Spamhaus blockiert Hetzner

[Andreas M. Kirchwitz]

Hallo Nutzer von DNS-Blacklists!

Anscheinend hat sich Spamhaus, ein Betreiber von DNS-Blacklists,
am 14.12.2017 dazu entschieden, große Teile von Hetzners
IP-Adress-Bereichen vom Zugriff auf ihre Blacklists auszusperren,
inklusive Hetzners eigener Kunden-DNS-Server. Aus Hetzners Netzen
bekommt man keine Antwort mehr von Spamhaus.

Ein paar Kunden-Bereiche scheinen noch zu funktionieren,
doch die kann es jederzeit ebenfalls erwischen.

Wer also einen Mailserver bei Hetzner betreibt, kann Spamhaus
evtl. nicht mehr abfragen. Wer dort einen Server hat, prüft das so:

dig +short @<nameserver> 2.0.0.127.zen.spamhaus.org
(es sollten drei Zeilen kommen mit 127.0.0.2/.4/.10)

Spamhaus war bisher immerhin so fair, nicht auch umgekehrt alle
IP-Adressen von Hetzner zusätzlich als potentielle Spam-Quellen
zu listen. (Man kann also zumindest weiterhin Mail versenden.)

Im Web habe ich dazu nichts weiter gefunden als eine kurze
Diskussion in einem Postfix-Forum sowie einen Tweet:

http://postfix.1071664.n5.nabble.com/DNSBL-Problem-td94112.html
https://twitter.com/joergenlang/status/946789191853146118

Weiß hier jemand mehr über die Ursachen?

Mir ist klar, dass Hoster gelegentlich pauschal von Diensten
vorübergehend ausgesperrt werden wegen Dummheiten einzelner Kunden,
doch die Sperre von Spamhaus besteht inzwischen seit einem Monat.

Bei Spamhaus habe ich spontan nichts gefunden, um anzufragen,
was denn das Problem sein könnte und ob es eine Lösung gibt.
Die üblichen Formulare zum Freischalten/Überprüfen einzelner IPs
sind nicht zielführend.

Vielleicht hat hier jemand Erfahrung mit solchen internen Sperren
bei Spamhaus?

Tipps willkommen ... Andreas


PS: Die Idee mit dem DNS-Forwarding verwende ich als Workaround,
doch eine saubere Lösung ist wünschenswert. (Zumal das Problem
bei jedem anderen Hoster ebenfalls irgendwann auftreten könnte.)

[Karl-Josef Ziegler]

Wenn man in den letzten Monaten/Jahren entsprechende Foren mitverfolgt
hat, so ist dort Hetzner nicht unbedingt positiv aufgefallen, was das
Abuse-Management und Spam betrifft. Kann sein, dass die Geduld von
Spamhaus nun zu Ende ist und man einen 'Warnschuss' setzen wollte.

[Thomas Hochstein]

Andreas M. Kirchwitz schrieb:

> Wer also einen Mailserver bei Hetzner betreibt, kann Spamhaus
> evtl. nicht mehr abfragen. Wer dort einen Server hat, prüft das so:
>
> dig +short @<nameserver> 2.0.0.127.zen.spamhaus.org
> (es sollten drei Zeilen kommen mit 127.0.0.2/.4/.10)

Auf zwei von drei Systemen problemlos; das betroffene ist älter.

> Weiß hier jemand mehr über die Ursachen?

Nein, da muss ich leider passen.

-thh

[Andreas Kohlbach]

Bei mir war Hetzner einer der Wenigen, wo man noch Antworten auf
Complaints bekam, und auch nachprüfbar reagiert wurde.

In den letzten Monaten hatte ich IIRC aber keinen Spam über Hetzner, den
ich weitergeleitet hätte. Vielleicht haben die sich gerade seit dem zum
Schlechteren gewendet?
--
Andreas
You know you are a redneck if
taking your wife on a cruise means circling the dairy queen.

[Andreas M. Kirchwitz]

Na ja, laut meinen Mailserver-Logs kommt allgemein aus Deutschland
nur noch sehr wenig Spam, und ich sehe auch keinen größeren Hoster
aus Deutschland überproportional vertreten.

Deshalb wundert es mich, warum Spamhaus hier ausgerechnet Hetzner
pauschal abstraft. Wenn einzelne Server gekapert werden, kann ja
prima deren feste IP gesperrt werden - das wäre genau der Sinn von
DNS-Blacklists.

Mag natürlich sein, dass es kürzlich mit Hetzner einen Beef gab,
weil die auf irgendwas nicht so reagiert haben, wie Spamhaus das
gern hätte. Normalerweise liest man dann aber auch auf Newstickern
darüber. Doch zum aktuellen Fall finde ich nichts.

Je nach Konfiguration fällt die Sperre vermutlich den meisten
überhaupt nicht zeitnah auf.

Wenn Spamhaus also ein "Zeichen" setzen wollte - tja, also ich
fürchte, heutzutage klappt das nicht mehr durch leises Aussperren,
dazu sind die Konfigs zu robust. Früher hätten viele Mailserver
allerlei Unsinn angestellt, wenn eine DNSBL ausfällt, aber
heutzutage fehlt einfach stillschweigend ein Score von vielen.

Welche Foren liest Du denn so, wo die Leute ihre Erfahrungen
austauschen? Sofern der Aufwand vertretbar ist, würde ich gerne
herausfinden, was konkret hier zwischen Hetzner und Spamhaus
schiefgelaufen ist.

Grüße, Andreas

[Karl-Josef Ziegler]

Am 15.1.2018 um 00:58 schrieb Andreas M. Kirchwitz:

> Na ja, laut meinen Mailserver-Logs kommt allgemein aus Deutschland
> nur noch sehr wenig Spam, und ich sehe auch keinen größeren Hoster
> aus Deutschland überproportional vertreten.

Wenn man z. Bsp. auf die Spamcop-Statistiken schaut, dann taucht dort
Hetzner immer mal wieder auf:

#### Top entries with reports count [Top 5 plus all above 0.5% reports]
1. 194.88.106.17 47_427 3.821% NL AS49981
2. 91.229.23.8 45_847 3.693% NL AS49981
3. 91.229.23.9 44_735 3.604% NL AS49981
4. 109.236.85.156 33_661 2.712% NL AS49981
5. 78.47.140.64 15_832 1.275% DE AS24940
6. 77.120.226.50 10_020 0.807% UA AS25229
7. 45.35.105.216 7_875 0.634% US AS40676
8. 45.35.105.217 6_670 0.537% US AS40676
200. 208 0.017%

#### Entries count by Autonomous (Routing) System [3 entries minimum OR
listed above]
1. AS3462 110 HINET Data Communication Business Group, TW
2. AS4134 10 CHINANET-BACKBONE No.31,Jin-rong Street, CN
2. AS31725 10 SHTORM-AS, UA
4. AS17621 8 CNCGROUP-SH China Unicom Shanghai network, CN
5. AS4766 7 KIXS-AS-KR Korea Telecom, KR
6. AS714 6 APPLE-ENGINEERING - Apple Inc., US
7. AS2519 4 VECTANT ARTERIA Networks Corporation, JP
7. AS49981 4 WORLDSTREAM, NL
9. AS16276 3 OVH, FR
9. AS36352 3 AS-COLOCROSSING - ColoCrossing, US
11. AS40676 2 AS40676 - Psychz Networks, US
15. AS24940 1 HETZNER-AS, DE
15. AS25229 1 VOLIA-AS, UA
- 31 (15.5%)

Da ist aus DE Hetzner vertreten. Oder wenn man im deutschen
Antispam-Forum über Jahre hinweg mitliest, da taucht immer wieder der
Name Hetzner (und auch OVH) auf.

[Chr. Maercker]

Andreas Kohlbach wrote:
> Bei mir war Hetzner einer der Wenigen, wo man noch Antworten auf
> Complaints bekam, und auch nachprüfbar reagiert wurde.

FULL ACK und zwar mehr als nur Autoresponses und nicht von
Marketingdeppen verfasst.

> In den letzten Monaten hatte ich IIRC aber keinen Spam über Hetzner, den
> ich weitergeleitet hätte. Vielleicht haben die sich gerade seit dem zum
> Schlechteren gewendet?

Hetzner fällt seit Monaten (Jahren?) des öfteren durch Spam-Einwürfe
auf, soviel ist an dem Gerücht wahr. Irknwas macht Hetzner für Banditen
interessant.
--


CU Chr. Maercker.

