Hi,
ein Kunde von mir wurde leider Opfer einer SPAM Attacke. Dies bedeutet, das mein Mailserver mitlerweile nur noch damit beschäftigt ist, die SPAM Mails anzunehmen und dem Kunden ins Postfach zu schieben.

Bei mir läuft Postfix als Mailserver. Andere Kunden sind nicht betroffen, nur eine Emailadresse eines Kunden. Habe schon versucht einige IP Adressen zu blocken, allerdings brignt dies keinen erfolg.
RBL Blocking listen laufem auf dem Server schon seit ewigkeiten.

Was kann ich tun, damit dies aufhört ?

Ich empfehle Greylisting - ist supereinfach zu konmfigurieren und selbstlernend:

http://www.huschi.net/4_220_de.html
http://www.debuntu.org/postfix-and-postgrey-a-proactive-approach-to-spam-filtering
http://postgrey.schweikert.ch/


mfg
cane

Ja Greylisting ist sehr wirksam, blockiert bei mir in etwa 90% aller Spams mal standardmäßig.

Allerdings musst du dann mit einer kleinen Verzögerung der Mails rechnen (kommt natürlich auf deine Einstellungen an und auf die des absendenden Mailservers ist aber im Schnitt bei etwa 5 Minuten).

habe postgrey installiert. einige werden nun auch geblockt. aber es kommen immernoch tonnen von mails durch. hier mal die ausgabe von mail.info



Sep 17 14:50:10 web201 postfix/smtpd[3717]: disconnect from ns1.spin.ru[217.21.110.9]
Sep 17 14:50:10 web201 postfix/smtpd[3671]: connect from mx12.jaring.my[61.6.32.176]
Sep 17 14:50:10 web201 postfix/smtpd[3717]: connect from ftp.vil.com.ua[195.69.134.131]
Sep 17 14:50:11 web201 postfix/smtpd[3691]: connect from kremen.ukrtel.net[213.179.250.2]
Sep 17 14:50:11 web201 postfix/smtpd[3717]: NOQUEUE: reject: RCPT from ftp.vil.com.ua[195.69.134.131]: 450 <info@alsweder-baustoffhandel.de>: Recipient address rejected: Greylisted, see http://isg.ee.ethz.ch/tools/postgrey/help/alsweder-baustoffhandel.de.html; from=<> to=<info@alsweder-baustoffhandel.de> proto=ESMTP helo=<news.vil.com.ua>
Sep 17 14:50:11 web201 postfix/smtpd[3691]: NOQUEUE: reject: RCPT from kremen.ukrtel.net[213.179.250.2]: 450 <info@alsweder-baustoffhandel.de>: Recipient address rejected: Greylisted, see http://isg.ee.ethz.ch/tools/postgrey/help/alsweder-baustoffhandel.de.html; from=<> to=<info@alsweder-baustoffhandel.de> proto=ESMTP helo=<smtp.kr.ukrtel.net>
Sep 17 14:50:11 web201 postfix/smtpd[3681]: connect from mail.interzet.ru[89.113.73.200]
Sep 17 14:50:11 web201 postfix/smtpd[3691]: disconnect from kremen.ukrtel.net[213.179.250.2]
Sep 17 14:50:11 web201 postfix/smtpd[3692]: connect from 93-81-25-73.broadband.corbina.ru[93.81.25.73]
Sep 17 14:50:11 web201 postfix/smtpd[3679]: connect from valet.esatclear.ie[194.145.128.71]
Sep 17 14:50:11 web201 postfix/smtpd[3690]: connect from exmail.uex.es[84.124.26.161]
Sep 17 14:50:12 web201 postfix/smtpd[3681]: NOQUEUE: reject: RCPT from mail.interzet.ru[89.113.73.200]: 450 <info@alsweder-baustoffhandel.de>: Recipient address rejected: Greylisted, see http://isg.ee.ethz.ch/tools/postgrey/help/alsweder-baustoffhandel.de.html; from=<> to=<info@alsweder-baustoffhandel.de> proto=ESMTP helo=<mail.interzet.ru>
Sep 17 14:50:12 web201 postfix/smtpd[3679]: NOQUEUE: reject: RCPT from valet.esatclear.ie[194.145.128.71]: 450 <info@alsweder-baustoffhandel.de>: Recipient address rejected: Greylisted, see http://isg.ee.ethz.ch/tools/postgrey/help/alsweder-baustoffhandel.de.html; from=<> to=<info@alsweder-baustoffhandel.de> proto=ESMTP helo=<superior.esatclear.ie>
Sep 17 14:50:12 web201 postfix/smtpd[3679]: disconnect from valet.esatclear.ie[194.145.128.71]
Sep 17 14:50:12 web201 postfix/smtpd[3690]: NOQUEUE: reject: RCPT from exmail.uex.es[84.124.26.161]: 450 <info@alsweder-baustoffhandel.de>: Recipient address rejected: Greylisted, see http://isg.ee.ethz.ch/tools/postgrey/help/alsweder-baustoffhandel.de.html; from=<> to=<info@alsweder-baustoffhandel.de> proto=SMTP helo=<smtp.tuies.net>
Sep 17 14:50:12 web201 postfix/smtpd[3671]: NOQUEUE: reject: RCPT from mx12.jaring.my[61.6.32.176]: 450 <info@alsweder-baustoffhandel.de>: Recipient address rejected: Greylisted, see http://isg.ee.ethz.ch/tools/postgrey/help/alsweder-baustoffhandel.de.html; from=<> to=<info@alsweder-baustoffhandel.de> proto=ESMTP helo=<mx12.jaring.my>
Sep 17 14:50:12 web201 postfix/smtpd[3690]: disconnect from exmail.uex.es[84.124.26.161]
Sep 17 14:50:12 web201 postfix/smtpd[3686]: connect from stylegift.ru[62.213.74.76]
Sep 17 14:50:13 web201 postfix/smtpd[3686]: NOQUEUE: reject: RCPT from stylegift.ru[62.213.74.76]: 450 <info@alsweder-baustoffhandel.de>: Recipient address rejected: Greylisted, see http://isg.ee.ethz.ch/tools/postgrey/help/alsweder-baustoffhandel.de.html; from=<> to=<info@alsweder-baustoffhandel.de> proto=SMTP helo=<www.stylegift.ru>
Sep 17 14:50:13 web201 postfix/smtpd[3671]: disconnect from mx12.jaring.my[61.6.32.176]
Sep 17 14:50:13 web201 postfix/smtpd[3686]: disconnect from stylegift.ru[62.213.74.76]
Sep 17 14:50:14 web201 postfix/smtpd[3717]: disconnect from ftp.vil.com.ua[195.69.134.131]
Sep 17 14:50:14 web201 postfix/smtpd[3692]: NOQUEUE: reject: RCPT from 93-81-25-73.broadband.corbina.ru[93.81.25.73]: 450 <assyrian@alsweder-baustoffhandel.de>: Recipient address rejected: Greylisted, see http://isg.ee.ethz.ch/tools/postgrey/help/alsweder-baustoffhandel.de.html; from=<dwshadowshopperm@shadowshopper.com> to=<assyrian@alsweder-baustoffhandel.de> proto=ESMTP helo=<intelpentiumiv>
Sep 17 14:50:14 web201 postfix/smtpd[3692]: lost connection after DATA from 93-81-25-73.broadband.corbina.ru[93.81.25.73]
Sep 17 14:50:14 web201 postfix/smtpd[3692]: disconnect from 93-81-25-73.broadband.corbina.ru[93.81.25.73]
Sep 17 14:50:16 web201 postfix/smtpd[3679]: connect from smtp1.ojc.nuvio.net[208.77.12.51]
Sep 17 14:50:16 web201 postfix/smtpd[3692]: connect from apolo.xtreme-net.ro[89.39.192.13]
Sep 17 14:50:17 web201 postgrey[3523]: delayed 469 seconds: client=apolo.xtreme-net.ro, from=, to=info@alsweder-baustoffhandel.de
Sep 17 14:50:17 web201 postfix/smtpd[3692]: 08A4D5F123: client=apolo.xtreme-net.ro[89.39.192.13]


