massive SPAM Attacke von @attbi.com

[eknori]

seit Tagen werde ich mit tollen Angeboten zum Thema VIAGRA zugeschüttet. In der Stunde gehen etwa 200 Mails bei mir ein.
KSPAM blockt die super ab; trotzdem habe ich jetzt auch attbi.com in meine deny List aufgenommen ( Serverkonfiguration - Router/SMTP - Restrictions - inbound control - deny mail from )

hier meine Liste:

attbi.com;usa.net; pchome.com.tw; abbottsford.mu.edu; abhsia.telus.net; access.acn.gr; access.naxs.com; access.ntelos.net; access.uk.tiscali.com; acn.waw.pl; across.or.jp; ade.iprimus.net.au; adinet.com.uy; adsl*.kymp.net; adsl.cybercity.dk; adsl.easynet.be; adsl.fx.apol.com.tw; adsl.ly.tiscali.dk; adsl.net.htnet.hr; adsl.snet.net; adsl.tpnet.pl; adsl.ttnet.net.tr; adsl.xs4all.nl; aep.bellsouth.net; agh.edu.pl; agtelco.com; allstream.net; al.charter.com; al.frontiernet.net; amerion.net; amu.edu.pl; andorpac.ad; ap-US01.usen.ad.jp; ap-US.usen.ad.jp; ap.yournet.ne.jp; area2.spcsdns.net; ar.comcast.net; as-*.contactel.cz; as.wcom.net; at101.earthlink.net; atgi.net; athome.tue.nl; azdata.net; az.comcast.net; ba-dsg.net; bahnhofbredband.net; bai.ne.jp; barbwi.tds.net; bbtec.net; bbtel.com; bchsia.telus.net; bhlkwi.tds.net; bitstreet.net; biz.mindspring.com; blca.blazenet.net; block.alestra.net.mx; bna.bellsouth.net; bnvl.cox-internet.com; bois.qwest.net; bpb.bigpond.com; bredband.skanova.com; broadband.ctm.net; broadband.iol.cz; broadband.ntl.com; brutele.be; btcentralplus.com; cable-client.iqara.net; cablenet.ne.jp; cablep.bezeqint.net; cable.inet.fi; cable.mindspring.com; cable.net.co; cable.ntl.com; cable.ogaki-tv.ne.jp; cable.ubr01.chap.blueyonder.co.uk; cable.ubr01.pres.blueyonder.co.uk; cable.ubr02.harb.blueyonder.co.uk; cable.ubr02.linl.blueyonder.co.uk; cable.ubr03.roth.blueyonder.co.uk; cable.ubr06.live.blueyonder.co.uk; cable.wanadoo.nl; cae.bellsouth.net; carolina.rr.com; cas-gue.golden.net; casscabletv.com; catv-pool.axelero.hu; catv296.ne.jp; ca.astound.net; ca.charter.com; ccnw.ne.jp; cc.ri.us; cdrr.qwest.net; charter-stl.com; citysat.com.pl; click-network.com; clientes.euskaltel.es; client.dsl.net; club-internet.fr; clvdoh.adelphia.net; cm.apol.com.tw; cm.vtr.net; coditel.net; col.choiceone.net; con.ptd.net; cooptel.qc.ca; coopvgg.com.ar; cotas.com.bo; crchtx.swbell.net; crka.fit.edu; crowley.pl; customers.dnainternet.fi; customer.alfanett.no; customer.soneraliving.fi; cust.bezeqint.net; cust.bredbandsbolaget.se; cust.qwest.net; cust.tele2.fr; cust.tie.cl; dca2.superb.net; ddc.dartmail.net; ddsl*.fuse.net; den.ygnition.net; desm.uswest.net; de.comcast.net; dhcp.ttu.edu; dial-access.att.net; dial-up.telesp.net.br; Dial1.Cincinnati1.Level3.net; Dial1.Denver1.Level3.net; Dial1.Miami1.Level3.net; Dial1.Phoenix1.Level3.net; Dial1.StLouis1.Level3.net; dialin.heagmedianet.de; dialin.iupui.edu; dialup*.pennswoods.net; dialup.gvt.net.br; dialup.lanck.net; dialup.optusnet.com.au; dialup.rs.net.ua; dialup.sigecom.net; dialup.sura.ru; dialup.wvnet.edu; dial*.sne.nac.net; dial.allstream.net; dial.de.colt.net; dial.isp-service.de; dial.kabelfoon.nl; dial.ntli.net; direcpc.com; dlt.dccnet.com; dm.optidynamic.com; dobie.bestline.net; do.pttrs.net; dpc*.direcpc.com; dsl-cust.gwtc.net; dsl-home.vsi.ru; dslosaka.att.ne.jp; dsltokyo.att.ne.jp; dsl.austtx.swbell.net; dsl.bkfd14.pacbell.net; dsl.chic01.pacbell.net; dsl.clevoh.ameritech.net; dsl.concepts.nl; dsl.connexus.net.au; dsl.expressnet.de; dsl.frsn02.pacbell.net; dsl.mdsnwi.ameritech.net; dsl.mindspring.com; dsl.netsource.ie; dsl.nextra.sk; dsl.renocs.pacbell.net; dsl.saunalahti.fi; dsl.sbndin.ameritech.net; dsl.snlo01.pacbell.net; dsl.spfdil.ameritech.net; dtgnet.com; dynamic.apol.com.tw; dynamic.covad.net; dynamic.hinet.net; dynamic.home.xdsl-line.inode.at; dynamic.tfn.net.tw; dyn*.cea.ru; dyn.gotadsl.co.uk; dyn.grandenetworks.net; dyn.iinet.net.au; dyn.salzburg-online.at; d.umn.edu; e-lan.net.tw; east.verizon.net; emirates.net.ae; eot.com; eo.eaccess.ne.jp; eulstx.swbell.net; evc.net; FastADSL.latribu.be; FastDSL.tiscali.be; fbb.aol.co.jp; fbx.proxad.net; fcjs.urjc.es; forward.012.net.il; freedom.wy.silverstar.com; friaco.onetel.net.uk; fulton.nexband.com; gen.twtelecom.net; getnet.net; gif.mesh.ad.jp; gnv.bellsouth.net; gogenesis.com; goplanet.pi.be; gt.rr.com; h1*.telia.com; har.choiceone.net; hbt.southcom.com.au; hicat.ne.jp; his.no; hiway.at; hkd.mesh.ad.jp; hkicable.com; home.ne.jp; host*.midco.net; hqglobal.net; hrlntx.swbell.net; hstntx.swbell.net; hs.telusplanet.net; hx*.betuwe.net; ia.polsl.gliwice.pl; icebase.net; iFiber.telenet-ops.be; ind.choiceone.net; INTERCABLE.net; internetdsl.tpnet.pl; internode.on.net; intnet.mu; ionex.net; ip-pluggen.com; ipgw.phs.yoyogi.mopera.ne.jp; ipt.aol.com; ip.adsl.hu; ip.mcleodusa.net; ip.superonlinecorporate.com; ip.tele2adsl.dk; ip.versanet.de; IP.WestPA.net; isdn.flets.nmt.ne.jp; jaist.ac.jp; jam.rr.com; jaring.my; jetstream.xtra.co.nz; jsbr.cox-internet.com; kabel.utwente.nl; kadena.attmil.ne.jp; koyote.net; kscymo.swbell.net; ks.ok.cox.net; kuzniki.net; la.charter.com; lbcktx.swbell.net; lb.home.nl; lino.sympatico.ca; LIPS.Berkeley.EDU; lndnnh.adelphia.net; lynchburg.net; mail.ru; man.choiceone.net; med.cornell.edu; mel.iprimus.net.au; mem.bellsouth.net; midmaine.com; midsouth.rr.com; midtn.chartertn.net; milwwi.tds.net; mn.astound.net; mn.frontiernet.net; mpls.qwest.net; msu.montana.edu; mts.net; nc.charter.com; net-htp.de; net4u.hr; netcologne.de; netonecom.net; net*.noos.fr; net.htnet.hr; newtel.com; ne.frontiernet.net; nf.sympatico.ca; noos.fr; nr.ip.pt; nsw.optusnet.com.au; ns.aliant.net; nv.iinet.net.au; NYC1.equant.net; NYC*.covad.net; ocn.ne.jp; ocv.ne.jp; oh.voyager.net; okcyok.swbell.net; order-vault.net; osk.mesh.ad.jp; ov.home.nl; p001.terra.com.br; pa.stargate.net; pc-ma2.easeful.com; pdyn.saunalahti.fi; peterstar.ru; phnx.qwest.net; phx.gblx.net; pine.cox-internet.com; plala.or.jp; plymouth.edu; pool217141.interbusiness.it; pool80116.interbusiness.it; pool80180.interbusiness.it; pool80183.interbusiness.it; pool8019.interbusiness.it; pool8020.interbusiness.it; pool8021.interbusiness.it; pool81114.interbusiness.it; pool8172.interbusiness.it; pool8174.interbusiness.it; pool8249.interbusiness.it; pool8250.interbusiness.it; pool8251.interbusiness.it; pool.mediaWays.net; porch.wavecable.com; powered-by.skynet.be; ppp11.odn.ad.jp; pppool.de; ppp*.odn.ad.jp; ppp.dion.ne.jp; ppp.get2net.dk; ppp.infoweb.ne.jp; ppp.odn.ad.jp; ppp.tiscali.fr; prod-infinitum.com.