[Karl-Josef Ziegler]

Am 15.1.2018 um 09:09 schrieb Chr. Maercker:

> Hetzner fällt seit Monaten (Jahren?) des öfteren durch Spam-Einwürfe
> auf, soviel ist an dem Gerücht wahr. Irknwas macht Hetzner für Banditen
> interessant.

Sie sind halt gross, sehr gross. Und damit steigt die
Wahrscheinlichkeit, sich 'faule Kundschaft' einzufangen. Was auch immer
ein Monitum war: dass man Beschwerden an den Spammer weiterleitet und so
z. Bsp. Listwashing fördert.

[Chr. Maercker]

Karl-Josef Ziegler wrote:
> Sie sind halt gross, sehr gross. Und damit steigt die
> Wahrscheinlichkeit, sich 'faule Kundschaft' einzufangen.

ACK, ähnliche Probleme gab es zeitweise mit Telekom und 1&1 bzw. damals
noch Schlund & Partner. Wobei die wirklich beschwerderenitent waren.

> ein Monitum war: dass man Beschwerden an den Spammer weiterleitet und so
> z. Bsp. Listwashing fördert.

Auch nicht übel, ein paar davon auf diesem Wege loszuwerden. ;-)
Bei GMX frage ich mich übrigens auch, warum meine dortige Box nur noch
relativ wenig Spam bekommt, obwohl die Adresse usenet-bekannt ist und
für diverse Registrierungen verwendet wurde.

--


CU Chr. Maercker.

[Daniel Weber]

Am 15.01.2018 um 08:34 schrieb Karl-Josef Ziegler:
> Da ist aus DE Hetzner vertreten. Oder wenn man im deutschen
> Antispam-Forum über Jahre hinweg mitliest, da taucht immer wieder der
> Name Hetzner (und auch OVH) auf.

Klar, das ergibt sich einfach durch die Größe (= Anzahl der Kunden),
dazu muss der Anteil der "faulen" Kunden nicht größer (und damit das
Abuse-Handling schlechter) sein als bei der Konkurrenz.

Ciao,
Daniel

[David Seppi]

Chr. Maercker schrieb:

> Bei GMX frage ich mich übrigens auch, warum meine dortige Box nur noch
> relativ wenig Spam bekommt, obwohl die Adresse usenet-bekannt ist und
> für diverse Registrierungen verwendet wurde.

Die filtern ohne Rücksicht auf false positives.

--
David Seppi
1220 Wien

[Stephan Seitz]

Andreas M. Kirchwitz <a...@spamfence.net> wrote:
> dig +short @<nameserver> 2.0.0.127.zen.spamhaus.org
> (es sollten drei Zeilen kommen mit 127.0.0.2/.4/.10)

Mein vServer bei Hetzner ist auch betroffen.

Stephan

--
| Stephan Seitz E-Mail: stse+...@fsing.rootsland.net |
| Public Keys: http://fsing.rootsland.net/~stse/keys.html |

[Thomas Gohel]

Hallo Christian,

> Auch nicht übel, ein paar davon auf diesem Wege loszuwerden. ;-)
> Bei GMX frage ich mich übrigens auch, warum meine dortige Box nur
> noch relativ wenig Spam bekommt, obwohl die Adresse usenet-bekannt
> ist und für diverse Registrierungen verwendet wurde.

Die Usenet-Adresse ist in der Zwischenzeit völlig uninteressant und
wird nicht einmal von den Spammer mehr genutzt.

An meine Usenet-Adresse kommt auf meinem eigenen Mailserver auch nur
sehr selten Spam an. ;-)


Tschau,

--------------
/ h o m a s
--
email : sup...@gohel.de / go...@basicguru.de (PGP-Key available)
www : http://www.gohel.de / http://www.pbhq.de (PowerBASIC)
filter: html-postings, fullquotes, no realnames & no valid adresses

[Andreas Kohlbach]

On Mon, 15 Jan 2018 13:25:52 +0100, Chr. Maercker wrote:
>
> Karl-Josef Ziegler wrote:
>> Sie sind halt gross, sehr gross. Und damit steigt die
>> Wahrscheinlichkeit, sich 'faule Kundschaft' einzufangen.
>
> ACK, ähnliche Probleme gab es zeitweise mit Telekom und 1&1 bzw. damals
> noch Schlund & Partner. Wobei die wirklich beschwerderenitent waren.

