Spam Problem

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
bennle
Posts: 77
Joined: 2005-06-09 17:56

Spam Problem

Post by bennle » 2006-08-04 19:00

Hallo,
Ich habe ein riesen Problem! Ich bekomme ca im Minutentakt Spammails an meine Catch@all Adressen. Allerdings ist das erstaunliche, das ich fast alle schon einmal verwendet habe.
Ich kann mir nicht erklären wie das funktioniert.
Ich bitte um eure mithilfe, da ich fast verzweifle!

Hier erstmal meine Log:

Code: Select all

Aug  4 18:40:56 aXXXXXXXX postfix/smtpd[27040]: connect from ns1.tmssoftware.de[212.185.127.2]
Aug  4 18:40:56 aXXXXXXXX postfix/smtpd[27040]: 78E7E40015C: client=ns1.tmssoftware.de[212.185.127.2]
Aug  4 18:40:57 aXXXXXXXX postfix/cleanup[27029]: 78E7E40015C: message-id=<20060804163918.8737C1628@mail.tmssoftware.de>
Aug  4 18:41:07 aXXXXXXXX postfix/smtpd[27114]: warning: 87.219.198.176: hostname inversas.2g.jazztel.es verification failed: Name or service not known
Aug  4 18:41:07 aXXXXXXXX postfix/smtpd[27114]: connect from unknown[87.219.198.176]
Aug  4 18:41:07 aXXXXXXXX postfix/smtpd[27114]: 4F91B4001E0: client=unknown[87.219.198.176]
Aug  4 18:41:07 aXXXXXXXX postfix/smtpd[26987]: warning: 58.69.126.47: hostname 58.69.126.47.pldt.net verification failed: Name or service not known
Aug  4 18:41:07 aXXXXXXXX postfix/smtpd[26987]: connect from unknown[58.69.126.47]
Aug  4 18:41:07 aXXXXXXXX postfix/cleanup[27115]: 4F91B4001E0: message-id=<000001c6b7e4$aa1112f0$d713a8c0@enx12>
Aug  4 18:41:07 aXXXXXXXX postfix/qmgr[24773]: 4F91B4001E0: from=<ornellalit@fsbfrankston.com>, size=2198, nrcpt=1 (queue active)
Aug  4 18:41:07 aXXXXXXXX postfix/smtpd[27114]: disconnect from unknown[87.219.198.176]
Aug  4 18:41:07 aXXXXXXXX spamd[20959]: connection from localhost.localdomain [127.0.0.1] at port 48697 
Aug  4 18:41:07 aXXXXXXXX spamd[20959]: processing message <000001c6b7e4$aa1112f0$d713a8c0@enx12> for web0p3:0. 
Aug  4 18:41:08 aXXXXXXXX spamd[20959]: clean message (0.5/3.0) for web0p3:0 in 0.5 seconds, 2299 bytes. 
Aug  4 18:41:08 aXXXXXXXX spamd[20959]: result: .  0 - HTML_60_70,HTML_MESSAGE scantime=0.5,size=2299,mid=<000001c6b7e4$aa1112f0$d713a8c0@enx12>,autolearn=no 
Aug  4 18:41:08 aXXXXXXXX postfix/local[27035]: 4F91B4001E0: to=<web0p3@aXXXXXXXX.alturo-server.de>, orig_to=<1-apo@meine.tld>, relay=local, delay=1, status=sent (delivered to command: /usr/bin/procmail -a "$EXTENSION")
Aug  4 18:41:08 aXXXXXXXX postfix/qmgr[24773]: 4F91B4001E0: removed
Aug  4 18:41:08 aXXXXXXXX postfix/smtpd[26987]: 998114001E0: client=unknown[58.69.126.47]
Aug  4 18:41:09 aXXXXXXXX postfix/cleanup[27115]: 998114001E0: message-id=<000001c6b7e4$b5fa63f0$aafda8c0@wlh18>
