Geht es eigentlich nur mir so, oder ist E-Mail mittlerweile tatsächlich unbrauchbar? Mir fällt vermehrt auf, dass gesendete E-Mails eigentlich in einem schwarzen Loch verschwinden. Antworten erhält man entweder nur noch verzögert oder gar nicht mehr. Selbst die nervigen Autoresponder sieht man seltener.
Ja und die Mails die ankommen, lassen sich in 2 Teile einordnen: Spam und all die Infos, die man noch so erhält, aber nicht wirklich interessant sind (Mailinglisten, Newsletter, etc..)
Von mir aus, können sie smtp einfach abschalten.
Entries tagged as spam
Related tags
Monday, 28. April 2008
E-Mail unbrauchbar?
Wednesday, 1. August 2007
fail2ban und der Kampf gegen Trackback Spam
Jetzt hab ich mich doch nochmal in fail2ban eingelesen, um rauszufinden, was man bei fail2ban einstellen muß, damit es die Apache access_logs auf Trackbacks untersucht. Umgesetzt hab ich es wie folgt:
Eine typische Zeile sieht so aus:
Danach wird eine neue Datei blog.local im /etc/fail2ban/filter.d/ Verzeichnis angelegt:
Mit failregex wird bestimmt, nach welcher Regex fail2ban suchen soll. Testen kann man das wunderbar mit fail2ban-regex:
Aufruf: fail2ban-regex <Zeile aus Logfile> <Regex, die auf die Zeile matchen soll>
Ein wirklich geniales Tool, um die Regex gleich zu testen. Der reguläre Ausdruck passt also auf die Zeile. Der Ausdruck <HOST> matcht dabei sowohl IP-Adresse als auch Hostnamen und genialerweise muß man sich auch nicht um das Parsen des Datums kümmern, denn das findet fail2ban schon alleine.
Danach noch in /etc/fail2ban/ die Datei jail.local angelegt, in dem die Überwachung für das blog aktiviert wird:
Hier wird festgelegt, dass ein neues Logfile zu überwachen ist. Dabei wird eingestellt, dass dieser Service aktiviert ist (enabled), auf Port 80 lausch (port), der filter blog.local zum Parsen der Logdatei verwendet werden soll (filter), die log dateien unter /var/log/apache2/access_log zu finden sind (logpath) und bei jedem Match der Host zu blacklisten ist (wichtig, wenn vom eigenen blog eventuell noch trackbacks auf ältere Artikel gemacht werden, unbedingt ignoreip auf den aktuellen Hostnamen machen, ansonsten blockiert man sich selber).
Allgemeine Einstellungen (wie lange zu blocken sind, welche IPs zu ignorieren sind) können im Abschnitt [DEFAULT] der Datei jail.conf gemacht werden.
Wenn das alles geschehen ist, einfach fail2ban restarten:
/etc/init.d/fail2ban restart
und das Logfile von fail2ban beobachten:
Funktioniert bestens.
Eine typische Zeile sieht so aus:
CODE:
210.42.140.5 - - [01/Aug/2007:23:08:21 +0200] "POST /comment.php?type=trackback&entry_id=152 HTTP/1.1" 302 238 "-" "-"
Danach wird eine neue Datei blog.local im /etc/fail2ban/filter.d/ Verzeichnis angelegt:
CODE:
/etc/fail2ban/filter.d# cat blog.local
# Fail2Ban configuration file
[Definition]
# Option: failregex
# Notes.: regex to match the password failure messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching.
# Values: TEXT
failregex = <HOST>.*"POST /comment\.php\?type=trackback
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =
Mit failregex wird bestimmt, nach welcher Regex fail2ban suchen soll. Testen kann man das wunderbar mit fail2ban-regex:
CODE:
:
fail2ban-regex '217.141.249.203 - - [29/Jul/2007:06:49:32 +0200] "POST /comment.php?type=trackback&entry_id=130 HTTP/1.1" 200 87 "-" "-"' '<HOST>.*"POST /comment\.php\?type=trackback'
Success, the following data were found:
Date: Sun Jul 29 06:49:32 2007
IP : 217.141.249.203
Date template hits:
0 hit: Month Day Hour:Minute:Second
0 hit: Weekday Month Day Hour:Minute:Second Year
0 hit: Year/Month/Day Hour:Minute:Second
1 hit: Day/Month/Year:Hour:Minute:Second
0 hit: TAI64N
0 hit: Epoch
Benchmark. Executing 1000...
Performance
Avg: 0.45285296440124512 ms
Max: 13.690948486328125 ms (Run 786)
Min: 0.41079521179199219 ms (Run 294)
Aufruf: fail2ban-regex <Zeile aus Logfile> <Regex, die auf die Zeile matchen soll>
Ein wirklich geniales Tool, um die Regex gleich zu testen. Der reguläre Ausdruck passt also auf die Zeile. Der Ausdruck <HOST> matcht dabei sowohl IP-Adresse als auch Hostnamen und genialerweise muß man sich auch nicht um das Parsen des Datums kümmern, denn das findet fail2ban schon alleine.
Danach noch in /etc/fail2ban/ die Datei jail.local angelegt, in dem die Überwachung für das blog aktiviert wird:
CODE:
/etc/fail2ban# cat jail.local
# Enable apache filtering
[apache-blog]
enabled = true
port = http
filter = blog
logpath = /var/log/apache2/access_log
maxretry = 0
ignoreip = hostname
Hier wird festgelegt, dass ein neues Logfile zu überwachen ist. Dabei wird eingestellt, dass dieser Service aktiviert ist (enabled), auf Port 80 lausch (port), der filter blog.local zum Parsen der Logdatei verwendet werden soll (filter), die log dateien unter /var/log/apache2/access_log zu finden sind (logpath) und bei jedem Match der Host zu blacklisten ist (wichtig, wenn vom eigenen blog eventuell noch trackbacks auf ältere Artikel gemacht werden, unbedingt ignoreip auf den aktuellen Hostnamen machen, ansonsten blockiert man sich selber).
Allgemeine Einstellungen (wie lange zu blocken sind, welche IPs zu ignorieren sind) können im Abschnitt [DEFAULT] der Datei jail.conf gemacht werden.
Wenn das alles geschehen ist, einfach fail2ban restarten:
/etc/init.d/fail2ban restart
und das Logfile von fail2ban beobachten:
CODE:
$ tail -f /var/log/fail2ban.log
2007-08-01 23:08:22,839 fail2ban.actions: WARNING [apache-blog] Ban 210.42.140.5
2007-08-01 23:11:05,864 fail2ban.actions: WARNING [apache-blog] Ban 61.233.41.218
2007-08-01 23:12:15,883 fail2ban.actions: WARNING [apache-blog] Ban 217.141.109.205
2007-08-01 23:14:47,900 fail2ban.actions: WARNING [apache-blog] Ban 125.103.6.230
2007-08-01 23:15:01,924 fail2ban.actions: WARNING [apache-blog] Unban 217.141.105.203
Funktioniert bestens.
Tuesday, 31. July 2007
Die Methoden der Spammer
Im Pandalabs Blog bin ich drauf gestossen. Es gibt richtig professionelle Spam Software, die automatisch neue E-Mail Adressen anlegt und dann innerhalb kürzester Zeit Spam in Foren versendet. Das Tool funktioniert relativ intuitiv.
Zu sehen ist die Anwendung in einem kleinen Video. Wie man sieht nützen mittlerweile auch Registrierung und Captchas nicht mehr gegen Spam.
Zu sehen ist die Anwendung in einem kleinen Video. Wie man sieht nützen mittlerweile auch Registrierung und Captchas nicht mehr gegen Spam.
Sunday, 21. January 2007
Trackbacks geschlossen
Nachdem heute innerhalb von 3.5 Stunden knapp 700 Trackback Spams eintrudelten, hab ich mich entschlossen, Trackbacks zu verbieten. Nur am allersten Tag sind die noch erlaubt, landen aber in Moderation. Zu 99,9% kam da sowieso nur Spam.
Spam kann manchmal ganz schön nerven.
Spam kann manchmal ganz schön nerven.
Thursday, 12. October 2006
Elende Spammer
Gestern war es dann endlich soweit, die erste richtige Trackback/Kommentar- Spamwelle. Alles von einem IP-Range von 85.255.112.X - 85.255.120.X.
Kurz whois angeworfen und rausgefunden, dass das IP-Netz 85.255.112.0/20 einem ISP in der Ukraine gehört. Also noch schnell in die .htaccess reingeschrieben:
und seitdem ist Ruhe.
Achja,
/www/blog.256bit.org:$ grep "85\.255\." error_log|wc -l
294
/www/blog.256bit.org:$
und wächst immernoch...
Der Spammer merkt es wohl nicht mal.
Endlich Ruhe, obwohlnervig war einzig der Haufen Kommentarspam und Trackbackspam, der in der Moderation hängen blieb.
Kurz whois angeworfen und rausgefunden, dass das IP-Netz 85.255.112.0/20 einem ISP in der Ukraine gehört. Also noch schnell in die .htaccess reingeschrieben:
CODE:
deny from 85.255.112.0/20
und seitdem ist Ruhe.
Achja,
/www/blog.256bit.org:$ grep "85\.255\." error_log|wc -l
294
/www/blog.256bit.org:$
und wächst immernoch...
Der Spammer merkt es wohl nicht mal.
Endlich Ruhe, obwohlnervig war einzig der Haufen Kommentarspam und Trackbackspam, der in der Moderation hängen blieb.
Tuesday, 18. July 2006
Spam Plage
Aus irgendeinem mir unbekannten Grund ist dieser Artikel bei Spammern ganz besonders beliebt. Vor allem in der letzten Zeit gab es ganz besonders viel Spam auf diesen Artikel.
Die Kommentare und Trackbacks bleiben zwar in der Moderation hängen, aber das aufzuräumen ist halt lästig...
Die Kommentare und Trackbacks bleiben zwar in der Moderation hängen, aber das aufzuräumen ist halt lästig...
Thursday, 29. June 2006
der wahre Grund für UTF-8
.... man kann endlich die koreanischen Spam-Mails lesen :-)
Friday, 19. August 2005
Phishing Mails
Also der Menge an Paypal-Mails nach zu urteilen scheine ich ziemliche Probleme mit denen zu haben. Jeden Tag soll ich meinen Account bestätigen und das gleich 2 oder 3 mal hintereinander.
Sollte ich mir Sorgen machen, weil ich gar keinen Paypal Account habe?
Lustigerweise werden die HTML-Mails gleich von lynx als Text formatiert angezeigt, was den Vorteil hat, dass Links zu "Paypal" mit dem korrekten Ziel angezeigt werden, also irgendwo in Hinterrussland oder so.
Hm, ich müßte mal nachschauen, ob man mit Sieve Mails, die Paypal im Subjekt haben direkt nach spoof@paypal.com weiterleiten kann. Von Hand ist das so aufwendig (aufwändig?).
Sollte ich mir Sorgen machen, weil ich gar keinen Paypal Account habe?
Lustigerweise werden die HTML-Mails gleich von lynx als Text formatiert angezeigt, was den Vorteil hat, dass Links zu "Paypal" mit dem korrekten Ziel angezeigt werden, also irgendwo in Hinterrussland oder so.
Hm, ich müßte mal nachschauen, ob man mit Sieve Mails, die Paypal im Subjekt haben direkt nach spoof@paypal.com weiterleiten kann. Von Hand ist das so aufwendig (aufwändig?).
Monday, 18. April 2005
Referer Spam
Wie bereits heute morgen berichtet, haben wir endlich unseren ersten Spammer ;-)
Es scheint, als handele es sich hier um einen Referspammer. Bei einem Referrer handelt es sich um einen Text-String, der durch den Browser gesendet wird, und angibt, von wo ein Besucher kommt. Bei modernen Browsern kann man dieses Feature natürlich auch abstellen.
Das Funktionsprinzip ist eigentlich simple: Da unser blog die Top-Referer auswertet und anzeigt, kann man durch den Referrer-Spam versuchen, Leute auf die so beworbene Seite zu schicken. Warum? Keine Ahnung, wahrscheinlich Bezahlung per Pageview, oder so. Vielleicht möchte man aber auch einfach nur von unserem Google Pagerank profitieren...
