Beantwortet

smtpout-fallback.aon.at ist eine Spamschleuder

R
Rang
uns erreichen viele Spams über den Server smtpout-fallback.aon.at
Bitte Gegenmaßnahmen ergreifen ....

das ist nur ein kleiner Auszug aus 100erten Spam Mails die über smtpout-fallback.aon.at
kommen ....
Bitte Abstellen !
mfg
Ing. Robert Nowotny


z.Bsp:
#####
Content type: Spam
Internal reference code for the message is 33410-09/1TVoJ9SyY1n5

First upstream SMTP client IP address: [195.3.96.120] smtpout-fallback.aon.at
According to a 'Received:' trace, the message originated at:
[217.160.166.181],

Return-Path:
From: Michael Kemp
Message-ID:
Subject: The vacancy of Internet manager
The message has been quarantined as: amavis_quarantine_spam@rotek.at

The message WAS NOT relayed to:
:
250 2.7.0 Ok, discarded, id=33410-09 - SPAM
#####
Content type: Spam
Internal reference code for the message is 14782-08/ZrYiX-K-Z73l

First upstream SMTP client IP address: [195.3.96.120] smtpout-fallback.aon.at
According to a 'Received:' trace, the message originated at: [216.24.4.76],
216-24-4-76.ip.win.net HELO simplydivineinteriors.com [216.24.4.76]
envelope-sender

Return-Path:
From: Kristen
Message-ID:
Subject: Looking for a man with big dick
The message has been quarantined as: amavis_quarantine_spam@rotek.at

The message WAS NOT relayed to:
:
250 2.7.0 Ok, discarded, id=14782-08 - SPAM
#####
Content type: Spam
Internal reference code for the message is 40125-08/XWLKSr3zf471

First upstream SMTP client IP address: [195.3.96.120] smtpout-fallback.aon.at
According to a 'Received:' trace, the message originated at: [95.85.8.183],
jomland.com HELO demo.jomland.com [95.85.8.183] envelope-sender


Return-Path:
From: Ethan Kennedy
Message-ID:
Subject: Well-paid job in the Internet
The message has been quarantined as: amavis_quarantine_spam@rotek.at

The message WAS NOT relayed to:
:
250 2.7.0 Ok, discarded, id=40125-08 - SPAM
#####
Content type: Spam
Internal reference code for the message is 40125-09/qR4BMQm0FLHR

First upstream SMTP client IP address: [195.3.96.120] smtpout-fallback.aon.at
According to a 'Received:' trace, the message originated at: [212.96.164.158],
ns1.videon-znojmo.cz HELO nabyteknamiru.net [212.96.164.158] envelope-sender


Return-Path:
From: Lynda
Message-ID:
Subject: Sexy student will date a wealthy man
The message has been quarantined as: amavis_quarantine_spam@rotek.at

The message WAS NOT relayed to:
:
250 2.7.0 Ok, discarded, id=40125-09 - SPAM
#####
Content type: Spam
Internal reference code for the message is 34146-03/65N+xqQC5T5x

First upstream SMTP client IP address: [195.3.96.120] smtpout-fallback.aon.at
According to a 'Received:' trace, the message originated at: [79.96.48.229],
cloudserver063221.home.net.pl HELO tech-art-design.com [79.96.48.229]
envelope-sender

Return-Path:
From: Santiago Dixon
Message-ID:
Subject: Consider the proposed position
The message has been quarantined as: amavis_quarantine_spam@rotek.at

The message WAS NOT relayed to:
:
250 2.7.0 Ok, discarded, id=34146-03 - SPAM
####
Content type: Spam
Internal reference code for the message is 40125-03/k48JIr0odJ-3

First upstream SMTP client IP address: [195.3.96.120] smtpout-fallback.aon.at
According to a 'Received:' trace, the message originated at: [192.254.179.76],
rly001

Return-Path:
From: Kathleen
Message-ID:
Subject: Looking for a sexy boyfriend
The message has been quarantined as: amavis_quarantine_spam@rotek.at

The message WAS NOT relayed to:
:
250 2.7.0 Ok, discarded, id=40125-03 - SPAM
####
Content type: Spam
Internal reference code for the message is 122487-13/1MbDQhj7D0es

First upstream SMTP client IP address: [195.3.96.120] smtpout-fallback.aon.at
According to a 'Received:' trace, the message originated at: [89.161.242.18],
cloudserver049294.home.net.pl HELO blog.blog.dzidzius.com [89.161.242.18]
envelope-sender

Return-Path:
From: Kathryn
Message-ID:
Subject: I am a sexy model with breast size C
The message has been quarantined as: amavis_quarantine_spam@rotek.at

The message WAS NOT relayed to:
:
250 2.7.0 Ok, discarded, id=122487-13 - SPAM
icon

Beste Antwort von rnowotny 13 June 2017, 15:45

Original anzeigen

5 Antworten

w1-net
Rang
Benutzerebene 7
Abzeichen +8
Wow, schaut spannend aus, vor allem woher der Spam da so kommt.

