SPAM 2017, avagy locsolók és fűrészek akcióban

 ( bb | 2017. október 9., hétfő - 13:14 )

Sziasztok,

cpanel-es eximem van, greylistet, RBL listákat használok, csillámpónis szolgáltató kitiltva, spamassassint és eddig kezelhető mértékű SPAM jött.
Ennek vége lett 1 hete, és özönlik a frissen (újra)regisztrált domainekről a tökéletesen szépen megszerkesztett, főleg grafikát tartalmazó mail.

Általában a levelekben csak egy továbbugró link található.

kafkasitiraf.com
kardharmedia.com

többek között ide ugrik: http://tartas javitas.com

Mit lehet ezekkel kezdeni?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Milyen RBL listákat használsz?
SA log mint mond egy ilyen levélre?
Ha a levélözön mindegyik ugyanazt a néhány linket tartalmazza akkor arra lehetne saját SA rule.

bl.spamcop.net
zen.spamhaus.org
sbl-xbl.spamhaus.org
b.barracudacentral.org

Szia!

Ez elég kevés.
SA logot tudsz bemásolni?
Ha valóban friss domainekről érkezik a levél akkor arra pl. itt egy SA szabály:

urirhssub SEM_FRESH fresh.spameatingmonkey.net. A 2
body SEM_FRESH eval:check_uridnsbl('SEM_FRESH')
describe SEM_FRESH Contains a domain registered less than 5 days ago
tflags SEM_FRESH net
score SEM_FRESH 2.5

De ezt is lehet még finomítani. Olyan további feketelistákat is alkalmaznék SA szinten mint uribl, hostkarma, psky.me...

váltózó. A sablon hasonló, de csereberélik a cuccot.
Nekünk egy Astaro öö izé Sophos UTM van előtte, van amit megfog, van, amit nem.

Kínomban nekiálltam iptables-el tiltani, akár /24-eket is. Sokat javult a helyzet, de természetesen mindig van új :(.

Szíves felhasználásra.... mind ugyanazon bűnözőhöz tartozik
66.37.19.160/27
66.45.240.144/28
109.230.237.194/27
206.72.206.13 - 212.38.189.17
212.38.189.7 - 212.38.189.8

Ez egy komplett szolgáltató tartománya. Mesések a PTR rekordjaik
185.140.108.0/23
185.140.110.0/23

Amúgy heti rendszereséggel vesznek más-más IP
szolgáltatótól tartományokat majd eldobják
őket miután kiment a temérdek SPAM.

Az IP címhez tartozó PTR rekordokat / domain neveket is úgy cserélik mint mások az alsónadrágot.

ilyen spam áradatkor még a mail server előtt, tűzfalban szoktam teljes ip tartományokat tiltani. Előbb-utóbb kitiltom az egész Internetet, és csak magammal fogok levelezni.

Két tartományukat elírtam...
1.
Hibás: 206.72.206.13 - 212.38.189.17
Javított: 206.72.206.10-206.72.206.14

2.
Hibás: 212.38.189.7 - 212.38.189.8
Javított: 212.38.189.7-212.38.189.17

Mai friss tartomány:
77.241.194.2-77.241.194.30

hozzám is megérkezett :/

Esetleg (ha SpamAssassint használtok), kipróbálhatnátok a lent említett megoldásomat is, IP range tiltások helyett.

Részemről okkal tiltok IP tartományokat.
De amint időm lesz belereszelem a spamassassin-ba is. :D

77.241.198.2-31

Napi friss:
78.129.241.132
78.129.241.133
78.129.241.134
78.129.241.135
78.129.241.136
78.129.241.137
78.129.241.138
78.129.241.185
78.129.241.186
78.129.241.89

ui: az alábbik is huncut PTR-el rendelkeznek ránézésre, de nem ugyanaz a banda elvileg....
78.129.241.152-78.129.241.169

Amúgy tudja valaki, hogy kik ezek?

Az összes domain IP címe ide mutat:
185.140.110.3

Whois:
% Abuse contact for '185.140.108.0 - 185.140.108.255' is 'abuse@vpsszerver.net'

inetnum: 185.140.108.0 - 185.140.108.255
netname: EAN-NUM-LOG
descr: VPS SERVERS
country: HU
admin-c: ACRO384-RIPE
tech-c: ACRO384-RIPE
status: ASSIGNED PA
mnt-by: ACRO384-MNT
created: 2016-03-07T17:23:09Z
last-modified: 2016-03-07T17:23:09Z
source: RIPE

role: EAN NUM LOG Kft
address: Hungary
address: 1027 Budapest
address: Bem utca 6.
phone: +36702162941
abuse-mailbox:

nic-hdl: ACRO384-RIPE
mnt-by: ACRO384-MNT
created: 2016-02-29T18:56:01Z
last-modified: 2017-03-17T11:46:21Z
source: RIPE # Filtered

% Information related to '185.140.108.0/23AS48131'

route: 185.140.108.0/23
descr: ENLK2-NET
descr: VPS SERVERS
origin: AS48131
mnt-by: ACRO384-MNT
created: 2016-03-17T17:10:08Z
last-modified: 2016-03-17T17:10:23Z
source: RIPE

Ha megézed a PTR rekordjait a tartományuknak akkor azt
hiszem nem marad kérdésed mit kell tenni velük...
https://pastebin.com/GDsRT2yQ
https://pastebin.com/97Vj9UGV
https://pastebin.com/ncatsKjA
https://pastebin.com/gFLkApit

További érdekesség, hogy designineu.com domain alá az IP-t a hostwind adja,
aki szintén egy hírhedt szolgáltató.....

google szerint kta ez a cég vagy mi, ehhez nem értek, akkor ez már nem is létezik hivatalosan? így nem tudok odamenni féltéglával a kezemben :/

kta = kényszertörlés alatt

Oda tudsz... szerencsére ki van írva, hogy kihez is kell menni:

A Cg.01-09-200121 cégjegyzékszámú EAN NUM LOG Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság "kényszertörlés alatt" (1027 Budapest, Bem utca 6.) cég 2017. augusztus 7. napján hatályos adatai a következők:

I. Cégformától független adatok1. Általános adatok
Cégjegyzékszám: 01-09-200121
Cégforma: Korlátolt felelősségű társaság
Bejegyezve: 2014/12/19
Törlés hatálya: 2016/12/06
Törlés módja: hivatalból

57. Eltiltás hatálya alatt álló tagra, képviselőre vonatkozó adatok
57/1. Gencsi Attila Sándor (an.: Juhász Ibolya Anna)
Adóazonosító jel: 8402810683
Eltiltás kezdete: 2016/12/06
Eltiltás megszűnése: 2021/12/06
A változás időpontja: 2016/12/06
Bejegyzés kelte: 2017/01/20 Közzétéve: 2017/01/31
Hatályos: 2016/12/06 ...

hm.
nekem az assphez virusirto helyett hasznalt Szenti modszerrel tuningolt kis kiegeszitom ezt adja vissza :
-----------------

#./kapdelmardel Az_eg_sz_csal_d_r_m_re_vil_g_t_p_ly_s_aut_s_j_t_k_--4203368.eml

Received: from pie.bangnahino.com ([78.129.241.136] helo=pie.bangkeogiabao.com)
Sender = =?UTF-8?Q?S=E1ndor_=C1goston?=
1: 3.110.140.185
FromDomain = bangkeogiabao.com
BadFile

-----------------

bangkeogiabao.com reverse stimmel, es ki is szedi szepen ahogy azt illik.

--
HUP te Zsiga !

Hm, ezek elég "régen" tevékenykednek, én body_check-kel elég jól megfogtam úgy egy vagy két hónapja...ami nem változik az a:
00.jpg
body_check-ben:

/\/00.jpg/ REJECT spam_reklam

üdv: pomm

A 852-es kídlap telepötúsa sikeresen befejezádétt

Köszi. Ez egy gyors megoldás.

Ezekben a spamekben az a közös, hogy a From header-ben levő domain ugyanarra az ip címre mutat. Egy lehetséges megoldás egy általam írt SpamAssassin plugin, használd egészséggel! Azóta egyetlen ilyen spam nem jutott át.

szerk.: typo.

Sub, és kössz!..

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Sziasztok!
Én lehet, hogy találltam még egy azonosságot (ráadásul ez a szlovák verzióban is így van) mégpedig a törzsben a leiratkozó link formája: http://le.[random domain]/ub.php?[akármi]
Én erre csináltam egy szűrőt sa-nak, és azóta elvétve napi 2 max ami beesik ebből a fajtából.
Persze lehet, hogy nem ugyanarról beszélünk.

+1 erre a pluginre! 1:1-ben megoldja a topicnyito problema(ja)t.

Jo cucc, koszi! :)

Köszi!

