Massale SPAM-uitbraak ?

Verwijderd schreef op woensdag 26 oktober 2016 @ 09:48:
Ik ook sinds gisteren dames die graag sex met me willen. Dacht al dat het aan het WiFi netwerk lag hier in Turkije.

Betreft @home.nl

[ Voor 7% gewijzigd door Waah op 26-10-2016 10:51 ]

Waah schreef op woensdag 26 oktober 2016 @ 09:54:
[...]

Zijn ze daar zo gek op wifi, dat de vrouwen zich spontaan aan je voeten werpen? Of krijg je mailtjes over dames die graag seks willen

Maar op mijn hotmail ook verdacht veel van dat soort mailtjes ja.

Delakhan schreef op woensdag 26 oktober 2016 @ 11:01:
Hier nu ook een groot maandje aan de gang, Standaard +/- 6 dagen in de week 13-15 mails per dag. P0rn spam, ongewenste bijlagen en links waarop je niet moet klikken, 1 dag in de week rustig op het moment.

Helaas zijn ze nu sinds een paar dagen mijn mailadres (eigen domein) gaan spoofen...

Lief Adje schreef op woensdag 26 oktober 2016 @ 11:22:
[...]

SPF record en klaar

Ikke_niet schreef op woensdag 26 oktober 2016 @ 09:38:
Ook hier veel gewillige dames
Ik ben in het bezit van een eigen domein en voor emailadressen gebruik ik bedrijf_in_kwestie@domein.nl
Daarbij komt alle spam binnen op Dropbox@...

Zou daar iets gekraakt zijn?

lightemup schreef op woensdag 26 oktober 2016 @ 09:27:
Goedemorgen medetweakers,

De afgelopen paar dagen hoor ik veel klanten (nagenoeg iedereen) over het feit dat ze sinds kort heel erg veel P0rn SPAM krijgen.
Een echt patroon heb ik nog niet kunnen ontdekken; De domeinnamen draaien bij allerlei partijen, zowel Office 365, Exchange 2010, als simpele postfix oplossingen hebben hier last van. Zelfs @hotmail adressen liggen onder vuur (gisteren 4x gebeld over verschillende adressen)

Meteen het internet afgespeurd, maar niets kunnen vinden behalve deze grafiek.

Ik ben heel benieuwd of meer mensen hier last van hebben en/of iemand weet waardoor dit ineens zo extreem is.

erwin26 schreef op woensdag 26 oktober 2016 @ 13:58:
[...]


Waarschijnlijk is dit een nasleep van de grote linkind hack/PS hack etc. Veel grote bedrijven zijn gehackt laatste jaren en de gebruikers data is pas sinds kort in enorm grote getallen door verkocht. Kans is groot dat ze deze data gebruiken om mensen vol te spammen.

Rannasha schreef op woensdag 26 oktober 2016 @ 13:59:
[...]


Denk eerder dat het van de Dropbox hack komt. De gewillige dames melden zich bij mij op m'n Dropbox email alias en ook anderen in dit topic hebben hetzelfde gemerkt.

[ Voor 100% gewijzigd door Firefly III op 21-10-2019 09:37 . Reden: Leeg ivm privacy ]

JCE schreef op woensdag 26 oktober 2016 @ 14:53:
Tja. Zolang het bij spam blijft. Ik zie ook weleens pieken voorbij komen. Wat daar verder over te speculeren valt begrijp ik niet.

[ Voor 100% gewijzigd door Firefly III op 21-10-2019 09:37 . Reden: Leeg ivm privacy ]

[ Voor 29% gewijzigd door timmie1 op 26-10-2016 15:13 ]

Lief Adje schreef op woensdag 26 oktober 2016 @ 11:22:
[...]

SPF record en klaar

erwin26 schreef op woensdag 26 oktober 2016 @ 14:00:
[...]


Dan is de kans zeer groot dat ze inderdaad Dropbox data gebruiken.

Brent schreef op woensdag 26 oktober 2016 @ 15:21:
[...]

Was het maar waar...

^{Ben je klaar om de ware te ontmoeten?}

Nakebod schreef op woensdag 26 oktober 2016 @ 16:04:
[...]

Feitelijk gezien wel. Als iedere mailserverbeheerder nu eens SPF zou instellen, en iedere mailserver ook echt de SPF records gaat checken, dan gaat het aantal spamberichten met spoofed domains drastisch afnemen.
Daarmee voorkom je al dat iedere pipo-met-virusinfectie kan gaan mailen namens willekeurigdomein.com.

[ Voor 20% gewijzigd door CyBeR op 26-10-2016 17:35 ]

CyBeR schreef op woensdag 26 oktober 2016 @ 17:18:
[...]
Ik blokkeer voor m'n eigen mail hard op hardfails (-all)

Brent schreef op woensdag 26 oktober 2016 @ 17:35:
[...]

Wat weer niet werkt icm DMARC. Bovendien kun je dan niet meer fowarden, wat veel gebeurd.

[ Voor 7% gewijzigd door CyBeR op 26-10-2016 18:07 ]

Verwijderd schreef op woensdag 26 oktober 2016 @ 19:16:
[...]


Tjonge wat veel, dit is genoeg:

body LURLSPAM /\?[a-z]=[0-9]{3,}&/i
describe LURLSPAM custom-found-url
score LURLSPAM 9

[ Voor 7% gewijzigd door Jordientje92 op 26-10-2016 20:40 ]

Verwijderd schreef op woensdag 26 oktober 2016 @ 19:14:
[...]


Jij snapt er niets van. Volgens mij moet je een pannenkoeken bakken forum opzoeken.

( als je die berichten had bekeken, had je kunnen zien dat sommige ze zelfs spf hadden )

[ Voor 8% gewijzigd door Lief Adje op 26-10-2016 21:04 ]

[ Voor 18% gewijzigd door gekkie op 26-10-2016 22:25 ]

vanaalten schreef op woensdag 26 oktober 2016 @ 22:29:
Greylisting!
De beste anti-spam maatregel die ik hier heb ingevoerd. Voor sommige mailafzenders werkt dat slecht (dus zet je in een whitelist), maar als ik zie hoeveel spam er niet aankomt door Postgrey...

[ Voor 15% gewijzigd door Phyt_ op 26-10-2016 22:52 ]

gekkie schreef op woensdag 26 oktober 2016 @ 22:58:
Voor de tips en tricks:
Bij een grote hoster (bijvb OVH) kan het zijn dat de RBL's je requests weigeren omdat die default via de DNS server van je hoster bij de list in kwestie komen en je zo met de gehele hoster boven de fair-use limiet van de list uit komt.
Draaien van een eigen DNS resolver op je eigen ip lost dat probleem op (maar is wel weer een extra stapje in de puzzel).

[ Voor 5% gewijzigd door Phyt_ op 26-10-2016 23:06 ]

Phyt_ schreef op woensdag 26 oktober 2016 @ 23:06:
[...]
Ok thx, heb inderdaad een vps bij OVH voor mijn prive mail adressen.
eigen DNS resolver wil ik niet aan, wil het simpel houden .
Zit nu even te grasduinen in de config files van spamassin e.d.
Zie wel de spf en dkim checks aan staan in de loca.cf, nog even uitzoeken van DMARC.

Wel jammer dat er geen webinterface is voor spamassin e.d. zou het wel makkelijker maken .

[ Voor 5% gewijzigd door gekkie op 26-10-2016 23:24 ]

deagan1337 schreef op woensdag 26 oktober 2016 @ 20:10:
[...]


Lijkt me geen handige oplossing, daarmee block je ook eventuele vrij normale url's zoals invoices/?invoiceid=987

[ Voor 9% gewijzigd door CyBeR op 27-10-2016 10:21 ]

Phyt_ schreef op woensdag 26 oktober 2016 @ 23:50:
ahhhhhh nu snap ik hem m.b.t dns resolving zelf doen en de RBL's vanaf ovh.
Bedankt wist ik niet dat zo was, weer wat op het to-do lijstje .

Delakhan schreef op woensdag 26 oktober 2016 @ 11:01:
Hier nu ook een groot maandje aan de gang, Standaard +/- 6 dagen in de week 13-15 mails per dag. P0rn spam, ongewenste bijlagen en links waarop je niet moet klikken, 1 dag in de week rustig op het moment.

Helaas zijn ze nu sinds een paar dagen mijn mailadres (eigen domein) gaan spoofen...

[ Voor 16% gewijzigd door AW_Bos op 27-10-2016 10:25 ]

gekkie schreef op donderdag 27 oktober 2016 @ 10:25:
Goede reden om SPF records in te stellen lijkt me, maak je zowel jezelf als anderen gelukkig

deagan1337 schreef op woensdag 26 oktober 2016 @ 18:10:
Ik werd er ook moe van ;-) Dus hierbij de Spamassassin rules om het te blocken ( blocked tot nu toe alles van wat we binnen kregen, de NL en Noorse versies ):

AW_Bos schreef op donderdag 27 oktober 2016 @ 10:27:
[...]

Heb ik ook gedaan! Echter nu eens kijken of dat ook voor mijn losse hostname geldt?

Ik snap alleenniet waarom KPN en ANWB dat niet doen (of deden?). Daar werd pas nog ook een hoop malware-spam vanaf gestuurd, vanaf de domeinen @anwb.nl en @kpn.com

[ Voor 4% gewijzigd door gekkie op 27-10-2016 10:32 ]

AW_Bos schreef op donderdag 27 oktober 2016 @ 10:36:
Geen idee....

code:

1	v=spf1 a mx ptr ip4:193.23.143.92 mx:treinenweb.nl include:_spf.google.com include:_spf.hotmail.com ~all

[ Voor 31% gewijzigd door gekkie op 27-10-2016 10:57 ]

AW_Bos schreef op donderdag 27 oktober 2016 @ 10:36:
Geen idee....

code:

1	v=spf1 a mx ptr ip4:193.23.143.92 mx:treinenweb.nl include:_spf.google.com include:_spf.hotmail.com ~all

$ host -t TXT _spf.hotmail.com.
Host _spf.hotmail.com. not found: 3(NXDOMAIN)

1

"v=spf1 mx -all"

[ Voor 22% gewijzigd door CyBeR op 27-10-2016 11:36 ]

[ Voor 55% gewijzigd door AW_Bos op 27-10-2016 11:38 ]

gekkie schreef op woensdag 26 oktober 2016 @ 22:37:
[...]

Outlook.com eerste retry timeout op 2 uur ..

In plaats van whitelisting heb ik het opgelost door er voor te zorgen dat als je goed bezig bent qua SPF, RDNS en EHLO en niet op een select rijtje RBL's staat je gelijk door mag naar spamassassin en niet door de greylisting hoeft. Probleem met het whitelisten was , was dat ik daar soms pas achter kwam dat er weer wat gewhitelist moest worden als het al te laat was en ik dus als nog een tijd op m'n eerste mailtje kon gaan zitten wachten. Zo komt er inderdaad wel wat spam door (bijvb dankzij SPF records) maar die paar vist spamassassin er dan meestal als nog wel uit.

AW_Bos schreef op donderdag 27 oktober 2016 @ 11:36:
Oke, ik zal het even nakijken, en de SPF erop aanpassen asap
Punt is (nog) wel dat ik vanaf de XS4ALL-servers mail. Dat zou dan eigenlijk dus mijn eigen mailserver moeten zijn die ik in mijn mailclient moet instellen?

[ Voor 6% gewijzigd door AW_Bos op 27-10-2016 11:42 ]

AW_Bos schreef op donderdag 27 oktober 2016 @ 11:41:
Oke, viel me wel op dat die mails vanaf de SMTP van xs4all gewoon aankwamen. Of zouden sommige juist niet aan zijn gekomen?
Ik ga direct mijn mail-client aanpassen zodat hij via mijn server mailt.

