Ktos sie natrudził rejestrując spamerskie smtp

Przeglądając logi zauważyłem pewną ciekawostkę. Ktoś chciał zakamuflować swoje serwery smtp any nie wygladały podpobnie (mam na myśli np smtp01.cos.tam.pl, smt02.cos.tam.pl).
Nazwę zbudował następująco:

  • zaczyna się od smtp
  • poźniej są 3 czlony
  • sugerują, że to serwery z domen regionalnych
  • slowa ktorych nie ma w slowniku (aby nikt nie zajął?)
  • pole nadawcy to bok, office lub biuro
  • podpisany DKIM
  • w HTMLu

Oto reguła która łapie to

header __ZABOJCASPAMU_NIBYREGION_RECEIVED1 Received =~ /from smtp\.[^.]+?\.[^.]+?\.pl/
header __ZABOJCASPAMU_NIBYREGION_RECEIVED2 From=~/(?:bok|office|biuro)@/
meta ZABOJCASPAMU_NIBYREGION_RECEIVED __ZABOJCASPAMU_NIBYREGION_RECEIVED1 && __ZABOJCASPAMU_NIBYREGION_RECEIVED2 && DKIM_SIGNED && HTML_MESSAGE
describe ZABOJCASPAMU_NIBYREGION_RECEIVED Spam wysylany przez niby regionalne servery
score ZABOJCASPAMU_NIBYREGION_RECEIVED 0.7

A to przykłady tylko 1 dnia i to nie wszystkie. Z wszystkich idzie spam aż miło. Posiadacie podobne w swoich logach?

smtp.encypedia.jgora.pl.
smtp.kajmonek.waw.pl.
smtp.gutgerl.waw.pl.
smtp.kotilip.zgora.pl.
smtp.kijawo.zgora.pl.
smtp.prelast.waw.pl.
smtp.matakres.slask.pl.
smtp.czempo.waw.pl.
smtp.encypedia.jgora.pl.
smtp.futrzatkow.beskidy.pl.
smtp.ramban.czest.pl.
smtp.waruno.slask.pl.
smtp.emanele.warszawa.pl.
smtp.emobiola.katowice.pl.
smtp.hikaret.waw.pl.
smtp.kajmonek.waw.pl.
smtp.bukiter.waw.pl.
smtp.gutgerl.waw.pl.
smtp.kotilip.zgora.pl.
smtp.juhaster.zgora.pl.
smtp.dearki.wroclaw.pl.
smtp.pytres.turek.pl.
smtp.oreks.tgory.pl.
smtp.potag.bieszczady.pl.

3 thoughts on “Ktos sie natrudził rejestrując spamerskie smtp

  1. 99% to maile z h88.pl i hitme.pl … ja tnę to w postfixie na samym końcu smtpd_sender_restrictions po klasach adresowych. Wiem że drastyczne, ale … w większości wcześniej i tak są wycięte np. przez postfwd.
    Zauważyłem że spamer jest nadgorliwy i ustawia HELO takie samo jak hostname, a „zwykli” userzy mają w HELO „hekko.net.pl”. Tak więc najpierw (jeśli w ogóle tak daleko dojdzie) dopuszczam to hekko.net.pl, a potem tnę całe klasy. REJECTy mam z info że firma hostingowa to spamer i że jeśli ktoś się upiera aby dalej korzystać, to mogę dodać jego domenę do whitelist. Obserwuję logi i raptem jedna domena „niespamerska” mi się wbiła na tą regułkę – od razu ją dopisałem do whitelist.
    Druga sprawa – masa takich domen trafia mi się do spamtrapa, więc na upartego mógłbym to olać …

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *