Verhalten von SPAM Systemen

Domi

Blog Benutzer
Moin... mal eine kleine Frage... an sich gehört meine Frage zu einem der IT spezifischen Foren, aber da wüsste ich jetzt nicht genau wo ich das einordnen sollte. Diverse Basics sind mir ja als IT'ler geläufig, aber ein oder zwei Fragen wären da offen die mich interessieren. Vielleicht sind diese auch nur Zufälle, aber folgendes Szenario.

Ich habe zwei Server bei einem Anbieter (einmal Firma, einmal privat)... was mir aber oft auffällt ist, dass ich oftmals am gleichen Tag (sogar innerhalb einiger Std.) auf beiden Servern mit unterschiedlichen Domains und IPs, die identischen SPAM Mails erhalte.

Ein passendes Beispiel habe ich gerade nicht in den Ordnern, aber nehmen wir das übliche "Penis enlargement"... ich bekomme eine E-Mail mit einem bestimmten Aufbau auf meine persönliche Adresse und grob ein bis zwei Std. später schlägt exakt die gleiche E-Mail auf dem Server mit den Firmen E-Mail Adressen auf. Ich hab das über die Jahre immer so hingenommen und fertig ist... aber dank rspamd und der GUI, hab ich so dass Gefühl dass die SPAM Systeme (Bots etc.) eine Domain verfolgen, dann schauen auf was für einem Server (die IP) diese liegen und prüft anschließend irgendwie ob dort noch mehr Domains drauf liegen die er zu "kacken" kann.

Unter anderem fällt mir das auf, da ich in der rspamd Web GUI verdammt viele E-Mails mit identischem Subject sehe, diese aber zu unterschiedlichen Domains führen. Kumpels und Bekannte haben auch E-Mails bei mir auf dem Server... und das verwundert mich jetzt schon ein wenig.

Respekt an die Entwickler von rspamd, dass Teil filtert echt verdammt gut raus... hab dazu selbst auch noch offene Fragen bezüglich der Einstellungen weil ich ein kleines Problem habe, aber in erster Linie würde mich mal interessieren ob man relativ einfach und simple anhand einer IP herausfinden kann, was für Domains darauf liegen?! :confused:

Wünsche schon mal allen einen charmanten Samstag Abend und das war es erst einmal.
Gruß, Domi
 

danton

Debian User
Einfach herausfinden ist relativ. Es gibt einige Seiten im Internet, wo du Infos zu Domains abfragen kannst. Da steht das teilweise eine Liste mit weiteren Domains, die auch auf dieser IP laufen - weil solche Seiten sich die IPs aus DNS-Abfragen merken.
Das kann ein Spammer prinzipiell auch selber machen, indem er die MX seiner Opfer abfragt und dann entsprechend sortiert abschickt. DIe Spammer reagieren ja auch auf Abwehrmassnahmen und ein Weg ist halt, möglichst viele Spams abzukippen, bevor irgendwelche Lern-Mechnismen sich auf die neue Spammail eingestellt habem.
 

Domi

Blog Benutzer
Also ähnlich wie der übliche WhoIs inkl. der IP Adresse und wenn vorhanden sind dort auch die Domains aufgeführt die ebenfalls auf dieser IP liegen, hab ich das korrekt verstanden?! Zumindest würde das für mich einen komplett logischen Sinn ergeben... hätte man auch selbst drauf kommen können, aber wenn man zu viel darüber nachdenkt ist dass das letzte auf das ich gekommen wäre :D:eek:

Wie du ja schon sagtest, die wollen ja nur Spam abkippen... und wenn dann die Gegenstelle in irgend einer Art reagiert die einem Schema entspricht, geht es los und die spielen "feuer frei"...
 

danton

Debian User
EIne solche Seite wäre z.B. https://www.webwiki.de/ - ob man die jetzt gut automatisiert abfragen kann, sei dahingestellt, aber zumindest ein Teil der Domains von meinem Server ist dort zu finden und auch, welche sich die IP teilen.
Aber wahrscheinlich nutzen die das gar nicht, sondern einfach nur die Nameserver - der MX zur Mail-Adresse muss ja ohnehin ermittelt werden und ob ich die Mails dann direkt versende oder erst das Ergebnis sortiere, dürfte kaum Einfluss haben.
 

Domi

Blog Benutzer
Okay... Ich finde es nur erstaunlich, wie viel SPAM ich auf meinen Server bekomme. Vielleicht liegt es auch an der IP des Servers, dass die so "bombardiert" wird... oder einer meiner Leute dessen Domain bei mir auf dem Server liegt, hat sich ein paar mal falsch registriert und irgendwann haben die Spam Schleudern dann mal geschaut was es noch so auf meiner IP gibt und schießen nun los.

rspamd läuft nun seit vergangenen Sonntag auf dem Server... ich hatte vorher noch postscreen mit RBLs vor rspamd, doch rspamd kann ja alles und nun, seitdem postscreen mit den RBLs raus ist, ist in der History in der WebGUI fast alles nur noch rot (rejected) :oops:
 
Top