mx; prp.dublin.eircom.net; public.utexas.edu; p.lodz.pl; qc.sympatico.ca; qld.optusnet.com.au; razor.bmj.net.pl; rcsntx.swbell.net; red.mundo-r.com; residences.ulaval.ca; resnet.buffalo.edu; resnet.cuhk.edu.hk; ResNet.Dal.Ca; resnet.ubc.ca; resnet.ucla.edu; resnet.wsu.edu; reverse.mdcc-fun.de; reverse.newskies.net; rev.dyxnet.com; rev.gaoland.net; rev.o1.com; rev.stofanet.dk; rn*.wcu.edu; rn.byu.edu; roch.qwest.net; s175.muohio.edu; saber.net; sceptre.first4it.co.uk; sdf.bellsouth.net; sdi.tpnet.pl; sdsl.cais.net; sdsl.catch.no; seed.net.tw; se.rr.com; sfo.ygnition.net; shermanandhemstreet.com; singnet.com.sg; slkc.qwest.net; slm.blueriver.net; snantx.swbell.net; snv.cp.net; so-net.ne.jp; soc.hawaii.edu; southeast.rr.com; spacelan.ne.jp; spmodem.washington.edu; sprint-hsd.net; stlsmo.swbell.net; stm.mesh.ad.jp; stthomas.edu; studbost.vxu.se; student.umd.edu; stx.rr.com; subscriber.vzavenue.net; sudbury.personainc.net; suomi.net; syd.ar.com.au; syr.choiceone.net; t-ipconnect.de; t1d122.voas.fi; t4.ds.pwr.wroc.pl; tancsics-starjan.sulinet.hu; tbaytel.net; telecom.sk; teleos-web.de; telepar.net.br; TELE.NET; telia.com; theplanet.com; theriver.com; tiki.ne.jp; time.net.my; tinp.net.tw; tisdip.tiscali.de; tm.net.my; ttk.pte.hu; tulsok.swbell.net; turbonet.com; tv.blacksburg.ntc-com.net; txucom.net; tx.charter.com; tyrd.cox-internet.com; tys.bellsouth.net; t.u-tokyo.ac.jp; ucatv.ne.jp; unassigned-reverse.pcnet.ro; unitz.ca; unk.tds.net; upc-a.chello.nl; upc.chello.be; users.telpin.com.ar; user.msu.edu; usuarios.retecal.es; utaonline.at; uudial.uunet.co.za; VIC.netspace.net.au; vic.optusnet.com.au; vnet.hu; vnnyca.adelphia.net; vp.centurytel.net; wchtks.swbell.net; webport.bt.net; wg2.ohiou.edu; wh.uni-hannover.de; wi.charter.com; wlks.losch.net; wp.shawcable.net; xdsl*.osnanet.de; xdsl.is; xdsl.tiscali.nl; Yahoo*.bbtec.net; ya.com; *ppp.tld.net; *wcm.comporium.net ; adsl-68-93-187-150.dsl.stlsmo.swbell.net; hush.com; top-prods.com; man4-nat.ma.tmpw.net; ccnt.com.cn; worldweb.net; yebox.com; tvi-web.de; 126.com; address.com; adultnews.tv; allesklar.de; alleslive.de; altavista.co.kr; altavista.com; altavista.de; anarchy-online.com; aon.at; asiafind.com; att.net; attbi.com; au.ru; aude.org; bluetrees.com; bluewin.ch; brisant-mail.com; china.com; chiptipe.com; collingwoodfc.com.au; e-medialtd.com; earthlink.com; earthlink.net; erotic.de; erotika.de; excite.com; expertcity.com; freecelebpass.com; freesurf.ch; get.topica.com; goldmail.de; graphic-designer.com; gte.net; gunster.com; hotbot.com; hugedickstinygirls.com; ipc.hiroshima-u.ac.jp; juno.com; kasha.pcb.net; keptwoman.co.uk; list.rapid.com; LISTSERV.PLANETINTERNET.BE; looksmart.co.uk; love-twister.org; lycos.com; mail.777.net.cn; Mail.com; mailportal.net; Mandy.de; mark11.hostserve21.com; mediamailing.com; mexico.com; mindspring.net; nachrichtendienst24.com; navy.mil; netaddress.com; netstra.com.au; newmail.ru; newsmail.de; optin-magic.com; optin-magic.com; pferde-scout24.de; quickly.co.uk; rpmlink.com; s1r2.lax.ntcor.net; sadisten.com; savethelostchildren.com; scriptsalive.com; sexnews2.de; sokrates.fit4net.de; surg.co.uk; techemail.com; topica.com; tot.de; usa.net; ussr.to; uvhost.com; vega.me.uunet.de; yaysat.com.tr

