spameri@tiscali.it

Ignatios Souvatzis

unread,

Mar 1, 2020, 12:10:09 PM3/1/20

to

WhoTH ist das?

...
Out: 250-SIZE 20123123
...
Out: 250 DSN
In: Rset
Out: 250 2.0.0 Ok
In: Mail from:<spa...@tiscali.it>
Out: 452 4.3.1 Insufficient system storage
In: Quit
Out: 221 2.0.0 Bye

(Das 452 ist ein Seiteneffekt der Tatsache, dass der besagte postfix
gar keine Mail empfangen soll (der MX fuer die domain zeigt auf
eine andere Maschine) und deshalb die angeprisene SIZE groesser
ist als der momentane freie Platz im spool.)

Aber wer z.T. ist das?

-is
--
A medium apple... weighs 182 grams, yields 95 kcal, and contains no
caffeine, thus making it unsuitable for sysadmins. - Brian Kantor

Chris Bintz

unread,

Mar 1, 2020, 1:45:51 PM3/1/20

to

Am 01.03.2020 um 17:51 schrieb Ignatios Souvatzis:
> WhoTH ist das?
>
> ...
> Out: 250-SIZE 20123123
> ...
> Out: 250 DSN
> In: Rset
> Out: 250 2.0.0 Ok
> In: Mail from:<spa...@tiscali.it>
> Out: 452 4.3.1 Insufficient system storage
> In: Quit
> Out: 221 2.0.0 Bye
>

der Typ schlägt hier seit Jahren mehrmals täglich mit Relayversuchen
auf. Jedesmal mit einer anderen IP.

Wer/Was dahintersteckt ist mir auch nicht klar.

--
Chris
www.citosoft.com
MSI Zubehör und Ersatzteile

Chris Bintz

unread,

Mar 1, 2020, 3:25:16 PM3/1/20

to

Am 01.03.2020 um 20:02 schrieb Andreas Kohlbach:

> On Sun, 1 Mar 2020 19:45:50 +0100, Chris Bintz wrote:
>>
>> Am 01.03.2020 um 17:51 schrieb Ignatios Souvatzis:
>>> WhoTH ist das?
>>>
>>> ...
>>> Out: 250-SIZE 20123123
>>> ...
>>> Out: 250 DSN
>>> In: Rset
>>> Out: 250 2.0.0 Ok
>>> In: Mail from:<spa...@tiscali.it>
>>> Out: 452 4.3.1 Insufficient system storage
>>> In: Quit
>>> Out: 221 2.0.0 Bye
>>>
>>
>> der Typ schlägt hier seit Jahren mehrmals täglich mit Relayversuchen
>> auf. Jedesmal mit einer anderen IP.
>>
>> Wer/Was dahintersteckt ist mir auch nicht klar.
>

> Der Body des Spams mag interessant sein, das aufzuklären.
>

Da der Relayversuch abgelehnt wird bekomme ich keinen Body zu sehen.

Ich habe mit Google einen Bericht gefunden wo jemand ihn versuchsweise
durchgelassen hat und sofort mit einer spam Welle belohnt wurde.

Delco

unread,

Apr 10, 2023, 12:00:07 PM4/10/23

to

Die Nachricht sieht so aus. Im Subject steht die IP meines SMTP-Servers. Die Sender-IP habe ich unverändert gelassen.

X-Client-Addr: 85.31.45.217
X-Client-Proto: ESMTP
X-Helo-Args: WIN-CLJ1B0GQ6JP
X-Mail-Args: <spameri@deleted>
X-Rcpt-Args: <spameri@deleted>
Received: from WIN-CLJ1B0GQ6JP ([85.31.45.217])
by xxxx.yyyyyy.com (xxxxx) with ESMTP id 357e1c00;
Sun, 9 Apr 2023 06:03:45 +0200 (CEST)
From: spameri@deleted
Subject: aaa.bbb.ccc.ddd
To: spameri@deleted
Date: Sat, 8 Apr 2023 21:03:45 -0700
X-Priority: 3
X-Library: Indy 8.0.25

t_Smtp.LocalIP

Ich sehe aber auch folgende Relay-Checks:

X-Client-Addr: 85.31.45.217
X-Client-Proto: ESMTP
X-Helo-Args: [85.31.45.217]
X-Mail-Args: <tntcompanyy@deleted>
X-Rcpt-Args: <uchennaiwunor1@deleted>
X-Rcpt-Args: <tntdeliverycompany2023@deleted>
X-Rcpt-Args: <ucheokwuluoka@deleted>
X-Rcpt-Args: <moneygram_o@deleted>
Received: from [85.31.45.217] ([85.31.45.217])
by a.b.c (xxxxxx) with ESMTP id 370a44e9;
Sun, 9 Apr 2023 11:08:27 +0200 (CEST)
Content-Type: text/plain; charset="iso-8859-1"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Description: Mail message body
Subject: a.b.c.d.
To: Recipients <tntcompanyy@tntcompanys>
From: "DELIVERY COMPANY" <tntcompanyy@tntcompanys>
Date: Sun, 09 Apr 2023 02:08:27 -0700
Reply-To: tntdeliverycompany1@deleted

Dear Email Owner,

This is to acknowledge the receipt of your message. World Bank Organization=

Marco Moock

unread,

Nov 8, 2023, 6:42:55 AM11/8/23

to

Am 10.04.2023 um 21:06:04 Uhr schrieb Andreas Kohlbach:

> On Mon, 10 Apr 2023 09:00:03 -0700 (PDT), Delco wrote:
> >
> > Chris Bintz schrieb am Sonntag, 1. März 2020 um 21:25:16 UTC+1:

> ^^^^^^^^^^^^
> Damals sah die Welt ja fast noch gut aus. ;-)
>
> [...]

>
> > From: "DELIVERY COMPANY" <tntcompanyy@tntcompanys>
> > Date: Sun, 09 Apr 2023 02:08:27 -0700
> > Reply-To: tntdeliverycompany1@deleted
>

> Das Reply-To: und From: dürften dem Spammer gehören damit und echt
> sein. Bitte gerne posten.

Bei mir versucht öfter jemand, von und zu dieser Adresse zu relayen.

Sep 14 04:29:15 srv1.dorfdsl.de sm-mta[14367]: 38E2TE13014367: ruleset=check_rcpt, arg1=<spa...@tiscali.it>, relay=[79.110.48.159], reject=550 5.7.1 <spa...@tiscali.it>... Relaying denied. IP name lookup failed [79.110.48.159]
Sep 14 04:29:15 srv1.dorfdsl.de sm-mta[14367]: 38E2TE13014367:
from=<spa...@tiscali.it>, size=0, class=0, nrcpts=0, proto=ESMTP,
daemon=MTA, relay=[79.110.48.159]

Da ich sowas nicht annehme (ich könnte die Adresse in die virtusertable
schreiben und dann die Mail mal annehmen), kenne ich Reply-To natürlich
nicht.

Friedemann Stoyan

unread,

Nov 8, 2023, 11:18:55 PM11/8/23

to

Marco Moock wrote:

> Bei mir versucht öfter jemand, von und zu dieser Adresse zu relayen.

> Sep 14 04:29:15 srv1.dorfdsl.de sm-mta[14367]: 38E2TE13014367: ruleset=check_rcpt, arg1=<spa...@tiscali.it>, relay=[79.110.48.159], reject=550 5.7.1 <spa...@tiscali.it>... Relaying denied. IP name lookup failed [79.110.48.159]
> Sep 14 04:29:15 srv1.dorfdsl.de sm-mta[14367]: 38E2TE13014367:
> from=<spa...@tiscali.it>, size=0, class=0, nrcpts=0, proto=ESMTP,
> daemon=MTA, relay=[79.110.48.159]

Ein alter Bekannter, kommt von verschiedenen Adressen:

