korszakban :)

friss infó 2019
Az "EAN NUM LOG Kft." AS-ét 2018 novemberétől vidáman használja a "MAGYAR TÁRHELY Kft."
a friss spammer tartomány: 185.207.8.0/24

De saját stat alapján spamassassin alatt kb ez a szabály jelenleg kiszűr 600-700 spamet 7 nap alatt 1 emailcimre

askdns MAGYARSPAMSRV _AUTHORDOMAIN_ A 185.207.8.14
describe MAGYARSPAMSRV Domain part of FROM points to known spammer webserver
tflags MAGYARSPAMSRV net
score MAGYARSPAMSRV 10

Röviden:
A spameket küldő SMTP szerver IP címe nagyjából végtelen, viszont ennek a csapatnak van egy rossz szokása, mégpedig hogy a sapmek feladójának (Return-Path) a domain része mindig ugyanarra az IP-re mutat. (gyaniítom valami domain-owner-check miatt kényszerülnek rá)