---

Kl 19.36 skrev jeg et andet indlæg i denne gruppe, hvor jeg brugte en
helt ny e-mail adresse som afsender adresse. Nu (kl. 21:38) har jeg
allerede modtaget 9 "Microsoft patche", og har derfor allerede nedlagt
denne konto igen. Næste konto news4 er derfor blevet oprettet. Da
kontoen news1 og news2 har været nedlagt nogen tid, bouncer postfix
selvfølgelig mail til disse konti, og siden starten på problemet 19.
september har den afvist omkring 3700 mails.

Mit spørgsmål går til I andre. Modtager I samme ekstreme mængde l*rt på
jeres usenet konto, og hvordan håndtere I det ? Som samt har jeg været
heldig at jeg "kun" har modtaget det på konti som kan nedlægges efter
ønske, og at mails derfor afvises inden der spildes båndbredde på at
hente selve mailen.

Mailsvar skal altså sendes til news4 fremover.

Jørn

---

Jørn Hundebøll wrote:
> Mit spørgsmål går til I andre. Modtager I samme ekstreme mængde l*rt på
> jeres usenet konto

Nej

> og hvordan håndtere I det ?

Jeg bruger http://a-s-k.sf.net/

Lars.

--
Freelance programmør

---

On 2003-10-03,
Jørn Hundebøll <news3@dblue.dk> wrote:
> Kl 19.36 skrev jeg et andet indlæg i denne gruppe, hvor jeg brugte en
> helt ny e-mail adresse som afsender adresse. Nu (kl. 21:38) har jeg
> allerede modtaget 9 "Microsoft patche", og har derfor allerede nedlagt
> denne konto igen. Næste konto news4 er derfor blevet oprettet. Da
> kontoen news1 og news2 har været nedlagt nogen tid, bouncer postfix
> selvfølgelig mail til disse konti, og siden starten på problemet 19.
> september har den afvist omkring 3700 mails.

Min postkasse har i samme periode modtaget ca. 8700 mails som er
karakteriseret som spam. Hovedparten af disse er denne nye Microsoft
virus, altså nok ca. 8000 stk.

> Mit spørgsmål går til I andre. Modtager I samme ekstreme mængde l*rt på
> jeres usenet konto, og hvordan håndtere I det ? Som samt har jeg været
> heldig at jeg "kun" har modtaget det på konti som kan nedlægges efter
> ønske, og at mails derfor afvises inden der spildes båndbredde på at
> hente selve mailen.

Jeg bruger relays.ordb.org, list.dsbl.org samt multihop.dsbl.org

Derudover korer jeg SpamAssassin (spamd). Ind imellem kommer der
nogle få igennem, men det er under 10 på en slem dag.

Her er en typisk spamassassin markup af en Swen/A virus:

Content analysis details: (12.00 points, 5 required)
DATE_MISSING (1.1 points) Missing Date: header
MIME_HTML_NO_CHARSET (0.8 points) RAW: Message text in HTML without specified charset
MICROSOFT_EXECUTABLE (0.1 points) RAW: Message includes Microsoft executable program
RAZOR2_CHECK (2.1 points) Listed in Razor2, see http://razor.sf.net/
PYZOR_CHECK (4.4 points) Listed in Pyzor, see http://pyzor.sf.net/
RCVD_IN_OSIRUSOFT_COM (0.6 points) RBL: Received via a relay in relays.osirusoft.com
[RBL check: found 91.128.228.213.relays.osirusoft.com.]
X_OSIRU_OPEN_RELAY (2.9 points) RBL: DNSBL: sender is Confirmed Open Relay
      
Eller her fra en anden:

Content analysis details: (11.60 points, 5 required)
DATE_MISSING (1.1 points) Missing Date: header
HTML_40_50 (1.1 points) BODY: Message is 40% to 50% HTML
HTML_MESSAGE (0.1 points) BODY: HTML included in message
HTML_RELAYING_FRAME (0.3 points) BODY: Frame wanted to load outside URL
MIME_SUSPECT_NAME (0.1 points) RAW: MIME filename does not match content
MIME_HTML_NO_CHARSET (0.8 points) RAW: Message text in HTML without specified charset
MICROSOFT_EXECUTABLE (0.1 points) RAW: Message includes Microsoft executable program
PYZOR_CHECK (4.4 points) Listed in Pyzor, see http://pyzor.sf.net/
RCVD_IN_OSIRUSOFT_COM (0.6 points) RBL: Received via a relay in relays.osirusoft.com
[RBL check: found 22.118.134.159.relays.osirusoft.com.]
X_OSIRU_OPEN_RELAY (2.9 points) RBL: DNSBL: sender is Confirmed Open Relay
MIME_HTML_ONLY (0.1 points) Message only has text/html MIME parts
      

---

On 03 okt 2003 Povl H. Pedersen was heard to say:

> http://pyzor.sf.net/ RCVD_IN_OSIRUSOFT_COM (0.6 points) RBL:
> Received via a relay in relays.osirusoft.com
> [RBL check: found
> 91.128.228.213.relays.osirusoft.com.]
> X_OSIRU_OPEN_RELAY (2.9 points) RBL: DNSBL: sender is Confirmed

Øhm.. hvorfor ovenstående ?
Du er vel klar over at Osirusoft, desværre, kastede håndklædet i ringen
og smækkede *meget* hårdt med døren på vej ud ?

Se f.eks : http://www.e2ksecurity.com/archives/000450.html


--
John Hinge - shayera / .sPOOn. http://www.spoon.dvd-klub.dk
On usenet I represent no one but myself.
"You're basing your Pixie Farie on Vin Diesel ? I'll say it again..
Are you on Drugs ?" Gordo - The Black Hand - KotDT #79

---

On Fri, 03 Oct 2003 21:44:17 +0200, Jørn wrote:

> Mit spørgsmål går til I andre. Modtager I samme ekstreme mængde l*rt
> på jeres usenet konto, og hvordan håndtere I det ?

Jeg får så godt som ingenting på den jeg bruger i news. Du hedder
"spamtrap@..." (se From: og virker hvis man sender til den.

En teori kunne være at spammerne ikke høster email-adresser hvori
ordet spam indgår (jeg tror der var nogen der snakkede om det engang,
og derfor skiftede jeg til at bruge spamtrap@ på usenet, men jeg kan
ikke rigtigt huske det), men om det er det, eller jeg bare er heldig
ved jeg ikke.


Mvh.

--
"Vi är små citroner" Adam Sjøgren
asjo@koldfront.dk

---

Adam Sjøgren wrote:
> On Fri, 03 Oct 2003 21:44:17 +0200, Jørn wrote:
>
>
>>Mit spørgsmål går til I andre. Modtager I samme ekstreme mængde l*rt
>>på jeres usenet konto, og hvordan håndtere I det ?
>
>
> Jeg får så godt som ingenting på den jeg bruger i news. Du hedder
> "spamtrap@..." (se From: og virker hvis man sender til den.
>
> En teori kunne være at spammerne ikke høster email-adresser hvori
> ordet spam indgår (jeg tror der var nogen der snakkede om det engang,
> og derfor skiftede jeg til at bruge spamtrap@ på usenet, men jeg kan
> ikke rigtigt huske det), men om det er det, eller jeg bare er heldig
> ved jeg ikke.

Det lyder som en ide. Jeg har straks indført en ny konto spamnews1, også
må vi se om terioen holder stik. Måske bør man have en claimer i bunden
som bekræfter at adressen er valid. Pricipielt mener jeg at man bør have
en valid adresse, men spam har bestemt "blødgjordt" dette princip.

Jørn (spamnews1)

---

On Sun, 05 Oct 2003 12:14:55 +0200, Jørn wrote:

> Måske bør man have en claimer i bunden som bekræfter at adressen er
> valid.

Jeg synes man bør have en adresse der virker. Hvis man ikke har kunne
man i skrive det, i stedet for omvendt.

