el*Loco blogged

F*ck it, Dude. Let's go bowling.

Notes frisst Inbox

Aaaaarghs, nachdem ich es heute geschafft habe, in meinem Lotus Notes für Linux über unser Urlaubstool Urlaub zu beantragen, hat Notes bzw. der Domino meine Inbox gefressen. Weg. Alles weg. Die später angelegten Ordner mitsamt der Mails sind noch da, allerdings hat es meine mühsam erstellen Mailrules auch gefrittet. Nerv.

Bleibt nur eins: Vote Lotus Notes for Dreckstool!

DSBL is gone

Eine eigentlich immer unwichtiger werdende Blacklist, die DSBL stellt ihren Betrieb ein - also raus damit aus Postfix, policyd-weight und Konsorten.

DSBL is GONE and highly unlikely to return. Please remove it from your mail server configuration.

Lotus Notes und 16MB Mail

Erkenntnis des Tages: Von extern über eine 2MB Leitung mit dem Lotus Notes Client eine Mail mit 16MB Attachment empfangen macht keinen Spaß. Nur mal so.

Newsletter abbestellen unerwünscht

So kann man auch erfolgreich verhindern, daß sich User aus einem Newsletter austragen (wenn man das Ganze schon nicht per Webinterface macht):

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

save to /var/opt/vmail/xxx-europe.net/no-reply/Maildir
generated by no-reply@xxx
(ultimately generated from no-reply@xxx)
mailbox is full

Ärger mit Combots Mails

Nachdem ich mich jetzt bereits dreimal vom Combots Newsletter abgemeldet habe, kommt heute schon wieder ein Newsletter aus KA-Durlach und möchte mir Eintrittskarten für die Cebit andrehen. Ist da im System etwas komplett im Eimer oder ist das Absicht? Ich bin ja am überlegen, ob sich Combots damit für die Zusendung eines TFFFFF qualifiziert? Aber erstmal versuche ich es noch auf die nette Tour - vielleicht tut sich ja etwas.

Geht das anderen Accountinhabern auch so?

Update: Der Combots Support hat geantwortet und behauptet, mich jetzt abermals aus dem System entfernt zu haben. Ich bin gespannt.

Spam Bekämpfung mit policyd-weight

Da ich Andy gestern damit helfen konnte gibt es hier noch einen Eintrag zum momentan für mich am Besten mit Postfix funktionierenden Anti-Spam Tool: policyd-weight von Robert Felber.

Ab Version 2.1 kann Postfix die Entscheidung, ob eine Mail angenommen wird, an einen externen policy daemon delegieren. Für den von mir eingesetzten policyd-weight ist nur der Inhalt dreier SMTP Kommandos interessant: HELO, MAIL FROM und RCPT TO. Mit diesen Werten checkt das Programm DNS Daten, inkonsistente HELO Strings und kann RBLs abfragen und bildet daraus einen gewichteten Score, um Mails bereits während des SMTP Dialogs abzulehnen. Das spart Bandbreite, schont die CPU durch weniger Scans mit Spamassassin o.ä. Tools auf dem Mailserver und erspart rejects für fälschlicherweise auf einer Blackliste geführten sauberen Host.

policyd-weight fragt momentan folgende RBLs ab
• njabl.org (using dynablock. and dnsbl. zones)
• spamcop.net (using bl. zone)
• spamhaus.org (using sbl-xbl. zone)
• dsbl.org (using list. zone)
• ix.dnsbl.manitu.net (RBL of a german zine)
• ordb.org (using relays. zone)
Erst wenn mehrere Kriterien wie gefälschtes HELO, Eintrag in zwei RBLs und falschen Nameserver Einträgen zutreffen wird die Mail abgelehnt.

Die Einrichtung ist einfach:


Dann entweder ein eigenes Init Script bauen oder im Laufe des bootens vor postfix starten:


Damit postfix den externen policy daemon ansprechen kann, wird die /etc/postfix/main.cf angepasst:


Nach einem


sollten die ersten Meldungen im konfigurierten Maillog auftauchen. Ein Beispiel für eine abgelehnte Mail sieht dann so aus:


Tipp: um das Verhalten von policyd-weight zu testen, kann der Aufruf in der main.cf mit vorgestelltem warn_if_reject eingebunden werden:


Jetzt wird zwar im Logfile ein Eintrag geschrieben, die Mail passiert aber ungehindert.
Mir erspart der Einsatz eines solchen policy daemons jedenfalls massiv Spam, nur noch über Mailinglisten kommt hin- und wieder etwas rein.

