Spam sender op whitelist

woensdag 19 oktober 2016 09:30

Acties:

Topicstarter

Sinds een aantal dagen krijg ik regelmatig spam die er allemaal hetzelfde eruit zien. Duidelijk spam, maar wordt niet gemarkeerd.

De reden: de sender staat op een rbl whitelist.
X-SPAM-REPORT:

code:

From: " Mark" <predisturbance@talk02.stream>
Date: Wed, 19 Oct 2016 02:00:47 -0500
Subject: I now have perfect eyesight after adding new eye-drops
To: <paul@example.nl>
Message-ID: <4LZjG0OqzRVw2TIsZa4uLnFEVpDVrq9EWVFRrMJJVE8.M1U-1UVVLGv4uN-IKZZ1NnljKLhwDr1UoTs22vZi6_Q@talk02.stream>
X-Spam-Score: 1.3 (+)
X-Spam-Report: Spam detection software, running on the system "example.nl", has NOT identified this incoming email as spam.  The original message has been attached to this so you can view it or label similar future email.  If you have any questions, see the administrator of that system for details.  Content preview:  <http://gems.talk02.stream/pccqltxsh/wzrim74rhjlfln/uGcsinr3MU5EqGP7_XDF_8ubPxNUQ5VjH_nFDsN16pE/41AYZKiNJVcm0kYCmM9v_tZnlqMyUHXflbPk2vEeVXs-pCmaXIgQNDvgx3srPj4MNjIocAyfVhBMtB3OOcEUd2kp4aP05Wt8zLeLPHMoIVSwbls9Eo07FFF8ak7Z4CA->Good    Morning America [...]   Content analysis details:   (1.3 points, 5.0 required)   pts rule name              description ---- ---------------------- -------------------------------------------------- -0.0 RCVD_IN_MSPIKE_H4      [B]RBL: Very Good reputation (+4)                             [89.163.150.107 listed in wl.mailspike.net] -0.0[/B] SPF_PASS               SPF: sender matches SPF record -0.0 SPF_HELO_PASS          SPF: HELO matches SPF record  0.0 HTML_MESSAGE           BODY: HTML included in message  1.3 RDNS_NONE              Delivered to internal network by a host with no rDNS -0.0 RCVD_IN_MSPIKE_WL      Mailspike good senders  0.0 T_REMOTE_IMAGE         Message contains an external image
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="------------17576384514001885881885"
Content-Transfer-Encoding: 8bit

Mail is netjes opgemaakt, dus wat kun je hier aan doen? Eigen exim server met dovecot, spamassassin en clamav

woensdag 19 oktober 2016 10:01

Acties:

Nakebod

Nope.

Ik denk dat hij vrij snel van de whitelist afgaat als er genoeg spam gemeld wordt.
http://www.anti-abuse.org...sults/?host=talk02.stream
Hij staat, momenteel, op 4 blacklists realtime een 5e 6e blacklist.

Het lijkt mij dat de verzendende mailserver tot op heden een schone reputatie heeft, en er nu spam verstuurd wordt.Ze gebruiken ook een domein met een geldig SPF record, dus het is niet eens een spoofed spam domain.

Blog | PVOutput Zonnig Beuningen

woensdag 19 oktober 2016 18:36

Acties:

Paultje3181

Topicstarter

Dus een virus op een legit server? Of kan je de eigenaar rechtstreeks aanspreken?

woensdag 19 oktober 2016 20:55

Acties:

Brahiewahiewa

boelkloedig

Paultje3181 schreef op woensdag 19 oktober 2016 @ 18:36:
Dus een virus op een legit server?

Nee, waarschijnlijk een gekaapte account

Of kan je de eigenaar rechtstreeks aanspreken?

Een mailtje naar postmaster@ is de moeite van het proberen wel waard

[ Voor 25% gewijzigd door Brahiewahiewa op 19-10-2016 20:57 ]

QnJhaGlld2FoaWV3YQ==

woensdag 19 oktober 2016 22:08

Acties:

Paultje3181

Topicstarter

Net nog een aantal mails meer gekregen. Allemaal van [domain].stream. met IP-range 89.163.150.xxx
Staan ook al meerdere keren in verschillende RBL's. Maar in eerste instantie allemaal op een whitelist. Alsof de hele ip-range in eerste instantie gewhitelist is en nu ineens allemaal spam verzend...

woensdag 19 oktober 2016 22:51

Acties:

ongekend41

Division Brabant

89.163.150.0 /24 behoort toe aan het Duitse United Gameserver GmbH, wellicht hebben ze daar een probleem.

nope

Vraag

Alle reacties