Am 18.07.2017 um 18:32 schrieb Joachim Fahrner: > Hallo Liste, > es gibt da einen ziemlich üblen kriminellen Burschen namens Mario > Rönsch. Der hat diverse Datenbanken gehackt und sich deren Mailadressen > bemächtigt. Nun schickt der Typ penetrant rechtsextreme Mails an all > diese Adressen. Ihm gehört die Seite anonymousnews.ru, früher > migrantenschreck.ru (das war ein Onlineshop der ihm von den Behörden > dicht gemacht wurde), und mittlerweile betreibt er einen neuen Shop > patriotenshop.com für den er Werbung macht. > > Ich hab keinen Plan wie ich den effektiv blocken kann. Ich weiß auch > nicht wie er es schafft unter dem Radar diverser Blacklists zu bleiben. > Wahrscheinlich, weil seine Adressen eben echte Adressen sind und keine > Honigtöpfe. > Hat jemand eine Idee? > Das ist eine aktuelle Mail von ihm: > > Jul 18 18:06:04 server postfix/postscreen[8738]: CONNECT from > [193.70.118.115]:62287 to [172.31.1.100]:25 > Jul 18 18:06:04 server postfix/dnsblog[8739]: addr 193.70.118.115 listed > by domain dnsbl-2.uceprotect.net as 127.0.0.2 > Jul 18 18:06:04 server postfix/postscreen[8738]: PREGREET 11 after 0.01 > from [193.70.118.115]:62287: EHLO User\r\n > Jul 18 18:06:04 server postfix/postscreen[8738]: DNSBL rank 2 for > [193.70.118.115]:62287 > Jul 18 18:06:04 server postfix/postscreen[8738]: DISCONNECT > [193.70.118.115]:62287 > Jul 18 18:09:01 server postfix/postscreen[8938]: CONNECT from > [198.2.181.10]:29100 to [172.31.1.100]:25 > Jul 18 18:09:01 server postfix/postscreen[8938]: PASS OLD > [198.2.181.10]:29100 > Jul 18 18:09:01 server postfix/smtpd[8939]: connect from > mail10.suw17.mcsv.net[198.2.181.10] > Jul 18 18:09:05 server postgrey[2574]: action=pass, reason=triplet > found, delay=907, client_name=mail10.suw17.mcsv.net, > client_address=198.2.181.10, s > ender=bounce-mc.us16_78343126.45573-jf=fahrner.n...@mail10.suw17.mcsv.net, > [email protected] > Jul 18 18:09:05 server postfix/policyd-weight[23996]: decided > action=PREPEND X-policyd-weight: using cached result; rate: -6.1; > <client=mail10.suw17.m > csv.net[198.2.181.10]> <helo=mail10.suw17.mcsv.net> > <from=bounce-mc.us16_78343126.45573-jf=fahrner.n...@mail10.suw17.mcsv.net> > <[email protected]>; d > elay: 0s > Jul 18 18:09:05 server postfix/smtpd[8939]: D52EC1000F7: > client=mail10.suw17.mcsv.net[198.2.181.10] > Jul 18 18:09:05 server postfix/cleanup[8983]: D52EC1000F7: > message-id=<78975410ea83919029406d9c3.90be32de70.20170718155312.e4577d47ca.b67f221f@mail10. > > suw17.mcsv.net> > Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: > mail10.suw17.mcsv.net [198.2.181.10] not internal > Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: not authenticated > Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: DKIM verification > successful > Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: s=k1 > d=mail10.suw17.mcsv.net SSL > Jul 18 18:09:06 server opendmarc[3989]: D52EC1000F7: patriotenshop.com none > Jul 18 18:09:06 server spamd[16259]: spamd: got connection over > /var/run/spamd.sock > Jul 18 18:09:06 server spamd[16259]: spamd: processing message > <78975410ea83919029406d9c3.90be32de70.20170718155312.e4577d47ca.b67f2...@mail10.suw17.mcsv.net> > for jf:116 > Jul 18 18:09:08 server spamd[16259]: spamd: clean message (1.1/5.0) for > jf:116 in 1.4 seconds, 67257 bytes. > Jul 18 18:09:08 server spamd[16259]: spamd: result: . 1 - > HEADER_FROM_DIFFERENT_DOMAINS,HTML_MESSAGE,MIME_QP_LONG_LINE,T_DKIM_INVALID,UNPARSEABLE_RELAY,URIBL_GREY > scantime=1.4,size=67257,user=jf,uid=116,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=/var/run/spamd.sock,mid=<78975410ea83919029406d9c3.90be32de70.20170718155312.e4577d47ca.b67f2...@mail10.suw17.mcsv.net>,autolearn=no > autolearn_force=no > Jul 18 18:09:08 server postfix/qmgr[22427]: D52EC1000F7: > from=<bounce-mc.us16_78343126.45573-jf=fahrner.n...@mail10.suw17.mcsv.net>, > size=66809, nrcpt=1 (queue active) > Jul 18 18:09:08 server spamd[6562]: prefork: child states: II > Jul 18 18:09:08 server postfix/smtpd[8939]: disconnect from > mail10.suw17.mcsv.net[198.2.181.10] > Jul 18 18:09:08 server postfix/pipe[8985]: D52EC1000F7: to=<...>, > orig_to=<[email protected]>, relay=dovecot, delay=6.6, > delays=6.5/0.02/0/0.13, dsn=2.0.0, status=sent (delivered via dovecot > service) > Jul 18 18:09:08 server postfix/qmgr[22427]: D52EC1000F7: removed >
sowas gab es schon mal ,war aber sehr primitiv damals man konnte mit body checks arbeiten , da die Botschaften sehr primitiv und einfoermig waren, haste mal ein Beispiel des contents ? Best Regards MfG Robert Schetterer -- [*] sys4 AG http://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG, 80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein
