Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 3660 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

One Line URL P0rn Spam

rrosson
Running 9.203-3 with the following RBL's enabled:

  • drone.abuse.ch
  • bl.spamcop.net
  • zen.spamhaus.org
  • b.barracudacentral.org
  • dul.dnsbl.sorbs.net

I recently rescued mail (failed server) services for my parents and their domains and it appears that my step-fathers email address is on some SPAM list that sends one line URL p0rn links. Analysis of over a 100 messages of this type over a couple of days show no common denominator to filter on. (i.e. The reason for the additional RBL's). Sources, ( i.e. Counties. IP's, etc ) are all over the place. the only thing that is common is that the e-mail is one line containing a URI and the subject contains a p0rnographic description.

Any ideas on how to block this at the UTM?

TIA


This thread was automatically locked due to age.
Parents
  • 0
    Below is are the sanitized SMTP logs from the UTM (myuser@mydomain.com used to hide my users email address. My IP's have been replaced with ***.***.XX.XX)

    2014:07:16-14:09:31 myutm exim-in[5682]: 2014-07-16 14:09:31 SMTP connection from [46.238.101.110]:56799 (TCP/IP connection count = 1)
    2014:07:16-14:09:32 myutm exim-in[19469]: 2014-07-16 14:09:32 H=hosting.jaf-rozkroj.pl (talk2me-kursy.pl) [46.238.101.110]:56799 Warning: shootingstarstraining.com profile excludes greylisting: Skipping greylisting for this message
    2014:07:16-14:09:33 myutm exim-in[19469]: 2014-07-16 14:09:33 [46.238.101.110] F= R= Verifying recipient address with callout
    2014:07:16-14:09:34 myutm exim-in[19469]: 2014-07-16 14:09:34 1X7VW9-000541-2w ctasd reports 'Unknown' RefID:str=0001.0A020206.53C6DBFE.004C,ss=1,re=0.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
    2014:07:16-14:09:34 myutm exim-in[19469]: 2014-07-16 14:09:34 1X7VW9-000541-2w carolina_gilbert@talk2me-kursy.pl H=hosting.jaf-rozkroj.pl (talk2me-kursy.pl) [46.238.101.110]:56799 P=esmtp S=807 id=c20e40b-35fbb-42@talk2me-kursy.pl
    2014:07:16-14:09:35 myutm smtpd[5205]: QMGR[5205]: 1X7VW9-000541-2w moved to work queue
    2014:07:16-14:09:36 myutm smtpd[19423]: SCANNER[19423]: 1X7VWC-00053H-C8 carolina_gilbert@talk2me-kursy.pl R=1X7VW9-000541-2w P=INPUT S=116
    2014:07:16-14:09:36 myutm smtpd[19423]: SCANNER[19423]: 1X7VWC-00053H-C8 [DLP] Matching DLP expressions
    2014:07:16-14:09:36 myutm smtpd[19423]: SCANNER[19423]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="46.238.101.110" from="carolina_gilbert@talk2me-kursy.pl" to="myuser@mydomain.com" subject="Wow [[:)]], Big boobs hentai jerked by old man" queueid="1X7VWC-00053H-C8" size="116"
    2014:07:16-14:09:36 myutm smtpd[19423]: SCANNER[19423]: 1X7VW9-000541-2w => work R=SCANNER T=SCANNER
    2014:07:16-14:09:36 myutm smtpd[19423]: SCANNER[19423]: 1X7VW9-000541-2w Completed
    2014:07:16-14:09:36 myutm exim-out[19483]: 2014-07-16 14:09:36 1X7VWC-00053H-C8 => myuser@mydomain.com P= R=static_route_hostlist T=static_smtp H=***.***.XX.XX [***.***.XX.XX]:25 X=TLSv1[:D]HE-RSA-AES256-SHA:256 C="250 2.0.0 Ok: queued as 1BD727CE79B"
    2014:07:16-14:09:36 myutm exim-out[19483]: 2014-07-16 14:09:36 1X7VWC-00053H-C8 Completed


    Below is the raw message from the mail server

    Return-Path: 
    Delivered-To: myuser@mydomain.com
    Received: from mail.mydomain.com (myutm.mydomain.com [***.***.XX.X])
            by mail.mydomain.com (Postfix) with ESMTPS id 1BD727CE79B
            for ; Wed, 16 Jul 2014 14:09:37 -0600 (MDT)
    Received: from hosting.jaf-rozkroj.pl ([46.238.101.110]:56799 helo=talk2me-kursy.pl)
            by mail.mydomain.com with esmtp (Exim 4.76)
            (envelope-from )
            id 1X7VW9-000541-2w
            for myuser@mydomain.com; Wed, 16 Jul 2014 14:09:34 -0600
    Date: Wed, 16 Jul 2014 22:09:29 +0200
    From: "Carolina Gilbert" 
    Reply-To:"Carolina Gilbert" 
    Message-ID: 
    To: myuser@mydomain.com
    Subject:  Wow [[:)]], Big boobs hentai jerked by old man
    X-Priority: 3 (Normal)
    MIME-Version: 1.0
    Content-Type: text/html; charset="iso-8859-1"
    Content-Transfer-Encoding: 8bit





    Please let me know if you need any more information. There is no pattern found with the originating IP or mail server of these type of spams.