Aug  4 18:41:09 aXXXXXXXX postfix/qmgr[24773]: 998114001E0: from=<azurai@allied.org>, size=2198, nrcpt=1 (queue active)
Aug  4 18:41:09 aXXXXXXXX spamd[20991]: connection from localhost.localdomain [127.0.0.1] at port 48698 
Aug  4 18:41:10 aXXXXXXXX spamd[20991]: processing message <000001c6b7e4$b5fa63f0$aafda8c0@wlh18> for web0p3:0. 
Aug  4 18:41:10 aXXXXXXXX spamd[20991]: clean message (0.5/3.0) for web0p3:0 in 0.3 seconds, 2280 bytes. 
Aug  4 18:41:10 aXXXXXXXX spamd[20991]: result: .  0 - HTML_60_70,HTML_MESSAGE scantime=0.3,size=2280,mid=<000001c6b7e4$b5fa63f0$aafda8c0@wlh18>,autolearn=no 
Aug  4 18:41:10 aXXXXXXXX postfix/smtpd[26987]: disconnect from unknown[58.69.126.47]
Aug  4 18:41:10 aXXXXXXXX postfix/local[27035]: 998114001E0: to=<web0p3@aXXXXXXXX.alturo-server.de>, orig_to=<protect@meine.tld>, relay=local, delay=2, status=sent (delivered to command: /usr/bin/procmail -a "$EXTENSION")
Aug  4 18:41:10 aXXXXXXXX postfix/qmgr[24773]: 998114001E0: removed
Aug  4 18:41:13 aXXXXXXXX postfix/smtpd[27114]: connect from unknown[58.34.7.51]
Aug  4 18:41:16 aXXXXXXXX postfix/smtpd[27114]: NOQUEUE: reject: RCPT from unknown[58.34.7.51]: 550 <friends@bastis.info>: Recipient address rejected: User unknown in virtual alias table; from=<jagyfmgedvcl@gvendelin.ru> to=<friends@kundendmoain.tld> proto=SMTP helo=<217.160.YYY.Y>
Aug  4 18:41:17 aXXXXXXXX postfix/smtpd[27114]: disconnect from unknown[58.34.7.51]
Aug  4 18:41:42 aXXXXXXXX postfix/smtpd[26987]: connect from unknown[60.50.200.130]
Aug  4 18:41:58 aXXXXXXXX postfix/smtpd[27114]: connect from AClermont-Ferrand-251-1-43-65.w81-251.abo.wanadoo.fr[81.251.144.65]
Aug  4 18:41:58 aXXXXXXXX postfix/smtpd[27114]: BCDD54001E0: client=AClermont-Ferrand-251-1-43-65.w81-251.abo.wanadoo.fr[81.251.144.65]
Aug  4 18:41:59 aXXXXXXXX postfix/cleanup[27115]: BCDD54001E0: message-id=<000001c6b7e4$c72ba2b0$4fd8a8c0@tvo68>
Aug  4 18:41:59 aXXXXXXXX postfix/qmgr[24773]: BCDD54001E0: from=<neui@ar.sony.com>, size=2348, nrcpt=1 (queue active)
Aug  4 18:41:59 aXXXXXXXX postfix/smtpd[27114]: disconnect from AClermont-Ferrand-251-1-43-65.w81-251.abo.wanadoo.fr[81.251.144.65]
Aug  4 18:41:59 aXXXXXXXX spamd[20945]: connection from localhost.localdomain [127.0.0.1] at port 48702 
Aug  4 18:41:59 aXXXXXXXX spamd[20945]: processing message <000001c6b7e4$c72ba2b0$4fd8a8c0@tvo68> for web0p3:0. 
Aug  4 18:41:59 aXXXXXXXX spamd[20945]: clean message (0.5/3.0) for web0p3:0 in 0.5 seconds, 2437 bytes. 
Aug  4 18:41:59 aXXXXXXXX spamd[20945]: result: .  0 - HTML_60_70,HTML_MESSAGE scantime=0.5,size=2437,mid=<000001c6b7e4$c72ba2b0$4fd8a8c0@tvo68>,autolearn=no 