Ulrich

[Redredson]

Hi,

danke für die Liste. Hab ich mir mal eben ins ServerDoc kopiert!

Merci !

Rerdedson
 

[majoo]

Hallo Ulrich,

so wie ich das sehe, hast du attbi.com jetzt zwei mal in deiner Liste.

Gruß
Martin

[wolf007]

diese ewig lange liste könntest du dir sparen schau mal
www.spampal.de

kriegst du überhaupt noch mails

wolf

[Glombi]

diese ewig lange liste könntest du dir sparen schau mal
www.spampal.de

eknori hatte etwas gepostet, was sich auf das Konfigurationsdokument im Domino Directory bezogen hat. Üblicherweise setzt man ja Notes mit Server ein.
Das von Dir genannte Programm ist aber eine andere Baustelle...

Andreas

[eknori]

Ich setze meinen Filter auf dem Server ein und nicht auf der WS;
Ja, ich bekomme noch Mails und dank kSpam und ein wenig Aufwand bei der Erstellung der Regeln auch die, die ich lesen möchte.
Mittlerweile habe ich die Liste auch drastisch gekürzt; eines bleibt aber Fact: attbi.com ist momentan der größte Spammer ( zumindest hier bei mir ). Mag sein, daß das be anderen eine andere Domain ist. Aber ws für den einen Spam ist, ist für den anderen eine interessante Geschichte. Daher ist es ja so schwer, hier eine Unterscheidung zu machen.
Aber schön, das sich noch jemand hier mit dem Thema beschäftigt  

[wolf007]

man kann es auch mit einem server einsetzen

[eknori]

nimm mal bitte den Fuß vom Gas ( bezogen auf deine momentane Postingfrequenz )

das Thema SPAM ist mir nicht unbekannt und auch nicht die Methoden, die man einsetzen kann, um diesen Mist zu bannen.
Ich setze bei mir auf MEINEM Server Produkte ein, die mir gute Dienste leisten ( kSpam unteranderem aus dem Grund, weil ich am Quellcode mitschreibe )
Daher passen die von dir erwähnten Produkte nicht in meine Konfiguration.
Viele Wege führen nach Rom.

[animate]

man kann es auch mit einem server einsetzen

lol.

auf der Seite fiel mir als erstes dieser Satz ins Auge

SpamPal ist kein Spamfilter für unternehmensweite Mail-Server, die direkt mit dem Internet verbunden sind.

[eknori]

nun ja, irgendwie muß sich die Autorenschar ja absichern ( ich will damit die Leistung von Daniel nicht schmälern ) Aber SpamPal verfolgt ja einen anderen Ansatz; hier wird verstärkt auf BL gesetzt und bayesian Filter etc. sind PlugIns.

Und das Fehlen irgendwelcher Regularien sind natürlich ein K.O Kriterium für den Untermehmenseinsatz.

Mit meiner Konfiguration und meinen Regeln ( kein bayesian Filter ) komme ich zuhause auf gut 98% erkennugsrate bei <1% false positives.
Dafür habe ich aber auch nur 100 - 120 mails am Tag.
In der Firma bei ca 170.000 Mails / Tag habe ich nur 30 % ( bei meinen Regeln )
Das neu erstelle Regelwerk umfasst 140 Regeln ( einige regular expressions, some domains und viel Klartext ) und schnappt sich gut 90% bei < 1% false positives.
Das muß natürlich ständig überarbeitet werden, damit es auch optimal läuft. Auf eine BL alleine kann ich mich nicht verlassen; es gibt durchaus einige domains, die prinzipiell keine Spam verschicken, wir aber trotzdem von denen keine Mails erhalten wollen ( und auch dahin keine versenden )

Aber je mehr man sich selber ( und sich nicht blind auf BL verlässt )  mit der Problematik beschäftigt, desto mehr lernt man auch Spam zu verstehen und effektiv zu bekämpfen.

[majoo]

@Ulrich

Hallo Ulrich,

du schreibst, du hast deine Liste drastisch gekürzt.
Darf ich fragen wie du da vorgehst. Nach welchen Kriterien nimmst du Einträge von der Liste?
Wie kann man den so eine große Zahl von Absendern überprüfen?

Gruß
majoo

[eknori]

die Liste stammt noch aus Non-KSpam Zeiten; ich beobachte jetzt die Menge an Spam, die über eine bestimmte Domain reinkommt. Dazu habe ich in kSpam die Regeln; stellt sich raus, dass über eine Domain besonders viel Spam von kSpam abgefangen wird, wandert die Domain ins Konfigurationsdocument.