• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

Automatische Abuses...

Lord Gurke

Nur echt mit 32 Zähnen
Hallo zusammen,

ich habe heute wieder eine Abuse-Meldung auf den Tisch gehabt, bei der ich mir nicht sicher bin wie ich dem Beschwerdeführer antworten soll - weil ich mir nicht sicher bin ob ich die Mail falsch interpretiere:

Hello Abuse-Team,

your Server with the IP: a.b.c.d has attacked one of our server on the service:
"postfix" on Time: Tue, 08 Jan 2013 12:51:00 +0100
The IP was automatically blocked for more than 10 minutes. To block an IP, it needs
3 failed Logins, one match for "invalid user" or a 5xx-Error-Code (eg. Blacklist)!

Please check the machine behind the IP a.b.c.d (fq.dn) and fix the problem.

[....]

Evidence:
attacked server: xxxxxxxxxxxxxx
envelopesender: billingc@xxxxxxxxx
enveloperecpient: urixayeyo@xxxxxxxx
Helo: xxxxxxx
source-ip: a.b.c.d
protocol: SMTP
instance: predata05.2ba6.50ec0829.fffff.0
size: 0
reason: 5 -->554 User (%s) not known to us please verify your adressbook for any typos in this email adress or inquire manually
Evidences so far in total for this ip:5


report.txt

---
Reported-From: abuse@xxxxxxx
Category: info
Report-Type: harvesting
Service: postfix
Version: 0.1
User-Agent: V2.1.7(09.11.2011) anti-scam-bot xxxxxxxx
Date: Tue, 08 Jan 2013 12:51:00 +0100
Source-Type: ip-address
Source: a.b.c.d
Port: 25
Report-ID: 94811__9@xxxxxxxxxxx
Schema-URL: http://xxxxxxxxxxxxx/schema/xarf.json
Attachment: text/plain


logfile.log

attacked server: xxxxxxxxx
envelopesender: billingc@xxxxxxxxxxxx
enveloperecpient: urixayeyo@xxxxxxxxxxxx
Helo: xxxxxxxxxxxxx
source-ip: a.b.c.d
protocol: SMTP
instance: predata05.2ba6.50ec0829.fffff.0
size: 0
reason: 5 -->554 User (%s) not known to us please verify your adressbook for any typos in this email adress or inquire manually
Evidences so far in total for this ip:5
Ich habe das so an den betroffenen Kunden einfach mal weitergeleitet - aber was mich am meisten stört ist der fett markierte Bereich.
Verstehe ich das richtig:
Ich schicke EINE E-Mail mit einem Vertipper im Empfänger an diesen Mailserver und muss damit rechnen dass es sofort automatische Abuse-Mails hagelt?
Wenn ihr das auch so seht bekommt er von mir in freundlichen Worten mitgeteilt dass er seine Report-Policy dringend ändern sollte wenn er Wert darauf legt nicht in der "Verschiebe nach 'Unwichtig'"-Filterliste zu landen.
 
Genau, der Admin auf der Gegenseite hatte entweder enormen Schlafmangel oder einen starken Denkfehler/Denkaussetzer.
 
Ich schicke EINE E-Mail mit einem Vertipper im Empfänger an diesen Mailserver und muss damit rechnen dass es sofort automatische Abuse-Mails hagelt?
Exakt, alternativ provozierst Du einen 5xx-Error oder drei failed Logins.
Da bettelt also der Admin lautstark nach einem Self-DoS durch Spoofing ;)


An alle Mitlesenden: Mit solchen Automatismen (dazu gehören auch f2b und Co) legt Ihr Eure Dienste selbst lahm, also lasst den Quatsch sein.
 
Danke, genau sowas habe ich mir gedacht.
Der Mensch der das eingerichtet hat, hat doch echt einen Sparren locker...
Sogar die drei fehlerhaften Logins erzeugt jeder auf Anhieb, der in seinem Client das Postfach neu einrichtet und sich beim Benutzernamen oder Kennwort vertippt. I.d.R. probieren die meisten MUAs ja diverse Verschlüsselungs- und Hash-Mechanismen aus bevor sie eine Fehlermeldung zeigen.

Naja, ich werde die Antwort darauf sinngemäß so formulieren dass ich zwar seinen Standpunkt verstehe, ihm aber dringend raten würde diesen zu verwerfen ;)
 
Hallo,

die Reports für den Typ "mail" sind als info im Betreff markiert, wodurch es eigentlich verdeutlichen soll, das es nur als weitere Sensor-Daten dient.

Ab wann ein Report an blocklist.de gemeldet wird, entscheidet der User, welcher Fail2Ban oder andere Dienste wie DenyHost oder eigene Skripte einsetzt.

Die Werte in der Mail stellen Erfahrungswerte dar. Manche User senden erst ein Report, wenn die Logfiles paar MB umfassen.

Einfach die Logfiles prüfen, ob zu den genannten Logdaten was auffälliges vorliegt, wenn ja, entsprechend reagieren.
Wenn es ein Newsletter war/ist, nur Adressen per Double-Opt-In-Verifizierung nutzten und vorzeigt austragen oder die IP für 7 Tage für neue Reports pausieren.

[update]
Wie ich gerade sehe, ist der Report nicht von blocklist, sondern von irgendjemand anderen, welcher eine uralte Abuse-Mail von uns kopiert hat.
 
Hi,

Ich weiß nicht was der Kunde da macht, ist ja sein eiegener Server. Die Abuses landen nur beiuns als Provider.
Mir ging es in erster Linie darum, dass im Einleitungstext geschrieben steht, dass bereits EINE EINZIGE Mail an einen nichtexistenten Empfänger zur sofortigen Blockade und Abuse-Meldung führen soll - und das halte ich schlicht und ergreifend für Weltfremd und enervierend.

Werde mal nachsehen, ob der Kunde drauf reagiert hat, das werde ich aber erst am Montag erfahren ;-)
 
Wenn es auch die Role-Accounts, insbesondere postmaster, betrifft, dann setze ihn Deinerseits auf die entsprechenden Blacklists, vielleicht lernt er ja ;)
 
Ich werde jetzt mal testen, ob es wirklich so streng reglementiert ist (bekomme die Abuse-Mails ja praktisch taufrisch ins Postfach).
Wenn ja, werde ich mal ein paar Bekannte fragen, ob die von ihren Postfächern bei Strato, 1&1, Telekom u.s.w. nicht mal ein paar nichtexistente Mailboxen anmailen wollen - warum sollen andere nicht auch Spaß haben :D


NACHTRAG:
OK, die meinen das wirklich Ernst...
Habe gerade händisch per Telnet versucht eine Mail einzuliefern und diese an iinfo@.... (also doppeltes i) adressiert, was zur Ablehnung geführt hat. Und keine 30s später habe ich eine Abuse-Mail im Postfach.
Ich schreibe denen jetzt, warum wir Mails von denen an unsere Abuse-Adresse ab sofort blockieren werden und dass sie es gerne wieder versuchen können wenn sie gelernt haben.
 
Last edited by a moderator:
Ich wette jetzt mal darauf, dass die nichtmal für Ping-Pong (Double-Bounce) vorgesorgt haben ;)

Self-DoS ist doch immer wieder ein Spielchen wert...
 
Back
Top