Aug  4 18:41:59 aXXXXXXXX postfix/local[27035]: BCDD54001E0: to=<web0p3@aXXXXXXXX.alturo-server.de>, orig_to=<103t-se60651-sarnat@bennle.com>, relay=local, delay=1, status=sent (delivered to command: /usr/bin/procmail -a "$EXTENSION")
Aug  4 18:41:59 aXXXXXXXX postfix/qmgr[24773]: BCDD54001E0: removed
Aug  4 18:42:04 aXXXXXXXX postfix/smtpd[26987]: C72594001E0: client=unknown[60.50.200.130]
Aug  4 18:42:05 aXXXXXXXX postfix/cleanup[27115]: C72594001E0: message-id=<98508395.20060804164205@mail.ru>
Aug  4 18:42:05 aXXXXXXXX postfix/qmgr[24773]: C72594001E0: from=<1dpGeGg6ch@mail.ru>, size=1690, nrcpt=1 (queue active)
Aug  4 18:42:06 aXXXXXXXX spamd[20899]: connection from localhost.localdomain [127.0.0.1] at port 48703 
Aug  4 18:42:06 aXXXXXXXX spamd[20899]: processing message <98508395.20060804164205@mail.ru> for web21p1:0. 
Aug  4 18:42:06 aXXXXXXXX postfix/smtpd[26987]: disconnect from unknown[60.50.200.130]
Aug  4 18:42:06 aXXXXXXXX spamd[20899]: clean message (1.3/5.0) for web21p1:0 in 1.0 seconds, 1819 bytes. 
Aug  4 18:42:06 aXXXXXXXX spamd[20899]: result: .  1 - DATE_IN_FUTURE_03_06 scantime=1.0,size=1819,mid=<98508395.20060804164205@mail.ru>,autolearn=no 
Aug  4 18:42:07 aXXXXXXXX postfix/local[27035]: C72594001E0: to=<web21p1@aXXXXXXXX.alturo-server.de>, orig_to=<info@xxxkunden.tld>, relay=local, delay=3, status=sent (delivered to command: /usr/bin/procmail -a "$EXTENSION")
Aug  4 18:42:07 aXXXXXXXX postfix/qmgr[24773]: C72594001E0: removed
Aug  4 18:42:10 aXXXXXXXX postfix/smtpd[27114]: connect from 201-220-103-181.bk9-dsl.surnet.cl[201.220.103.181]
Aug  4 18:42:11 aXXXXXXXX postfix/smtpd[27114]: 62B104001E0: client=201-220-103-181.bk9-dsl.surnet.cl[201.220.103.181]
Aug  4 18:42:12 aXXXXXXXX postfix/cleanup[27115]: 62B104001E0: message-id=<000001c6b7e4$c73c4480$a7bca8c0@naz11>
Aug  4 18:42:12 aXXXXXXXX postfix/qmgr[24773]: 62B104001E0: from=<branne@classicsanmarcos.com>, size=2230, nrcpt=1 (queue active)
Aug  4 18:42:12 aXXXXXXXX spamd[20913]: connection from localhost.localdomain [127.0.0.1] at port 48704 
Aug  4 18:42:12 aXXXXXXXX spamd[20913]: processing message <000001c6b7e4$c73c4480$a7bca8c0@naz11> for web14p1:0. 
Aug  4 18:42:12 aXXXXXXXX postfix/smtpd[27114]: disconnect from 201-220-103-181.bk9-dsl.surnet.cl[201.220.103.181]
Aug  4 18:42:12 aXXXXXXXX spamd[20913]: clean message (0.5/5.0) for web14p1:0 in 0.3 seconds, 2341 bytes. 
Aug  4 18:42:12 aXXXXXXXX spamd[20913]: result: .  0 - HTML_60_70,HTML_MESSAGE,UPPERCASE_25_50 scantime=0.3,size=2341,mid=<000001c6b7e4$c73c4480$a7bca8c0@naz11>,autolearn=no 
Aug  4 18:42:12 aXXXXXXXX postfix/local[27035]: 62B104001E0: to=<web14p1@aXXXXXXXX.alturo-server.de>, orig_to=<buchhaltung@xxxkunde.tld>, relay=local, delay=1, status=sent (delivered to command: /usr/bin/procmail -a "$EXTENSION")
