MS-Blog: 0,095 Spams pro Empfänger…

Mal sehen, wem das auffällt.. Microsoft hat in einem Blog zur Botnetz-Bekämpfung folgenden Satz gelassen:

„The Necurs botnet is one of the largest networks in the spam email threat ecosystem, with victims in nearly every country in the world. During a 58-day period in our investigation, for example, we observed that one Necurs-infected computer sent a total of 3.8 million spam emails to over 40.6 million potential victims.“

Das ist selbst für Microsoft sehr schwach… das wären nämlich nur 0.095 Spams pro Empfänger, was nicht geht 🙂

Eine noch schwächere Leistung hat, IMHO, allerdings Heise vollbracht, als die diese Zahlen aus dem Blog ungeprüft übernommen haben. (Stand 0:00 Uhr)

Kleine Profi Info: 3.8 Millionen Spams in 58 Tagen sind ein Witz… ich hab schon 450.000 Mails in einer Nacht gesehen, und das ist Jahre her 🙂 Bin mal gespannt, ob das noch wer berichtigt.

Nachtrag: Falls das M$ Blog 3.8 Millionen Spams an jeweils 40.6 Millionen Empfänger gemeint hatte, das wäre eine Hausnummer die ziemlich heftig wäre.  Aber davon hätte man gehört, wenn bei Leuten so viele Spams aufgelaufen wären. Das sind mehr Emails, als ich hin 20 Jahren angesammelt habe 🙂

Quelle: https://blogs.microsoft.com/on-the-issues/2020/03/10/necurs-botnet-cyber-crime-disrupt/

Quelle: https://www.heise.de/newsticker/meldung/Microsoft-und-Partner-zerschlagen-riesiges-Botnet-Necurs-4680665.html

Exim ist echt der beste Mailserver!

Ich weiß, er hatte dies Jahr seine Schwächen, wobei die Fixe der Schwachstellen ja das eigentliche Highlite sind, aber an einer Sache muß ich Euch kurz teilhaben lassen.

Anti-Botnetzfunktion im Exim gebaut

Neulich hatten wir auf der Exim-ML jemanden, der durch ein Botnetz mit gehackten Zugangsdaten gespammt hat und fragte, wie er das weg bekommt. Da kam mir eine Idee, wie man das im Exim selbst direkt erkennen und abwehren kann, inklusive abschalten des gehackten Accounts und Mail an den Admin. Heute überkam mich das Verlangen, das doch noch kurz zu beweisen und hab es das innerhalb einer Stunde, nachts um 12 zusammen gehackt 🙂 Da dies im Detail natürlich jetzt ein Betriebsgeheimnis ist ;D, kann ich Euch leider nur gedanklich daran teilhaben lassen.

So viel: Man braucht eine Datenbanktabelle und mickrige 3 Anweisungen in Exim Konfigfile um die volle Funktion zu erreichen :DDD

Das Prinzip

Das Prinzip ist ganz einfach: Ein normaler Benutzer hat am Tag 1-2 IPs, außer er macht was ganz komisches. Kommt er jetzt mit mehr als den 1-2 IPs und will Emails senden, verweigert der Server die Annahme der Emails, weil das in der normalen Welt nur passieren kann, wenn ein Botnetz von verschiedenen IPs aus Spam einliefern will. Ok, wenn einer TOR benutzen würde, dann hätte er auch mehr als eine IP am Tag, aber wer macht das ohne Not schon als normaler Benutzer?

Warum poste ich das jetzt, wenn ich nicht sage wie es genau geht? Na weil ich a) den Sportsgeist in Euch wecken möchte und b) damit zeigen will, daß man sowas mit Exim ultimativ schnell und einfach hinbekommt. Neulich wurden wir auf der Mailingliste mal gefragt, wo denn der Unterschied zwischen Exim und Postfix läge. Die Antwort ist recht einfach: Postfix bekommt man einfach an den Start, nur mal eine Email annehmen oder senden geht schnell. Exim braucht deutlich mehr Config, kann dafür aber auch die komplexesten Aufgaben meistern. Jeder nimmt, was er für seine Ziele braucht.

Kleiner Tip: als praktischer Nebeneffekt der Umsetzung, kann man das auf Pro-Konto-Basis ein- und ausschalten. Pro Domain ginge zwar auch, macht aber keinen Sinn, weil jeder Mailkontobenutzer anders damit umgeht.

Wir haben das auf unserer Plattform live im Einsatz und es funktioniert wie es sollte. Jetzt muß bloß noch jemand gehackt werden 😉

Das Anastasia Botnetz

Spams gibt ja immer und meisten steckt heute ein Botnetz dahinter. Das Netzwerk, das unsere Mailserver derzeit am meisten nervt, ist das von mir so genannte Anastasia Botnetz.

Es ist allerdings leicht am Absender zu identifizieren, der immer das Wort Anastasia am Anfang hat:

