Gezielter Spam - Domain läuft in wenigen Minuten ab

    Zitat von TBT

    Sowas nehm ich i.d.R. erst gar nicht her.

    Weil du dich in der IT auskennst und bei solchen Aliassen mit Spam rechnest. Die Geschäftsstelle unseres Vereins hat z. B. info@, ich selber habe auf meiner privaten Mail (seit rund 13 Jahren) mail@

    [RS] 2000 G9 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Zur Zeit beobachte ich in den Serverlogs gezielte Suchen nach existierenden Aliasen. Bzw nach Aliasen an oder über die sich Mail per Relay - vermutlich Spam - versenden lässt. Besonders häufig aus Russland oder anderen (teils ehemaligen) Ostblockstaaten, aber teilweise auch woanders her. Wobei es ja nun für Spammer heutzutage kein Problem mehr ist, sich im Ausland einen Server zu mieten und keine ru- oder su-Domain zu verwenden. Die sind heutzutage international ;) . Habe hier gerade im Log 20 Versuche mit unterschiedlichen Aliassen von einem Absender mit ru-Domain, aber von einer chinesischen IP. Ein anderer sendet von einer cz-Domain mit koreanischer IP. Ebenfalls 20 Versuche, teils mit gängigen Aliasen, teils mit zufällig erscheinenden Aliasen. Will da jetzt ein Russe den Chinesen die Sache in die Schuhe schieben oder umgekehrt? Das selbe Spiel auch mit ru-Domain und nordvietnamesischer IP. :rolleyes: ;(

    5x am Mi, 12.07.2023: Verlängerung fehlgeschlagen...

    pasted-from-clipboard.png

    Die Spam-Mail kommt angeblich von: Netcup 'contact@campusfinances.fr'

    Klickt man den Link Erneuern..., zeigt dieser nach: http:\\950f025690a.ferraoeferrao.pt\?id=...meine Webseite...

    und wird umgehend weitergeleitet auf: http:\\236dea2a.garrafeiravip.com\?512da&id=...meine Webseite...

    Dort wünscht man sich die Überweisung eines Geldbetrages per Kreditkarte.

    pasted-from-clipboard.png

    Vllt. kann man auch in Escudos bezahlen? ;)

    Du hast hoffentlich nicht auf die (Sub)Domänen geklickt und dich dadurch als potentielles Opfer gezeigt? PS: hab dem Zitat *** verpasst

    Zitat von tab

    Zur Zeit beobachte ich in den Serverlogs gezielte Suchen nach existierenden Aliasen.

    "Zur Zeit"? Ich beobachte das seit ich Mailserver betreibe (seit vielen vielen Jahren). Gehört zum "Hintergrundrauschen".


    Übrigens ein Grund, nur einen DNS Namen auf einer Domain für MX Records mehrerer anderer Domains zu verwenden: diese Suche passiert bei mir ausschließlich auf der Domain, auf die auch der MX Record lautet.


    Hat man also mail.domain.tld für domain1.tld, domain2.tld, domain3.tld als MX Record eingetragen, kommen solche "Suchen" nur auf @domain.tld vor. Hat man dann auf dieser Domain GAR KEINE Mailboxen, können die Angreifer noch so lange suchen.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    3 Mal editiert, zuletzt von TBT ()

    Zitat von TBT

    "Zur Zeit"? Ich beobachte das seit ich Mailserver betreibe (seit vielen vielen Jahren). Gehört zum "Hintergrundrauschen".


    Übrigens ein Grund, nur einen DNS Namen auf einer Domain für MX Records mehrerer anderer Domains zu verwenden: diese Suche passiert bei mir ausschließlich auf der Domain, auf die auch der MX Record lautet.


    Hat man also mail.domain.tld für domain1.tld, domain2.tld, domain3.tld als MX Record eingetragen, kommen solche "Suchen" nur auf @domain.tld vor. Hat man dann auf dieser Domain GAR KEINE Mailboxen, können die Angreifer noch so lange suchen.

    Maybe or may not be. Ich weiss nur, dass keine der Domains, die da abgesucht werden, einen anderen MX-Eintrag hat als ausschliesslich den Servernamen (FQDN) des Mailservers. Das mag die Angreifer bisher abgehalten haben, weil es hier erst seit relativ kurzer Zeit passiert. Das stört die Angreifer, die sich derzeit in meinen Logs verewigen aber offensichtlich überhaupt nicht. Sie scheitern aber alle daran, dass sie entweder keinen Reverse-DNS Eintrag haben oder dieser nicht auf ihre IP auflöst bzw gleich gar nicht auflöst (NXDOMAIN). Also z.B.

    NOQUEUE: reject: RCPT from unknown[115.239.177.131]: 450 4.7.25 Client host rejected: cannot find your hostname

    Ja, peinlich peinlich, da habe ich wohl schon 7 Jahre nichts mehr bezahlt für die Domain, weil die kostet jährlich nur 1,68€. Muss schon sagen, netcup ist sehr geduldig und schickt nicht gleich nach 5 Jahren eine Mahnung raus :D . Ich zahle trotzdem nicht, die Mail ging nicht an meine Kontaktadresse. Also ich habe nichts bekommen :D:saint:

    Zitat von RAD750

    Klingt gut. Und der Spamschutz von Mailboks.org ist top

    Der Spamschutz ist zu gut bzw nicht flexibel genug einstellbar. Ich musste meine Berichte von logwatch an eine andere Mailadresse senden lassen, weil er sie gelegentlich als Spam erkannt und abgewiesen hat, wegen der Inhaltsfilter, die es eigentlich nur in geringem Maße geben soll. Eine Whitelist, mit der ich solche Probleme auf meinem Server vor dem Umzug der Maildomain auf einfache Weise geregelt habe, gibt es dort ja nicht. Aber ansonsten bin ich da durchaus zufrieden.

    Den hatte ich auch mehrmals die Tage.

    Was ein trauriger menschlicher Abschaum, diese Scammer.

    Kann ein Spam- oder Phishing-Versender auch die Message-ID einer Mail fälschen oder ist eine Message-ID, endend auf ".netcup.net" ein sicheres Indiz dafür, dass die Mail von einem Netcup-Server ausging? Und wie ist das mit der "From"-Adresse? Der Anzeigename läßt sich ja frei wählen. Aber auch die Mailadresse?

    Die Message-ID ist ein frei wählbarer Header, genauso der From-Header.


    Beim From-Header kann aber DMARC helfen, sofern die vermeintliche Absender-Domain das gesetzt hat und der Empfänger-Server es überprüft.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Gefällt mir 1

    Die nächste Runde ist wohl eingeläutet. Heute Abend kam eine Mail in altbewährter Form mit Betreff "Dringende Aktivierung erforderlich - Ihr Domainname xxxxxxx.de ist abgelaufen".