Spamprovider myLoc managed IT AG mit neuem Netz

[Richard Lechner]

Heute zum ersten mal aus dem Netz, wie immer die ganze Nacht durch.

route: 5.104.104.0/21
descr: myLoc managed IT AG

Wird jetzt von der Teergrube beschäftigt.

[Andreas Kohlbach]

AG? Hört sich nach Deutscher Firma an. Laut whois (ich dachte, das geht
wegen der DSVGO nicht mehr?) haben die eine @myloc.de Mail-Adresse.

Sind mir IIRC noch nicht aufgefallen.

Was war das für ein Spam? Hast Du einen kurzen Auszug aus Header und Body?
--
Andreas

My random thoughts and comments
https://news-commentaries.blogspot.com/

[Andreas M. Kirchwitz]

Besten Dank, gleich die lokale Blacklist erweitert.
Aus den IP-Bereichen dieser kleinen Bude sehe ich mehr
Spam als von allen bekannten großen Hostern zusammen.

Grüße, Andreas

[Richard Lechner]

Am Mon, 10 Sep 2018 16:25:43 -0400 schrieb Andreas Kohlbach:

> AG? Hört sich nach Deutscher Firma an. Laut whois (ich dachte, das geht
> wegen der DSVGO nicht mehr?) haben die eine @myloc.de Mail-Adresse.
>
> Sind mir IIRC noch nicht aufgefallen.
>
> Was war das für ein Spam? Hast Du einen kurzen Auszug aus Header und
> Body?

myloc ist eine Bruchbude die dringend auf die paar Zwetschken von den
Spamgangstern angewiesen ist.
Aus deren Netzen kommt nur Müll und das in unglaublichen Mengen.

Für Header und Body hab ich keine Zeit, hab ja auch andere Hobbys, nicht
so wie du! :-)

[Michael Pachta]

Am 11.09.2018 um 09:35 schrieb Richard Lechner:
> Für Header und Body hab ich keine Zeit, hab ja auch andere Hobbys, nicht
> so wie du! :-)

Na ja, 2 oder 3 Spams inkl. der Header an Andreas weiterzuleiten sollte
IMHO doch kein Ding sein. Dann kann er ja selber die Headeranalyse
durchführen und hier die Ergebnisse veröffentlichen.

[Thomas Gohel]

Hallo Richard,

> route: 5.104.104.0/21
> descr: myLoc managed IT AG

Jup, und wie immer der als Ukraine-Spam getarnt ...

> Wird jetzt von der Teergrube beschäftigt

Ich glaube, so langsam habe ich alle Netzblöcke von denen geerdet. :-)


Tschau,

--------------
/ h o m a s
--
Der neue Internet Trend: Abstossende Postings! Verfasse die Mail in
HTML, niemals mit Realnamen, haenge immer das Original-Posting als
Fullquote an die Antwort, signiere alles konsequent mit einer Visiten-
karte und Du wirst reichlich die diversen Filter begluecken. :-)))))))

[Sven Hartge]

Andreas Kohlbach <a...@spamfence.net> wrote:
> On Mon, 10 Sep 2018 04:29:06 +0000 (UTC), Richard Lechner wrote:

>> Heute zum ersten mal aus dem Netz, wie immer die ganze Nacht durch.
>>
>> route: 5.104.104.0/21
>> descr: myLoc managed IT AG
>>
>> Wird jetzt von der Teergrube beschäftigt.

> AG? Hört sich nach Deutscher Firma an. Laut whois (ich dachte, das geht
> wegen der DSVGO nicht mehr?) haben die eine @myloc.de Mail-Adresse.

> Sind mir IIRC noch nicht aufgefallen.

Bis vor 2 Monaten der Colocrossing-Spammer hier massiv aufschlug machte
SPAM aus myLoc-Netzen gut 20% des Aufkommens bei mir aus.

S°

--
Sigmentation fault. Core dumped.

[Sven Hartge]

Thomas Gohel <go...@basicguru.de> wrote:
> Hallo Richard,

>> route: 5.104.104.0/21
>> descr: myLoc managed IT AG

> Jup, und wie immer der als Ukraine-Spam getarnt ...

>> Wird jetzt von der Teergrube beschäftigt

> Ich glaube, so langsam habe ich alle Netzblöcke von denen geerdet. :-)

Ich habe privat einfach *@*.ua in der Blackliste. Auf dem beruflichen MX
ist das leider nicht so einfach ...

[Richard Lechner]

[] Du kennst Exchange und weitere professionelle Software unter Windoof.

Ist schon ein Ding und mir viel zu mühsam nur um einen Pensionär in den
einsamen Weiten von Kanada zu bespaßen. :-)

Ich lösche das Zeug jeden Tag per Hand denn ohne menschlicher Kontrolle
ginge doch öfter was verlohren was nicht verlohren gehen sollte. :-(


Das Leiden mit den kaputten Mailsystemen heute:

https://grossmutters-sparstrumpf.de/warum-ihr-mich-nicht-mehr-erreichen-
koennt-und-ich-euch-auch-nicht/

Toll haben "wir Admins" das hinbekommen! :-(

[Marc Haber]

Jupp, ich blackliste myLoc-Netze aufgrund des /devnull-Verhaltens der
Abuse-Adresse inzwischen großflächig per /24. Auf der FrOSCon hatten
die einen Stand, und man versicherte mir, man arbeite daran,
automatisierte Erkennung ausgehenden Spams zu implementieren.

Das hörte ich wohl, aber mir fehlt der Glaube.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

[Andreas M. Kirchwitz]

Andreas Kohlbach <a...@spamfence.net> wrote:

> AG? Hört sich nach Deutscher Firma an. Laut whois (ich dachte, das geht
> wegen der DSVGO nicht mehr?) haben die eine @myloc.de Mail-Adresse.
> Sind mir IIRC noch nicht aufgefallen.
> Was war das für ein Spam? Hast Du einen kurzen Auszug aus Header und Body?

Bei myLoc nisten sich gern Spammer ein, vor allem ein bestimmter,
der gern mit der Domain *.ua arbeitet (aber nicht ausschließlich)
und Spam in Form von Bildern verschickt, in die der Spamfilter ja
nicht ohne zusätzlichen Aufwand hineinschauen kann.

Wenn man im Internet recherchiert, bekommt myLoc das Spam-Problem
schon seit vielen Jahren nicht in den Griff, was insofern etwas
verwunderlich ist, weil es sich aufgrund des sehr markanten Spams
nicht um beliebige unterschiedliche Spammer handeln kann, sondern
es immer der gleiche ist, vor allem über sehr lange Zeit mit immer
gleichen IP-Adressen.

Ebenfalls verwunderlich ist, dass die über Monate hinweg gleichen
IPs nicht in sämtlichen Blacklists stehen, sondern der Score meist
niedrig genug bleibt, um doch noch gerade so durch den Spam-Filter
zu rutschen. Daher vermute ich, dass jener Spammer bei myLoc
wenig in die Breite geht, also nicht möglichst viele Mailadressen
bespammt, sondern eine eher kleine Empfängerzahl ganz besonders
intensiv nervt.

Grundsätzlich bin ich dagegen, alle Kunden eines Hosters abzustrafen
wegen ein paar Übeltätern, aber das setzt voraus, dass der Hoster bei
Missbrauch zügig handelt.

Sei froh, wenn Du bisher nicht auf der Liste jenes Spammers stehst.
Seit ich myLoc in der Blacklist habe, bekomme ich den genannten Spam
nicht mehr, auch nicht von woanders. Irgendwie alles sehr merkwürdig.
Ein Spammer, der über Jahre hinweg ausschließlich den gleichen Hoster
verwendet und mit für mehrere Monate festen IPs Spam innerhalb von
Deutschland versendet.

Grüße, Andreas

[Thomas Gohel]

Sven Hartge meinte zum Thema "Re: Spamprovider myLoc managed IT AG mit neuem Netz"

Hallo Sven,

>> Ich glaube, so langsam habe ich alle Netzblöcke von denen geerdet.
>> :-)
> Ich habe privat einfach *@*.ua in der Blackliste. Auf dem beruflichen
> MX ist das leider nicht so einfach ...