Aug  4 18:42:12 aXXXXXXXX postfix/qmgr[24773]: 62B104001E0: removed
Aug  4 18:42:17 aXXXXXXXX popper[27146]: Stats: web0p3 7 18306 0 0 pD9E386FC.dip0.t-ipconnect.de 217.227.134.252 [pop_updt.c:296]
Aug  4 18:42:17 aXXXXXXXX popper[27147]: Stats: web3p1 0 0 0 0 pD9E386FC.dip0.t-ipconnect.de 217.227.134.252 [pop_updt.c:296]
Aug  4 18:42:18 aXXXXXXXX popper[27148]: Stats: web1p1 0 0 0 0 pD9E386FC.dip0.t-ipconnect.de 217.227.134.252 [pop_updt.c:296]
Aug  4 18:42:27 aXXXXXXXX postfix/qmgr[24773]: 78E7E40015C: from=<r.wanschura@tmssoftware.de>, size=336087, nrcpt=1 (queue active)
Aug  4 18:42:27 aXXXXXXXX postfix/smtpd[27040]: disconnect from ns1.tmssoftware.de[212.185.127.2]
Aug  4 18:42:27 aXXXXXXXX postfix/local[27035]: 78E7E40015C: to=<web14p1@aXXXXXXXX.alturo-server.de>, orig_to=<INFO@xxxkunde.tld>, relay=local, delay=91, status=sent (delivered to command: /usr/bin/procmail -a "$EXTENSION")
Aug  4 18:42:27 aXXXXXXXX postfix/qmgr[24773]: 78E7E40015C: removed
Aug  4 18:43:47 aXXXXXXXX postfix/smtpd[27114]: warning: 88.157.52.103: hostname rev-88-157-52-103.tvtel.pt verification failed: Name or service not known
Aug  4 18:43:47 aXXXXXXXX postfix/smtpd[27114]: connect from unknown[88.157.52.103]
Aug  4 18:43:47 aXXXXXXXX postfix/smtpd[27114]: 9D03A40015C: client=unknown[88.157.52.103]
Aug  4 18:43:48 aXXXXXXXX postfix/cleanup[27115]: 9D03A40015C: message-id=<000001c6b7e5$2122cb40$a951a8c0@fxs44>
Aug  4 18:43:48 aXXXXXXXX postfix/qmgr[24773]: 9D03A40015C: from=<skyey@hwprinting.com>, size=2340, nrcpt=1 (queue active)
Aug  4 18:43:48 aXXXXXXXX spamd[20959]: connection from localhost.localdomain [127.0.0.1] at port 48708 
Aug  4 18:43:48 aXXXXXXXX postfix/smtpd[27114]: disconnect from unknown[88.157.52.103]
Aug  4 18:43:48 aXXXXXXXX spamd[20959]: processing message <000001c6b7e5$2122cb40$a951a8c0@fxs44> for web0p3:0. 
Aug  4 18:43:48 aXXXXXXXX spamd[20959]: clean message (1.1/3.0) for web0p3:0 in 0.3 seconds, 2434 bytes. 
Aug  4 18:43:48 aXXXXXXXX spamd[20959]: result: .  1 - HTML_50_60,HTML_MESSAGE scantime=0.3,size=2434,mid=<000001c6b7e5$2122cb40$a951a8c0@fxs44>,autolearn=no 
Aug  4 18:43:48 aXXXXXXXX postfix/local[27035]: 9D03A40015C: to=<web0p3@aXXXXXXXX.alturo-server.de>, orig_to=<shhebtaivbdeinfo@meine2.tld>, relay=local, delay=1, status=sent (delivered to command: /usr/bin/procmail -a "$EXTENSION")
Aug  4 18:43:48 aXXXXXXXX postfix/qmgr[24773]: 9D03A40015C: removed
Aug  4 18:44:17 aXXXXXXXX postfix/smtpd[27114]: connect from mxsmfpool22.ebay.com[66.135.209.219]
Aug  4 18:44:17 aXXXXXXXX postfix/smtpd[27114]: BC82E40015C: client=mxsmfpool22.ebay.com[66.135.209.219]