2017-08-02 01:44:59 H=(ip-38-239.tricom.net) [186.150.38.239] rejected MAIL <Anastasiabj@tricom.net>: identified as Anatasia Botnet
2017-08-02 01:45:43 H=(ocit-41.189.55.239.aviso.ci) [41.207.201.171] rejected MAIL <Anastasiafab@aviso.ci>: identified as Anatasia Botnet
2017-08-02 01:45:46 H=([115.164.85.255]) [115.164.85.255] rejected MAIL <Anastasiabcbr@puretechnutrition.com>: identified as Anatasia Botnet
2017-08-02 01:47:05 H=([51.36.222.115]) [51.36.222.115] rejected MAIL <Anastasiacoe@incco.com.gt>: identified as Anatasia Botnet
2017-08-02 01:47:27 H=(131-108-125-254.infortek.net.br) [131.108.125.254] rejected MAIL <Anastasiarcae@infortek.net.br>: identified as Anatasia Botnet
2017-08-02 01:47:32 H=160.red-81-39-134.dynamicip.rima-tde.net [81.39.134.160] rejected MAIL <Anastasiaxte@woburnapartments.co.nz>: identified as Anatasia Botnet
2017-08-02 01:47:54 H=([161.132.100.51]) [161.132.100.51] rejected MAIL <Anastasiamm@rhinohandyman.com>: identified as Anatasia Botnet
2017-08-02 01:48:56 H=([186.235.188.234]) [186.235.188.234] rejected MAIL <Anastasiacljgf@pedicur.ru>: identified as Anatasia Botnet
2017-08-02 01:49:06 H=([202.90.136.58]) [202.90.136.58] rejected MAIL <Anastasiaxw@directiva.com.br>: identified as Anatasia Botnet
2017-08-02 01:49:44 H=([175.101.251.27]) [175.101.251.27] rejected MAIL <Anastasiadihu@it-is-it.com>: identified as Anatasia Botnet
2017-08-02 01:50:25 H=(host-177-232-80-119.static.metrored.net.mx) [177.232.80.119] rejected MAIL <Anastasiaazy@metrored.net.mx>: identified as Anatasia Botnet
2017-08-02 01:50:31 H=([27.123.171.127]) [27.123.171.127] rejected MAIL <Anastasiabviyu@hrcbmdfw.org>: identified as Anatasia Botnet
2017-08-02 01:50:32 H=85.233.11.37.dynamic.jazztel.es [37.11.233.85] rejected MAIL <Anastasiayurg@jazztel.es>: identified as Anatasia Botnet
2017-08-02 01:51:18 H=(static.vnpt.vn) [113.161.8.21] rejected MAIL <Anastasiafir@static.vnpt.vn>: identified as Anatasia Botnet
2017-08-02 01:52:20 H=fixed-187-189-92-55.totalplay.net [187.189.92.55] rejected MAIL <Anastasiahw@fixed-187-189-92-55.totalplay.net>: identified as Anatasia Botnet
2017-08-02 01:52:26 H=(static.vnpt.vn) [14.183.242.229] rejected MAIL <Anastasiaud@static.vnpt.vn>: identified as Anatasia Botnet
2017-08-02 01:52:34 H=(static-ip-cr18152012787.cable.net.co) [181.52.127.87] rejected MAIL <Anastasiaxcs@cable.net.co>: identified as Anatasia Botnet
2017-08-02 01:53:09 H=(host-177-232-87-110.static.metrored.net.mx) [177.232.87.110] rejected MAIL <Anastasiarclg@metrored.net.mx>: identified as Anatasia Botnet
2017-08-02 01:53:20 H=red.connectbd.com [202.79.16.10] rejected MAIL <Anastasiavpuup@red.connectbd.com>: identified as Anatasia Botnet
2017-08-02 01:53:42 H=([161.132.100.51]) [161.132.100.51] rejected MAIL <Anastasiaualik@grouptower.com>: identified as Anatasia Botnet
2017-08-02 01:54:30 H=([123.23.241.122]) [123.23.241.122] rejected MAIL <Anastasianwz@ubsystems.com>: identified as Anatasia Botnet
2017-08-02 01:55:05 H=(187.253.122.253.cable.dyn.cableonline.com.mx) [187.253.122.253] rejected MAIL <Anastasiadabgp@cableonline.com.mx>: identified as Anatasia Botnet
2017-08-02 01:57:59 H=(static.vdc.com.vn) [113.190.40.226] rejected MAIL <Anastasiailk@vdc.com.vn>: identified as Anatasia Botnet
2017-08-02 01:58:21 H=([191.99.126.26]) [191.99.126.26] rejected MAIL <Anastasiafsg@zarlock.com>: identified as Anatasia Botnet
2017-08-02 01:59:32 H=([41.216.32.42]) [41.216.32.42] rejected MAIL <Anastasiaecous@vertexconsultancy.co.in>: identified as Anatasia Botnet
2017-08-02 01:59:42 H=(181-174-59-224.telebucaramanga.net.co) [181.174.59.224] rejected MAIL <Anastasiajinv@simtecno.com.br>: identified as Anatasia Botnet
2017-08-02 02:00:19 H=([31.145.75.194]) [31.145.75.194] rejected MAIL <Anastasiaonl@juste.com.tw>: identified as Anatasia Botnet

Das dies nur ein kleiner Ausschnitt von nur einer einzigen Maschine ist, deutet das Ausmaß des Botnetzes an.

Für alle die einen EXIM Mailserver betreiben, hier die Regel um die Spams gezielt auszufiltern:

acl_check_mail:

# Hosts are required to say HELO (or EHLO) before sending mail.
...
drop message = identified as Anastasia Botnet
     condition = ${if match{$sender_address}{\N^Anastasia.*\N}{1}{0}}

Natürlich ist die Regel sehr grob, auch eine echte Anastasia.Kulikovwa@mail.ru würde ausgefiltert werden, aber im Gegensatz zu zum Botnetz, könnte die Dame zum Telefon greifen und einfach anrufen, daß die Mails nicht ankommen. Davon abgesehen sind 0.01% falsche Treffer eine echt gute Quote, mit der ich persönlich leben kann 🙂

Selbstverständlich könnte man die Regeln entsprechend verfeinern:

 condition = ${if match{$sender_address}{\N^Anastasia.{2,5}@.*\N}{1}{0}}

Diese Anpassung entspricht dem Muster, daß nach Anastasia noch bis zu 5 zufällige Zeichen kommen vor dem @.

Da es ähnliche Regelsätze für andere Mailserver gibt, könnt Ihr da natürlich jetzt Eure eigenen Anpassungen machen.