Ich filtere die MyLoc-Bude schon hart im SMTP-Dialog, sofern die IP-
Bereiche nicht schon direkt geerdet sind (solange haben sie halt noch
eine minimale Chance) allerdings nur auf "*.*.com|biz.ua".

PS: Aber eigentlich ist es in der Zwischenzeit egal was sie mir schicken.

Tschau,

--------------
/ h o m a s
--

Kill-, Filter- und Scorefiles: Die modernen Schallschutzwaende des Usenet.

[Thomas Gohel]

Hallo Andreas,

> Bei myLoc nisten sich gern Spammer ein, vor allem ein bestimmter,
> der gern mit der Domain *.ua arbeitet (aber nicht ausschließlich)

Ich blocke hier auf *.*.com|biz.ua und das sind nahezu ausschliesslich
die Bereiche von MyLoc, die hier seit Jahren (+2) auffallen.

> und Spam in Form von Bildern verschickt, in die der Spamfilter ja
> nicht ohne zusätzlichen Aufwand hineinschauen kann.

Keine Ahnung, Connections mit obigen Greeting werden hier seit ca einem
Jahr rejected und später meistens komplett geerdet. ;-)

> Wenn man im Internet recherchiert, bekommt myLoc das Spam-Problem
> schon seit vielen Jahren nicht in den Griff, was insofern etwas
> verwunderlich ist, weil es sich aufgrund des sehr markanten Spams
> nicht um beliebige unterschiedliche Spammer handeln kann, sondern
> es immer der gleiche ist, vor allem über sehr lange Zeit mit immer
> gleichen IP-Adressen.

In meinen Augen will MyLoc das Problem einfach nicht beseitigen oder
ist unfähig. Ähnliche Spam-Mails aus Finnland oder Tschechien haben
eine Halbwertzeit von nicht mehr als 12 Stunden

> Ebenfalls verwunderlich ist, dass die über Monate hinweg gleichen
> IPs nicht in sämtlichen Blacklists stehen,

Das ist mir auch aufgefallen und ich bin darüber genauso verwundert.

> Daher vermute ich, dass jener Spammer bei myLoc wenig in die Breite
> geht, also nicht möglichst viele Mailadressen bespammt, sondern eine
> eher kleine Empfängerzahl ganz besonders intensiv nervt.

Ich vermute, hier wird der Spam einfach nur an deutsche User versandt,
was die Listung in den eher internationalen Blacklists eher vermeidet.

> Sei froh, wenn Du bisher nicht auf der Liste jenes Spammers stehst.
> Seit ich myLoc in der Blacklist habe, bekomme ich den genannten Spam
> nicht mehr, auch nicht von woanders.

Das kann ich nicht bestätigen, da der Spam weiterhin in Wellen kommt.

Tschau,

--------------
/ h o m a s
--

email : sup...@gohel.de / go...@basicguru.de (PGP-Key available)
www : http://www.gohel.de / http://www.pbhq.de (PowerBASIC)
filter: html-postings, fullquotes, no realnames & no valid adresses

[Karl-Josef Ziegler]

Am 12.09.2018 um 19:51 schrieb Thomas Gohel:

> Ich vermute, hier wird der Spam einfach nur an deutsche User versandt,
> was die Listung in den eher internationalen Blacklists eher vermeidet.

Das würde ich auch vermuten. Ich kenne noch so einen deutschen
Großspammer, der bei den internationalen Blacklists 'unter dem Radar
segelt', weil er halt nur deutsche Opfer nervt. Da hilft dann nur noch
NiX Spam von heise.

[Sven Hartge]

Marc Haber <mh+usene...@zugschl.us> wrote:

> Jupp, ich blackliste myLoc-Netze aufgrund des /devnull-Verhaltens der
> Abuse-Adresse inzwischen großflächig per /24. Auf der FrOSCon hatten
> die einen Stand, und man versicherte mir, man arbeite daran,
> automatisierte Erkennung ausgehenden Spams zu implementieren.

Ahahahahahahahahahaha *glucks*

[Richard Lechner]

Am Wed, 12 Sep 2018 19:52:00 +0200 schrieb Thomas Gohel:

> Ich filtere die MyLoc-Bude schon hart im SMTP-Dialog, sofern die IP-
> Bereiche nicht schon direkt geerdet sind (solange haben sie halt noch
> eine minimale Chance) allerdings nur auf "*.*.com|biz.ua".

Vielleicht solltest du überlegen die myloc-Bereiche in eine Teergrube
umzuleiten? Wenn sie in genug Teergruben laufen dann bleibt denen der
Spam im Rachen stecken.

[Sven Hartge]

Vergiss es, um diese Idee umzusetzen zu können, bist du 25 Jahre und
eine Cabal (die natürlich nicht existiert) zu spät dran.

[Richard Lechner]

Am Mon, 10 Sep 2018 04:29:06 +0000 schrieb Richard Lechner:

Das nächste Netz. Start @ 21:20 bis heute morgen.

% Abuse contact for '85.14.240.0 - 85.14.240.255' is 'ab...@myloc.de'

inetnum: 85.14.240.0 - 85.14.240.255
netname: MYLOC-WEBTROPIA-ADD-01

[Richard Lechner]

Am Thu, 13 Sep 2018 20:31:44 +0200 schrieb Sven Hartge:

>> Vielleicht solltest du überlegen die myloc-Bereiche in eine Teergrube
>> umzuleiten? Wenn sie in genug Teergruben laufen dann bleibt denen der
>> Spam im Rachen stecken.
>
> Vergiss es, um diese Idee umzusetzen zu können, bist du 25 Jahre und
> eine Cabal (die natürlich nicht existiert) zu spät dran.

So ganz sinnlos ist es nicht, der Ungar z.B. hat aufgegeben, == Ziel
erreicht.

Es geht mir auch nicht darum ihm einen Port zuzuziehen, der hat ja eine
Queue und die bleibt voll solange er glaubt er wird den Müll los. Bei
einem Reject schmeisst er den Empfänger weg und geht zum nächsten, bei
einem langsamen Empfänger bleibt er dran, oft zumindest.

Gerade geschaut, 109 Stunden ist der längste derzeit.

endovascular.jp (153.122.135.47:59202) [Zeit bisher 109:28]

Für unseren Pensionisten in den einsamen Weiten von Kanada habe ich mal
auf Empfang gedrückt: :-)

EHLO endovascular.jp
MAIL From:<vergna...@libero.it>
RCPT To:<xxx...@xxxxxxxxxxx.xxx.xxx>
DATA
Received: from [10.174.207.140] (ge-19-126-220.service.infuturo.it
[151.19.126.220])
(authenticated bits=0)
by endovascular.jp (8.14.5/8.14.5) with ESMTP id w89F75x2012981;
Mon, 10 Sep 2018 00:09:21 +0900
Message-Id: <201809091509....@endovascular.jp>
Content-Type: text/plain; charset="iso-8859-1"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Description: Mail message body
Subject: Dear Esteemed Customer,
To: Recipients <vergna...@libero.it>
From: (Package Forwarders)<vergna...@libero.it>
Date: Sun, 09 Sep 2018 17:08:52 +0200
Reply-To: info_dros...@aim.com
X-Antivirus: Avast (VPS 180909-2, 09/09/2018), Outbound message
X-Antivirus-Status: Clean

Dear Sir/Madam,

This is a reminder that Your packet is already on the transit point
(Italy) It has been onhold awaiting pickup since SEPT. 3th,2018. You are
expected to call or email us with a confirmation of the exact recipient
address.

Recipient Postal Details required are stated below;

FULL NAME:
ADDRESS:
TELEPHONE NUMBER:

From our database,it shows your package is coming in with a high priority
delivery (highly classified package),so you should attend to this case
promptly.You have to Confirm if you wish to come to Italy for pickup of
your package or if you want us to deliver to you in your location.

For more info,call us on: +39 3510402196, Note this is a highly valuable
delivery and so,you must attend to all messages promptly.

Looking forward to a prompt response from you.

Helen Jenkins
For: Roberto Perez
(Delivery Agent)
Tel: +39 3510402196
Sig. Adolf Martin
Package Recovery Unit
Admin section 1
Phone: +39 3510402196
Email: info_dros...@aim.com

---
This email has been checked for viruses by Avast antivirus software.
https://www.avast.com/antivirus

.
QUIT

[Richard Lechner]

Am Mon, 10 Sep 2018 16:25:43 -0400 schrieb Andreas Kohlbach:

> Was war das für ein Spam? Hast Du einen kurzen Auszug aus Header und
> Body?

Weil ich heute meinen guten Tag habe und es noch ruhig ist kriegst du zur
Bespaßung:

Received: with Microsoft SMTP Server
(version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256) id
1113.11113.11113; Fri, 14 Sep 2018 01:47:07 +0200
Received: from mail.rentautos.eu (85.14.240.55) by xxxxxx.xxxx.xxxx
(xxxxxx.xxxx.xxxx) with Microsoft SMTP Server id 11113.11113.11113 via
Frontend Transport; Fri, 14 Sep 2018 01:47:07 +0200
Received: from rentautos.eu (unknown [188.127.251.138])
by mail.rentautos.eu (Postfix) with ESMTPA id xxxxxx;
Fri, 14 Sep 2018 01:24:15 +0300 (EEST)
Message-ID: <xxxxxx...@mail.rentautos.eu>
From: BTC Investor <yby...@rentautos.eu>
To: <xxx...@xxxxxx.xxxx.xxxx>
Subject:[SPAM] Bitcoin ist unterwegs!
Date: Fri, 14 Sep 2018 01:24:29 +0300
MIME-Version: 1.0
Content-Type: multipart/related; type="multipart/alternative";
boundary="----=_NextPart_000_0018_01D44BC9.5996C5F0"
Precedence: bulk
List-Id: xxxxxx.xxxx.xxxx
X-Complaints-To: ab...@rentautos.eu
List-Unsubscribe: <http://rentautos.eu/ru/unsubscribe/do?
hash=xxxxxx.xxxx.xxxx>
Return-Path: yby...@rentautos.eu
X-MS-Exchange-Organization-OriginalArrivalTime: 13 Sep 2018 23:47:07.1334
(UTC)
X-MS-Exchange-Organization-Network-Message-Id: xxxxxx
X-MS-Exchange-Organization-OriginalClientIPAddress: 85.14.240.55
X-MS-Exchange-Organization-OriginalServerIPAddress: xxxxxx.xxxx.xxxx
X-MS-Exchange-Organization-Cross-Premises-Headers-Processed:
xxxxxx.xxxx.xxxx
X-MS-Exchange-Organization-OrderedPrecisionLatencyInProgress:
LSRV=xxxxxx.xxxx.xxxx:TOTAL-FE=0.045|SMR=0.045(SMRPI=0.004(SMRPI-
FrontendProxyAgent=0.004));2018-09-13T23:47:07.179Z
X-MS-Exchange-Forest-ArrivalHubServer: xxxxxx.xxxx.xxxx
X-MS-Exchange-Organization-AuthSource: xxxxxx.xxxx.xxxx
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-FromEntityHeader: Internet
X-ESET-AS: R=SPAM;S=100;OP=CALC;TIME=1536882427;VERSION=11113;MFE-
VER=56;MC=1111110366;TRN=14;CRV=0;IPC=85.14.240.55
X-ESET-Antispam: SPAM
X-EsetResult: clean, is OK

ESET hat es aussortiert:

URL (bizmarkets.biz.ua) wurde in Cloud-Negativliste gefunden, IP
(85.14.240.55) in Cloud-Negativliste gefunden, IP (85.14.240.55) in Cloud-
Negativliste gefunden, Advanced Heuristik hat E-Mail als SPAM
klassifiziert

Also eingetütet aus Russland, versendet via myLoc, Domain EU und Link
nach UA.

[Chr. Maercker]

Karl-Josef Ziegler wrote:
> Das würde ich auch vermuten. Ich kenne noch so einen deutschen
> Großspammer, der bei den internationalen Blacklists 'unter dem Radar
> segelt', weil er halt nur deutsche Opfer nervt.

Wenn er seinen Mist via IP-Adressen aus ar, br, cn, ... ru oder ua
einkippt, rauscht er trotzdem durch meinen Filter. Falls deutsche IPs,
lohnt sich bei etlichen Providern Beschwerde.

[NiX Spam von heise]

Wie filtert das?


--


CU Chr. Maercker.

[Karl-Josef Ziegler]

Am 14.9.2018 um 07:21 schrieb Chr. Maercker:

> Wie filtert das?

Eine DNSBL, siehe:

http://www.heise.de/ix/NiX-Spam-DNSBL-und-Blacklist-zum-Download-499634.html

[Andreas M. Kirchwitz]

Richard Lechner <r.le...@gmx.net> wrote:

> Das nächste Netz. Start @ 21:20 bis heute morgen.
>
> % Abuse contact for '85.14.240.0 - 85.14.240.255' is 'ab...@myloc.de'
>
> inetnum: 85.14.240.0 - 85.14.240.255
> netname: MYLOC-WEBTROPIA-ADD-01

Das liegt in einem größeren Bereich von myLoc, der mir bisher
unbekannt gewesen ist:

85.14.192.0/18

Alles Futter für die Blacklist ... Andreas

[Andreas Kohlbach]

On Fri, 14 Sep 2018 05:08:30 +0000 (UTC), Richard Lechner wrote:
>
> Am Mon, 10 Sep 2018 16:25:43 -0400 schrieb Andreas Kohlbach:
>
>> Was war das für ein Spam? Hast Du einen kurzen Auszug aus Header und
>> Body?
>
> Weil ich heute meinen guten Tag habe und es noch ruhig ist kriegst du zur
> Bespaßung:

Danke.

> List-Unsubscribe: <http://rentautos.eu/ru/unsubscribe/do?

Der ist tot. Auch wenn rentautos.eu noch auflöst. Google findet einige
Treffer, die "Pills for Potency" bewerben. Also ein normaler "Canadian
Pharmacy" Spammer beziehungsweise ein Affiliate.

> ESET hat es aussortiert:
>
> URL (bizmarkets.biz.ua) wurde in Cloud-Negativliste gefunden, IP
> (85.14.240.55) in Cloud-Negativliste gefunden, IP (85.14.240.55) in Cloud-
> Negativliste gefunden, Advanced Heuristik hat E-Mail als SPAM
> klassifiziert

Der führt nach http://wintebood.co.ua/ , wo man (beliebige) Email
Adressen aus^H^H^Heintragen kann.

> Also eingetütet aus Russland, versendet via myLoc, Domain EU und Link
> nach UA.

Aye.

[Martin Neitzel]

> Das liegt in einem groessren Bereich von myLoc, der mir bisher
> unbekannt gewesen ist:
> 85.14.192.0/18

Das untige rennt hier jetzt seit Mitte der Woche taeglich bei $verein.
Die Mailman-Moderatoren atmen auf.

Martin Neitzel


whois -h whois.ripe.net -- -i mnt-by MYLOC-MNT -T route |
awk '/^route:/ {print $2}' > /tmp/myloc-nets

# try to flush an existing "myloc" chain, otherwise create it:
iptables -F myloc || iptables -N myloc

while read net ; do
iptables -A myloc -s $net -j DROP
done < /tmp/myloc-nets

# make sure we use the myloc chain:
if ! iptables -nL INPUT | grep -q myloc ; then
iptables -I INPUT -i eth0 -p tcp --dport 25 -j myloc
fi

(Das liefert ca. 53 Routen, von denen ca. 10 als "more-specific"
redundant waeren, but so what...)

[Andreas M. Kirchwitz]

Martin Neitzel <nei...@gaertner.de> wrote:

> whois -h whois.ripe.net -- -i mnt-by MYLOC-MNT -T route |
> awk '/^route:/ {print $2}' > /tmp/myloc-nets

Ein Whois-Kenner, das ist großartig! Genau das habe ich schon länger
gesucht, vermutlich andere hier auch. Endlich alle Netze im Topf, und
leicht aktualisierbar.

