---

Hejsa

Jeg har fået et problem med spam på min mailserver. Jeg er begyndt at
modtage en hel del spam som kun har afsenderadresse, emne og en
vedhæftet gif fil.

Spamassasin fanger dem ikke og de kommer med forskellige adresser, fra
forskellige IP adresser.

Jeg er begyndt at modtage så mange at det er et reelt irritationsmoment.

Er der nogen der har et forslag til hvordan jeg kan løse problemet?

Martin
--
Besøg http://poltek.blogspot.com hvor jeg skriver om politiske
og tekniske nyheder!
Alt jeg skriver på usenet er mine egne personlige meninger
med mindre andet er angivet.

---

Den 31 Jul 2007 07:54:36 GMT skrev Martin Schultz:
> Hejsa
>
> Jeg har fået et problem med spam på min mailserver. Jeg er begyndt at
> modtage en hel del spam som kun har afsenderadresse, emne og en
> vedhæftet gif fil.
>
> Spamassasin fanger dem ikke og de kommer med forskellige adresser, fra
> forskellige IP adresser.
>
> Jeg er begyndt at modtage så mange at det er et reelt irritationsmoment.
>
> Er der nogen der har et forslag til hvordan jeg kan løse problemet?

Har du prøvet at køre sa-update?

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Kent Friis <nospam@nospam.invalid> skrev 2007-07-31:
> Den 31 Jul 2007 07:54:36 GMT skrev Martin Schultz:
>> Hejsa
>>
>> Jeg har fået et problem med spam på min mailserver. Jeg er begyndt at
>> modtage en hel del spam som kun har afsenderadresse, emne og en
>> vedhæftet gif fil.
>>
>> Spamassasin fanger dem ikke og de kommer med forskellige adresser, fra
>> forskellige IP adresser.
>>
>> Jeg er begyndt at modtage så mange at det er et reelt irritationsmoment.
>>
>> Er der nogen der har et forslag til hvordan jeg kan løse problemet?
>
> Har du prøvet at køre sa-update?

Nej, den havde jeg ikke på mit system, men jeg fandt løsningen her:
http://lists.debian.org/debian-volatile-announce/debian-volatile-announce-2006/msg00012.html

Nu har jeg prøvet det, og se om det virker. Tak for ideen.

Martin
--
Besøg http://poltek.blogspot.com hvor jeg skriver om politiske
og tekniske nyheder!
Alt jeg skriver på usenet er mine egne personlige meninger
med mindre andet er angivet.

---

Martin Schultz skrev:

> Spamassasin fanger dem ikke og de kommer med forskellige
> adresser, fra forskellige IP adresser.

Hvis du har mulighed for at installere greylisting, kan det
sandsynligvis fange størstedelen af det skidtpost du modtager.

Se fx <http://greylisting.org/implementations/>.

Mvh,

--
Klaus Alexander Seistrup
http://klaus.seistrup.dk/

---

Klaus Alexander Seistrup <klaus@seistrup.dk> skrev 2007-07-31:
> Martin Schultz skrev:
>
>> Spamassasin fanger dem ikke og de kommer med forskellige
>> adresser, fra forskellige IP adresser.
>
> Hvis du har mulighed for at installere greylisting, kan det
> sandsynligvis fange størstedelen af det skidtpost du modtager.
>
> Se fx <http://greylisting.org/implementations/>.

Nu prøver jeg lige sa-update som kent forslog (Det virker nemmest).
Giver det ikke nok prøver jeg det her.

Mange tak for forslaget.

Martin
--
Besøg http://poltek.blogspot.com hvor jeg skriver om politiske
og tekniske nyheder!
Alt jeg skriver på usenet er mine egne personlige meninger
med mindre andet er angivet.

---

Martin Schultz skrev:

>> Se fx <http://greylisting.org/implementations/>.
>
> Nu prøver jeg lige sa-update som kent forslog (Det virker
> nemmest).
> Giver det ikke nok prøver jeg det her.

Du får næppe noget der er lisså effektivt som greylisting. Mængden
af skidtpost faldt hos mig fra over 300 om dagen til under 10 da jeg
installerede en greylisting policy dæmon til postfix.

