Discussion:
spameri@tiscali.it
(zu alt für eine Antwort)
Ignatios Souvatzis
2020-03-01 16:51:04 UTC
Permalink
WhoTH ist das?

...
Out: 250-SIZE 20123123
...
Out: 250 DSN
In: Rset
Out: 250 2.0.0 Ok
In: Mail from:<***@tiscali.it>
Out: 452 4.3.1 Insufficient system storage
In: Quit
Out: 221 2.0.0 Bye

(Das 452 ist ein Seiteneffekt der Tatsache, dass der besagte postfix
gar keine Mail empfangen soll (der MX fuer die domain zeigt auf
eine andere Maschine) und deshalb die angeprisene SIZE groesser
ist als der momentane freie Platz im spool.)

Aber wer z.T. ist das?

-is
--
A medium apple... weighs 182 grams, yields 95 kcal, and contains no
caffeine, thus making it unsuitable for sysadmins. - Brian Kantor
Chris Bintz
2020-03-01 18:45:50 UTC
Permalink
Post by Ignatios Souvatzis
WhoTH ist das?
...
Out: 250-SIZE 20123123
...
Out: 250 DSN
In: Rset
Out: 250 2.0.0 Ok
Out: 452 4.3.1 Insufficient system storage
In: Quit
Out: 221 2.0.0 Bye
der Typ schlägt hier seit Jahren mehrmals täglich mit Relayversuchen
auf. Jedesmal mit einer anderen IP.

Wer/Was dahintersteckt ist mir auch nicht klar.
--
Chris
www.citosoft.com
MSI Zubehör und Ersatzteile
Andreas Kohlbach
2020-03-01 19:02:32 UTC
Permalink
Post by Chris Bintz
Post by Ignatios Souvatzis
WhoTH ist das?
...
Out: 250-SIZE 20123123
...
Out: 250 DSN
In: Rset
Out: 250 2.0.0 Ok
Out: 452 4.3.1 Insufficient system storage
In: Quit
Out: 221 2.0.0 Bye
der Typ schlägt hier seit Jahren mehrmals täglich mit Relayversuchen
auf. Jedesmal mit einer anderen IP.
Wer/Was dahintersteckt ist mir auch nicht klar.
Der Body des Spams mag interessant sein, das aufzuklären.
--
Andreas

PGP fingerprint 952B0A9F12C2FD6C9F7E68DAA9C2EA89D1A370E0
Chris Bintz
2020-03-01 20:25:15 UTC
Permalink
Post by Andreas Kohlbach
Post by Chris Bintz
Post by Ignatios Souvatzis
WhoTH ist das?
...
Out: 250-SIZE 20123123
...
Out: 250 DSN
In: Rset
Out: 250 2.0.0 Ok
Out: 452 4.3.1 Insufficient system storage
In: Quit
Out: 221 2.0.0 Bye
der Typ schlägt hier seit Jahren mehrmals täglich mit Relayversuchen
auf. Jedesmal mit einer anderen IP.
Wer/Was dahintersteckt ist mir auch nicht klar.
Der Body des Spams mag interessant sein, das aufzuklären.
Da der Relayversuch abgelehnt wird bekomme ich keinen Body zu sehen.

Ich habe mit Google einen Bericht gefunden wo jemand ihn versuchsweise
durchgelassen hat und sofort mit einer spam Welle belohnt wurde.
--
Chris
www.citosoft.com
MSI Zubehör und Ersatzteile
Andreas Kohlbach
2020-03-02 10:55:05 UTC
Permalink
Post by Chris Bintz
Post by Andreas Kohlbach
Post by Chris Bintz
Post by Ignatios Souvatzis
WhoTH ist das?
...
Out: 250-SIZE 20123123
...
Out: 250 DSN
In: Rset
Out: 250 2.0.0 Ok
Out: 452 4.3.1 Insufficient system storage
In: Quit
Out: 221 2.0.0 Bye
der Typ schlägt hier seit Jahren mehrmals täglich mit Relayversuchen
auf. Jedesmal mit einer anderen IP.
Wer/Was dahintersteckt ist mir auch nicht klar.
Der Body des Spams mag interessant sein, das aufzuklären.
Da der Relayversuch abgelehnt wird bekomme ich keinen Body zu sehen.
Okay.
Post by Chris Bintz
Ich habe mit Google einen Bericht gefunden wo jemand ihn versuchsweise
durchgelassen hat und sofort mit einer spam Welle belohnt wurde.
Ah, ***@tiscali.it kam wirklich. Ich dachte, du hattest die
entstellt.