Aug  4 18:44:18 aXXXXXXXX postfix/cleanup[27115]: BC82E40015C: message-id=<7542818.1154709478866.JavaMail.ebba@sjcbat01>
Aug  4 18:44:18 aXXXXXXXX postfix/qmgr[24773]: BC82E40015C: from=<Status@ebay.de>, size=23312, nrcpt=1 (queue active)
Aug  4 18:44:18 aXXXXXXXX spamd[20991]: connection from localhost.localdomain [127.0.0.1] at port 48709 
Aug  4 18:44:18 aXXXXXXXX spamd[20991]: processing message <7542818.1154709478866.JavaMail.ebba@sjcbat01> for web27p1:0. 
Aug  4 18:44:18 aXXXXXXXX postfix/smtpd[27114]: disconnect from mxsmfpool22.ebay.com[66.135.209.219]
Aug  4 18:44:19 aXXXXXXXX spamd[20991]: clean message (1.3/5.0) for web27p1:0 in 0.9 seconds, 23092 bytes. 
Aug  4 18:44:19 aXXXXXXXX spamd[20991]: result: .  1 - AWL,DATE_IN_PAST_06_12,HTML_80_90,HTML_MESSAGE,INVALID_DATE,NO_REAL_NAME scantime=0.9,size=23092,mid=<7542818.1154709478866.JavaMail.ebba@sjcbat01>,autolearn=no 
Aug  4 18:44:19 aXXXXXXXX postfix/local[27035]: BC82E40015C: to=<web27p1@aXXXXXXXX.alturo-server.de>, orig_to=<mail@kundendomain.de>, relay=local, delay=2, status=sent (delivered to command: /usr/bin/procmail -a "$EXTENSION")
Aug  4 18:44:19 aXXXXXXXX postfix/qmgr[24773]: BC82E40015C: removed
Aug  4 18:44:43 aXXXXXXXX postfix/smtpd[27114]: connect from lns-bzn-56-82-255-254-162.adsl.proxad.net[82.255.254.162]
Aug  4 18:44:43 aXXXXXXXX postfix/smtpd[27114]: 66CFA40015C: client=lns-bzn-56-82-255-254-162.adsl.proxad.net[82.255.254.162]
Aug  4 18:44:43 aXXXXXXXX postfix/cleanup[27115]: 66CFA40015C: message-id=<000001c6b7e5$2d10fe40$af71a8c0@hul20>
Aug  4 18:44:43 aXXXXXXXX postfix/qmgr[24773]: 66CFA40015C: from=<alaiamarro@gwpark.com>, size=2197, nrcpt=1 (queue active)
Aug  4 18:44:43 aXXXXXXXX spamd[20945]: connection from localhost.localdomain [127.0.0.1] at port 48710 
Aug  4 18:44:43 aXXXXXXXX spamd[20945]: processing message <000001c6b7e5$2d10fe40$af71a8c0@hul20> for web0p3:0. 
Aug  4 18:44:43 aXXXXXXXX postfix/smtpd[27114]: disconnect from lns-bzn-56-82-255-254-162.adsl.proxad.net[82.255.254.162]
Aug  4 18:44:44 aXXXXXXXX spamd[20945]: clean message (0.5/3.0) for web0p3:0 in 0.3 seconds, 2288 bytes. 
Aug  4 18:44:44 aXXXXXXXX spamd[20945]: result: .  0 - HTML_60_70,HTML_MESSAGE,UPPERCASE_25_50 scantime=0.3,size=2288,mid=<000001c6b7e5$2d10fe40$af71a8c0@hul20>,autolearn=no 
Aug  4 18:44:44 aXXXXXXXX postfix/local[27035]: 66CFA40015C: to=<web0p3@aXXXXXXXX.alturo-server.de>, orig_to=<kfzfocus@meine.tld>, relay=local, delay=1, status=sent (delivered to command: /usr/bin/procmail -a "$EXTENSION")
Aug  4 18:44:44 aXXXXXXXX postfix/qmgr[24773]: 66CFA40015C: removed
Ich habe postfix schon gestoppt und dann die Querys gelöscht! Allerdings bringt das nix!

