Neues aus Fernost: FDF Spam

Posted on the August 11th, 2007 under news by matthias

fdf.gifNach PDF, ZIP, DOC, XLS und RAR Spam haben die Spammer nun FDF-Dateien an Ihre Mails angeheftet. Bei FDF handelt es sich um das Forms Data Format von Adobe. Somit kann es auch mit dem Acrobat Reader geöffnet werden. Dreimal dürft ihr raten was die FDF-Dateien im Anhang enthalten: Stock Spam!

Höchstwahrscheinlich können solche Spammails auch mit den Signaturen von Sanesecurity für ClamAV erkannt werden. Weitere Infos dazu in meinem Beitrag zur Spambekämpfung mit ClamAV.

Links:
via F-Secure “FDF spam”

|

12 Responses to 'Neues aus Fernost: FDF Spam'

Subscribe to comments with RSS
  1. 15. August 2007 at 08:07
    michél

    Morgen!

    Nein, ich bin kein Crack wir Ihr, aber ich erlaube mir mal noch einige Frage. ;-)

    Nach einigen langen Nächten mit lesen, bin ich mir nicht sicher, wie man am besten gegen Spam vorgeht. Das System (Mailgateway) ist bis jetzt mit Postfix und Mailscanner ausgelegt.

    a) Der Verbund von Postfix und amavis wäre wohl schneller, richtig? Mailscanner und Mailwatch schaffen aber am Anfang einen guten Überblick.

    b) Wie geht Ihr vor? Ich kann ja bei Postfix schon viel beim ersten smtp Kontakt regeln, doch dies kann wohl zu einer großen Auslastung führen, wenn man es mit den restrictions übertreibt. Würdet Ihr also mehr über Mailscanner regeln oder wie macht Ihr es bei euren Systemen?

    c) Habt ihr ein paar Beispiele, was man auf jeden Fall schon über Posfix regeln sollte ohne das System zu sehr zu belasten bzw. ein Timeout gegenüber den Client zu vermeiden.

    Wie schon erwähnt….. Tolle Seite und sehr Informativ.

    Gruß

  2. 15. August 2007 at 09:52
    matthias

    Soviel wie möglich schon mittels Postfix abblocken! Das kann man neben einfachen Restrictions auch mit check_policy_service machen (z.B. Greylisting). In den smtpd_*_restrictions können z.B. Blacklists eingesetzt werden (reject_rbl_client).
    Einige sinnvolle Restrictions:
    reject_invalid_hostname / reject_non_fqdn_sender / reject_unknown_sender_domain / reject_unauth_destination / reject_non_fqdn_recipient / reject_unknown_recipient_domain / reject_unverified_recipient / reject_multi_recipient_bounce

    Auch können nicht RFC-konforme Clients abgewiesen werden.
    strict_rfc821_envelopes = yes
    smtpd_helo_required = yes

    MailScanner bzw. amavisd-new sollte dann den Rest machen. Spamerkennung via. SA, Virenscannung, per Domain/User basierte Black- und Whitelists.

    Ich lege dir hier mal das Postfix Buch von Ralf Hildebrandt ans Herz. Außerdem solltest du die Mailingliste Postfixbuch-Users anschauen. Hier treiben sich auch bekannte Leute wie Peer Heinlein, Ralf Hildebrandt oder Patrick Ben Kötter.

  3. 15. August 2007 at 12:53
    michél

    Hi!

    Das Buch habe ich mir schon gekauft. Da steht es z.B. auch mit der Auslastung. Vielen Dank für die Antwort und die Erklärung.

  4. 16. August 2007 at 16:15
    michél

    Hi!

    Ist zwar nicht ganz das Thema…..

    Gibt es etwas bestimmtes zu beachten wenn man Postfix als Mailgateway betreiben möchte. Ich habe leider das Problem, dass die lokale IP von Postfixserver wohl durch die Firewall kommt und natürlich so von einen anderen Mailserver abgelehnt wird bzw. nicht richtig aufgelöst wird. Gleiche IP und gleicher Name mit einen Sendmailserver funzt….

    Danke!

  5. 16. August 2007 at 16:32
    matthias

    Hmm, verstehe ich nicht wirklich. Was genau ist dein Problem? Was sagen die Mailserver, die dich ablehnen. Reversen Eintrag für die IP des Mailservers gesetzt?

  6. 16. August 2007 at 18:04
    michél

    Ok… ich erkläre es mal besser…..

    Zustand jetzt

    Rein:
    Internet (ISP) -> Firewall -> SendmailServer (spam und vierenscan) -> Mailserver (für die Mailkonten) -> Client
    Raus:
    Client -> SendmailServer -> Mailserver -> Firewall -> Internet(ISP)

    Testzustand

    Rein:
    Internet (ISP) -> Firewall -> Postfix / Mailgateway(Spam und Virenschutz) -> Mailserver(Mailkonten) – Client
    Raus:
    Client -> Postfix -> Firewall -> Internet(ISP)

    Was muss ich nun bei Postfix alles beachten bzw. eintragen?

    a) In der main.cf habe ich:
    myhostname = mail.domain.de
    relayhost =
    relaydomains = windowsdomain, domain.de
    transportmap eingebunden
    b) Transport Datei angelegt und dort den Mailsserver angeben
    domain.de :[mail.domain.de]

    Muss ich jetzt noch was beachten? Habe auch was von einen smtp eintrag gelesen!

    Ich hoffe es ist jetzt etwas besser erklärt.

  7. 16. August 2007 at 18:25
    matthias

    Ohne Fehlermeldung kann ich dir schlecht weiterhelfen.

  8. 16. August 2007 at 19:36
    michél

    Diagnostic-Code: smtp; 550 5.7.1 ... Relaying denied. IP
    name lookup failed [ipadresse lokale von postfix]

    Sorry, aber dieses Problem hängt wohl wirklich mit der Firewall zusammen. Da ist der mx Eintrag noch auf den Mailserver(MailKonten) gewesen, doch testen konnte ich es bisher nicht wirklich.

    Doch im Bereich der Fehlersuche ist mir halt aufgefallen, ob (Test Aufbau) ich da wirklich die richtigen Einstellungen in Postfix habe da.

  9. 16. August 2007 at 21:11
    matthias

    DNS Server funktioniert aber? UDP/TCP Port 53 ist erlaubt? Ansonsten einfach mal dein Problem komplett auf der von mir empfohlenen Postfix Mailingliste posten.

    Die beißen nicht (solange du genügend Infos gibst) ;)

  10. 16. August 2007 at 22:53
    michél

    thx

    Problem gelöst….

    Die Firewall hat eine sehr komische Arbeitweise gehabt.

  11. 17. August 2007 at 08:18
    matthias

    Also lags an der Auflösung durch DNS? ;)

Leave a Reply




XHTML::
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>