Men jeg er også gammeldags.


Mvh.

--
"This is either madness... or brilliance." Adam Sjøgren
"It's remarkable how often those two traits coincide." asjo@koldfront.dk

---

Adam Sjøgren wrote:
> On Sun, 05 Oct 2003 12:14:55 +0200, Jørn wrote:
>
>
>>Måske bør man have en claimer i bunden som bekræfter at adressen er
>>valid.
>
>
> Jeg synes man bør have en adresse der virker. Hvis man ikke har kunne
> man i skrive det, i stedet for omvendt.
>

Det ser ud til at spam i navet virker. Her over 5 timer efter min første
post med det nye navn har jeg ikke modtaget en eneste spam mail. Ideen
er hermed givet videre.



> Men jeg er også gammeldags.
>

Ja, og du bruger også unix - ikk ?

Jørn

---

On Sun, 05 Oct 2003 17:31:08 +0200, Jørn wrote:

>> Men jeg er også gammeldags.

> Ja, og du bruger også unix - ikk ?

Nej, GNU/Linux.


Mvh.

--
"This is either madness... or brilliance." Adam Sjøgren
"It's remarkable how often those two traits coincide." asjo@koldfront.dk

---

spamtrap@koldfront.dk (Adam Sjøgren) writes:

> En teori kunne være at spammerne ikke høster email-adresser hvori
> ordet spam indgår (jeg tror der var nogen der snakkede om det engang,
> og derfor skiftede jeg til at bruge spamtrap@ på usenet, men jeg kan
> ikke rigtigt huske det), men om det er det, eller jeg bare er heldig
> ved jeg ikke.

Det er muligt at de rammes mindre, men det holder ikke ubetinget
stik. Jeg modtager en hel del spam på min moffespam@...

Jeg er dog overmåde glad for spamassassin

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
A wizard is never late, nor is he too early.
He arrives precisely when he wants to
-- Gandalf
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

moffespam@amagerkollegiet.dk (Rasmus Bøg Hansen) writes:

> Det er muligt at de rammes mindre, men det holder ikke ubetinget
> stik. Jeg modtager en hel del spam på min moffespam@...

Det må være fordi den indeholder mere end bare 'spam'. Jeg har ikke
modtaget en eneste på min spam@.

> Jeg er dog overmåde glad for spamassassin

Det er vi så til gengæld flere om at være

--
Jacob - www.bunk.cc
Are you having fun yet?

---

Jacob Bunk Nielsen <spam@bunk.cc> writes:

> Det må være fordi den indeholder mere end bare 'spam'. Jeg har ikke
> modtaget en eneste på min spam@.

Det har jeg så nu - men kun en. Jeg håber ikke det er en starten på en
bølge af Microsoft-slam :-\

--
Jacob - www.bunk.cc
I'm not prejudiced, I hate everyone equally.

---

Den Mon, 06 Oct 2003 18:44:38 +0200, skrev Jacob Bunk Nielsen:

> Jacob Bunk Nielsen <spam@bunk.cc> writes:
>
>> Det må være fordi den indeholder mere end bare 'spam'. Jeg har ikke
>> modtaget en eneste på min spam@.
>
> Det har jeg så nu - men kun en. Jeg håber ikke det er en starten på en
> bølge af Microsoft-slam :-\

Hm! Jeg har ladet mig fortælle, at en antispam streng i ens mailadresse,
bør være foran domænenavnet, da det også bremser spam til domæne serveren:

altså er bitten@spammail.dk bedre end spam@mail.dk

mvh. Keld

---

"Keld Thomassen" <mouseman@uselessmailme.dk> writes:

> Hm! Jeg har ladet mig fortælle, at en antispam streng i ens mailadresse,
> bør være foran domænenavnet, da det også bremser spam til domæne serveren:

Hvis man tager en adresse og tilføjer noget spamprotection bør det
altid være i domænedelen. Ellers spilder man krafter for ens egen
mailserver.

Desuden skal man være absolut sikker på at man ikke kommer til at
bruge en andens domæne. somebody @ nowhere . com er en dårlig ide,
ejerne af nowhere.com bliver kede af det.

Desuden foreskriver Best Practise at fakede adresser skal ende på
..invalid så det er maskinobserverbart at adressen er forkert.

Altså: somebody@nospam.hacking.dk.invalid (fjern nospam og invalid)

> altså er bitten@spammail.dk bedre end spam@mail.dk

Medmindre ens rigtige emailadresse altså lige præcis *er*
spam@mail.dk.

--
Peter Makholm | First you fall in love with Antarctica, and then it
peter@makholm.net | breaks your heart
http://hacking.dk | -- Antarctica

---

Jørn Hundebøll wrote:

> Kl 19.36 skrev jeg et andet indlæg i denne gruppe, hvor jeg brugte en
> helt ny e-mail adresse som afsender adresse. Nu (kl. 21:38) har jeg
> allerede modtaget 9 "Microsoft patche", og har derfor allerede nedlagt
> denne konto igen. Næste konto news4 er derfor blevet oprettet. Da
> kontoen news1 og news2 har været nedlagt nogen tid, bouncer postfix
> selvfølgelig mail til disse konti, og siden starten på problemet 19.
> september har den afvist omkring 3700 mails.
>
> Mit spørgsmål går til I andre. Modtager I samme ekstreme mængde l*rt på
> jeres usenet konto, og hvordan håndtere I det ? Som samt har jeg været
> heldig at jeg "kun" har modtaget det på konti som kan nedlægges efter
> ønske, og at mails derfor afvises inden der spildes båndbredde på at
> hente selve mailen.
>
> Mailsvar skal altså sendes til news4 fremover.
>
> Jørn

Jeg bruger min rigtige e-mail adresse i nyhedsgrupper, og modtager
endel spam og Microsoft vira, men her for ca 1 uge siden faldt
antallet af vira dramatisk, jeg ved ikke hvorfor.
Jeg har kun fået 130 spam + vira på 2 dage.

Martin.

---

Jørn Hundebøll <news3@dblue.dk> writes:

> Mit spørgsmål går til I andre. Modtager I samme ekstreme mængde l*rt
> på jeres usenet konto, og hvordan håndtere I det ?

Nej - jeg har fået under 10 swen-mails. Det skyldes ganske helt
sikkert den mailadresse jeg poster med her på usenet. Den er fuldt
gyldig, men indeholder ordet 'spam', som swen går udenom. Man har lov
at være heldig

Se evt. <http://www.f-secure.com/v-descs/swen.shtml>, hvor der står
"The worm does not fetch addresses containing 'delete' and 'spam'
strings."

--
Jacob - www.bunk.cc
Talk is cheap because supply always exceeds demand.

---

Jørn Hundebøll <news3@dblue.dk> wrote:
> Mit spørgsmål går til I andre. Modtager I samme ekstreme mængde l*rt på
> jeres usenet konto, og hvordan håndtere I det ?

Jep. En periode modtog jeg over 1000 kopier af Swen om dagen, men det er
nu faldet til mellem 150 og 400 om dagen.

Forklaringen skal findes i den tekniske beskrivelse af Swen; den mailer
nemlig ikke sig selv til alle i adressebogen, men (med forfalsket from:)
til alle email og usenet indlaeg der bliver modtaget paa en inficeret
maskine. Jo mindre jeg skriver paa usenet, jo faerre modtager jeg, og
efterhaanden folk fatter noget og fjerner Swen bliver der faerre
inficerede maskiner til at sende mail ud.

Som foelge af Swens (og SoBigs) udbredelse har en masser fjolser sat
antivirus software op paa deres mailserver, som enten bouncer inficeret
mail tilbage til den forfalskede afsender, eller som sender mail til 400
mennesker og goer dem opmaerksom paa, at den netop har stoppet en email
med virus paa vej til dem.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org