Könnt Ihr mehr damit anfangen?
Habt ihr einen Tip für mich?

MfG

bennle
Posts: 77
Joined: 2005-06-09 17:56

Re: Spam Problem

Post by bennle » 2006-08-05 12:21

Hat keiner eine Ahnung??
Ich halte es nicht mehr aus!! 1 E-Mail pro Minute ist schon scheiße und der Spamfilter erkennt diese nichtmal!

Ich wäre euch wirklich sehr dankbar!!


MfG

wgot
RSAC
Posts: 1707
Joined: 2003-07-06 02:03

Re: Spam Problem

Post by wgot » 2006-08-05 12:44

Hallo,
bennle wrote:ch bekomme ca im Minutentakt Spammails an meine Catch@all Adressen.
Habt ihr einen Tip für mich?
wenn es sich um echten Spam handelt (und nicht um Bounces von Spam) ist der Tipp doch offensichtlich:
an meine Catch@all Adressen.
weg mit dem CatchAll.

Gruß, Wolfgang

killerhorse
Posts: 78
Joined: 2004-06-16 03:33

Re: Spam Problem

Post by killerhorse » 2006-08-05 14:24

Hallo,

Dann wirf doch alle Spammails in einen Ordner, wenn Du dann ein paar hundert oder sogar ein paar tausend davon hast, lass einfach sa-learn drüber laufen, danach kannst Du ja die vergebene Punkte Zahl von in dem Fall warscheinlich BAYES_99 noch anpassen und schon werden die Spammails erkannt.

MfG

Christian

bennle
Posts: 77
Joined: 2005-06-09 17:56

Re: Spam Problem

Post by bennle » 2006-08-06 16:05

killerhorse wrote:Hallo,

Dann wirf doch alle Spammails in einen Ordner, wenn Du dann ein paar hundert oder sogar ein paar tausend davon hast, lass einfach sa-learn drüber laufen, danach kannst Du ja die vergebene Punkte Zahl von in dem Fall warscheinlich BAYES_99 noch anpassen und schon werden die Spammails erkannt.

MfG

Christian
Hallo,
Das wäre eine gute Idee! Allerdings, wie mache ich das??
Aber auf dauer ist das auch nicht das ware, da schließlich unnötiger Datenmüll entsteht.
Wie kan ich denn herausfinden wie es dazu kommt?
Denn ich finde es verdächtig, dass an Emailadressen gespamd wird welche ich einmal verwendet habe! Zufall kann es nicht sein, da dieses Muster sehr häufig auftritt.
MfG

timeless2
Posts: 416
Joined: 2005-03-04 14:45
Location: Paris

Re: Spam Problem

Post by timeless2 » 2006-08-06 16:14

Wenn deine E-Mailadressen irgendwo auf Internetseiten stehen oder du sie irgendwo angibst, kommt früher oder später Spam. Bei Catch-All-Accounts sammelst du natürlich auch alles ein, was an keine spezifische Adresse geschickt wurde.
Wirklich verhindert kannst du das nur, wenn du die Adresse öfters wechselt und sie auch nicht erratbar ist (natürlich nur bei deaktiviertem Catch-All). Alternativ bleiben dir technische Vorrichtungen, einen Teil nicht anzunehmen bzw. zu filtern.