Dabei fällt mir persönlich 1&1 eher weniger auf. Wenn meistens nur
Dropboxen von Nigeria Spammern, und nicht selbst über 1&1 gesendet.

Anderseits zieht 1&1 Nigeria Spammer mit Mail Accounts (wie
@diplomats.com, löst nach mail.com auf, was 1&1 ist) natürlich an. Wie
kam man bloß auf die Idee, diese Accounts zu hosten, wenn man wissen
sollte, dass es sie anzieht? 1&1 hat noch zumindest noch eine ähnliche
Domain, die diese Scammer anzieht, deren Name mir eben nicht einfallen
will.

--
Andreas
You know you are a redneck if

your house doesn't have curtains, but your truck does.

[Chr. Maercker]

Thomas Gohel wrote:
> Die Usenet-Adresse ist in der Zwischenzeit völlig uninteressant und
> wird nicht einmal von den Spammer mehr genutzt.

Die Adresse wurde überall verwendet, wo akute Verbrennungsgefahr
besteht, also beileibe nicht nur im Usenet.
Ist einklich Harvesting von Websites noch ein Thema für Spammer? Oder
bedienen die sich lieber aus Adressbüchern vervirter Systeme o.a. Quellen?
--


CU Chr. Maercker.

[Chr. Maercker]

Andreas Kohlbach wrote:
> Dabei fällt mir persönlich 1&1 eher weniger auf. Wenn meistens nur
> Dropboxen von Nigeria Spammern, und nicht selbst über 1&1 gesendet.

Schlund & Partner fielen vor allem zwischen 2000 und 2006 negativ auf.
Einzelne IPs sind aus dieser Zeit in meinem privaten Filter geblieben.
Hat aber kaum false positives produziert und wenn, wurde die betr.
IP-Range halt gelöscht.

--


CU Chr. Maercker.

[Michael Limburg]

Chr. Maercker wrote:

> Ist einklich Harvesting von Websites noch ein Thema für Spammer? Oder

ja

[Michael Unger]

On 2018-01-15 15:04, "Thomas Gohel" wrote:

> Die Usenet-Adresse ist in der Zwischenzeit völlig uninteressant und
> wird nicht einmal von den Spammer mehr genutzt.
>
> An meine Usenet-Adresse kommt auf meinem eigenen Mailserver auch nur
> sehr selten Spam an. ;-)

Gerade letzte Nacht kam nach längerer Zeit mal wieder etwas herein -- an
"2009Q1", "Received: from mx1.casadomingos.com.br ([201.30.202.67])",
"Received: from [103.207.38.152] by mx1.casadomingos.com.br", "Reply-To:
in-c...@qdwxs.com".

Man versuchte mir zu erläutern, dass mir eine amerikanische
Wohlfahrts-Organisation ("International Social Development Charity")
viereinhalb Milliönchen "for children's Education skills, good Health
Care, for you to start up a business, to buy car and house to live a
good standard of living" zugedacht hätte. Ich müsste nur noch eine Menge
persönlicher Daten nachreichen. (Ganz besonders wichtig ist anscheinend
die Mobiltelefon-Nummer. Die Bankverbindung für die Überweisung war
hingegen nicht gefragt. Dass die nicht auch noch die Schuhgröße wissen
wollten ... ;-)

So gelegentlich scheinen die Nigerianer uralte Adressen wieder
auszugraben. Was SpamGourmet macht, haben die aber bis heute wohl nicht
verstanden.