Allerbesten Dank ... Andreas

[Richard Lechner]

Am Fri, 14 Sep 2018 09:45:39 +0000 schrieb Andreas M. Kirchwitz:

>> % Abuse contact for '85.14.240.0 - 85.14.240.255' is 'ab...@myloc.de'
>>
>> inetnum: 85.14.240.0 - 85.14.240.255 netname:
>> MYLOC-WEBTROPIA-ADD-01
>
> Das liegt in einem größeren Bereich von myLoc, der mir bisher unbekannt
> gewesen ist:
>
> 85.14.192.0/18
>
> Alles Futter für die Blacklist ... Andreas

Enthält aber auch:

United Gameserver GmbH

Die wollte ich nicht einfach so erden, vielleicht nutzen die Angestellten
das ja während der Mittagspause! :-)
Darum nur das C netz, fällt mir das ganze Netz nochmal ungut auf dann
erde ich /18.

[Richard Lechner]

Am Sat, 15 Sep 2018 12:08:33 +0000 schrieb Martin Neitzel:

> (Das liefert ca. 53 Routen, von denen ca. 10 als "more-specific"
> redundant waeren, but so what...)

Mit Abstand der beste Beitrag im mir bekannten Newssystem seit Jahren!

Danke dafür!

[Martin Neitzel]

Danke fuer die Blumen. Allerdings:

> Endlich alle Netze im Topf,

"ALLE Netze?!" Nein, ein kleines unbeugsames Protokoll war mir noch
durch die Lappen gegangen:

whois -h whois.ripe.net ' -i origin AS24961 -T route6'

Die beiden anderen Varationen neben dem "route6":

1. das testweise "-i origin AS24961"; das liefert so ziemlich
dasselbe wie das "-i mnt-by MYLOC-MNT" als Key.

2. das "Quoting mit fuehrendem Blank", um die Optionen dem RIPE-
whois-Sever zuzuschieben. Nicht alle whois(1)-cients kennen
das "--" aus dem ersten Artikel. (Es gibt zuviele whois-client-
Varianten auf dieser Welt. Muesst Ihr probieren, was bei Euch passt.)

Ansonsten rinse/repeat eben mit ip6tables(8) statt iptables(8).

Von wegen "leicht automatisieren": einfach die Befehlsfolge
mit einem #!/bin/sh davor als cronjob eintueten. Die ist schon so
geschrieben, dass sie sowohl "Ersteinsatz" als auch "Update"
bewaeltigt.

Zu guter letzt:
ob das Ding ueberhaupt tut oder relevant ist, checke ich mit einem

# iptables -vnL myloc | awk '$1 {sub(/ *$/, ""); print}'
Chain myloc (1 references)
pkts bytes target prot opt in out source destination
96 14176 DROP all -- * * 185.15.244.0/22 0.0.0.0/0
52 13354 DROP all -- * * 193.47.99.0/24 0.0.0.0/0
947 57538 DROP all -- * * 213.202.192.0/18 0.0.0.0/0
136 8160 DROP all -- * * 217.79.176.0/20 0.0.0.0/0
111 8758 DROP all -- * * 5.104.104.0/21 0.0.0.0/0
52 3120 DROP all -- * * 62.141.32.0/20 0.0.0.0/0
104 15475 DROP all -- * * 81.30.144.0/20 0.0.0.0/0
1065 63900 DROP all -- * * 89.163.128.0/17 0.0.0.0/0

[Wenn ich einmal reich genug bin, mir breite Fenster leisten zu koennen,
dann tut's auch ein schlichtes iptables -vnL myloc | awk \$1 .]

Martin Neitzel

[Marc Haber]

Richard Lechner <r.le...@gmx.net> wrote:
>Am Fri, 14 Sep 2018 09:45:39 +0000 schrieb Andreas M. Kirchwitz:
>
>>> % Abuse contact for '85.14.240.0 - 85.14.240.255' is 'ab...@myloc.de'
>>>
>>> inetnum: 85.14.240.0 - 85.14.240.255 netname:
>>> MYLOC-WEBTROPIA-ADD-01
>>
>> Das liegt in einem größeren Bereich von myLoc, der mir bisher unbekannt
>> gewesen ist:
>>
>> 85.14.192.0/18
>>
>> Alles Futter für die Blacklist ... Andreas
>
>Enthält aber auch:
>
>United Gameserver GmbH
>
>Die wollte ich nicht einfach so erden, vielleicht nutzen die Angestellten
>das ja während der Mittagspause! :-)

Auch von einem Gameserver muss man keine Mail erhalten, oder?

[Richard Lechner]

Am Sun, 16 Sep 2018 16:48:24 +0200 schrieb Marc Haber:

>>Enthält aber auch:
>>
>>United Gameserver GmbH
>>
>>Die wollte ich nicht einfach so erden, vielleicht nutzen die
>>Angestellten das ja während der Mittagspause! :-)
>
> Auch von einem Gameserver muss man keine Mail erhalten, oder?

Was weiß den ich! Vielleicht bekommt man da Zugangsdaten oder sonstwas
per Mail. Das Netz erde ich erst wenn daraus Spam kommt.

[Marc Haber]

Selbst dann kannst Du für das Gameserverzeug ja eine Ausnahme
einlegen.

[Charlie]

Auch wenn's inzwischen bereits über ein Jahr her ist...

am 15.09.18 um 14:08 Uhr schrieb Martin Neitzel <nei...@gaertner.de>:

> whois -h whois.ripe.net -- -i mnt-by MYLOC-MNT -T route |
> awk '/^route:/ {print $2}' > /tmp/myloc-nets

... und am selben Tag um 22:49 Uhr:

> whois -h whois.ripe.net ' -i origin AS24961 -T route6'

Bei mir liefert...

whois -h whois.ripe.net ' -i origin AS24961 -T route' |

awk '/^route:/ {print $2}' > /tmp/myloc-nets

... tatsächlich die Netzblöcke von MYLOC, super, danke!
Nun ging ich davon aus, daß...

whois -h whois.ripe.net ' -i origin AS14061 -T route' |
awk '/^route:/ {print $2}' > /tmp/digitalocean-nets

... entsprechend auch die Netzblöcke des miesen Spamhosters digitalocean
liefert... aber leider Fehlanzeige, die entsprechende Datei bleibt lehr.
Was mach ich faslch?

'ne Liste aller Netzblöcke von colocrossing wäre ebenfalls durchaus
hilfreich...

[Marc Haber]

Charlie <spam+...@usenet.is.geil.org> wrote:
>Nun ging ich davon aus, daß...
>
>whois -h whois.ripe.net ' -i origin AS14061 -T route' |
> awk '/^route:/ {print $2}' > /tmp/digitalocean-nets
>
>... entsprechend auch die Netzblöcke des miesen Spamhosters digitalocean
>liefert... aber leider Fehlanzeige, die entsprechende Datei bleibt lehr.
>Was mach ich faslch?

Das E in RIPE steht für Europenne. Digital Ocean ist ein
amerikanisches Unternehmen.

[Charlie]

gestern um 09:17 Uhr schrieb Marc Haber <mh+usene...@zugschl.us>:

> Charlie <spam+...@usenet.is.geil.org> wrote:

>> Nun ging ich davon aus, daß...
>>
>> whois -h whois.ripe.net ' -i origin AS14061 -T route' |
>> awk '/^route:/ {print $2}' > /tmp/digitalocean-nets
>>
>> ... entsprechend auch die Netzblöcke des miesen Spamhosters digitalocean
>> liefert... aber leider Fehlanzeige, die entsprechende Datei bleibt lehr.
>> Was mach ich faslch?

> Das E in RIPE steht für Europenne. Digital Ocean ist ein
> amerikanisches Unternehmen.

OK, danke. Welchen Whois-Server neme ich dann sinnvollerweise bzw. wie
finde ich jeweils den richtigen whois-Server für einen Spamhoster heraus?
whois.networksolutions.com oder whois.arin.net jedenfalls liefern die
Netzblöcke von Digitalocean auch nicht. Chinanet und Colocrossing wären
auch noch so Kandidaten...

--
Jedes fertige Computerprogramm, das läuft, ist veraltet.