Re: Mario Rönsch
Robert Schetterer
rs at sys4.de
Di Jul 18 19:46:45 CEST 2017
Am 18.07.2017 um 18:32 schrieb Joachim Fahrner:
> Hallo Liste,
> es gibt da einen ziemlich üblen kriminellen Burschen namens Mario
> Rönsch. Der hat diverse Datenbanken gehackt und sich deren Mailadressen
> bemächtigt. Nun schickt der Typ penetrant rechtsextreme Mails an all
> diese Adressen. Ihm gehört die Seite anonymousnews.ru, früher
> migrantenschreck.ru (das war ein Onlineshop der ihm von den Behörden
> dicht gemacht wurde), und mittlerweile betreibt er einen neuen Shop
> patriotenshop.com für den er Werbung macht.
>
> Ich hab keinen Plan wie ich den effektiv blocken kann. Ich weiß auch
> nicht wie er es schafft unter dem Radar diverser Blacklists zu bleiben.
> Wahrscheinlich, weil seine Adressen eben echte Adressen sind und keine
> Honigtöpfe.
> Hat jemand eine Idee?
> Das ist eine aktuelle Mail von ihm:
>
> Jul 18 18:06:04 server postfix/postscreen[8738]: CONNECT from
> [193.70.118.115]:62287 to [172.31.1.100]:25
> Jul 18 18:06:04 server postfix/dnsblog[8739]: addr 193.70.118.115 listed
> by domain dnsbl-2.uceprotect.net as 127.0.0.2
> Jul 18 18:06:04 server postfix/postscreen[8738]: PREGREET 11 after 0.01
> from [193.70.118.115]:62287: EHLO User\r\n
> Jul 18 18:06:04 server postfix/postscreen[8738]: DNSBL rank 2 for
> [193.70.118.115]:62287
> Jul 18 18:06:04 server postfix/postscreen[8738]: DISCONNECT
> [193.70.118.115]:62287
> Jul 18 18:09:01 server postfix/postscreen[8938]: CONNECT from
> [198.2.181.10]:29100 to [172.31.1.100]:25
> Jul 18 18:09:01 server postfix/postscreen[8938]: PASS OLD
> [198.2.181.10]:29100
> Jul 18 18:09:01 server postfix/smtpd[8939]: connect from
> mail10.suw17.mcsv.net[198.2.181.10]
> Jul 18 18:09:05 server postgrey[2574]: action=pass, reason=triplet
> found, delay=907, client_name=mail10.suw17.mcsv.net,
> client_address=198.2.181.10, s
> ender=bounce-mc.us16_78343126.45573-jf=fahrner.name at mail10.suw17.mcsv.net,
> recipient=jf at fahrner.name
> Jul 18 18:09:05 server postfix/policyd-weight[23996]: decided
> action=PREPEND X-policyd-weight: using cached result; rate: -6.1;
> <client=mail10.suw17.m
> csv.net[198.2.181.10]> <helo=mail10.suw17.mcsv.net>
> <from=bounce-mc.us16_78343126.45573-jf=fahrner.name at mail10.suw17.mcsv.net>
> <to=jf at fahrner.name>; d
> elay: 0s
> Jul 18 18:09:05 server postfix/smtpd[8939]: D52EC1000F7:
> client=mail10.suw17.mcsv.net[198.2.181.10]
> Jul 18 18:09:05 server postfix/cleanup[8983]: D52EC1000F7:
> message-id=<78975410ea83919029406d9c3.90be32de70.20170718155312.e4577d47ca.b67f221f at mail10.
>
> suw17.mcsv.net>
> Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7:
> mail10.suw17.mcsv.net [198.2.181.10] not internal
> Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: not authenticated
> Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: DKIM verification
> successful
> Jul 18 18:09:06 server opendkim[3978]: D52EC1000F7: s=k1
> d=mail10.suw17.mcsv.net SSL
> Jul 18 18:09:06 server opendmarc[3989]: D52EC1000F7: patriotenshop.com none
> Jul 18 18:09:06 server spamd[16259]: spamd: got connection over
> /var/run/spamd.sock
> Jul 18 18:09:06 server spamd[16259]: spamd: processing message
> <78975410ea83919029406d9c3.90be32de70.20170718155312.e4577d47ca.b67f221f at mail10.suw17.mcsv.net>
> for jf:116
> Jul 18 18:09:08 server spamd[16259]: spamd: clean message (1.1/5.0) for
> jf:116 in 1.4 seconds, 67257 bytes.
> Jul 18 18:09:08 server spamd[16259]: spamd: result: . 1 -
> HEADER_FROM_DIFFERENT_DOMAINS,HTML_MESSAGE,MIME_QP_LONG_LINE,T_DKIM_INVALID,UNPARSEABLE_RELAY,URIBL_GREY
> scantime=1.4,size=67257,user=jf,uid=116,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=/var/run/spamd.sock,mid=<78975410ea83919029406d9c3.90be32de70.20170718155312.e4577d47ca.b67f221f at mail10.suw17.mcsv.net>,autolearn=no
> autolearn_force=no
> Jul 18 18:09:08 server postfix/qmgr[22427]: D52EC1000F7:
> from=<bounce-mc.us16_78343126.45573-jf=fahrner.name at mail10.suw17.mcsv.net>,
> size=66809, nrcpt=1 (queue active)
> Jul 18 18:09:08 server spamd[6562]: prefork: child states: II
> Jul 18 18:09:08 server postfix/smtpd[8939]: disconnect from
> mail10.suw17.mcsv.net[198.2.181.10]
> Jul 18 18:09:08 server postfix/pipe[8985]: D52EC1000F7: to=<...>,
> orig_to=<jf at fahrner.name>, relay=dovecot, delay=6.6,
> delays=6.5/0.02/0/0.13, dsn=2.0.0, status=sent (delivered via dovecot
> service)
> Jul 18 18:09:08 server postfix/qmgr[22427]: D52EC1000F7: removed
>
aso und wenn du spamassassin laufen hast kannst du da domains auch
blacklisten, sollte auch mit sieve dovecot funktionieren mit zb globaler
filter rule auf die domain evtl kombiniert mit einem content filter
Best Regards
MfG Robert Schetterer
--
[*] sys4 AG
http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Mehr Informationen über die Mailingliste postfix-users