Laut Google versucht der Spammer offene Relays zu finden.
--
Andreas

PGP fingerprint 952B0A9F12C2FD6C9F7E68DAA9C2EA89D1A370E0
Delco
2023-04-10 16:00:03 UTC
Permalink
Post by Chris Bintz
Post by Andreas Kohlbach
Post by Chris Bintz
Post by Ignatios Souvatzis
WhoTH ist das?
...
Out: 250-SIZE 20123123
...
Out: 250 DSN
In: Rset
Out: 250 2.0.0 Ok
Out: 452 4.3.1 Insufficient system storage
In: Quit
Out: 221 2.0.0 Bye
der Typ schlägt hier seit Jahren mehrmals täglich mit Relayversuchen
auf. Jedesmal mit einer anderen IP.
Wer/Was dahintersteckt ist mir auch nicht klar.
Der Body des Spams mag interessant sein, das aufzuklären.
Da der Relayversuch abgelehnt wird bekomme ich keinen Body zu sehen.
Ich habe mit Google einen Bericht gefunden wo jemand ihn versuchsweise
durchgelassen hat und sofort mit einer spam Welle belohnt wurde.
--
Chris
www.citosoft.com
MSI Zubehör und Ersatzteile
Die Nachricht sieht so aus. Im Subject steht die IP meines SMTP-Servers. Die Sender-IP habe ich unverändert gelassen.

X-Client-Addr: 85.31.45.217
X-Client-Proto: ESMTP
X-Helo-Args: WIN-CLJ1B0GQ6JP
X-Mail-Args: <***@deleted>
X-Rcpt-Args: <***@deleted>
Received: from WIN-CLJ1B0GQ6JP ([85.31.45.217])
by xxxx.yyyyyy.com (xxxxx) with ESMTP id 357e1c00;
Sun, 9 Apr 2023 06:03:45 +0200 (CEST)
From: ***@deleted
Subject: aaa.bbb.ccc.ddd
To: ***@deleted
Date: Sat, 8 Apr 2023 21:03:45 -0700
X-Priority: 3
X-Library: Indy 8.0.25

t_Smtp.LocalIP

Ich sehe aber auch folgende Relay-Checks:

X-Client-Addr: 85.31.45.217
X-Client-Proto: ESMTP
X-Helo-Args: [85.31.45.217]
X-Mail-Args: <***@deleted>
X-Rcpt-Args: <***@deleted>
X-Rcpt-Args: <***@deleted>
X-Rcpt-Args: <***@deleted>
X-Rcpt-Args: <***@deleted>
Received: from [85.31.45.217] ([85.31.45.217])
by a.b.c (xxxxxx) with ESMTP id 370a44e9;
Sun, 9 Apr 2023 11:08:27 +0200 (CEST)
Content-Type: text/plain; charset="iso-8859-1"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Description: Mail message body
Subject: a.b.c.d.
To: Recipients <***@tntcompanys>
From: "DELIVERY COMPANY" <***@tntcompanys>
Date: Sun, 09 Apr 2023 02:08:27 -0700
Reply-To: ***@deleted

Dear Email Owner,

This is to acknowledge the receipt of your message. World Bank Organization=
Andreas Kohlbach
2023-04-11 01:06:04 UTC
Permalink
^^^^^^^^^^^^
Damals sah die Welt ja fast noch gut aus. ;-)

[...]
Post by Delco
Date: Sun, 09 Apr 2023 02:08:27 -0700
Das Reply-To: und From: dürften dem Spammer gehören damit und echt
sein. Bitte gerne posten.
--
Andreas
Marco Moock
2023-11-08 11:42:53 UTC
Permalink
Post by Andreas Kohlbach
^^^^^^^^^^^^
Damals sah die Welt ja fast noch gut aus. ;-)
[...]
Post by Delco
Date: Sun, 09 Apr 2023 02:08:27 -0700
Das Reply-To: und From: dürften dem Spammer gehören damit und echt
sein. Bitte gerne posten.
Bei mir versucht öfter jemand, von und zu dieser Adresse zu relayen.