Mailbenachrichtigung per Jabber

Nach Cruiser habe ich mich auch ein wenig mit Jabber auseinandergesetzt und neben dem sicheren Chatten gleich eine andere sehr nützliche Anwendung gefunden: beim Eingang bestimmter Mails lasse ich mich von einem Script per Jabber benachrichtigen und entweder ganze Mails oder nur Absender und Betreff übermitteln. In meinem Fall findet die Filterung per maildrop statt, das funktioniert aber auch mit procmail. Genutzt wird formail (Bestandteil des procmail Pakets) und das sendxmpp Script.

Im konkreten Fall werde ich bei neuen Mails der gentoo-announce Mailingliste benachrichtigt:

Managing Port 25

Schon Anfang September nach dem 3. Deutschen Antispam Kongress in Köln wollte ich eigentlich ein paar Zeilen zu den Vorteilen des Submission Ports und Sperrung des Port 25 für Dialup IPs schreiben. Das hat mir die auch auf dem Kongress vortragende MAAWG jetzt abgenommen und eine Empfehlung zur Behandlung des Port 25 durch Dialup Provider veröffentlicht:

Therefore, the MAAWG recommends the following set of Email
Transmission Best Practices for Internet and Email Service Providers:
1. Provide Email Submission services on port 587, as described in RFC 2476.
2. Require authentication for Email Submission, as described in RFC 2554.
3. Abstain from interfering with outbound connectivity to port 587.
4. Configure email client software to use port 587 and authentication for Email Submission.
5. Block access to port 25 from all hosts on your network, other than those that you explicitly authorize to perform SMTP relay functions. Such hosts will certainly include your own Email Submission servers and may also include the legitimate Email Submission servers of your responsible customers.
6. Block incoming traffic to your network from port 25. This prevents potential abuse from spammers using asymmetric routing and spoofing IP addresses on your network.

Das ganze Dokument gibt hieres als PDF. WEB.DE Freemail bietet diesen Submission Port übrigens schon seit geraumer Zeit an.

Sober, Sober, trallala

Viel kann ich momentan sowieso nicht tun - ausser warten daß die AV-Signaturen geupdatet werden und mir die Exim Config ein wenig anzuschauen ob es da eine Chance gibt das Zeugs zu blocken, also mal einige Infos zu der guten Sober-Variante:

Es scheint zwei Arten von Messages zu geben:

Subject: Thanks for your registration
Attachment: reg_text.zip
md5: 719029f12df7cdc1004dbf5e58ae4726
Dateigröße: 135826 bytes

Text: Thanks for your registration!
We have received your payment.

For more detailed information, read the attached text.

Subject: Hi, Ich bin's
Attachment: Liste.zip
md5: 7389e27041f2d924c54565a6ab9266e7
Dateigröße: 135826 bytes

Text: Hier ist die Liste die du haben wolltest.
Du solltest dich aber auch eintragen!

OK, bis dann

03:15 Uhr: Die Kaspersky Engine erkennt den Virus seit dem letzten Signaturupdate als Email-Worm.Win32.Sober.v
06:45 Uhr: knappe 6h nach Outbreak erkennen Sophos und Kaspersky die Datei als Sober Abart, Clamav und Ikarus halten das Ding für einen Mytob. Alle anderen AV-Hersteller erkennen nüscht.

Soberwelle

Da sitz ich nun und darf ohne Kris die aktuelle Soberwelle aussitzen - immerhin dieses Mal extrem schnell erkannt und die Welt vor weiteren Infektionen geschützt. Jetzt mal warten, wann die großen AV-Hersteller ihre Patterns auf dem aktuellen Stand haben. Interessanterweise hat das LKA Bayern die Ausbreitung vorhergesagt - vielleicht mal deren Newsletter abonnieren

Seit mehr als einem Jahr ermittelt das Bayerische Landeskriminalamt gegen den Verbreiter des Computerwurms „Sober“, der in immer neuen Varianten PCs angreift.
Dem BLKA liegen Informationen vor, dass eine erneute Verbreitung des Wurmes für Dienstag, 15.11.05 durch Unbekannte geplant ist.

Powered by Serendipity | WP Premium theme by WP Remix | Ported to s9y by YellowLed
Copyright 2008. el*Loco blogged. All rights reserved

• Home
• Impressum
• Fettgaumen
• Login