Nov 06 21:04:16 postfix/smtpd[21773]: NOQUEUE: reject: RCPT from unknown[94.156.65.70]: 504 5.5.2 <WIN-CLJ1B0GQ6JP>: Helo command rejected: need fully-qualified hostname; from=<spa...@tiscali.it> to=<spa...@tiscali.it> proto=ESMTP helo=<WIN-CLJ1B0GQ6JP>
Nov 07 16:54:20 postfix/smtpd[52972]: NOQUEUE: reject: RCPT from unknown[87.120.84.249]: 504 5.5.2 <WIN-CLJ1B0GQ6JP>: Helo command rejected: need fully-qualified hostname; from=<spa...@tiscali.it> to=<spa...@tiscali.it> proto=ESMTP helo=<WIN-CLJ1B0GQ6JP>
Nov 08 06:53:17 postfix/smtpd[73660]: NOQUEUE: reject: RCPT from unknown[147.78.103.139]: 504 5.5.2 <WIN-CLJ1B0GQ6JP>: Helo command rejected: need fully-qualified hostname; from=<spa...@tiscali.it> to=<spa...@tiscali.it> proto=ESMTP helo=<WIN-CLJ1B0GQ6JP>
Nov 08 12:33:36 postfix/smtpd[82091]: NOQUEUE: reject: RCPT from unknown[87.120.84.97]: 504 5.5.2 <WIN-CLJ1B0GQ6JP>: Helo command rejected: need fully-qualified hostname; from=<spa...@tiscali.it> to=<spa...@tiscali.it> proto=ESMTP helo=<WIN-CLJ1B0GQ6JP>
Nov 08 14:44:35 postfix/smtpd[85564]: NOQUEUE: reject: RCPT from unknown[87.120.84.72]: 504 5.5.2 <WIN-CLJ1B0GQ6JP>: Helo command rejected: need fully-qualified hostname; from=<spa...@tiscali.it> to=<spa...@tiscali.it> proto=ESMTP helo=<WIN-CLJ1B0GQ6JP>
Nov 08 21:04:57 postfix/smtpd[96269]: NOQUEUE: reject: RCPT from unknown[89.108.110.17]: 504 5.5.2 <bts>: Helo command rejected: need fully-qualified hostname; from=<spa...@tiscali.it> to=<spa...@tiscali.it> proto=ESMTP helo=<bts>

Ich habe ja fast die Vermutung, das ist ein Automat um offene Relays
aufzuspüren und auf Blacklists zu setzten. Einfach mal annehmen, um zu kucken
was das ist, würde ich mir verkneifen.

mfg Friedemann

Marco Moock

unread,

Nov 9, 2023, 3:12:49 AM11/9/23

to

Am 08.11.2023 um 18:29:09 Uhr schrieb Andreas Kohlbach:

> Ich sammle dir nur, um damit Schabernack anzustellen. :-D

Verrate uns mehr!

Stefan Froehlich

unread,

Nov 12, 2023, 10:05:57 AM11/12/23

to

On Thu, 09 Nov 2023 00:29:09 Andreas Kohlbach wrote:
> Newsgroups: de.admin.net-abuse.mail
> Subject: Re: spa...@tiscali.it
> Date: Wed, 08 Nov 2023 18:29:09 -0500
> Organization: A noiseless patient Spider
> Expires: 12 Nov 2023 17:55:59 -04000
> [...]

> Ich sammle dir nur, um damit Schabernack anzustellen. :-D

Apropos Schabernack: Wo um alles in der Welt soll die Zeitzone
liegen, für die Du das Ablaufdatum Deines Artikels festgelegt hast?

Servus,
Stefan

--
http://kontaktinser.at/ - die kostenlose Kontaktboerse fuer Oesterreich
Offizieller Erstbesucher(TM) von mmeike

Stefan - niemand wirbt frigider oder eventuell heisser.
(Sloganizer)

Marco Moock

unread,

Nov 13, 2023, 2:28:10 AM11/13/23

to

Am 08.11.2023 um 12:42:53 Uhr schrieb Marco Moock:

> Bei mir versucht öfter jemand, von und zu dieser Adresse zu relayen.
>
> Sep 14 04:29:15 srv1.dorfdsl.de sm-mta[14367]: 38E2TE13014367:
> ruleset=check_rcpt, arg1=<spa...@tiscali.it>, relay=[79.110.48.159],
> reject=550 5.7.1 <spa...@tiscali.it>... Relaying denied. IP name
> lookup failed [79.110.48.159] Sep 14 04:29:15 srv1.dorfdsl.de
> sm-mta[14367]: 38E2TE13014367: from=<spa...@tiscali.it>, size=0,
> class=0, nrcpts=0, proto=ESMTP, daemon=MTA, relay=[79.110.48.159]

SPF stimmt da aber nicht, vermutlich sind die Adressen gefälscht. Dass
der Absender darüber Kontrolle hat, bezweifle ich, der müsste dann ein
Botnetz betreiben, weil das sehr verteilt ist. Ich vermute hier eher
Angriffe auf tiscali.it, die eben über ein promiscuous relay laufen
soll.