Re: Mario Rönsch
Robert Schetterer
rs at sys4.de
Di Jul 18 19:41:49 CEST 2017
Am 18.07.2017 um 18:32 schrieb Joachim Fahrner:
> Hallo Liste,
> es gibt da einen ziemlich üblen kriminellen Burschen namens Mario
> Rönsch. Der hat diverse Datenbanken gehackt und sich deren Mailadressen
> bemächtigt. Nun schickt der Typ penetrant rechtsextreme Mails an all
> diese Adressen. Ihm gehört die Seite anonymousnews.ru, früher
> migrantenschreck.ru (das war ein Onlineshop der ihm von den Behörden
> dicht gemacht wurde), und mittlerweile betreibt er einen neuen Shop
> patriotenshop.com für den er Werbung macht.
>
> Ich hab keinen Plan wie ich den effektiv blocken kann. Ich weiß auch
> nicht wie er es schafft unter dem Radar diverser Blacklists zu bleiben.
> Wahrscheinlich, weil seine Adressen eben echte Adressen sind und keine
> Honigtöpfe.
> Hat jemand eine Idee?
> Das ist eine aktuelle Mail von ihm:
>
> Jul 18 18:06:04 server postfix/postscreen[8738]: CONNECT from
> [193.70.118.115]:62287 to [172.31.1.100]:25
> Jul 18 18:06:04 server postfix/dnsblog[8739]: addr 193.70.118.115 listed
> by domain dnsbl-2.uceprotect.net as 127.0.0.2
> Jul 18 18:06:04 server postfix/postscreen[8738]: PREGREET 11 after 0.01
> from [193.70.118.115]:62287: EHLO User\r\n
> Jul 18 18:06:04 server postfix/postscreen[8738]: DNSBL rank 2 for
> [193.70.118.115]:62287
> Jul 18 18:06:04 server postfix/postscreen[8738]: DISCONNECT
> [193.70.118.115]:62287
> Jul 18 18:09:01 server postfix/postscreen[8938]: CONNECT from
> [198.2.181.10]:29100 to [172.31.1.100]:25
> Jul 18 18:09:01 server postfix/postscreen[8938]: PASS OLD
> [198.2.181.10]:29100
> Jul 18 18:09:01 server postfix/smtpd[8939]: connect from
> mail10.suw17.mcsv.net[198.2.181.10]
> Jul 18 18:09:05 server postgrey[2574]: action=pass, reason=triplet
> found, delay=907, client_name=mail10.suw17.mcsv.net,
> client_address=198.2.181.10, s
> ender=bounce-mc.us16_78343126.45573-jf=fahrner.name at mail10.suw17.mcsv.net,
> recipient=jf at fahrner.name
> Jul 18 18:09:05 server postfix/policyd-weight[23996]: decided
> action=PREPEND X-policyd-weight: using cached result; rate: -6.1;
> <client=mail10.suw17.m
> csv.net[198.2.181.10]> <helo=mail10.suw17.mcsv.net>
> <from=bounce-mc.us16_78343126.45573-jf=fahrner.name at mail10.suw17.mcsv.net>
> <to=jf at fahrner.name>; d
> elay: 0s
> Jul 18 18:09:05 server postfix/smtpd[8939]: D52EC1000F7:
> client=mail10.suw17.mcsv.net[198.2.181.10]
> Jul 18 18:09:05 server postfix/cleanup[8983]: D52EC1000F7:
> message-id=<78975410ea83919029406d9c3.90be32de70.20170718155312.e4577d47ca.b67f221f at mail10.
>
> suw17.mcsv.net>
> Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7:
> mail10.suw17.mcsv.net [198.2.181.10] not internal
> Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: not authenticated
> Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: DKIM verification
> successful
> Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: s=k1
> d=mail10.suw17.mcsv.net SSL
> Jul 18 18:09:06 server opendmarc[3989]: D52EC1000F7: patriotenshop.com none
> Jul 18 18:09:06 server spamd[16259]: spamd: got connection over
> /var/run/spamd.sock
> Jul 18 18:09:06 server spamd[16259]: spamd: processing message
> <78975410ea83919029406d9c3.90be32de70.20170718155312.e4577d47ca.b67f221f at mail10.suw17.mcsv.net>
> for jf:116
> Jul 18 18:09:08 server spamd[16259]: spamd: clean message (1.1/5.0) for
> jf:116 in 1.4 seconds, 67257 bytes.
> Jul 18 18:09:08 server spamd[16259]: spamd: result: . 1 -
> HEADER_FROM_DIFFERENT_DOMAINS,HTML_MESSAGE,MIME_QP_LONG_LINE,T_DKIM_INVALID,UNPARSEABLE_RELAY,URIBL_GREY
> scantime=1.4,size=67257,user=jf,uid=116,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=/var/run/spamd.sock,mid=<78975410ea83919029406d9c3.90be32de70.20170718155312.e4577d47ca.b67f221f at mail10.suw17.mcsv.net>,autolearn=no
> autolearn_force=no
> Jul 18 18:09:08 server postfix/qmgr[22427]: D52EC1000F7:
> from=<bounce-mc.us16_78343126.45573-jf=fahrner.name at mail10.suw17.mcsv.net>,
> size=66809, nrcpt=1 (queue active)
> Jul 18 18:09:08 server spamd[6562]: prefork: child states: II
> Jul 18 18:09:08 server postfix/smtpd[8939]: disconnect from
> mail10.suw17.mcsv.net[198.2.181.10]
> Jul 18 18:09:08 server postfix/pipe[8985]: D52EC1000F7: to=<...>,
> orig_to=<jf at fahrner.name>, relay=dovecot, delay=6.6,
> delays=6.5/0.02/0/0.13, dsn=2.0.0, status=sent (delivered via dovecot
> service)
> Jul 18 18:09:08 server postfix/qmgr[22427]: D52EC1000F7: removed
>
sowas gab es schon mal ,war aber sehr primitiv damals
man konnte mit body checks arbeiten , da die Botschaften sehr primitiv
und einfoermig waren, haste mal ein Beispiel des contents ?
Best Regards
MfG Robert Schetterer
--
[*] sys4 AG
http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Mehr Informationen über die Mailingliste postfix-users