[postfix-users] massiver spam Anstieg

Christian Boltz postfix-users at cboltz.de
Do Mai 21 15:53:44 CEST 2009 

Hallo Patrick, hallo Leute,

Am Dienstag, 19. Mai 2009 schrieb Patrick Ben Koetter:
> Ralf und ich sehen seit ca. 2 Wochen auch mehr SPAM auf Server
> zukommen. Heute verzeichnen wir keinen Anstieg.

Naja, kommt drauf an[tm] ;-)

Ich finde es in den letzten Tagen besonders lustig, wie mein Faulpelz-MX 
[1] bombardiert wird. Ich hatte schon Tage, wo von einer einzelnen IP 
40.000 Einlieferungsversuche (mit identischem Absender und Empfänger) 
probiert wurden. Zu blöd, dass er immer nur mit '451 I'm a Faulpelz' 
antwortet ;-)

> Interessant finde ich, dass es Premium Spam ist - handoptimiert und
> fast immer haarscharf unterm Schwellwert hindurch.

Was ich schon längere Zeit interessant finde: Der Spam, der bei mir 
durchkommt, geht großteils an die Adresse in meinem GPG-Key. Ob da 
jemand einen Keyserver abgegrast hat und nun diese Adressen mit
"optimiertem" Spam versorgt?

Spam an meine anderen Adressen gibt es natürlich auch, aber der wird
von Blacklisten und Spamassassin deutlich erfolgreicher rausgefiltert.

> sourceforge.net scheint mißbraucht zu werden. Habe ich mir aber noch
> nicht näher angesehen.

Oh ja. Man schickt Spam an benutzername at users.sourceforge.net und der 
Sourceforge-Server leitet ihn brav an den jeweiligen User weiter, auch 
wenn die Mails eindeutig Spam sind (>15 Punkte laut 
Sourceforge-Spamheader).

Die Methode hat für den Spammer gleich noch den Vorteil, dass die 
Blacklisten-Checks auf meinem Server nicht mehr anschlagen - 
mx.sourceforge.net steht sogar auf einer Whitelist und kommt bei
meinem Spamassassin mit 3 oder 4 Punkten durch.

Ich hab das Problem auch mal bei Sourceforge gemeldet. Die Details könnt 
Ihr unter http://apps.sourceforge.net/trac/sourceforge/ticket/724 
nachlesen, jedenfalls ist Sourceforge unfähig und/oder unwillig, Spam zu 
REJECTen :-(

Daher war ich die letzten Tage etwas am Basteln, um das Problem auf 
meiner Seite zu lösen.

Blöderweise kann Spamassassin nicht auf externe X-Spam-* Header filtern 
(warum auch immer, jedenfalls werden diese Header im Code ausdrücklich 
ignoriert). Letztenendes habe ich doch noch einen "funktionierenden" 
Header gefunden, den der Sourceforge-Server setzt: X-VA-Spam-Flag


Derzeit habe ich folgende Einträge in meiner local.cf (meine "echte"
Sourceforge-Mailadresse habe ich hier durch USERNAME ersetzt):

# Hilfsregel, um die folgenden Regeln weitgehend auf meine Sourceforge-Adresse zu beschränken
header    CB_TO_CBOLTZ_SOURCEFORGE      To =~ /USERNAME.users.sourceforge.net/i
describe  CB_TO_CBOLTZ_SOURCEFORGE      Sent to USERNAME at users.sourceforge.net
score     CB_TO_CBOLTZ_SOURCEFORGE      0.001

# X-Spam-Score und einige andere X-Spam-Header werden grundsaetzlich ignoriert.
# daher funktioniert die folgende Regel nicht :-/
#header    CB_COMES_WITH_SPAMSCORE       X-Spam-Score =~ /^[0-9][0-9]/i
#describe  CB_COMES_WITH_SPAMSCORE       Contains X-Spam-Score header with at least 10 points
#score     CB_COMES_WITH_SPAMSCORE       0.001

# X-VA-Spam-Flag wird nicht ignoriert ;-)
header    CB_COMES_WITH_VA_SPAM_FLAG    X-VA-Spam-Flag =~ /YES/i
describe  CB_COMES_WITH_VA_SPAM_FLAG    Contains X-VA-Spam-Flag: YES header
score     CB_COMES_WITH_VA_SPAM_FLAG    1

# die folgende body-Regel (für Bounces) funktioniert leider nicht - warum?
body      CB_BODY_COMES_WITH_SPAMSCORE  /X-VA-Spam-Flag:[   ]*YES/i
describe  CB_BODY_COMES_WITH_SPAMSCORE  Contains X-VA-Spam-Flag: YES in body (bounce?)
score     CB_BODY_COMES_WITH_SPAMSCORE  0.001

# <Marktschreier>Punkte! Braucht jemand Punkte?</Marktschreier> ;-)
meta      CB_SPAM_RELAYED_BY_SOURCEFORGE          (CB_TO_CBOLTZ_SOURCEFORGE && CB_COMES_WITH_VA_SPAM_FLAG)
describe  CB_SPAM_RELAYED_BY_SOURCEFORGE          Spam sent to USERNAME at users.sourceforge.net
score     CB_SPAM_RELAYED_BY_SOURCEFORGE          3

meta      CB_SPAM_BOUNCED_BY_SOURCEFORGE          (CB_TO_CBOLTZ_SOURCEFORGE && CB_BODY_COMES_WITH_SPAMSCORE)
describe  CB_SPAM_BOUNCED_BY_SOURCEFORGE          Spam sent to USERNAME at users.sourceforge.net
score     CB_SPAM_BOUNCED_BY_SOURCEFORGE          0.1

Damit blocke ich den via Sourceforge eingehenden Spam recht zuverlässig.
Als Nebeneffekt mache ich Sourceforge zum Backscatterer - aber das ist mir
nach ihrer Reaktion auf meine Anfrage ehrlich gesagt ziemlich egal *g*

Verbleibendes Problem ist dann aber ironischerweise doch Sourceforge-
Backscatter - einige Spammer setzen die @users.sourceforge.net-Adresse 
nämlich auch als Absender ein. Ich bekomme dann lustige Bounces mit 
dem Hinweis, dass mein Server die Mail als Spam abgelehnt hat.

Hat jemand eine Idee, warum meine body-Regel nicht greift? (Nein, es
liegt nicht an der geringen Punktzahl - die Regel trifft wirklich nicht.)

> Auf anderen, ausländischen Server sehe ich aber keine Anstieg -
> zumindest auf denen auf die ich meine Finger legen darf. ;)

Mit Ausnahme derer, die meinen Faulpelz quälen, und des über 
@users.sourceforge.net verschickten Spams ist das Spamlevel IMHO normal.
Das ist allerdings u. a. der ix.dnsbl.manitu.net und dem DynIP-Teil von 
Spamhaus zu verdanken (hat ein Kunde unfreiwillig ausprobiert, bei dem 
diese Blacklisten noch nicht eingetragen waren ;-)


Gruß

Christian Boltz

[1] http://blog.cboltz.de/archives/45-Faulpelz-MX.html

-- 
[ Yes ] [ No ]
... used for harmless errors or simple questions: "It's high time you
had your cup of coffee! Would you like your KDE to prepare one for you?"
[Lukas Ocilka in opensuse-factory - YaST2 button styleguide]

Mehr Informationen über die Mailingliste postfix-users