erstellt am: 31 January 2020 aktualisiert am 31 January 2020

Boundary Line Spam bekämpfen

Ausgangssituation

Ich und alle meine Freunde, die ich auf meinem privaten Mail-Server hoste, bekommen auf einmal Unmengen gleichstrukturierten Spams. Ein Ende ist nicht in Sicht.

Detailbeschreibung & Lösung

Es gibt aber eine Lösung. Hier wird das am Beispiel von Boundary Line 24 beschrieben, es dürfte sich aber bei anderen Spammer-Verbundnetzwerken ähnlich verhalten.

  • Charakteristisch für eine Webseite, welche in diesem Spammer-Verbund steht, ist folgendes, wenn man die Seite aufruft, von der die Mail kommt:

  • Die E-Mails schauen durchaus professionell gestylt aus, wie auch deren Websites. Es gibt sogar Widerrufsbelehrungen und Support. Dennoch ist das Kaufen bei Spammern das größte Übel. Tut das nicht, sonst leistet ihr diesem Unsteten Treiben weiteren Vorschub!

  • Zuerst schaut man, von welchen Domains der Spam kommt. Hier ist das Programm pflogsumm hilfreich. Schnell lassen sich Sinnlos-Domains erkennen. Diese sind dann auf eine dedizierte Spam-Adresse weiterzuleiten, zur weiteren Untersuchung. Das geschieht im Postfix so:

In main.cf eine (neue) Blacklist anlegen

[...]
smtpd_sender_restrictions = 
     check_sender_access hash:/usr/local/etc/postfix/blacklist,
[...]

In diese Blacklist alle zur Zeit bekannten Boundary-Line-Spammer-Domains eintragen, und zwar wie folgt:

[...]
# boundary line domains 07.01.2020

wereviewthings.com      REDIRECT spam@x-tra-designs.org
yobaat.com      REDIRECT spam@x-tra-designs.org
onvacationnow.com       REDIRECT spam@x-tra-designs.org
tamnhapho.com   REDIRECT spam@x-tra-designs.org
mehrbilit.com   REDIRECT spam@x-tra-designs.org
superacrepair.com       REDIRECT spam@x-tra-designs.org
oliviertylczak.com      REDIRECT spam@x-tra-designs.org
jovenesarrechas.com     REDIRECT spam@x-tra-designs.org
juntosms.com    REDIRECT spam@x-tra-designs.org
yxbown.com      REDIRECT spam@x-tra-designs.org
woobra.com      REDIRECT spam@x-tra-designs.org
qdzpjgc.com     REDIRECT spam@x-tra-designs.org
harihariguru.com        REDIRECT spam@x-tra-designs.org
kaanahr.com     REDIRECT spam@x-tra-designs.org
impitsol.com    REDIRECT spam@x-tra-designs.org
beautisleeprh.com       REDIRECT spam@x-tra-designs.org
wokoro.com      REDIRECT spam@x-tra-designs.org
[...]

es ist danach in postmap blacklist und ein service postfix restart durchzuführen, wie der geneigte Unixer eh weiss.

  • Jetzt bekommt man alle Boundary-Line-24-Spam-Email auf diesen dedizierten Account. Danach untersucht man die Headers dieser Mail, und kann flux die Netzwerke bestimmen, aus denen der Spam kommt. Bei mir schaut das dann so aus

  • Eine Datei /usr/local/etc/postfix/client_checks anlegen mit u. a. diesem oder ähnlichem Inhalt. Diese IP-Ranges haben meine Analysen ergeben.

    5.133.66.0/24   	REJECT BLOCK Your IP is blocked on this mailserver. Contact  for questions.
    217.112.142.0/24        REJECT BLOCK Your IP is blocked on this mailserver. Contact  for questions.
    208.187.167.0/24        REJECT BLOCK Your IP is blocked on this mailserver. Contact  for questions.
    212.162.150.0/24        REJECT BLOCK Your IP is blocked on this mailserver. Contact  for questions.
    63.81.87.0/24   	REJECT BLOCK Your IP is blocked on this mailserver. Contact  for questions.
    209.210.24.0/24 	REJECT BLOCK Your IP is blocked on this mailserver. Contact  for questions.
    204.10.160.0/22 	REJECT BLOCK Your IP is blocked on this mailserver. Contact  for questions.
    134.73.51.0/24  	REJECT BLOCK Your IP is blocked on this mailserver. Contact  for questions.
    45.95.32.0/24   	REJECT BLOCK Your IP is blocked on this mailserver. Contact  for questions.
    63.83.78.0/24   	REJECT BLOCK Your IP is blocked on this mailserver. Contact  for questions.
    208.186.113.0/24        REJECT BLOCK Your IP is blocked on this mailserver. Contact  for questions.
    45.146.200.0/24 	REJECT BLOCK Your IP is blocked on this mailserver. Contact  for questions.
    45.146.203.0/24 	REJECT BLOCK Your IP is blocked on this mailserver. Contact  for questions.
    63.80.185.0/24 		REJECT BLOCK Your IP is blocked on this mailserver. Contact  for questions.
    45.146.201.0/24 	REJECT BLOCK Your IP is blocked on this mailserver. Contact  for questions.
    217.112.128.0/24        REJECT BLOCK Your IP is blocked on this mailserver. Contact  for questions.
    45.82.32.0/24   	REJECT BLOCK Your IP is blocked on this mailserver. Contact  for questions.
    45.146.202.0/24 	REJECT BLOCK Your IP is blocked on this mailserver. Contact  for questions.
    45.82.34.0/24   	REJECT BLOCK Your IP is blocked on this mailserver. Contact  for questions.
    69.94.151.0/24  	REJECT BLOCK Your IP is blocked on this mailserver. Contact  for questions.
    208.187.166.0/24        REJECT BLOCK Your IP is blocked on this mailserver. Contact  for questions.
    208.186.112.0/24        REJECT BLOCK Your IP is blocked on this mailserver. Contact  for questions.
    

postmap client_checks nicht vergessen!

  • Damit dies verarbeitet werden kann, ist folgender Eintrag in main.cf nötig. Danach postfix reload usw … kennen sie ja! Wichtig ist cidr, nur so können komplette Netzwerke mit /24 geblockt werden.
[...]
smtpd_recipient_restrictions = 
[...]
    check_client_access cidr:/usr/local/etc/postfix/client_checks,
[...]
  • Hier sieht man den Erfolg der Maßnahmen via Munin: geblockt stieg sprunghaft an und bleibt weiter auf diesem Niveau.

  • Der Profi schreibt sich natürlich Skripte für alles… eh klar.