Váltottak IP címet 185.140.110.3 => 185.207.11.245

sub
--

+1 THX, human! (Szentinek. (blush) )

Napi friss vegyélmegmindent IP címek:
95.154.237.58:group.hphimexco.com
95.154.237.107:horn.poltokholunga.com
95.154.237.108:wrestle.yazdarzan.com
95.154.237.116:poorhouse.whatacoin.com
95.154.237.118:light.candevelops.com
95.154.237.119:squeamish.afrapay.com
95.154.237.120:join.bollycakes.com
95.154.237.128:airport.behbama.com
95.154.237.129:quaint.lequsa.com
95.154.237.130:donkey.sharekaropk.com
95.154.237.131:suet.schoolgharbd.com
95.154.237.133:listen.hipporo.com
95.154.237.135:awoke.velayatfaqih.com
95.154.237.136:release.ezgyaan.com
95.154.237.137:event.instapisos.com
95.154.237.138:tense.techitalks.com
95.154.237.145:memorize.daltano.com
95.154.237.149:blush.sharepointsteve.com
95.154.237.152:rub.neshaaneh.com
95.154.237.153:flawless.ximaphamminh.com

Miért nem használod az ajánlott tiltási módszert?
Egyszerűen szűrhető az összes. Legalább két konkrét megoldást is találsz.
Hokuszpk assphez is megcsinálta a szűrőt.

Mint már említettem volt oka van neki....
(Egy csapdázó postafiókon ugyebár nem igazán célszerű helyből eldobni a levelet)

meg igazából ez egy bug a spammernél, hogy ugyanoda mutat vissza a domain

bar nagyon nemvagyok buszke a kodra, mert anno ezt a kis kutyut meg valamikor tavaly a zipben jovo szemet ellen, -- amikor meguntam, hogy az assp magatol tobbet dob el, mint amennyit a virusirto felismer -- szereltem ossze, azota meg csak 'hekkeljuk bele ezt. meg azt es meg amaztis' modon bovult, ( pl. kiszuri a 'Receved' sorban 'localhost ([23' stringet tartalmazo de kesobb mar inkabb a 'localhost' utan nem '([127.' -ot tartalmazo leveleket. vietnamiak kapjak be... ) kisse atlathatatlan, optimalizalatlan, raadasul bedrotozott pathokat tartalmaz, ini nincs, - pl. ha valakit kivetellistara kell tenni, akkor ujraforditom az egeszet - szoval ha valakinek ennek ellenere ingerenciaja van, akkor szivesen odaadom, amugymeg tervezem, hogy a ket unnep kozott ujrairom aztan adom oda :)

--
HUP te Zsiga !

Akkor én is ide teszem a listámat.
Amivel neked is problémád van, az azok a VM szolgáltatók, ahol api -n keresztül lehet gépet csinálni és hozzá DNS rekordot felvenni.
Általában az történik, hogy ezeket a spamer hostokat valamilyen scriptelt megoldás létrehozza, beállítja, megcsinálja a DNS bejegyzéseket, DKIM -et stb, majd a host kiküldi a leveleket. Ez után a host és a DNS bejegyzés végérvényesen megszűnik, azokat többé nem használják.
A SPAM detektálását nehezíti, hogy akár egy terítésen belül is változatos nyelvezettel árulják ugyan azt (a locsoló csőtől az orosz tengeralattjáróig kb mindent)

Link a listára: https://pastebin.com/Ly7xRKpk

----
올드보이

hat ami ezektol jon, azt nem kell csapdazni, nyugodtan eldobhato.
nemismerem a konfigodat, SA peruser konfig nem jatszik ?
a csapdacimeken leveheted 0 -ra a pontokat, hogy meglegyen a lelkibeke, a normal userek meg megszabadulnak ettol a szemettol.

--
HUP te Zsiga !

[Feliratkozás]

---
Lehet, hogy kívül szőke vagyok, de belül sötét, oké?!

+1

--
openSUSE 42.2 x86_64

Napi friss: 70.36.99.32/27

Lehet jobban járnátok a korábban közzétett multi-dnsbl -es szolúcióval és néhány jólirányzott SpamAssassin szabállyal, mint naponta kicsapni valamilyen tartományt.

Csapdázó postafiókon/szerveren szerintem nem kapcsolom be ezeket a szűrő funkciókat...
Pont azért van ugyebár, hogy ezeket a mókás dolgokat megfogja.... szerintem :D

Akkor további kellemes csapdázást. :)

64.56.69.162 - 64.56.69.190
64.56.69.194 - 64.56.69.222
64.56.69.226 - 64.56.69.254

70.36.125.2 - 70.36.125.30

5.133.183.157
5.133.183.158
5.133.183.159
5.133.183.160/27
5.133.183.42

Van még? Hogy rohadna meg... 2017-ben miért gondolja valaki, hogy ez a "hirdetési" forma hatékony?!..