AW_Bos schreef op donderdag 27 oktober 2016 @ 11:55:
Hm... okee...

deagan1337 schreef op donderdag 27 oktober 2016 @ 10:17:
Je snapt het zelf niet...

\?[a-z]=[0-9]{3,}&/i

[a-z] = string a-z
[0-9] = nummers
{3,) = 3 of meer nummers

Je blocked dus ook pannenkoekenbakkenforum.nl/?p=3819&pannenkoek=roosit

Dat is niet de bedoeling.

[ Voor 23% gewijzigd door rens-br op 03-02-2017 16:11 ]

Verwijderd schreef op donderdag 27 oktober 2016 @ 23:08:
[...]
*knip*

[ Voor 17% gewijzigd door rens-br op 03-02-2017 16:11 ]

deagan1337 schreef op woensdag 26 oktober 2016 @ 18:10:
Het betreft inderdaad e-mail adressen uit de Dropbox hack.

Via SPF is het niet te blocken i.v.m. het vanuit legitieme servers wordt verzonden ( via een exploit in o.a. Joomla als ik het goed heb ).

Ik werd er ook moe van ;-) Dus hierbij de Spamassassin rules om het te blocken ( blocked tot nu toe alles van wat we binnen kregen, de NL en Noorse versies ):

Plaatsen in local.cf
spamassassin --lint om de config te checken
spamassassin restarten ( in Plesk soms psa-spamassassin restart, niet spamassassin restarten )

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

body __DROPBOXSPAM1_MAIL_1 /\blekkere/i body __DROPBOXSPAM1_MAIL_2 /\bseks/i body __DROPBOXSPAM1_MAIL_3 /\bchatten/i meta DROPBOXSPAM1_MAIL (__DROPBOXSPAM1_MAIL_1 && __DROPBOXSPAM1_MAIL_2 && __DROPBOXSPAM1_MAIL_3) score DROPBOXSPAM1_MAIL 10.0 describe DROPBOXSPAM1_MAIL Message contains the words lekkere, seks, chatten body __DROPBOXSPAM2_MAIL_1 /\brelaties/i body __DROPBOXSPAM2_MAIL_2 /\bsexy/i body __DROPBOXSPAM2_MAIL_3 /\bruimdenkende/i body __DROPBOXSPAM2_MAIL_4 /\bgratis/i body __DROPBOXSPAM2_MAIL_5 /\bchatten/i meta DROPBOXSPAM2_MAIL (__DROPBOXSPAM2_MAIL_1 && __DROPBOXSPAM2_MAIL_2 && __DROPBOXSPAM2_MAIL_3 && __DROPBOXSPAM2_MAIL_4 && __DROPBOXSPAM2_MAIL_5) score DROPBOXSPAM2_MAIL 10.0 describe DROPBOXSPAM2_MAIL Message contains the words relaties, sexy, ruimdenkende, gratis, chatten body __DROPBOXSPAM3_MAIL_1 /\bheite/i body __DROPBOXSPAM3_MAIL_2 /\bsingle/i body __DROPBOXSPAM3_MAIL_3 /\bgratis/i body __DROPBOXSPAM3_MAIL_4 /\bregistrer/i body __DROPBOXSPAM3_MAIL_5 /\bsexy/i meta DROPBOXSPAM3_MAIL (__DROPBOXSPAM3_MAIL_1 && __DROPBOXSPAM3_MAIL_2 && __DROPBOXSPAM3_MAIL_3 && __DROPBOXSPAM3_MAIL_4 && __DROPBOXSPAM3_MAIL_5) score DROPBOXSPAM3_MAIL 10.0 describe DROPBOXSPAM3_MAIL Message contains the words heite, single, gratis, registrer, sexy

[ Voor 78% gewijzigd door mrAceT op 31-10-2016 10:34 ]

deagan1337 schreef op woensdag 26 oktober 2016 @ 18:10:
Het betreft inderdaad e-mail adressen uit de Dropbox hack.
.....

Plaatsen in local.cf
spamassassin --lint om de config te checken
spamassassin restarten ( in Plesk soms psa-spamassassin restart, niet spamassassin restarten )

code:

1

.....