Sep 14 04:29:15 srv1.dorfdsl.de sm-mta[14367]: 38E2TE13014367: ruleset=check_rcpt, arg1=<***@tiscali.it>, relay=[79.110.48.159], reject=550 5.7.1 <***@tiscali.it>... Relaying denied. IP name lookup failed [79.110.48.159]
Sep 14 04:29:15 srv1.dorfdsl.de sm-mta[14367]: 38E2TE13014367:
from=<***@tiscali.it>, size=0, class=0, nrcpts=0, proto=ESMTP,
daemon=MTA, relay=[79.110.48.159]

Da ich sowas nicht annehme (ich könnte die Adresse in die virtusertable
schreiben und dann die Mail mal annehmen), kenne ich Reply-To natürlich
nicht.
Andreas Kohlbach
2023-11-08 23:29:09 UTC
Permalink
Post by Marco Moock
Post by Andreas Kohlbach
Das Reply-To: und From: dürften dem Spammer gehören damit und echt
sein. Bitte gerne posten.
Bei mir versucht öfter jemand, von und zu dieser Adresse zu relayen.
lookup failed [79.110.48.159]
daemon=MTA, relay=[79.110.48.159]
Da ich sowas nicht annehme (ich könnte die Adresse in die virtusertable
schreiben und dann die Mail mal annehmen), kenne ich Reply-To natürlich
nicht.
Brauchst Du nicht. Nicht so wichtig.

Ich sammle dir nur, um damit Schabernack anzustellen. :-D
--
Andreas
Marco Moock
2023-11-09 08:12:47 UTC
Permalink
Post by Andreas Kohlbach
Ich sammle dir nur, um damit Schabernack anzustellen. :-D
Verrate uns mehr!
Andreas Kohlbach
2023-11-10 00:36:07 UTC
Permalink
Post by Marco Moock
Post by Andreas Kohlbach
Ich sammle dir nur, um damit Schabernack anzustellen. :-D
Verrate uns mehr!
Nicht in der Öffentlichkeit. Meine Opfer müssen ja nicht wissen, wo wem
es kommt, oder wie ich das mache. ;-)

Ich maile mal.
--
Andreas
Stefan+ (Stefan Froehlich)
2023-11-12 15:05:53 UTC
Permalink
Newsgroups: de.admin.net-abuse.mail
Date: Wed, 08 Nov 2023 18:29:09 -0500
Organization: A noiseless patient Spider
Expires: 12 Nov 2023 17:55:59 -04000
[...]
Ich sammle dir nur, um damit Schabernack anzustellen. :-D
Apropos Schabernack: Wo um alles in der Welt soll die Zeitzone
liegen, für die Du das Ablaufdatum Deines Artikels festgelegt hast?

Servus,
Stefan
--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Stefan - niemand wirbt frigider oder eventuell heisser.
(Sloganizer)
Andreas Kohlbach
2023-11-12 23:33:01 UTC
Permalink
Post by Stefan+ (Stefan Froehlich)
Newsgroups: de.admin.net-abuse.mail
Date: Wed, 08 Nov 2023 18:29:09 -0500
Organization: A noiseless patient Spider
Expires: 12 Nov 2023 17:55:59 -04000
[...]
Ich sammle dir nur, um damit Schabernack anzustellen. :-D
Apropos Schabernack: Wo um alles in der Welt soll die Zeitzone
liegen, für die Du das Ablaufdatum Deines Artikels festgelegt hast?
Mist. Tatterfinger. ;-)

Habe ich mal mit einer anderen Zeitzone superseedet...

Der hier bekommt auch ein Expire. Und F'up poster. :-)
--
Andreas
Friedemann Stoyan
2023-11-09 04:18:53 UTC
Permalink
Post by Marco Moock
Bei mir versucht öfter jemand, von und zu dieser Adresse zu relayen.
daemon=MTA, relay=[79.110.48.159]
Ein alter Bekannter, kommt von verschiedenen Adressen:

Nov 06 21:04:16 postfix/smtpd[21773]: NOQUEUE: reject: RCPT from unknown[94.156.65.70]: 504 5.5.2 <WIN-CLJ1B0GQ6JP>: Helo command rejected: need fully-qualified hostname; from=<***@tiscali.it> to=<***@tiscali.it> proto=ESMTP helo=<WIN-CLJ1B0GQ6JP>
Nov 07 16:54:20 postfix/smtpd[52972]: NOQUEUE: reject: RCPT from unknown[87.120.84.249]: 504 5.5.2 <WIN-CLJ1B0GQ6JP>: Helo command rejected: need fully-qualified hostname; from=<***@tiscali.it> to=<***@tiscali.it> proto=ESMTP helo=<WIN-CLJ1B0GQ6JP>
Nov 08 06:53:17 postfix/smtpd[73660]: NOQUEUE: reject: RCPT from unknown[147.78.103.139]: 504 5.5.2 <WIN-CLJ1B0GQ6JP>: Helo command rejected: need fully-qualified hostname; from=<***@tiscali.it> to=<***@tiscali.it> proto=ESMTP helo=<WIN-CLJ1B0GQ6JP>
Nov 08 12:33:36 postfix/smtpd[82091]: NOQUEUE: reject: RCPT from unknown[87.120.84.97]: 504 5.5.2 <WIN-CLJ1B0GQ6JP>: Helo command rejected: need fully-qualified hostname; from=<***@tiscali.it> to=<***@tiscali.it> proto=ESMTP helo=<WIN-CLJ1B0GQ6JP>
Nov 08 14:44:35 postfix/smtpd[85564]: NOQUEUE: reject: RCPT from unknown[87.120.84.72]: 504 5.5.2 <WIN-CLJ1B0GQ6JP>: Helo command rejected: need fully-qualified hostname; from=<***@tiscali.it> to=<***@tiscali.it> proto=ESMTP helo=<WIN-CLJ1B0GQ6JP>
Nov 08 21:04:57 postfix/smtpd[96269]: NOQUEUE: reject: RCPT from unknown[89.108.110.17]: 504 5.5.2 <bts>: Helo command rejected: need fully-qualified hostname; from=<***@tiscali.it> to=<***@tiscali.it> proto=ESMTP helo=<bts>

Ich habe ja fast die Vermutung, das ist ein Automat um offene Relays
aufzuspüren und auf Blacklists zu setzten. Einfach mal annehmen, um zu kucken
was das ist, würde ich mir verkneifen.


mfg Friedemann
Andreas Kohlbach
2023-11-12 23:30:53 UTC
Permalink
Post by Marco Moock
Post by Andreas Kohlbach
Das Reply-To: und From: dürften dem Spammer gehören damit und echt
sein. Bitte gerne posten.
Bei mir versucht öfter jemand, von und zu dieser Adresse zu relayen.
lookup failed [79.110.48.159]
daemon=MTA, relay=[79.110.48.159]
Da ich sowas nicht annehme (ich könnte die Adresse in die virtusertable
schreiben und dann die Mail mal annehmen), kenne ich Reply-To natürlich
nicht.
Brauchst Du nicht. Nicht so wichtig.

Ich sammle dir nur, um damit Schabernack anzustellen. :-D
--
Andreas
Marco Moock
2023-11-13 07:28:08 UTC
Permalink
Post by Marco Moock
Bei mir versucht öfter jemand, von und zu dieser Adresse zu relayen.
lookup failed [79.110.48.159] Sep 14 04:29:15 srv1.dorfdsl.de
class=0, nrcpts=0, proto=ESMTP, daemon=MTA, relay=[79.110.48.159]
SPF stimmt da aber nicht, vermutlich sind die Adressen gefälscht. Dass
der Absender darüber Kontrolle hat, bezweifle ich, der müsste dann ein
Botnetz betreiben, weil das sehr verteilt ist. Ich vermute hier eher
Angriffe auf tiscali.it, die eben über ein promiscuous relay laufen
soll.

Lesen Sie weiter auf narkive:
Loading...