Userbase

Users United
https://userbase.be/forum/

mailer-daemon spam

https://userbase.be/forum/viewtopic.php?t=35779

Pagina 1 van 1

mailer-daemon spam

Geplaatst: 04 nov 2012, 16:03
door Splitter
Een paar dagen geleden is er een ware mailer-daemon spamstorm beginnen binnenkomen op 1 van mijn mailadressen.
Tot op vandaag gaat deze door, voornamelijk omdat er blijkbaar nog meer als genoeg servers zijn die geen dkim of spf checks doen.

De mails zijn namelijk niet afkomstig van mijn server, en zouden dus ook totaal de dkim en spf testen niet doorstaan,
maar hier is blijkbaar geen enkele controle op bij de servers die me spammen met failure notices.
Het is weer eens wat andere spam...

Blijkbaar zijn de hele headers fake:

Code: Selecteer alles

Return-Path: <MIJN EMAILADRES>
Received: from 8787GOGO (218-166-195-38.dynamic.hinet.net [218.166.195.38])
	by obiwan.mehlrelay.de (8.13.8/8.13.8/SuSE Linux 0.8) with ESMTP id qA42vJCO011513
	for <[email protected]>; Sun, 4 Nov 2012 03:57:23 +0100
Received: from [218.166.195.38] by mail.MIJN.SERVER; Sun, 4 Nov 2012 19:22:54 +0800
Date: 	Sun, 4 Nov 2012 19:22:54 +0800
From: "Olga Abrams" <MIJN EMAILADRES>
X-Mailer: The Bat! (v2.00.2) Business
Reply-To: MIJN EMAILADRES
X-Priority: 3 (Normal)
Message-ID: <322965122.07118393017202@MIJNDOMEIN>
To: [email protected]
Subject: save 90% on watches! visit replica store
MIME-Version: 1.0
Content-Type: text/plain;  charset=windows-1250
Content-Transfer-Encoding: 7bit
X-Greylist: Recipient e-mail whitelisted, not delayed by milter-greylist-4.0 (obiwan.mehlrelay.de [217.7.63.5]); Sun, 04 Nov 2012 03:57:24 +0100 (CET)

                                         


Return-Path: <MIJN EMAILADRES>
Received: by mail.goetel.net (Postfix)
	id 247F26B0908; Sun,  4 Nov 2012 03:56:00 +0100 (CET)
Delivered-To: [email protected]
X-No-Auth: unauthenticated sender
X-No-Relay: not in my network
Received: from retail.dynamic.sify.net (unknown [118.95.59.226])
	by mail.goetel.net (Postfix) with ESMTP id D4F986B08F4
	for <[email protected]>; Sun,  4 Nov 2012 03:55:58 +0100 (CET)
Received: from [118.95.59.226] by mail.MIJN.SERVER; Sun, 4 Nov 2012 16:51:30 +0530
Date: 	Sun, 4 Nov 2012 16:51:30 +0530
From: 	"Marion Hawk" <MIJN EMAILADRES>
X-Mailer: The Bat! (v3.80.06) Educational
Reply-To: MIJN EMAILADRES
X-Priority: 3 (Normal)
Message-ID: <338527529.91259396241840@MIJNDOMEIN>
To: [email protected]
Subject: Beautiful quartz, water-resistant Replica watches
MIME-Version: 1.0
Content-Type: text/plain;  charset=iso-8859-2
Content-Transfer-Encoding: 7bit
gezien je in principe mailer-daemon mails niet mag bouncen, vraag ik me af wat hier dan de beste oplossing voor is?

Re: mailer-daemon spam

Geplaatst: 05 nov 2012, 20:11
door Splitter
niemand?

ik word er zo stilaan gek van om braaf te blijven en toch de joe job spam te ontwijken :(
ondertussen heb ik dus maar SA ingesteld om ook de mailer-daemon berichten te filteren,
maar ik wou eigenlijk een "mooiere" oplossing dan het ook allemaal in SA te gooien...

ondanks SPF en DKIM nemen servers van overal blijkbaar toch mail aan die niet van mij,
of mijn server, afkomstig is...
gaande van japan, rusland, engeland, tot duitsland en frankrijk...
ze passeren allemaal de revue.
en ondertussen met mijn nieuwe regels krijg ik nu zelfs confirm/notify's van yahoo groups japan :s

Re: mailer-daemon spam

Geplaatst: 05 nov 2012, 20:43
door meon
Een move-rule op die "spam" dan maar? (geen bounce)

Re: mailer-daemon spam

Geplaatst: 05 nov 2012, 21:00
door Splitter
jep, zoiets doe ik nu: accepten, door SA gooien, en dan gewoon naar /dev/null,
ben ik er ook (grotendeels) vanaf.

maar de last gaat maar door: "geldige" mailer-daemon failures (voor mails die nooit gezonden zijn),
"geldige" bevestigingen en auto-reply's, verify-human mails, ...

ik implementeer al een paar jaar SPF en DKIM, en heb SPF laatst nog maar wat strenger gemaakt,
maar het baat niet als de ontvangende server er geen enkele controle op doet,
en ik ben deze week echt gebombardeerd met spam als reactie op mails die ik niet verstuurd heb gehad.

wat ze allemaal in common hebben: allemaal de x-mailer: the bat.
wel verschillende versies, en hoogstwaarschijnlijk ook niet effectief van een the bat mailclient afkomstig, maar soit.
hetgene dat ik nog het meest frappant vond, is dat er zelfs een received header gefaked wordt:
Received: from [201.21.2.86] by mail.MIJN.DOMEIN; Tue, 6 Nov 2012 00:14:58 -0300 (ip varieert naargelang de spam mail)

onder andere door het feit dat al de andere headers ontbreken (ik laat mijn server onder andere een header toevoegen om aan te geven welke mailserver de mail behandelde), is er geen enkele twijfel dat het nooit door mijn mailserver gegaan is.

het valt wel aan te pakken, maar het is, op zijn minst, vervelend.
surtout als er straks nog mailservers gaan beslissen, zonder controle te doen, dat mijn mailadres een spammer is,
want dan krijg ik straks niets meer verstuurd.
(dat is eigenlijk hetgene waar ik het meest problemen mee heb: onterecht met mijn mailadres als spammer aanzien worden, gezien het mijn primair mailadres betreft)

Re: mailer-daemon spam

Geplaatst: 05 nov 2012, 22:21
door Splitter
eventueel voor anderen indien ze dit probleem zouden hebben of krijgen:

ik controleer nu ook tegen ips.backscatterer.org .
de meeste van de foutgeconfigureerde mailservers die me spam bezorgden, staan op die lijst.

hopelijk ben ik er nu vanaf :)

Re: mailer-daemon spam

Geplaatst: 05 nov 2012, 22:21
door meon
Ik heb nu pas door dat SA = SpamAssassin.

Re: mailer-daemon spam

Geplaatst: 05 nov 2012, 22:29
door Splitter
kan gebeuren als de afkorting hier niet genoeg gebruikt wordt ;)

maar momenteel (hout vasthouden) lijk ik ervan af te zijn.
Alle tijden zijn UTC+02:00
Pagina 1 van 1

Powered by phpBB® Forum Software © phpBB Limited

Nederlandse vertaling door phpBB.nl.