Ich habe eine betrügerische E-Mail von erhalten zcsend.net. Diesmal ist die Absenderadresse gefälscht. Ich muss Fail2Ban verwenden, um Nachrichten desselben Ursprungs zu sperren. In den Headern sind jedoch viele Adressen aufgeführt. Welche soll ich sperren?
Return-Path: <[email protected]>
Delivered-To: [email protected]
Received: from mail.elcolie.com
by mail.elcolie.com with LMTP
id CQu1FWy08mQ8UwEA83h3bQ
(envelope-from <[email protected]>)
for <[email protected]>; Sat, 02 Sep 2023 04:05:00 +0000
Received: from localhost (localhost [127.0.0.1])
by mail.elcolie.com (Postfix) with ESMTP id 4F41E835F9
for <[email protected]>; Sat, 2 Sep 2023 04:05:00 +0000 (UTC)
Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=135.84.81.239; helo=sender-239.fsu3.zcsend.net; envelope-from=bounce_826278108+a.1ffd60557f594e44_gm1@mail18.psnd.zcsend.net; receiver=<UNKNOWN>
Authentication-Results: mail.elcolie.com; dmarc=none (p=none dis=none) header.from=ahrdigital.com.br
Authentication-Results: mail.elcolie.com;
dkim=pass (1024-bit key; unprotected) header.d=mail18.psnd.zcsend.net [email protected] header.a=rsa-sha256 header.s=k1 header.b=mfuyyvvw;
dkim-atps=neutral
Received: from sender-239.fsu3.zcsend.net (sender-239.fsu3.zcsend.net [135.84.81.239])
by mail.elcolie.com (Postfix) with ESMTPS id 4A931833FE
for <[email protected]>; Sat, 2 Sep 2023 04:04:59 +0000 (UTC)
Received: from 172.30.236.109 by sender-239.fsu3.zcsend.net
with SMTP id 169362748867145850; Fri, 01 Sep 2023 21:04:48 -0700
DKIM-Signature: a=rsa-sha256; b=mfuyyvvwcocf77Gr4eWhg010x1Vak0knteAbKgX+PiHKD2TdnhfbGOZHCItAcuEJSjZN2UGRM/dQMzI9WfytdauyhtACpvDVf+uIn6qRmlNkOn140NbFVuYPDUABu1IBCr6wEwXR2pLevy7Zz1vFWUEuRck+70wzVwMjrj7+yvE=; c=simple/simple; s=k1; d=mail18.psnd.zcsend.net; v=1; bh=LMN9EQQS8smfom6q8kw8Y3zjTellj/Oo1rnIjeRT56c=; h=date:from:to:message-id:subject:mime-version:content-type:list-unsubscribe:list-unsubscribe-post:x-csa-complaints;
Date: Fri, 1 Sep 2023 21:04:48 -0700 (PDT)
From: "Parcel Team" <[email protected]>
To: [email protected]
Message-ID: <zcb.3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d.1ffd60557f594e44.1693627488661@mail18.psnd.zcsend.net>
Subject: =?UTF-8?B?Tm90aWZpY2F0aW9uOsKgIENhc2UgTnVtYmVyICMzMzYxNzI=?=
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_Part_8830362_773276248.1693627488657"
List-Unsubscribe: <https://vldxa-cmpzourl.maillist-manage.com/ua/optout?od=3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d&rd=1ffd60557f594e44&sd=1ffd60557f57b0ef&n=11699e4c32dbb4c>,<mailto:[email protected]>
List-Unsubscribe-Post: List-Unsubscribe=One-Click
X-CSA-Complaints: [email protected]
Reply-To: [email protected]
X-JID: 3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d.1ffd60557f3f24e4
X-campaignid: zohocampaigns.3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d.zcb.1ffd60557f594e44.11699e4c32dbb4c
X-Zoho-RID: zohocampaigns.3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d.zcb.1ffd60557f594e44.11699e4c32dbb4c
X-Report-Abuse: <Please send a copy of this message along with header to abuse+3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d_zcb_1ffd60557f594e44@zohocampaigns.com>, <https://vldxa-cmpzourl.maillist-manage.com/campaigns/ReportAbuse.zc?od=3za2ac949e760ea75599504c608f73642fe6611a47f75af214445fe34174e0169d&rd=1ffd60557f594e44&sd=1ffd60557f57b0ef&n=11699e4c32dbb4c>
------=_Part_8830362_773276248.1693627488657
Content-Type: text/plain;charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
Ich habe meine echte E-Mail-Adresse ersetzt durch[email protected]
Da mein E-Mail-Server verwendethttps://github.com/docker-mailserver/docker-mailserver
Ich laufe einfach
docker exec 2834fea5aa2e setup fail2ban ban 135.84.81.239
Fragen:
- Habe ich die richtige IP-Adresse gefunden?