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Pár naponta veszegeti tizenhuszasával a VPS-eket mindig másik szolgáltatónál.
Persze 1-2 napon belül el is dobja őket mert RBL listákra kerül instant.
Ördögi kör.... :D

Khm: "Lehet jobban járnátok a korábban közzétett multi-dnsbl -es szolúcióval és néhány jólirányzott SpamAssassin szabállyal, mint naponta kicsapni valamilyen tartományt."

+1
A másik szál is megoldódott mikor kiderült, hogy csak az URIBL_BLOCKED miatt jöttek át SA-n a SPAM-ek.

sub

76.164.205.32-96

Akit esetleg érdekel...
(lehet az egész szolgáltatót is tiltani mivel többszöri bejelentés és minta levelek csatolása
illetve több napos beszélgetés nyomán is kedves ügyfélnek tartják az urakat :D)

77.81.107.150
77.81.107.151
77.81.107.153
77.81.107.16
77.81.107.167
77.81.107.168/29
77.81.107.175
77.81.107.184/29
77.81.107.1
77.81.107.194

77.81.104.3
77.81.104.32
77.81.104.38
77.81.104.152
77.81.104.185
77.81.104.186
77.81.104.188
77.81.104.201
77.81.104.203
77.81.104.206
77.81.104.229
77.81.104.236
77.81.104.248

77.81.110.47
77.81.110.51
77.81.110.55
77.81.110.60
77.81.110.63
77.81.110.65
77.81.110.64/29
77.81.110.71
77.81.110.72
77.81.110.73
77.81.110.74
77.81.110.75

Nem velük kell levelezni, hanem a hatosaggal.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Ez szolgáltató és szolgáltató közti bejelentős levelezés volt. (értsd: abuse@ => abuse@)

Értem én, de továbbra is fenntartom. :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Kicsit felmelegítem ezt a topicot.

"Kedves" Marcell "barátunk" ismét aktív:

151.106.3.192 - 151.106.3.223

Szerk.: Kicsit pontosítok, kiegészítek...

151.106.3.194/32
151.106.3.196/32
151.106.3.199/32
151.106.3.201/32
151.106.3.204/32
151.106.3.206/32
151.106.3.211/32
151.106.3.213/32
151.106.3.216/32
151.106.3.218/32
151.106.3.220/32

151.106.49.162/32
151.106.49.164/32
151.106.49.165/32
151.106.49.167/32
151.106.49.169/32
151.106.49.172/32
151.106.49.174/32
151.106.49.177/32
151.106.49.179/32
151.106.49.181/32
151.106.49.182/32
151.106.49.184/32
151.106.49.186/32
151.106.49.188/32
151.106.49.189/32

---
Lehet, hogy kívül szőke vagyok, de belül sötét, oké?!

es a 185.123.221.* az smafu ?
de erdemesebb Szenti pluginjeben updatelni az ipcimet, ami most eppen 185.207.8.246

--
HUP te Zsiga !

Off: nincs itt a telekomtól, freemailtől illetékes? Nekik sem ártana végre uptodate tartani a spamfiltereket!

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Hát nagyon nem ártana...

Hát ennek a Marci fiúnak még mindig nem koppintottak a körmére...

151.106.3.160/27

De úgy látom, hogy már egy bizonyos Zolika is a játszótérre lépett:

134.119.223.192/27

---
Lehet, hogy kívül szőke vagyok, de belül sötét, oké?!

192.155.111.*
63.246.155.*
85.195.115.*
de tenyleg nem ertem, miert nem hasznaljatok a bevalt dns alapu megfejtest.

--
HUP te Zsiga !

Ezen egy picit finomítanék: 192.155.111.*

Egyelőre legyen inkább így: 192.155.111.112/28

A DNS alapú megfejtés alatt mit értesz egész pontosan? A Szenti-féle megoldásra gondolsz? (https://hup.hu/node/155731#comment-2148865)

---
Lehet, hogy kívül szőke vagyok, de belül sötét, oké?!

igen, a Szenti fele megoldasra gondolok.
csak aktualizalni kell benne az ipcimet.

--
HUP te Zsiga !

Köszi, hogy szóltatok, aktualizáltam az IP címeket a kérdéses gist-ben.

Három új cím került fel:
* 185.207.11.245
* 185.207.8.246
* 174.129.25.170

A következő módosításnál kivezetem az IP címeket egy külön fájlba, hogy ip cím módosítás esetén ne a kódot kelljen piszkálni.

Szuper! Nagyon szépen köszönjük!

---
Lehet, hogy kívül szőke vagyok, de belül sötét, oké?!

szerintem tokmind1, text a perl kod is :D)

--
HUP te Zsiga !

ugytunik uj cim van :
185.207.8.14

--
HUP te Zsiga !

Köszi, felvettem.

Köszi! :)
Telekomos illetékes nincs itt véletlenül?

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Tapasztalatom szertin azt csinálja, hogy szótárból összeollózótt szavak alapján regisztrál néhány domaint (lista alább) majd szintén véletlen szavakból, ezek alá létrehoz több aldomaint.

absentee.behinmahd.com
electric.behinmahd.com
harm.behinmahd.com
ice.behinmahd.com
possess.behinmahd.com
real.behinmahd.com
unkempt.behinmahd.com
warlike.behinmahd.com

De kénytelen rendesen elvégezni a dns beállításokat (pl. PTR) a spamszűrők miatt így ezzel segít is a levelek szűrésében. Az SPF rekordban megmondja hogy az adott domain melyik ip címekről küldi a leveleket. Így elég az SPF alapján kapott ip címeket szűrni.

Az általam eddig felderített domainek:

adibul.info
afghanpenpal.info
akshatuniyal.com
alrehaboman.info
altugbeyhan.info
apcadng.info
apeprocurement.com
atcleano.info
autoinsureworld.info
baheeraagroit.com
behinmahd.com
bestvipoutlite.info
bharatmatka.info
balagulquran.info
baysanslibahis.info
bharuchsports.info
bootlance.info
boroujerdico.com
bharatmatka.info
bkpersianas.info
camantours.info
cdmerens.info
cippioneer.info
dialkaroindia.info
dpalatigroup.info
easportsbeta.info
eccessorie.com
elibird.info
enriquehdz.info
expertrategia.info
gunsafeviews.com
gyasc.info
hirkantour.com
hsbcplus.info
ifsacigezgin.info
irenjoylife.com
ishwarkripa.com
jaguaryouhostal.info
kreintoracing.info
laboratoriosdmi.info
lagooniaresort.info
legendarygraphx.info
lizbethmoreano.info
metiscamping.info
mohinora.info
muditkapoor.info
nijuktimela.info
nikycart.info
nobelsikh.info
ntapsdjiewa.info
ntegtk.info
nubzchandigarh.info
nvsdisticaret.info
nyeka.info
okechanel.info
olxsouthafrica.info
omukago.info
onlybigcash.info
oohyesss.info
orangemoviesnow.info
orderoye.info
ossabhubaneswar.info
petalzboutique.com
plandevjed.info
princesinkdubai.info
puthacker.info
recuerdosublime.info
rewritecareers.info
sachnewz.info
shadikabandhan.info
sharmagarments.com
shimianeh.info
shootgeeks.info
shriramj.info
smakimya.info
softmazhomes.info
solarmovieon.info
sreenidhigroup.info
ppowersystem.info
stefankoritar.info
tamilnettv.info
techtakeaways.info
thefriendstar.com
tiaandbelle.info
toidenbaolong.com
totalblacks.info
trwsca.info
ughojor.com
unhmd.info
vakasahmad.com
wakaspoti.info
wiffoo.com
xtcarwash.info
yadanarbon.com

szep lista, de ezt kb. haromnaponta kell updatelni, mig a dns megoldast mint a gyakorlatbol kiderult kb. 4-5 havonta. szoval eroforraskimeles miatt maradok az utobbinal.

--
HUP te Zsiga !

A helyzet az, hogy itt 27 olyan nagyobb rendszer (virtuális gép) van amelyeken egyenként 1-2 ezer domain levelezése van. Ha domainenként átlagosan csak 2-3 postafiókot számolunk, az is elég sok. Ezekre a postafiókokra naponta nem kevés spam próbál beérkezni. Az ezekkel való foglalkozás (a levelet fogadni kell és meg kell vizsgálni, majd visszautasítani ha spam) jelentős erőforrás (cpu, memória) terhelést okoz.

Az a döntés született, hogy az erőforrásokat őrizzük meg a felhasználóknak és próbáljuk meg kizárni azokat akik szükségtelenül fogyasztják. Ezért a potenciális spam küldők ip címeit a hálózati rétegben kitiltjuk. Így a levél egyáltalán nem jut el az MTA-ig és megspóroljuk a levélszűréssel járó erőforrás költségeket. Teljes ip tartományokat soha nem tiltunk mert azzal vétlen szervereket is kizárhatunk a levélküldésből.

A domain listát naponta gyűjtjük össze ezekről a szerverekről és a kapott domain listából az SPF rekordok alapján aktualizáljuk a tiltó listát is.

Te milyen dns megoldást használsz, ha nem nagy kérés részleteznéd?

hat a Szenti felet.
https://hup.hu/node/155731#comment-2148865

mondjuk itt csak 3000 user van.

MariaDB [vmail_teszt]> select count(*) from users;
+----------+
| count(*) |
+----------+
| 3046 |
+----------+
1 row in set (0.00 sec)

--
HUP te Zsiga !

Épp tegnap vettem észre, hogy a SpamAssassin ugrik az újonnan beregelt domainekre. Nosza, meg is támogattam kicsit a pontozásban.

# new domain
score URIBL_RHS_DOB 2.0

Koszi a tippet! :)

Ezzel én nagyon sokat kiszűrök:

cat /etc/postfix/body_checks 
/\/00.jpg/ REJECT SPAM
/\/ub.php\?/ REJECT SPAM
/\/aa.php\?/ REJECT SPAM

ha valaki domain alapjan szur, akkor friss mai ropogos :

wpsconsultant.com
flicpkart.com
cdeloitte.com
klenzfs.com
parscancer.info

--
HUP te Zsiga !

Ez így egyénileg szerintem elég reménytelen küzdelem.

biztos.
nalam a dns megoldas mukodik, ezerszam halassza le a cuccot; de miert ne segitsek azokon, akik nem ezt preferaljak ?

--
HUP te Zsiga !

Az nem segítség, hogy ide kiírod. Ha üzemeltetsz egy RBL-t, amit mások automatice tudnak használni, az már segítség.
Persze az igazi segítség az lenne, ha ez az RBL nagyobbrészt automatikusan épülne is (azaz az 1. vagy a 2. hit berakná a domaint, és x száz másik MTA is rögtön elkezdené szűrni - mert mire kézzel reagálsz, addigra n másik gépen is már bepróbálkozott a zombihad).

legyen igazad. bar ehhez a brigadhoz felesleges az rbl, a megoldas ugyanugy dns alapu, mint fentebb emlitve volt, ott a Szenti fele plugin, tessen hasznalni.

--
HUP te Zsiga !

aki iptablessel szur, annak :
212.162.148.0/24

aki nev alapjan :

jetbrainz.com
yyndam.info
downloadispeed.com
foxnewsskin.com
servimetalic.com
tintinplay.info
drkheirandish.info
eskortsepeti.com
digipaver.com
brodivers.info
maajagdamba.info
sharecamnews.com
tuannunci.info
warisjute.com
digitalcasi.info
sgeoverseas.com
bayhighsoccer.info
goldenpures.com
nikamusicaltoys.info
nigeeks.info
hdkmimarlik.com
dronetamircisi.com
gabinetelinca.info

mariocavett.com
kurtasaree.com
aficulinarytour.info
jkstartups.com
bakecore.info
centuryexpres.com
mahaeeducation.info
saiedutrust.com
atkakala.info
rakeshsahu.com
culturaguayupe.info
tadgood.info
mariocavett.com
thevauxhalls.com
oddnessfly.info
tharkibilla.info
wishecom.com
srisaiind.info
trueboox.com
garalife.com
jecourse.info

--
HUP te Zsiga !

Amellett, hogy nagyon köszi! :) Nem akarsz erre egy dns-t fenttartani? Vagy ha erőforrás igényes, akkor egy txt-t frissíteni, amit pl. csinálnak az ipset-blacklist-hez is? Hatékonyabbnak tünne.

Ezen vagy valami hasonlón már én is gondolkodom egy ideje. Mondjuk egy HUP közösségi RBL és/vagy text alapú DNS, IP listán. De bevallom őszintén, sosem üzemeltettem ilyesmi(ke)t, s azt sem tudnám, hogy merre kellene hozzákezdeni.

Ha már utópia... Ki lehetne fundálni valamilyen adminisztrációs hierarchiát a fentivel kapcsolatban, s így nem az lenne, hogy mindenki orrba-szájba tiltogatna mindent, ami épp szembejön. Gondolom én...

---
Lehet, hogy kívül szőke vagyok, de belül sötét, oké?!

nem, dns alapu megoldasnak ottvan Szenti pluginje, mukodik frankon.

--
HUP te Zsiga !

Ami akkor működik, ha nem változik az IP. Én ettől előrébb mutató megoldára gondoltam :)

harom - negyhavonta updatelni kell valoban, de meg mindig jobb, mint egy ilyen nevlistat vagy az iptartomanyok listajat naponta karbantartani.
epp ezert rbl-t is csak ugylenne erdemes csinalni, ha valami automatizmus karbantartaná; most ido hianyaban nem irtam ossze, de a kiszurt mailokban tegnap este ota megint volt legalabb 15 uj domain meg nehany friss ip.

--
HUP te Zsiga !

Egyszerű, de nagyszerű: check_helo_access pcre:/etc/postfix/helo_access

# cat /etc/postfix/helo_access
/\.info$/ REJECT 550 "Spammer domain!"

Ezzel már baromi sok szart ki lehet szűrni.... Én még info-s domainről értelmes levelet nem kaptam. Ezután nem is fogok. :)
--
"Sose a gép a hülye."

Ma ment mellé az .icu is.. Hallottatok már erről? pff...
--
"Sose a gép a hülye."

.icu ...
Én csak Icukáról hallottam, ő a C*A-ban serénykedik marketing részlegen :D

és áttérnek a .com-ra vagy a .hu-ra akkor a biztonság kedvéért tiltod azokat is?

KoviX

Nem, de mivel az elmúlt 10 év levelezésében keresve kb. egyetlen értelmes levél sem jött info-ról (sőt, igazából úgy egyáltalán levél se...), ezért szívfájdalom nélkül kitiltottam.
--
"Sose a gép a hülye."

2001 óta levelezek .info tld-ről. Roppant morcos lennék ha kiderülne hogy valakinek azért nem tudok e-mailt küldeni, mert az üzemeltetője jó megoldásnak tartja levélszemét szűrésnél a teljes tld tiltását.

Attól hogy jó ötletnek tűnik, még nem az.

KoviX

Ez van. Főleg spammerek használják, a könnyű, gyors és minimális verifikációt igénylő regisztráció miatt. IP tartomány tiltásánál is megszívják a hostingba azok, akik ebbe a subnetbe vannak.
--
"Sose a gép a hülye."

Vegulis igy is lehet uzemeltetni :)

ha balf*sz a hosting szolgáltatóm átmegyek oda ahol nem az. Ha macera veszek egy tíz docsis vps-t ott ahol rend van, és áttolom rajta a leveleket. de csak nem fogok gmailt használni, mert az a jó, és pont com-ra végződik...

Részemről lezárva, nem hiszem hogy meg fogunk egyezni abban hogy jó, vagy szükségszerű-e amit csinálsz.

KoviX

Nem vagyunk hosting szolgáltató, és nem mondtam egy szóval se, hogy gmailt használj.
--
"Sose a gép a hülye."

Ha az ember hazai kkv szektorban üzemeltet, ahol ismeri a szereplőket és az exportképességet, akkor szerintem egyáltalán nem gáz amit csináltál. Sokan mindig abból indulnak ki, hogy minimum te vagy a freemail.

Szerintem az optimalizáció része, hogy nem végtelen nagy n-ekre utazunk, hanem az életből vett valós számok mentén vizsgálódunk, mert egyes megoldások csak nagy n-ek esetén optimálisak, míg mások nem. Ez esetben ráadásul volt ismert anyag, ami akár több év levelezése is lehetett. Nálam is kisebb veszteség lenne 1-1 levél elvesztése, mint sok szemét beengedése. Az üzleti folyamatokban ritka aki csak küld egy levelet és vár. Legtöbbször telefonos kommunikáció megelőzte a levélküldését.

Pár ügyfélnek biztosítjuk a levelezését. Nem a mennyiségre megyünk, hanem a minőségre. Tipikusan a mindenféle hostingoktól szoktuk őket elhozni, ahol megunták a korlátokat (általában zéró vagy minimális konfigurálási lehetőséged van, és persze nem tudsz utánanézni semminek, hogy miért nem ment el vagy jött be a levél), a spameket, hogy még mindig luxus az IMAP biztosítása, az SSL, TLS, vagy a nem-25-ös porton futó SMTP biztosítása. Volt olyan, akit áthoztunk, és pár nap után szólt, hogy nézzük már meg a levelezést, mert valami nem stimmel. Nagyon kevés levelet kapnak. Most így konkrétan nem tudják mi hiányzik, de nagyon kevés. Persze minden rendben volt, és a puhatolózás és pár intelligensebb userrel történő beszélgetés után kiderült, hogy semmi probléma, csak nem esik be 5 percenként valami spam vagy "hírlevél", és nem prüntyög a thunderbird...
Aztán van pár, akinek külön szervere van, ott meg mindent teljesen úgy állítunk, ahogy neki jó. Volt, aki kérte, hogy inkább vegyünk ki minden szűrést, inkább kitörli a napi 300 spamet, de ne dobjon vissza egy levelet se.
Továbbá abban is megegyezhetünk, hogy az info domainnek azért nem a legjobb a reputációja, szóval aki valami nagy komoly dolgot akar, az vesz hu-t, eu-t, com-ot vagy bármi mást amire szükség van.
--
"Sose a gép a hülye."

aki valami nagy komoly dolgot akar, az vesz hu-t, eu-t, com-ot vagy bármi mást

en a .biz es .xyz tld-kkel vagyok igy :-)

--
O1G

Mai termés: .icu
:D

Na igen, lehetne még sorolni pár ilyen tipikus spammer, adathalász vagy malware-t terjesztő domaint.
--
"Sose a gép a hülye."

nem ide

kérdés: postfix-ben szeretnem a leveleket droppolni aminek cirill karakter van a subject-ben.
Hogy lehet ezt megvalositani?

Ha base64-be van kódolva, akkor szerintem sehogy.
--
"Sose a gép a hülye."

ha koi-8r kodolast hasznal, (pl. Subject: [SPAM] =?koi8-r?B?79TLcM/K1MUg0MnT2M3P?= ) akkor viszont igen...

--
O1G

Ágyúval verébre:

https://iplists.firehol.org

Na, elkezdtem... Viszlát t-online email. Hogy hány rohadt helyen kell módosítanom az email címem...

Van egy tippem, hogy szándékosan csinálják...

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Mire gondolsz?

Szándékosan engdik tele spammel a levelezést, mert nem akarják fenntartani ezt az ingyenes, ugyanakkor költséges szolgáltatást, inkább hagyják hogy az ügyfelek eltavolodjanak a t-email környékéről is...

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Lehet benne valami. Nem olyan rég csináltak egy szanálást, ahol a nem használt postafiókokat törölték. Előtte meg egy darabig nem volt webmail, mert hogy "fejlesztik". Az lett a vége, hogy kaptunk egy magenta cukormázzal leborított horde mail-t, köszönjük. Ezt már említettem korábban is talán. Az utóbbi időben pedig egyre használhatatlanabb lett. Napi több "tonna" spam, aminek nagy része az érkezett mappában köt ki.
Most keresek valami használható szolgáltatót, ahol van IMAP is. A google is jó lenne, csak azokra is berágtam egyszer, töröltem a fiókomat, és azzal a névvel már nem tudom visszaállítani. Csináltam egy új fiókot az android miatt, de az meg "komolytalan", már foglalt volt az összes értelmes név.
Jelenleg protonmail tűnik még használhatónak, de ott meg az ingyenesben csak 500 MB van, és nincs IMAP. Lehet megér havi 5€-t, hogy legyen nagyobb tárhely és IMAP.
Van még régről egy icloud is, az sem rossz, de ott sincs IMAP.
Vagy saját domain+levelező szerver, de azt meg üzemeltetni kell...

"használható szolgáltatót, ahol van IMAP is."

2006-ban építettem az első szervert, már akkor sem tűnt extrának. Nem is értem ennyi év után miért okoz bárkinek is problémát.
Kell alá diszk, mert minden levél fent van. Na de ha az ügyfél kifizeti?
Az én olvasatomban, ahol nincs IMAP, onnan szaladni kell. Megragadtak a betárcsázós freemail pop3 korszakban :)

friss infó 2019
Az "EAN NUM LOG Kft." AS-ét 2018 novemberétől vidáman használja a "MAGYAR TÁRHELY Kft."
a friss spammer tartomány: 185.207.8.0/24

De saját stat alapján spamassassin alatt kb ez a szabály jelenleg kiszűr 600-700 spamet 7 nap alatt 1 emailcimre

askdns MAGYARSPAMSRV _AUTHORDOMAIN_ A 185.207.8.14
describe MAGYARSPAMSRV Domain part of FROM points to known spammer webserver
tflags MAGYARSPAMSRV net
score MAGYARSPAMSRV 10

Röviden:
A spameket küldő SMTP szerver IP címe nagyjából végtelen, viszont ennek a csapatnak van egy rossz szokása, mégpedig hogy a sapmek feladójának (Return-Path) a domain része mindig ugyanarra az IP-re mutat. (gyaniítom valami domain-owner-check miatt kényszerülnek rá)

Köszi, ez a pár sor jól jött... :)

Régen minden más volt... ma meg minden a régi.

mondhatni tavaly ize 2017 ota nincs uj a nap alatt.
https://hup.hu/node/155731#comment-2148865

--
HUP te Zsiga !

sub