Archiv

Archive for the ‘Spam’ Category

Malware: Drive-by-Spam – die Gefahr lauert in der HTML Mail


Im Moment gibt es jede Menge neue Malware in Emails. Es handelt sich dabei um HTML Emails, bei denen kein Anhang geöffnet werden um den Virus zu aktivieren.

Das alleinige öffnen der Email reicht aus und schon kann der Virus unter Umständen ungehindert weiteren Schadcode nachladen.

  • Schutz: keine HTML Emails öffnen (evtl. lässt sich die Ansicht der Emails im Emailprogramm generell auf Textformat umstellen)
  • Firewall so konfigurieren, dass der Email Client nur mit den – für den Emailverkehr notwendigen – Ports und Servern Kontakt aufnehmen kann.
  • Spamfilter aktivieren
  • Virenscanner aktuell halten
  • Aktuelle Sicherheitsupdates für den Emailclient installieren
  • Vorsicht beim Öffnen von Anhängen (auch pdf und Bild Dateien können Viren enthalten !!!!)
Advertisements

und wieder einmal Email mit Trojaner


Seit ein paar Tagen werden wieder per Spam Mail Trojaner verteilt. Getarnt als Anwaltsschreiben von FrHr. v. Grafenr**** (na wer kennt Ihn nicht).
Die Emails haben folgenden Inhalt (o.ä.)

„Sehr geehrte Damen und Herren,

wir vertreten die Ebay GmbH mit Sitz in Dreilinden in der nachfolgend genannten Angelegenheit. Das Vorliegen einer Vollmacht wird anwaltlich versichert.Genaue Übersicht Ihrer Verkäufe, Rechnungen, Daten und unsere Zahlungsaufforderung mit der Mahngebührenauflistung finden Sie im Anhang.

Sie bieten unter der Internethandelsplattform Ebay Computerartikel im Wege des Fernabsatzes an, ohne dabei auf das Verbrauchern zustehende gesetzliche Widerrufsrecht hinzuweisen, wie bei dem von Ihnen angebotenen Ebay Artikel mit der Nummer 9462591640015 geschehen.

Damit verstossen Sie gegen §312c Abs.1 BGB sowie gegen §1 Abs.1 S.10 BGB-InfoV und führen unlauteren Wettbewerb nach §3, §4 Abs.1 S. 11 UWG. Unserer Mandantin steht damit ein Unterlassungsanspruch gemäß §8 Abs.1,Abs. 3 S. 1 UWG zu.

Ebenso sind sie nach §9 UWG unserer Mandanten zum Schadensersatz verpflichtet und damit zur Uebernahme der Kosten unserer Beauftragung in Höhe der beigefügten Kostennote 950.94 Euro.

Die Wiederholungsgefahr kann nach ständiger Rechtsprechung nur durch Abgabe einer strafbewehrten Unterlassungserklärung beseitigt werden.

Wir fordern Sie daher im Namen unserer Mandantin auf, die beigefügte Unterlassungserklärung abzugeben. Dafür setzen wir Ihnen eine Frist bis zum 05.11.2008 – 18:00 Uhr bei uns eingehend.

Sollte die Erklärung innerhalb dieser Frist nicht oder nicht im geforderten Umfang bei uns eingehen, werden wir gerichtliche Schritte einleiten, durch die zusätzliche Kosten entstehen, die sie durch Abgabe der Erklärung vermeiden können.

Mit freundlichen Grüßen,

….“

Im Anhang findet man eine Zip Datei, welche mit einem Trojaner bzw. einem Trojaner Downloader versehen wurde.
Diese Mails am besten ungelesen löschen 😉

NF

Kampf dem Spam – Postfix


ich hatte ja schon in einem älteren Posting die Konfiguration eines Spamservers beschrieben.
Heute gibt’s noch einen Tip, wenn mal die „Unzustellbarkeits Emails“ überhand nehmen.
Die Dinger nerven und müllen in der Regel die Mailqueue unnötig zu.