Michael

[Wolfgang Jäth]

Am 17.01.2018 um 17:29 schrieb Michael Unger:
> On 2018-01-15 15:04, "Thomas Gohel" wrote:
>
>> Die Usenet-Adresse ist in der Zwischenzeit völlig uninteressant und
>> wird nicht einmal von den Spammer mehr genutzt.
>>
>> An meine Usenet-Adresse kommt auf meinem eigenen Mailserver auch nur
>> sehr selten Spam an. ;-)
>
> Gerade letzte Nacht kam nach längerer Zeit mal wieder etwas herein -- an
> "2009Q1", "Received: from mx1.casadomingos.com.br ([201.30.202.67])",
> "Received: from [103.207.38.152] by mx1.casadomingos.com.br", "Reply-To:
> in-c...@qdwxs.com".
>
> Man versuchte mir zu erläutern, dass mir eine amerikanische
> Wohlfahrts-Organisation ("International Social Development Charity")
> viereinhalb Milliönchen "for children's Education skills, good Health
> Care, for you to start up a business, to buy car and house to live a
> good standard of living" zugedacht hätte. Ich müsste nur noch eine Menge
> persönlicher Daten nachreichen. (Ganz besonders wichtig ist anscheinend
> die Mobiltelefon-Nummer.

http://www.telefonpaul.de/
http://www.frankgehtran.de/

Wolf 'auch wenn die mit ner deutschen Ansage wahrscheinlich nicht viel
anfangen können' gang
--
If I could, I would wish for ONE news INDEED being a fake, namely for
the news of this immature cockalorum in fact became President of the
United States.

[Michael Unger]

On 2018-01-17 18:01, "Wolfgang Jäth" wrote:

> Am 17.01.2018 um 17:29 schrieb Michael Unger:
>

> [...]
>
>> [...] (Ganz besonders wichtig ist anscheinend

>> die Mobiltelefon-Nummer.
>
> http://www.telefonpaul.de/
> http://www.frankgehtran.de/
>
> Wolf 'auch wenn die mit ner deutschen Ansage wahrscheinlich nicht viel
> anfangen können' gang

Gibt es nicht auch "Premium-Services", die über Satelliten-Telefon
erreichbar sind? Oder Mailboxen auf exotischen Inseln? Man muss den
Nigerianern ja nicht unbedingt Low-Cost-Services benennen.

Michael


[1] <https://de.wikipedia.org/wiki/Iridium_(Kommunikationssystem)>
[2] <https://de.wikipedia.org/wiki/Inmarsat>

[Thomas Gohel]

Hallo Chr.,

> Ist einklich Harvesting von Websites noch ein Thema für Spammer? Oder
> bedienen die sich lieber aus Adressbüchern vervirter Systeme o.a.
> Quellen?

Ich halte das Abgreifen der Mailadressen via infizierter Rechner
für das eigentliche Problem. Dazu muss ja nicht der eigene Rechner
infiziert sein, sondern "nur" ein Rechner auf dem eine Mail von dir
vorhanden ist.

Ich habe es jetzt zweimal erlebt, dass eine neue Domain aufgesetzt
wurde und die neuen Mailadressen erhielten bereits nach zwei Tagen
die ersten Spams, Tendenz danach sofort stark steigend. Dabei waren
die neuen Adressen noch nicht einmal veröffentlicht, da die Umstellung
erst in den nächsten Wochen erfolgen sollte.

Tschau,

--------------
/ h o m a s
--

Permanent Online Filter fuer: User ohne Realnamen im From:-Feld, Full-
quotes (zitieren des originalen Postings unter der eigenen Antwort),
Visitenkarten, HTML-Postings, Invalid- und ungueltige Email-Adressen

[Chr. Maercker]

Thomas Gohel wrote:
> Ich halte das Abgreifen der Mailadressen via infizierter Rechner
> für das eigentliche Problem. Dazu muss ja nicht der eigene Rechner
> infiziert sein, sondern "nur" ein Rechner auf dem eine Mail von dir
> vorhanden ist.

Ich gehe auch davon aus, dass infizierte PCs längst die Hauptquelle
sind. Website-Harvesting betreiben am ehesten noch die lausigen Amateure
aus Nigeria und Umgebung.

> Ich habe es jetzt zweimal erlebt, dass eine neue Domain aufgesetzt
> wurde und die neuen Mailadressen erhielten bereits nach zwei Tagen
> die ersten Spams, Tendenz danach sofort stark steigend. Dabei waren
> die neuen Adressen noch nicht einmal veröffentlicht, da die Umstellung
> erst in den nächsten Wochen erfolgen sollte.

Aber sie standen schon in den Adressbüchern einzelner PCs, oder? Und
ausgerechnet die waren vervirt?
--


CU Chr. Maercker.

[Wolfgang Jäth]

Am 17.01.2018 um 20:16 schrieb Michael Unger:
> On 2018-01-17 18:01, "Wolfgang Jäth" wrote:
>
>> Am 17.01.2018 um 17:29 schrieb Michael Unger:
>>
>> [...]
>>
>>> [...] (Ganz besonders wichtig ist anscheinend
>>> die Mobiltelefon-Nummer.
>>
>> http://www.telefonpaul.de/
>> http://www.frankgehtran.de/
>>
>> Wolf 'auch wenn die mit ner deutschen Ansage wahrscheinlich nicht viel
>> anfangen können' gang
>
> Gibt es nicht auch "Premium-Services", die über Satelliten-Telefon
> erreichbar sind? Oder Mailboxen auf exotischen Inseln?

Gips sicher; aber ich kenn keine Nummern davon.

> Man muss den
> Nigerianern ja nicht unbedingt Low-Cost-Services benennen.

Du könntest höchstens mal nachts durchs Fernsehen zappen, da werden
AFAIK öfter mal nicht ganz so billige Nummern von Sex-Hotlines beworben.
Ob die allerdings aus dem Ausland überhaupt anrufbar sind, hab ich keine
Ahnung.

Wolfgang

[Thomas Gohel]

Hallo Chr.,

>> Ich habe es jetzt zweimal erlebt, dass eine neue Domain aufgesetzt
>> wurde und die neuen Mailadressen erhielten bereits nach zwei Tagen
>> die ersten Spams, Tendenz danach sofort stark steigend. Dabei waren
>> die neuen Adressen noch nicht einmal veröffentlicht, da die
>> Umstellung erst in den nächsten Wochen erfolgen sollte.
> Aber sie standen schon in den Adressbüchern einzelner PCs, oder? Und
> ausgerechnet die waren vervirt?

Keine Ahnung, aber so extrem schnell wie die Adressen bzw. die Domain
verbrannt war, lief an zentraler Stelle vermutlich mindestens eine
Outlook-Installation an einem verseuchten Rechner. Anders lässt sich
der Effekt nicht erklären, ausser der dafür zuständige neue Mailserver,
bzw das Kundenmenü hatte ein großes Loch, was ich bei Strato nicht so
recht glaube. ;-)

Tschau,

--------------
/ h o m a s
--

[Karl-Josef Ziegler]

Am 17.01.2018 um 22:27 schrieb Marcus Jodorf:

> Die hatten mal ganz viele solcher Schrottdomains laufen.
> mail.com ist heute ein halbwegs normaler, völlig werbeverseuchter
> Freemailer. Wie das halt so üblich ist.

Das scheint es immer noch zu geben:

http://www.mail.com/email/

Angeblich Mailadressen bei 200 Domains, das Unternehmen wurde aber
anscheinend von UI aufgekauft.

[Andreas M. Kirchwitz]

Thomas Gohel <go...@basicguru.de> wrote:

> Ich halte das Abgreifen der Mailadressen via infizierter Rechner
> für das eigentliche Problem. Dazu muss ja nicht der eigene Rechner
> infiziert sein, sondern "nur" ein Rechner auf dem eine Mail von dir
> vorhanden ist.

Durchaus denkbar, dass neben Teilnahme an einem Bot-Netz o.ä.
bei infizierten Rechnern auch die Adressbücher abgegriffen werden.
(Allerdings exklusiv für Adressbücher wäre der Aufwand recht hoch.)

Unqualifizierte Mailadressen sind wenig wert.

Wertvoller sind Mail-Adressen aus Kundendatenbanken von Firmen.
Ob nun Firmen selbst die Mailadressen verkaufen, oder ob untreue
Mitarbeiter Datenbank-Auszüge verkaufen, oder ob vielleicht
beauftragte Dienstleister (z.B. für Marketing-Aktionen oder
Business-Analyse) mit Kundendaten schlampig umgehen.

Bei mir werden seit Jahren verstärkt solche Adressen bespammt,
und das kann ich konkret Firmen zuordnen, auch großen, die es besser
wissen sollten. (Es kommen teilweise Daten vor, die jegliches
zufälliges Erraten der Mailadresse sicher ausschließen.)