Wer weiß das schon. Ich weiß ja nicht mal, ob wir einen bedeutenden Pagerank haben.
In unserem Fall versucht ein Herr Carsten Breyer (Admin-C der beworbenen Domain) also Besucher auf seine Seite www.vergleich-zur-krankenversicherung.de (heißt das nicht "Vergleich *von* Krankenversicherungen"?) zu locken.
Also mich stört es momentan noch nicht so richtig, Die IP könnte man schnell sperren (hab mal kurz im access_log nach der domain gegrept) und die so beworbene Seite ist auch nicht so furchtbar (es ist keine p0rn, warez oder dialer Seite). Oder was meinen die anderen Serverbesitzer?
Drauf gekommen bin ich durch diesen Blog Eintrag.
Demnächst mehr zu den Top-Referen auf blog.256bit.org.
Es scheint, als handele es sich hier um einen Referspammer. Bei einem Referrer handelt es sich um einen Text-String, der durch den Browser gesendet wird, und angibt, von wo ein Besucher kommt. Bei modernen Browsern kann man dieses Feature natürlich auch abstellen.
Das Funktionsprinzip ist eigentlich simple: Da unser blog die Top-Referer auswertet und anzeigt, kann man durch den Referrer-Spam versuchen, Leute auf die so beworbene Seite zu schicken. Warum? Keine Ahnung, wahrscheinlich Bezahlung per Pageview, oder so. Vielleicht möchte man aber auch einfach nur von unserem Google Pagerank profitieren...
Wer weiß das schon. Ich weiß ja nicht mal, ob wir einen bedeutenden Pagerank haben.
In unserem Fall versucht ein Herr Carsten Breyer (Admin-C der beworbenen Domain) also Besucher auf seine Seite www.vergleich-zur-krankenversicherung.de (heißt das nicht "Vergleich *von* Krankenversicherungen"?) zu locken.
Also mich stört es momentan noch nicht so richtig, Die IP könnte man schnell sperren (hab mal kurz im access_log nach der domain gegrept) und die so beworbene Seite ist auch nicht so furchtbar (es ist keine p0rn, warez oder dialer Seite). Oder was meinen die anderen Serverbesitzer?
Drauf gekommen bin ich durch diesen Blog Eintrag.
Demnächst mehr zu den Top-Referen auf blog.256bit.org.
Top Referrer
Beim drüberschauen über dieses Blog bin ich drüber gestolpert:
Top Referrer
www.vergleich-zur-krankenversicherung.de (72)
Hä? Muß ich das verstehen?
Top Referrer
www.vergleich-zur-krankenversicherung.de (72)
Hä? Muß ich das verstehen?
Wednesday, 16. March 2005
Mail Verschlüsselung einmal anders
Ja ja, die Sache mit dem Verschlüsseln per Publickey ist schon schwierig. Das dumme ist, man braucht immer den public key seines Partners. Und wenn der sich keine Gedanken um *seine* Sicherheit macht, dann ist auch *meine* Mail an ihn ungesichert.
Aber jetzt gibt es die Lösung:
*TADA*
Spammimic
Man versteckt seine geheime Nachricht einfach in einer Spam Nachricht. Die liest sowieso keiner, und selbst wenn, dann fällt es nicht auf.
Jeder der die Mail liest, hält sie für *echten* Spam. Ich sollte mal meinen gesamten Spam da rein kippen, vielleicht sind das ja alles in Wahrheit *topsecret* Nachrichten an mich. Und ich lösch das immer ungelesen...
Irgendwie genial.
Aber jetzt gibt es die Lösung:
*TADA*
Spammimic
Man versteckt seine geheime Nachricht einfach in einer Spam Nachricht. Die liest sowieso keiner, und selbst wenn, dann fällt es nicht auf.
Jeder der die Mail liest, hält sie für *echten* Spam. Ich sollte mal meinen gesamten Spam da rein kippen, vielleicht sind das ja alles in Wahrheit *topsecret* Nachrichten an mich. Und ich lösch das immer ungelesen...
Irgendwie genial.
(Page 1 of 1, totaling 11 entries)