- Blockiere ich es richtig?
- Verpasse ich etwas?
Antwort1
Die richtige IP-Adresse finden
JedenNachrichtenübertragungsagent(MTA) fügt bei der Verarbeitung der E-Mail Kopfzeilen am Anfang der Nachricht hinzu, sodass sie in absteigender Reihenfolge angeordnet sind; die obersten sind die neuesten. Um die IP-Adresse zu finden, sollten Sie nach der ReceivedKopfzeile suchen, in der Ihr Server die E-Mail zuerst akzeptiert hat.
Received: from sender-239.fsu3.zcsend.net (sender-239.fsu3.zcsend.net [135.84.81.239])
by mail.elcolie.com (Postfix) with ESMTPS id 4A931833FE
for <[email protected]>; Sat, 2 Sep 2023 04:04:59 +0000 (UTC)
Dabei fromist die erste Adresse nach dem der HELOHostname des Servers, dem nicht vertraut werden soll. PTRIn den Klammern stehen die IP-Adresse und der dazugehörige Hostname ( ).
Dies ist also 135.84.81.239die IP-Adresse, nach der Sie gesucht haben. Doch dazu gibt es noch mehr ...
Fail2Ban ist dafür nicht ausgelegt
Warum würdest dubrauchensoll ich Fail2Ban verwenden?Fail2Ban(1)dient nicht zum Blockieren von Spam, aber ...
eine Reihe von Server- und Client-Programmen zur Begrenzung von Brute-Force-Authentifizierungsversuchen.
DNSBlackhole-Listen in Echtzeit(RBL)
Die IP-Adresse im Beispiel, 135.84.81.239, steht derzeit auf der schwarzen Liste inEchtzeit-Blackhole-Listen(RBL):
- SpamCopSperrliste (
bl.spamcop.net) - JunkEmailFilter.coms HostKarma (
hostkarma.junkemailfilter.com)
Anstatt jedes Mal, wenn Spam durchkommt, einzelne IP-Adressen zu blockieren, könnten Sie externe Dienste nutzen, die das bereits in großem Umfang tun. Darüber hinaus werden die meisten von ihnen die Liste entfernen, wenn das Problem gelöst ist.
Es gibt viele RBL-Anbieter mit unterschiedlichen Listen. Sie sollten analysieren, welche dieser Listen für Ihre Anforderungen geeignet sind. Zum Beispiel:
- Spamhaus
- blocklist.de
- SpamEatingMonkey
- SORBS(Spam- und Open-Relay-Blockierungssystem)
- Barrakuda
- dan.me.uk(spezialisiert auf das Blockieren von Tor-Knoten)
Konfigurieren von RBLs in Postfix
Ihre Header zeigen, dass Sie Postfix verwenden. Sie können beispielsweise SpamCop in Ihrem konfigurieren, main.cfindem Sie einenreject_rbl_clientInsmtpd_recipient_restrictionsHELOwo es nach full , MAIL FROM& ausgewertet wird RCPT TO.
smtpd_recipient_restrictions =
. . .
reject_rbl_client bl.spamcop.net,
. . .
permit
Antwort2
Einen einzelnen Zoho-Server auf die schwarze Liste zu setzen, bringt nicht viel. Sie haben noch ein paar mehr.
Wenn Sie deren Server insgesamt sperren möchten, tun Sie dies nach Hostdomäne zcsend.netoder nachUmschlagAUS @(.*).psnd.zcsend.net>.
Wenn Sie ein gänzliches Verbot nicht wünschen, bleibt Ihnen nur die Möglichkeit einer Beschwerde.
Natürlich können Sie auch versuchen, nachHeaderVON, aber das lässt sich einfach zu leicht fälschen.