Mit dem Befehl:
„mailq | tail +2 | awk ‚BEGIN { RS = „“ } /MAILER-DAEMON/ { print $1 } ‚ | tr -d ‚*!‘ | postsuper -d -„
oder
„mailq | grep -i mailer-daemon | awk ‚{ print $1 }‘ | tr -d ‚*!‘ | postsuper -d -„

lässt sich die Mailq von diesem Müll befreien.

Gruß NF

Spamgateway mit Postfix, Amavisd-new und Spamassassin


Hi Gemeinde,

wer noch immer (was mich bei der Anzahl der Spam- und Phishingmails wundern würde) auf der Suche nach einer guten und noch dazu kostenlosen Antispam Lösung ist, der sollte sich mal folgendes Konstrukt aufbauen:

Postfix agiert dabei als normaler Mailer, Amavisd-new als Zwischenmodul um Spamassassin und einen oder mehrere Virenscanner anzusprechen.
Mit ein paar Zusatzoptionen kann man sogar schon mit dem Postfix allein einiges an Spam Mails abwehren – die da wären:

### main.cf ###

#Zusatzoption, falls amavisd-new verwendet wird
content_filter = smtp-amavis:[127.0.0.1]:10024

#restrictions

smtpd_helo_required = yes

smtpd_recipient_restrictions =
permit_mynetworks
reject_unauth_destination
check_sender_access hash:/etc/postfix/recipient_access
reject_non_fqdn_recipient
reject_unknown_recipient_domain
reject_unverified_recipient
permit

smtpd_sender_restrictions =
permit_mynetworks
check_sender_access hash:/etc/postfix/sender_access
reject_non_fqdn_recipient
reject_unknown_sender_domain
permit

smtp_helo_resctictions =
permit_mynetworks
reject_invalid_hostname
check_helo_access hash:/etc/postfix/helo_access
permit
mail_size_limit = 10240000000

###################################################################

### transport Einstellungen für Amavisd-new ###

#
# The amavis interface
#

smtp-amavis unix – – n – 3 smtp
-o smtp_data_done_timeout=1200
-o disable_dns_lookups=yes

127.0.0.1:10025 inet n – n – – smtpd
-o content_filter=
-o local_recipient_maps=
-o relay_recipient_maps=
-o smtpd_restriction_classes=
-o smtpd_client_restrictions=
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o mynetworks=127.0.0.0/8

###################################################################
Wer einen Exchange 2003 Server hat, der kann auch ganz konfortable auf gültige Empfängeradressen prüfen.
Aber Vorsicht! Diese Einstellungen könnten zu einer Überlastung des Email Server führen, falls zu viele Anfrage anstehen.
Dazu werden noch folgende Zeilen in der Datei main.cf benötigt:

address_verify_map = btree:/etc/postfix/verify
address_verify_relayhost = exchange_server_name
relay_domains = domain.tld

smtpd_recipient_restrictions =
....

reject_unknown_recipient_domain

reject_unverified_recipient

....

###################################################################

Erklärung der einzelnen Parameter:

  • smtpd_helo_required = yes
    Der Client muss ein HELO/EHLO zum Beginn der Session senden. Ist zwar mittlerweile auch fast von jedem Spammer implementiert, aber könnte vielleicht doch die eine oder andere Spamsession verhindern. Zusätzlich gibt es so mehr Informationen für policyd-weight zur Auswertung.
  • strict_rfc821_envelopes = yes
    Einhaltung von des RFC821 in Bezug auf Mailadressen erzwingen. Das lehnt schlecht generierte Mailadressen ab, aber auch evtl. Mails von fehlerhaften Scripten.
  • disable_vrfy_command = yes
    Schaltet das VRFY-Command aus, mit dem Spammer die Gültigkeit von Mailadressen überprüfen könnte.
  • reject_unknown_sender_domain
    Lehnt die Mail ab, wenn die Domain der Absenderadresse nicht existiert.
  • reject_unknown_recipient_domain
    Lehnt die Mail ab, wenn die Domain der Empfängeradresse nicht existiert.
  • permit_sasl_authenticated
    Erlaube die Mail, wenn der User sich gegenüber dem Mailserver authentifiziert hat (SASL muss eingerichtet sein).
  • permit_mynetworks
    Erlaube die Mail, wenn der Absender aus $mynetworks kommt.
  • reject_invalid_hostname
    Lehnt die Mail ab, wenn der Hostname (überliefert mit dem HELO-Command) eine falsche Syntax hat.
  • reject_non_fqdn_sender
    Lehnt die Mail ab, wenn die Domain der Absenderadresse nicht ein FQDN (fully qualified domain name) ist.
  • reject_non_fqdn_recipient
    Lehnt die Mail ab, wenn die Domain der Empfängeradresse nicht ein FQDN (fully qualified domain name) ist.
  • reject_unauth_destination
    Lehnt die Mail ab, wenn die Zieladresse nicht unter $inet_interfaces, $mydestination, $virtual_alias_domains, $virtual_mailbox_domains oder $relay_domains gelistet ist.
  • reject_unknown_client
    Lehnt die Mail ab, wenn die IP-Adresse keinen PTR im DNS-Eintrag hat. Sorgt für das Ablehnen von manchen Spam-Maschinen, die von dynamischen IPs senden.
  • reject_unknown_hostname
    Lehnt die Mail ab, wenn der Hostname, der im HELO-Command übergeben wurde, keinen DNS-Eintrag hat.
  • permit
    Nimmt die Mail zur Zustellung an.


Postfix und Amavisd sollten in einer chroot Umgebung betrieben werden.
Zu guter letzt macht es Sinn einen chaching Nameserver und einen Virenscanner (antivir von Avira) zu installieren.
Der Nameserver sollte natürlich auch in einer chroot Umgebung laufen „bind-chroot“.
Der Virenscanner wird noch in die Datei „/etc/amavisd.conf“ eingetragen.
Hab gerade die Parameter nicht greifbar. Die werde ich noch nachliefern 😉
Bleibt nur noch das Anpassen der Datei „/etc/spamassassin/user_prefs“, welche die Regeln für den Spamfilter beinhaltet.

Jetzt ist das Spam Gateway fertig!

Weblinks:
Postfix Konfiguration (akadia.com)
Postfix und Amavisd (Akadia)
Postfix in einer chroot Umgebung

Wie schütze ich mich vor Spammails? (Update)


Hallo Netzgemeinde!

Heute ein Thema welches bestimmt jeden von Euch interessieren wird: Spammailflut
Ich werde immer wieder gefragt „Was kann ich gegen die vielen Spammails tun?“
Nun ich antworte in der Regel: „Benutze eine Wegwerfadresse für alle Newsletter, temp. Anmeldungen, Downloads etc.“

Wo man sich so eine Wegwerfadresse besorgen kann?
Ich habe mal ein paar interessante Links zusammengetragen.
Wichtig! Derartige Emailadressen sind auf manchen Anmelde- und Downloadseiten nicht erlaubt. In so einem Fall solltet Ihr generell auf eine Anmeldung an solchen Seiten verzichten! Diese Seiten sind nicht immer seriös.

Update 6.4.08:
hier noch ein neuer Link (sehr zu empfehlen)

Es gibt ein paar andere – aber da muss man sich oft mit einer gültigen Emailadresse registrieren – und was dann mit den Daten passiert… na ja ich trau der Sache nicht!

Aber Vorsicht – keine sensiblen Daten an diese Emailadressen schicken lassen! Jeder kann darauf zugreifen! Wenn man mal ein bisschen in den Postfächern stöbert, dann kann man oft sehr interessante Informationen entdecken 😉

Gruß NightFighter

Wegwerf emailadresse gefällig


Wer mal eben schnell eine „Wegwerf Emailadresse“ benötigt, ohne sich erst anmelden zu müssen, der sollte sich mal hier umschauen. Aber Vorsicht! Keine sensiblen Daten an diese Mailadresse schicken lassen, da jeder dieses Mail lesen könnte!

NightFighter

%d Bloggern gefällt das: