Es geht mir langsam auf die Nerven. Am Tag bekomme ich mindestens 10 solcher Mails. Dabei Frage ich mich, was diejenigen, die sowas versenden, überhaupt erwarten.

Ich frage mich ferner, von wo aus die Mails versendet werden und woher der Versender meine E-Mail-Adresse nimmt. Überraschenderweise kommt es auch oft vor, das mein E-Mail-Programm eine Empfängeradresse anzeigt, die nicht mit meiner E-Mail-Adresse übereinstimmt.

Ich habe es mir mal herausgenommen, die Versender-IP zu nmappen:



stephan@Steph64 ~ $ nmap 76.170.82.136

Interesting ports on 76.170.82.136:
(The 1662 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
135/tcp filtered msrpc
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
593/tcp filtered http-rpc-epmap
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
5000/tcp open UPnP

Nmap finished: 1 IP address (1 host up) scanned in 226.936 seconds


Mein Mail-Programm sagt:



Date: Tue, 13 Feb 2007 22:10:53 +0300
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0000_0E46FC84.9664A5D7"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-TOI-SPAM: u;0;2007-01-14T19:18:22Z
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: d9045407-35d3-4b22-b2ea-9532f8311754


Es sollte klar sein, welches Betriebssystem da zum Einsatz kommt. Ist der Versender vielleicht Teil eines Bot-Netzes?

Gruß Stephan

Keine Ahnung, frag doch mal. netsend sollte dein Freund sein. ;) Ich denke schon das der "arme" User hinter der Kiste nichts von seinem Glück weiß.

Ein Visual Basic Programm soll mein Freund sein? :-/

Hallo,

auf meinem Mailsystem haben wir solche BOT-Netze, die über
dynamische Adressen versenden, einfach ausgesperrt. Das hat etwa
80 % der SPAM Mails erledigt.

Viele Grüße

Eicke

P.S. Wechsele den Provider!

@netzmeister
Du kannst mir nicht zufälligerweise sagen, wie du die ausgesperrt hast? Das wäre ein wunderbares "upgrade" für meinen Postfix. :ugly:

Am Tag bekomme ich mindestens 10 solcher Mails.
Nur 10? Das ist ja noch zweistellig, freu dich darüber, das wird noch mehr werden.


Dabei Frage ich mich, was diejenigen, die sowas versenden, überhaupt erwarten.
Dass 0,01% der Empfänger das beworbene Produkt kaufen. Damit sind sie wieder im Plus.


Ich frage mich ferner, von wo aus die Mails versendet werden und woher der Versender meine E-Mail-Adresse nimmt.
Meist wird über Zombies (als Teil eines größeren Botnet) oder gekaperte dedizierte Server versendet (in der aktuellen c't ist ein netter Artikel darüber). Deine E-Mail-Adresse haben sie aus verschiedenen Quellen, z. B. Webseiten, Newsgroups, Mailinglisten oder weil du mal an einem Gewinnspiel teilgenommen hast.


Überraschenderweise kommt es auch oft vor, das mein E-Mail-Programm eine Empfängeradresse anzeigt, die nicht mit meiner E-Mail-Adresse übereinstimmt.
Willkommen im 21. Jahrhundert. SMTP erlaubt es leider, den Absender beliebig zu fälschen und der Empfänger muss auch nicht mit dem im To-Header angegebenen Empfänger übereinstimmen.


Es sollte klar sein, welches Betriebssystem da zum Einsatz kommt. Ist der Versender vielleicht Teil eines Bot-Netzes?
Ja.


Ein Visual Basic Programm soll mein Freund sein? :-/
Wenn du es bevorzugst auch `smbclient -M [...]`.


Du kannst mir nicht zufälligerweise sagen, wie du die ausgesperrt hast?
Ich tippe auf eine entsprechende RBL. Mails aus bekannten Dial-Up-Bereichen muss man ja nicht unbedingt annehmen...

Deine E-Mail-Adresse haben sie aus verschiedenen Quellen, z. B. Webseiten, Newsgroups, Mailinglisten oder weil du mal an einem Gewinnspiel teilgenommen hast.

...oder irgend ein Rechner wurde gehackt, der meine Adresse im Adressbuch/Posteingang hatte.

Die Frage ist nur, sendet jeder Zombie an Adressen, die er lokal abgelegt hat (Outlook, Browser-Cache, etc.) oder gibt es zentrale Server die Listen für Zombies bereitstellen?

Könnte einer der Ports, die NMAP da anzeigt, für die Kontrolle des Rechner genutzt werden können?

Gruß Stephan

Die Frage ist nur, sendet jeder Zombie an Adressen, die er lokal abgelegt hat (Outlook, Browser-Cache, etc.) oder gibt es zentrale Server die Listen für Zombies bereitstellen?
Ich bin sicher, dass das von der Implementierung des jeweiligen Schadprogramms abhängt. Vermutlich werden die Empfänger zusammen mit der zu versendenden E-Mail an den Client geliefert. Wenn du es genau wissen willst, besorg dir den Quellcode eines dieser Programme (sollte nicht allzuschwer sein) und schau darin nach.


Könnte einer der Ports, die NMAP da anzeigt, für die Kontrolle des Rechner genutzt werden können?
Unwahrscheinlich, die Verbindung geht i. d. R. vom infizierten Rechner zum Server, nicht anders herum.

@netzmeister
Du kannst mir nicht zufälligerweise sagen, wie du die ausgesperrt hast? Das wäre ein wunderbares "upgrade" für meinen Postfix. :ugly:
Das würde mich aber auch brennend interessieren :rolleyes:

Das würde mich aber auch brennend interessieren :rolleyes:

Und mich erst ;)

Gruß,
Ace

Sucht mal nach DUL
z.B.
http://www.spamhaus.org/pbl/
http://www.au.sorbs.net/faq/dul.shtml
Zu Risken und Nebenwirkungen bitte gruendlich einlesen.

Interessant: wie sind eure Erfahrungen damit? Enthält die pbl von spamhaus wirklich nur Wählzugänge?

Ich halte von Blacklisting gar nichts.

1) Ein vernünftig konfigurierter Spamfilter, gerne selbstlernend, sortiert sowieso alles aus
2) Werden auf solchen listen oftmals auch MTAs gelistet bei denen der mauiladmin vergessen hat die per RFC vorgeschriebenen Addys wie abuse@domain einzurichten. Ist mir auch schon passiert :ugly: , ist für mich aber kein Grund das man auf eine RBL gepackt wird.

3) Dann wuerd ich eher noch Sachen wie Pyzor, Razor oder DCC empfehlen bei denen per (unscharfen) Checksummen gearbeitet wird.

Ich könnte nicht damit leben das ich Mails einer kompletten domain nicht bekomme weil irgendein Honk meint sie auf eine RBL zu packen...

mfg
cane

1) Ein vernünftig konfigurierter Spamfilter, gerne selbstlernend, sortiert sowieso alles aus


Na willst du da nicht mal ein HowTo für schreiben? Mein selbstlernender Spamassassin inkl. Razor sortiert mitnichten _alles_ aus.

Gruß,
Ace

Na willst du da nicht mal ein HowTo für schreiben? Mein selbstlernender Spamassassin inkl. Razor sortiert mitnichten _alles_ aus.

Keine Zeit momentan, zu viele Tasks @office...

Kannst Du deine schlechten Filterergebnisse in Zahlen ausdrücken?

mfg
cane