es steht immer als sender MAILER-DAMON.

Das sind sozusagen alles Bounces? Wird also diese Emailaddresse als Absenderaddresse missbraucht? Und Du bekommst dann die Rückläufer? Ich schätze mal da kannst Du im Moment nix machen ausser alle Bounces irgendwie umzuleiten.

das kann gut sein, weil es sind definitiv alles mails vonwegen mailadresse unbekannt.

gar nicht mal dumm, so wird keine dieser mails als spam deklariert.

was heißt umleiten?

zur zeit hab ich das postfach gesperrt, so dass keine neue mail mehr angenommen werden kann.

blöde sache das
hilft glaub ich nur noch neu mailadresse anlegen und die dann nutzen
-vllt alte löschen damit die spams vom server gleich abgelehnt werden

und dann dem kunden verklickern, dass er dieses mal die mailadresse nicht einfach so publizieren soll sondern vllt mit nem [at] oder (a) o.ä. auf webseiten angeben.

wir haben unseren leuten die den mailserver benutzen zumindest so mitgeteilt und spam mäßig kommt eigentlich garnix an bzw durch den filter

hab die mailadresse jetzt einen tag lang gesperrt udn heute wieder zur verfügung gestellt. nun hat das ganze ein ende. ein segen. danke.

naja die mailadresse wird ja beim spammer nicht einfach gelöscht - denke mal das es nur ne frage der zeit ist, bis es wieder von vorne losgeht

nun hat das ganze ein ende.

beim naechstenmal - das sicher irgendwann mal wieder kommt

-> alles email von MAILER-DAMON an /dev/null leiten, dann hast du im posteingang auch ruhe.....

mh eine frage. wie leite ich sie an /dev/null um?

udn zweitens. dadurch kommt doch mein postfix trotzdem ins schwitzen, wenn er hunderte mails pro sekundeempfängt und diese ins nirvana sendet..

-> alles email von MAILER-DAMON an /dev/null leiten, dann hast du im posteingang auch ruhe.....
Tolle Idee, wenn man auch auf legitime Bounces verzichten will. Also eigentlich ein No-Go.

Dann eher solche Sachen wie SPF benutzen, so dass wenigstens einige MTAs merken, dass die E-Mails nicht von dem Server kamen und dann keine DSN schicken. Und natürlich http://www.postfix.org/BACKSCATTER_README.html lesen. Die Dokumentation gibt es nicht umsonst.

Hallo,

wie wäre es mit SPF Einträgen im DNS SErver?

Viele Grüße

Eicke