However, hast du A1 schon dahingehend informiert > das ist in erster Linie ein User-to-User Forum effektiver wäre das direkt an A1 zu melden, via Kontaktformular z.B. würde ich das in dem Fall machen.
*** w1-net has quit IRC (Read error to w1-net [195.16.17.18]: EOD from client).
R
Rang
habe ich schon gemacht - über Kontaktformular und A1 Chat ...
interessant ist hier das der Spam nicht über einen anderen SMTP Server kommt, sondern
smtpout-fallback.aon.at als erster Upstream Server aufscheint.
mfg
Ing. Robert Nowotny
Rotek GmbH
w1-net
Rang
Benutzerebene 7
Abzeichen +8
Jap, es sieht - was ich da so rauslese - komplexer aus als der übliche Spam...

Der Server ist ja auch nicht public im DNS registriert...
*** w1-net has quit IRC (Read error to w1-net [195.16.17.18]: EOD from client).
R
Rang
smtpout-fallback.aon.at ist jedenfalls aus meinem Netz nicht ohne Authorisierung auf Port 25 verwendbar. Denkbar ist, das gefischte Authorisierungsdaten verwendet werden um über diesen Weg Spam zu versenden ....
In diesem Fall sollte A1 seine SMTP Server besser überwachen - z.Bsp. die Anzahl gesendeter Emails pro Benutzer pro Stunde zu monitoren und wenn diese eine gewisse Grenze überschreiten, die ausgehenden Mails über einen Spamfilter zu analysieren, um dann wiederum gegebenenfalls den Zugang zu sperren ...
Möglichkeiten gibt es genug.
R
Rang
Hier die technisch nicht sehr befriedigende Antwort des A1 Service :

QUOTE:

"Lieber Herr Ing. Nowotny,
danke für Ihre Nachricht.
Ich habe Ihren Mailer Deamon und die Informationen aus der A1 Community von unseren Serverspezialisten prüfen lassen. Selbstverständlich tun wir unser Bestes solchen Spam zu unterbinden. Leider ist dies nicht immer möglich. Gerne können wir hier auch Filterregeln direkt setzen, um expliziten Spam zu verhindern. Sie haben angesprochen, dass Sie mehrfach Spam erhalten. Unser Experte konnte aus dem Mailer Daemon keine Informationen entnehmen, die für eine Filterregel unserseits ausreicht. Sie können uns Absender E-Mail-Adressen schicken, die wir per Filterregel direkt blocken können. Ich gebe das dann dementsprechend weiter. "
/QUOTE

meine Meinung :

Absender Email Adressen sind ein völlig ungeeignetes Mittel für diese Spams. Die Upstream IP Adressen sollte man eher ansehen -
aus meinem LOG :
#1 195.3.96.120 (der A1 Mailer) Blacklisted in backscatterer.org
Upstream Adresse : 217.160.166.181 Blacklisted in BARRACUDA, INPS_DE, SORBS SPAM

#2 Upstream Adresse : 216.24.4.76 Blacklisted in BARRACUDA, INPS_DE, SORBS SPAM

#3 Upstream Adresse : 95.85.8.183 Blacklisted in BARRACUDA

#4 Upstream Adresse : 212.96.164.158 Blacklisted in BARRACUDA, SORBS SPAM, SWINOG

#5 Upstream Adresse : 79.96.48.229 Blacklisted in BARRACUDA, SORBS SPAM, RATS Dyna

#6 Upstream Adresse : 192.254.179.76 Blacklisted in ivmSIP, SORBS SPAM

#7 Upstream Adresse : 89.161.242.18 Blacklisted in BARRACUDA, SORBS SPAM

Diese Spams unterscheiden sich auch von "normalen" Spams, da euer Server scheinbar als Upstream Server verwendet wurde -
d.h. euer SMTP Server wurde scheinbar direkt zum Versand verwendet und nicht etwa als Relay.
Dies impliziert das sich der Versender auf euren Server authentifiziert - gegebenenfalls mit gestohlenen Credentials.
Ihre Antwort geht leider technisch völlig an der Sache vorbei. Man sollte eher prüfen welche Benutzer sich hier am SMTP Server identifizieren und gegebenenfalls diese Benutzer sperren.

Wie Sie oben ersehen können wären alle diese Spams durch Einsatz von Blacklists vermeidbar.

mit freundlichen Grüßen
Ing. Robert Nowotny

Antworten


Allgemeine Nutzungsbedingungen