Mvh,

--
Klaus Alexander Seistrup
http://klaus.seistrup.dk/

---

Den Tue, 31 Jul 2007 09:21:25 +0000 (UTC) skrev Klaus Alexander Seistrup:
> Martin Schultz skrev:
>
>>> Se fx <http://greylisting.org/implementations/>.
>>
>> Nu prøver jeg lige sa-update som kent forslog (Det virker
>> nemmest).
>> Giver det ikke nok prøver jeg det her.
>
> Du får næppe noget der er lisså effektivt som greylisting. Mængden
> af skidtpost faldt hos mig fra over 300 om dagen til under 10 da jeg
> installerede en greylisting policy dæmon til postfix.

Husk at advare om at det medfører at nogle mails bliver forsinkede
indtil afsenders mailserver prøver igen. Det er ikke alle der kan leve
med mails der er forsinkede måske to dage.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On Tue, 31 Jul 2007 09:21:25 +0000 (UTC), Klaus Alexander Seistrup
<klaus@seistrup.dk> wrote:

>Du får næppe noget der er lisså effektivt som greylisting. Mængden
>af skidtpost faldt hos mig fra over 300 om dagen til under 10 da jeg
>installerede en greylisting policy dæmon til postfix.

Men hos os hvor ISP'en kræver at al post går gennem deres SMTP backup
så vil det jo ikke virke, kun forsinke posten. Eller er der noget jeg
overser?

Får e-mail via Dansk Bredbånd.


Med venlig hilsen
Nicolai

--
http://nicolai.hjorth.com

---

Klaus Alexander Seistrup wrote:

> Du får næppe noget der er lisså effektivt som greylisting. Mængden

Modtager du mails fra Google-mail-brugere?


--
Mvh
Jesper Poulsen

---

Jesper Poulsen skrev:

>> Du får næppe noget der er lisså effektivt som greylisting.
>
> Modtager du mails fra Google-mail-brugere?

Jada. Jeg har sat whitelister ind foran sqlgrey, og hvis en afsenders
SPF er i orden, slipper whitelister emailen uden om sqlgrey (man kan
osse bare hvidliste Googles udgående servere manuelt, men det andet
kører af sig selv).

Mvh,

--
Klaus Alexander Seistrup
http://klaus.seistrup.dk/

---

Klaus Alexander Seistrup wrote:

> Jada. Jeg har sat whitelister ind foran sqlgrey, og hvis en afsenders
> SPF er i orden, slipper whitelister emailen uden om sqlgrey (man kan
> osse bare hvidliste Googles udgående servere manuelt, men det andet
> kører af sig selv).

Jeg har prøvet at whiteliste Googles udgående servere manuelt, men det
har ikke hjulpet (måske er det et forkert net jeg whitelister)...

Bruger i øvrigt postgrey.


--
Mvh
Jesper Poulsen

---

Jesper Poulsen skrev:

> Jeg har prøvet at whiteliste Googles udgående servere manuelt,
> men det har ikke hjulpet (måske er det et forkert net jeg
> whitelister)...

Jeg kan se at jeg havde "/^[mrwznxq]proxy\.gmail\.com$/" i sqlgreys
clients_fqdn_whitelist.local i sin tid (før whitelister [¹]), men
man kan til enhver tid se IP-adresserne for Googles udgående servere
på _spf.google.com, som i skrivende stund indeholder:

#v+

$ dig txt _spf.google.com +short
"v=spf1 ip4:216.239.32.0/19 ip4:64.233.160.0/19 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:209.85.128.0/17 ip4:66.102.0.0/20 ip4:74.125.0.0/16 ?all"
$

#v-

Stemmer det overens med de net du hvidlister?

Mvh,
Klaus

[¹] http://packages.debian.org/whitelister
http://packages.ubuntu.com/whitelister
--
Klaus Alexander Seistrup
http://stevia.zone237.dk/

---

Klaus Alexander Seistrup wrote:
> Stemmer det overens med de net du hvidlister?

Jeg har kun det første. Prøver at tilføje resten og så ser vi om det
hjælper.

Takker...


--
Mvh
Jesper Poulsen

---

Jesper Poulsen wrote:

> Jeg har kun det første. Prøver at tilføje resten og så ser vi om det
> hjælper.

Nå, det gjorde det tilsyneladende ikke


--
Mvh
Jesper Poulsen

---

Jesper Poulsen skrev:

>> Prøver at tilføje resten og så ser vi om det hjælper.
>
> Nå, det gjorde det tilsyneladende ikke

Underligt.

Kan du ikke bare bruge *.google.com så? ;)

Mvh,

--
Klaus Alexander Seistrup
http://klaus.seistrup.dk/

---

On Tue, 31 Jul 2007 19:17:16 +0200, Nicolai wrote:

> Men hos os hvor ISP'en kræver at al post går gennem deres SMTP backup
> så vil det jo ikke virke, kun forsinke posten. Eller er der noget jeg
> overser?

Du har ret - hvis ikke alle MX'er for domænet bruger greylisting er det
nytteløst.


Mvh.

--
"On the quiet side. Somewhat peculiar. A good Adam Sjøgren
companion, in a weird sort of way." asjo@koldfront.dk

---

asjo@koldfront.dk (Adam Sjøgren) writes:

> Du har ret - hvis ikke alle MX'er for domænet bruger greylisting er det
> nytteløst.

Kommer an på hvilke slags spambots man er efter. Dem der bare
ukritisk sender til den laveste MX-dims og ikke forsøger igen, vil
blive fanget.

Her naturligvis underforstået at man bruger egen IP som laveste, og
TDC som næstlaveste, men at der ikke kan leveres til egen IP.
--
Thorbjørn Ravn Andersen

---

On 31 Jul 2007 23:46:40 +0200, Thorbjørn wrote:

> asjo@koldfront.dk (Adam Sjøgren) writes:
>> Du har ret - hvis ikke alle MX'er for domænet bruger greylisting er det
>> nytteløst.

> Kommer an på hvilke slags spambots man er efter. Dem der bare
> ukritisk sender til den laveste MX-dims og ikke forsøger igen, vil
> blive fanget.

Du har ret. Jeg har ikke testet om den slags findes i stort tal, men har
ofte set spambots forsøge de andre MX'er.


Mvh.

Adam

--
"(Phew, it's hard to explain with my poor English.)" Adam Sjøgren
asjo@koldfront.dk

---

Martin Schultz wrote:

> Jeg har fået et problem med spam på min mailserver. Jeg er begyndt at
> modtage en hel del spam som kun har afsenderadresse, emne og en
> vedhæftet gif fil.

[...]

> Er der nogen der har et forslag til hvordan jeg kan løse problemet?

Jeg har haft stor success med simpelthen at markere alle mails med et .zip
attachment som spam.

-Claus

---

Claus Rasmussen <news-desu@veda.dk> writes:

> Jeg har haft stor success med simpelthen at markere alle mails med
> et .zip attachment som spam.

Jeg har haft stor frustration ved at skulle igennem sådan et filter i
arbejdstiden. Det er dæleme ikke nemt at udveksle ting med den slags
faldgruber.

Mindes stadig dengang jeg modtog en zip-fil indlejret i et
worddokument for at slippe forbi den slags... Hvad man ikke GØR for at
komme imål.
--
Thorbjørn Ravn Andersen

---

Thorbjørn Ravn Andersen wrote:
> Claus Rasmussen <news-desu@veda.dk> writes:
>
>> Jeg har haft stor success med simpelthen at markere alle mails med
>> et .zip attachment som spam.
>
> Jeg har haft stor frustration ved at skulle igennem sådan et filter i
> arbejdstiden. Det er dæleme ikke nemt at udveksle ting med den slags
> faldgruber.
>
> Mindes stadig dengang jeg modtog en zip-fil indlejret i et
> worddokument for at slippe forbi den slags... Hvad man ikke GØR for at
> komme imål.


Vi plejer at rename til fil.zi_ - sende den også rename tilbage inden
den skal pakkes ud. Virker fint.

Jørn

---

Den Wed, 01 Aug 2007 23:14:18 +0200 skrev Jørn Hundebøll:
> Thorbjørn Ravn Andersen wrote:
>> Claus Rasmussen <news-desu@veda.dk> writes:
>>
>>> Jeg har haft stor success med simpelthen at markere alle mails med
>>> et .zip attachment som spam.
>>
>> Jeg har haft stor frustration ved at skulle igennem sådan et filter i
>> arbejdstiden. Det er dæleme ikke nemt at udveksle ting med den slags
>> faldgruber.
>>
>> Mindes stadig dengang jeg modtog en zip-fil indlejret i et
>> worddokument for at slippe forbi den slags... Hvad man ikke GØR for at
>> komme imål.
>
> Vi plejer at rename til fil.zi_ - sende den også rename tilbage inden
> den skal pakkes ud. Virker fint.

Kommer an på hvor dumt filtret er.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Kent Friis <nospam@nospam.invalid> writes:

>> Vi plejer at rename til fil.zi_ - sende den også rename tilbage inden
>> den skal pakkes ud. Virker fint.

>Kommer an på hvor dumt filtret er.

En forholdsvis "pervers" måde er at proppe filen ind i et Word-
dokument. Det kan de færreste filtre hitte ud af.

Mvh.
   Klaus.

---

Den Thu, 2 Aug 2007 05:41:05 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>> Vi plejer at rename til fil.zi_ - sende den også rename tilbage inden
>>> den skal pakkes ud. Virker fint.
>
>>Kommer an på hvor dumt filtret er.
>
> En forholdsvis "pervers" måde er at proppe filen ind i et Word-
> dokument. Det kan de færreste filtre hitte ud af.

Eller end-users for den sags skyld. ZIP er kompliceret nok.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Kent Friis wrote:
> Den Wed, 01 Aug 2007 23:14:18 +0200 skrev Jørn Hundebøll:
>> Thorbjørn Ravn Andersen wrote:
>>> Claus Rasmussen <news-desu@veda.dk> writes:
>>>
>>>> Jeg har haft stor success med simpelthen at markere alle mails med
>>>> et .zip attachment som spam.
>>> Jeg har haft stor frustration ved at skulle igennem sådan et filter i
>>> arbejdstiden. Det er dæleme ikke nemt at udveksle ting med den slags
>>> faldgruber.
>>>
>>> Mindes stadig dengang jeg modtog en zip-fil indlejret i et
>>> worddokument for at slippe forbi den slags... Hvad man ikke GØR for at
>>> komme imål.
>> Vi plejer at rename til fil.zi_ - sende den også rename tilbage inden
>> den skal pakkes ud. Virker fint.
>
> Kommer an på hvor dumt filtret er.

"Vi" bruger Micro$oft outlook på arbejde - så det kan du selv regne ud.
Det er jo for at omgå den blokering som er lagt ind i Outlook som skal
forhindre Hr. og Fru Hansen i at få virus på deres maskine.

Min egen mail server har ingen filtrering.

Jørn

---

Den Thu, 02 Aug 2007 08:22:53 +0200 skrev Jørn Hundebøll:
> Kent Friis wrote:
>> Den Wed, 01 Aug 2007 23:14:18 +0200 skrev Jørn Hundebøll:
>>> Thorbjørn Ravn Andersen wrote:
>>>> Claus Rasmussen <news-desu@veda.dk> writes:
>>>>
>>>>> Jeg har haft stor success med simpelthen at markere alle mails med
>>>>> et .zip attachment som spam.
>>>> Jeg har haft stor frustration ved at skulle igennem sådan et filter i
>>>> arbejdstiden. Det er dæleme ikke nemt at udveksle ting med den slags
>>>> faldgruber.
>>>>
>>>> Mindes stadig dengang jeg modtog en zip-fil indlejret i et
>>>> worddokument for at slippe forbi den slags... Hvad man ikke GØR for at
>>>> komme imål.
>>> Vi plejer at rename til fil.zi_ - sende den også rename tilbage inden
>>> den skal pakkes ud. Virker fint.
>>
>> Kommer an på hvor dumt filtret er.
>
> "Vi" bruger Micro$oft outlook på arbejde - så det kan du selv regne ud.

Det gør vi også, det garanterer ikke noget om hvor avanceret spam-filter
der er installeret på Exchange-serveren eller "border" mail-serveren.

> Det er jo for at omgå den blokering som er lagt ind i Outlook som skal
> forhindre Hr. og Fru Hansen i at få virus på deres maskine.

Hvis det bare er Outlooks indbyggede filter, så er det nemmere at
disable filtret hvis man har behov for at modtage filer.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Jørn Hundebøll skrev:

> Vi plejer at rename til fil.zi_ - sende den også rename
> tilbage inden den skal pakkes ud. Virker fint.

Det kommer lidt an på om mailserveren undersøger indholdet af ved-
hænget. Noget så simpelt som:

#v+

/^UEsDB[AB][Qo]A[AB][AgQ]A[AGI]A/i   REJECT Zip files not accepted here
/^M4$L\#![\s!][H0][\s][\s]/i      REJECT Zip files not accepted here

#v-

i postfix' body_checks standser langt størstedelen af post med ved-
hæftede zipfiler, uanset hvilket navn afsenderen har valgt at give
filen.

Mvh,

--
Klaus Alexander Seistrup
http://klaus.seistrup.dk/

---

Klaus Alexander Seistrup <klaus@seistrup.dk> writes:

> /^UEsDB[AB][Qo]A[AB][AgQ]A[AGI]A/i   REJECT Zip files not accepted here
> /^M4$L\#![\s!][H0][\s][\s]/i      REJECT Zip files not accepted here

Er det starten af en zip fil i MIME-delen?

> i postfix' body_checks standser langt størstedelen af post med ved-
> hæftede zipfiler, uanset hvilket navn afsenderen har valgt at give
> filen.

Så må man jo ty til RAR eller det der er værre Kors hvor er det irriterende.
--
Thorbjørn Ravn Andersen

---

Thorbjørn Ravn Andersen wrote:
>> /^UEsDB[AB][Qo]A[AB][AgQ]A[AGI]A/i   REJECT Zip files not accepted here

Jeg vil gætte på at ovenstående er UU-Encoded.

>> /^M4$L\#![\s!][H0][\s][\s]/i      REJECT Zip files not accepted here
> Er det starten af en zip fil i MIME-delen?

Det tror jeg.


--
Mvh
Jesper Poulsen

---

Den Thu, 02 Aug 2007 09:46:44 +0200 skrev Jesper Poulsen:
> Thorbjørn Ravn Andersen wrote:
>>> /^UEsDB[AB][Qo]A[AB][AgQ]A[AGI]A/i   REJECT Zip files not accepted here
>
> Jeg vil gætte på at ovenstående er UU-Encoded.

Nok nærmere base64. Uuencode linier starter med M (undtagen sidste
linie), så det er nok nærmere den nedenfor.

>>> /^M4$L\#![\s!][H0][\s][\s]/i      REJECT Zip files not accepted here

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Thorbjørn Ravn Andersen skrev:

>> /^UEsDB[AB][Qo]A[AB][AgQ]A[AGI]A/i   REJECT Zip files not accepted here
>> /^M4$L\#![\s!][H0][\s][\s]/i      REJECT Zip files not accepted here
>
> Er det starten af en zip fil i MIME-delen?

Ja, den øverste svarer til base64, den nederste til uuencode.

Mvh,

--
Klaus Alexander Seistrup
http://klaus.seistrup.dk/

---

Claus Rasmussen skrev:

> Jeg har haft stor success med simpelthen at markere alle mails
> med et .zip attachment som spam.

Så nu er spammerne begyndt at sende børsskidtpost som PDF-filer. :(

Mvh,

--
Klaus Alexander Seistrup
http://klaus.seistrup.dk/

---

Den Wed, 01 Aug 2007 18:33:10 +0000. skrev Klaus Alexander Seistrup:

>> Jeg har haft stor success med simpelthen at markere alle mails med et
>> .zip attachment som spam.
>
> Så nu er spammerne begyndt at sende børsskidtpost som PDF-filer. :(
>

Prøv Clamav med sanesecurity, for at fange spam der sendes som
vedhæftede pdf og pdf zippet filer.

http://www.sanesecurity.co.uk/

En komplet antispam løsning, der har det hele, delaying, spf check, rbl,
antivirus, bayesian, osv.
ASSP antispam proxy

http://assp.sourceforge.net/

Her er et eksempel på clamav med sanesecurity:

64.62.50.26 <dzwku@crowechizek.com> to: user@domain Received-SPF:
neutral (domain: local policy) client-ip=64.62.50.26; envelope-from=dzwku@crowechizek.
com; helo=fylughw;
Commencing DNSBL checks on 64.62.50.26
Completed DNSBL checks on 64.62.50.26
64.62.50.26 <dzwku@crowechizek.com> to: user@domain RBL:
Received-RBL: pass
64.62.50.26 <dzwku@crowechizek.com> to: user@domain ClamAV:
scanning 17172 bytes done FOUND Email.Stk.Gen592.Sanesecurity.07071801.pdf
64.62.50.26 <dzwku@crowechizek.com> to: user@domain virus detected
'Email.Stk.Gen592.Sanesecurity.07071801.pdf'
64.62.50.26 <dzwku@crowechizek.com> to: user@domain deleting
spamming whitelisted tuplet: (64.62.50.0,crowechizek.com) age: 7s
64.62.50.26 <dzwku@crowechizek.com> to: user@domain PB: 64.62.50.0
score: 0+251 => 251 reason:Email.Stk.Gen592.Sanesecurity.07071801.pdf
64.62.50.26 <dzwku@crowechizek.com> to: user@domain is
disconnected