Das Geschäft mit Daten ist lukrativ ... Andreas

[Andreas Kohlbach]

On Thu, 18 Jan 2018 18:43:09 +0100, Karl-Josef Ziegler wrote:
>
> Am 17.01.2018 um 22:27 schrieb Marcus Jodorf:
>
>> Die hatten mal ganz viele solcher Schrottdomains laufen.
>> mail.com ist heute ein halbwegs normaler, völlig werbeverseuchter
>> Freemailer. Wie das halt so üblich ist.
>
> Das scheint es immer noch zu geben:
>
> http://www.mail.com/email/

Ist der Abuse Desk von 1&1 überhaupt, wie Spamcop sagt (wenn man eine
Dropbox der Mugus einwirft, die z.B. auf usa.com endet) für Krempel von
mail.com verantwortlich?

Spamcops Parser scheine usa.com -> mail.com -> Abusevon 1&1

zu sagen. Und von Hand:

~$ host usa.com
usa.com has address 69.10.42.209
usa.com mail is handled by 10 mx00.mail.com
(whois von 69.10.42.209 geht auf interserver.net...)

Weiter:

~$ host mx00.mail.com
mx00.mail.com has address 74.208.5.20

was 1&1 ist. Ich würde trotzdem vermuten, mail.com hat einen eigenen
Abuse Desk. Ob der funktioniert, steht natürlich auf einem anderen Blatt.

--
Andreas
You know you are a redneck if

you refer to the time you won a free case of oil as the
"day my ship came in."

[Florian Weimer]

* Andreas M. Kirchwitz:

> Bei Spamhaus habe ich spontan nichts gefunden, um anzufragen,
> was denn das Problem sein könnte und ob es eine Lösung gibt.
> Die üblichen Formulare zum Freischalten/Überprüfen einzelner IPs
> sind nicht zielführend.

Vermutlich wurde schlicht gegen die DNSBL-Nutzungsbedingungen
verstoßen:

<https://www.spamhaus.org/organization/dnsblusage/>

100.000 SMTP-Verbindungen pro Tag sind nicht viel.

Abhilfe gibt es hier:

<https://www.spamhaustech.com/protecting-mail-streams/>

[Stephan Seitz]

Andreas M. Kirchwitz <a...@spamfence.net> wrote:

> Anscheinend hat sich Spamhaus, ein Betreiber von DNS-Blacklists,
> am 14.12.2017 dazu entschieden, große Teile von Hetzners
> IP-Adress-Bereichen vom Zugriff auf ihre Blacklists auszusperren,
> inklusive Hetzners eigener Kunden-DNS-Server. Aus Hetzners Netzen
> bekommt man keine Antwort mehr von Spamhaus.

Da auf der Spamassassin-ML ein anderes Spamhaus-Problem angesprochen
worden ist und einer von Spamhaus daran beteiligt war, habe ich unser
Problem hier auch gleich vorgetragen.

Ich habe dann später von einer Key Account Managerin von Spamhaus eine
Mail bekommen, in der u.a. stand:

Your queries are coming from Hetzner’s IP ranges. After many
discussions with Hetzner, queries coming from Hetzner ranges are
ignored by the Spamhaus public mirror infrastructure.

Mir haben sie dann auch gleichzeitig einen offiziellen Account
angelegt, mit dem ich unter den Bedingungen für die freien Zugänge die
Abfragen über die Bezahlinfrastruktur abwickeln kann.

Shade and sweet water!

[Paul Muster]

On 24.01.2018 11:22, Stephan Seitz wrote:

> Ich habe dann später von einer Key Account Managerin von Spamhaus eine
> Mail bekommen, in der u.a. stand:
>
> Your queries are coming from Hetzner’s IP ranges. After many
> discussions with Hetzner, queries coming from Hetzner ranges are
> ignored by the Spamhaus public mirror infrastructure.

Na, das wussten wir ja schon. Die Frage war, *warum*.

> Mir haben sie dann auch gleichzeitig einen offiziellen Account
> angelegt, mit dem ich unter den Bedingungen für die freien Zugänge die
> Abfragen über die Bezahlinfrastruktur abwickeln kann.

Das ist nett, hilft aber den anderen Hetzner-Kunden nicht...


mfG Paul