IP für E-Mails sperren

[pg-computer]

Hoi Hoi an alle,

ich habe folgendes Problem... ich werde von einem Ã?sterreicher zugespammt, der den Wurm Sorbig.F hat.
Mail Header sieht folgendermaßen aus:
Return-Path: <bonus-mail@gmx.net>
Received: from MARKUS_RAUCH (N718P020.adsl.highway.telekom.at [62.47.33.180])
by server1.pg-tw-server.de (8.11.3/8.11.3/SuSE Linux 8.11.1-0.5) with ESMTP id h7PDvg122210
for <info@pg-tw-computer.de>; Mon, 25 Aug 2003 15:57:45 +0200
Message-Id: <200308251357.h7PDvg122210@server1.pg-tw-server.de>
From: <bonus-mail@gmx.net>
To: <info@pg-tw-computer.de>
Subject: Re: Re: My details
Date: Mon, 25 Aug 2003 15:54:21 +0200
X-MailScanner: Found to be clean
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="_NextPart_000_01C157EE"
X-UIDL: L4e!!$]D!!>Fl"!:T:"!


Natürlich ständig mit gefälschten Mailadressen, etc.
Wie kann ich den User am besten aussperren, damit er keine Mails mehr an mich schicken kann, derzeit habe ich die IP direkt in der hosts.deny vermerkt, da aber Sendmail ja nicht über inetd läuft aber trotzdem in die Datei hosts.deny schaut, kann man das darüber sperren, das ganze Subnet 62.47.*.* oder muss ich da per iptables Hand anlegen, sobald der kleine MTA (Wurm) auf dem Client bei mir die Mails schickt...
am besten wär es auch, wenn ich nicht schreiben müsste ALL : IP sondern eben nur für Sendmail das Subnet sperren...
Derzeit trage ich immer ein:
ALL : seineIP, aber die ändert sich ja nach jeder Wiedereinwahl.
Habt ihr dafür irgendeine brauchbare, einfache Lösung?
Vielleicht per iptables oder eben doch über die hosts.deny!?


Danke im Voraus!


Gruß

PG-Computer

[pg-computer]

Hoi Hoi,

so ich antworte mir mal selbst... ;-)

Hab einfach in die hosts.deny
ALL : 62.47.
eingetragen und es funzt, Apache guckt da nicht rein und ich hab meine Ruhe...

"Aug 25 16:19:16 server1 sendmail[22904]: h7PEJGq22904: tcpwrappers (N718P020.adsl.highway.telekom.at, 62.47.33.180) rejection
Aug 25 16:19:18 server1 sendmail[22904]: NOQUEUE: N718P020.adsl.highway.telekom.at [62.47.33.180] did not issue MAIL/EXPN/VRFY/ETRN during connection to MTA
"


Trotzdem Danke! :lol:


Gruß

Peter

[dodolin]

Nicht gerade sinnig, wenn du mich fragst...

Sinniger wäre gewesen:
a) Ã?sterreichische Telefonauskunft anrufen und nach Markus Rauch fragen (oder im Internet suchen, falls es da was gibt...).
b) Abuse von telekom.at anschreiben.
c) Per maildrop (oder zur Not auch mit Procmail) auf den Header "X-MailScanner: Found to be clean" filtern, der für Sobig.F scheinbar typisch ist. Ansonsten über Sobig.F schlaumachen, um sich andere noch bessere Massnahmen zu überlegen.

Ganze IP-Ranges zu sperren ist ziemlich unsinnig - vor allem, wenn es sich um Dialups handelt. Der gute Markus wird sicher in Kürze mit der nächsten IP unterwegs sein und das spiel geht von vorne los... Und die ganzen anderen Unschuldigen Telekom.AT Nutzer werden alle mit Sippenhaft bestraft. Sehr gut!

[gamecrash]

a) wird wohl nicht funzen, ich denke der schreibt da einfach irgend einen Absender rein... aber an Abuse ist nie schlecht, weil die wissen genau welcher Anschluss das ist (wenn Du die Zeit dazusagst und alle Header mitschickst).

[dodolin]

a) wird wohl nicht funzen, ich denke der schreibt da einfach irgend einen Absender rein...

Google-Suche nach "sobig.f helo string" brachte schon beim ersten Treffer:

Furthermore, the SMTP implementation of Sobig.F appears to use the WINS name of the host as argument for the HELO/EHLO command.

Es ist daher sehr wohl davon auszugehen, dass der gute Markus Markus heißt. :)

Merke: Ich weiß sehr wohl, dass man den HELO beliebig fälschen kann, aber ich behaupte einfach mal, dass ich genausogut in der Lage bin, halbwegs zu erkennen, wann der HELO etwas aussagt und wann nicht. ;)

[pg-computer]

Hoi Hoi,

nö der kontaktiert doch nur mit meinem Mailserver, der Apache ist für die User doch noch erreichbar, da der nicht in die hosts.deny schaut, und wenn ich da mal paar Telekom.at User sperre für die Sache ist doch nicht schlimm, im Normalfall steht ja in der Received FROM ein Mailserver.. aber nicht so ein blöder Client wie dieser Markus Rauch, der sich seinen PC voll mit Sobig.F geflutet hat :->

Abuse Mail ist schon unterwegs, nur bis die was machen... da ist mein Postfach schon voll ;)

Gruß

Peter