    Thanx Again Bob.

    -Ron
Reply
  • 0
    Below is are the sanitized SMTP logs from the UTM (myuser@mydomain.com used to hide my users email address. My IP's have been replaced with ***.***.XX.XX)

    2014:07:16-14:09:31 myutm exim-in[5682]: 2014-07-16 14:09:31 SMTP connection from [46.238.101.110]:56799 (TCP/IP connection count = 1)
    2014:07:16-14:09:32 myutm exim-in[19469]: 2014-07-16 14:09:32 H=hosting.jaf-rozkroj.pl (talk2me-kursy.pl) [46.238.101.110]:56799 Warning: shootingstarstraining.com profile excludes greylisting: Skipping greylisting for this message
    2014:07:16-14:09:33 myutm exim-in[19469]: 2014-07-16 14:09:33 [46.238.101.110] F= R= Verifying recipient address with callout
    2014:07:16-14:09:34 myutm exim-in[19469]: 2014-07-16 14:09:34 1X7VW9-000541-2w ctasd reports 'Unknown' RefID:str=0001.0A020206.53C6DBFE.004C,ss=1,re=0.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
    2014:07:16-14:09:34 myutm exim-in[19469]: 2014-07-16 14:09:34 1X7VW9-000541-2w carolina_gilbert@talk2me-kursy.pl H=hosting.jaf-rozkroj.pl (talk2me-kursy.pl) [46.238.101.110]:56799 P=esmtp S=807 id=c20e40b-35fbb-42@talk2me-kursy.pl
    2014:07:16-14:09:35 myutm smtpd[5205]: QMGR[5205]: 1X7VW9-000541-2w moved to work queue
    2014:07:16-14:09:36 myutm smtpd[19423]: SCANNER[19423]: 1X7VWC-00053H-C8 carolina_gilbert@talk2me-kursy.pl R=1X7VW9-000541-2w P=INPUT S=116
    2014:07:16-14:09:36 myutm smtpd[19423]: SCANNER[19423]: 1X7VWC-00053H-C8 [DLP] Matching DLP expressions
    2014:07:16-14:09:36 myutm smtpd[19423]: SCANNER[19423]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="46.238.101.110" from="carolina_gilbert@talk2me-kursy.pl" to="myuser@mydomain.com" subject="Wow [[:)]], Big boobs hentai jerked by old man" queueid="1X7VWC-00053H-C8" size="116"
    2014:07:16-14:09:36 myutm smtpd[19423]: SCANNER[19423]: 1X7VW9-000541-2w => work R=SCANNER T=SCANNER
    2014:07:16-14:09:36 myutm smtpd[19423]: SCANNER[19423]: 1X7VW9-000541-2w Completed
    2014:07:16-14:09:36 myutm exim-out[19483]: 2014-07-16 14:09:36 1X7VWC-00053H-C8 => myuser@mydomain.com P= R=static_route_hostlist T=static_smtp H=***.***.XX.XX [***.***.XX.XX]:25 X=TLSv1[:D]HE-RSA-AES256-SHA:256 C="250 2.0.0 Ok: queued as 1BD727CE79B"
    2014:07:16-14:09:36 myutm exim-out[19483]: 2014-07-16 14:09:36 1X7VWC-00053H-C8 Completed


    Below is the raw message from the mail server

    Return-Path: 
    Delivered-To: myuser@mydomain.com
    Received: from mail.mydomain.com (myutm.mydomain.com [***.***.XX.X])
            by mail.mydomain.com (Postfix) with ESMTPS id 1BD727CE79B
            for ; Wed, 16 Jul 2014 14:09:37 -0600 (MDT)
    Received: from hosting.jaf-rozkroj.pl ([46.238.101.110]:56799 helo=talk2me-kursy.pl)
            by mail.mydomain.com with esmtp (Exim 4.76)
            (envelope-from )
            id 1X7VW9-000541-2w
            for myuser@mydomain.com; Wed, 16 Jul 2014 14:09:34 -0600
    Date: Wed, 16 Jul 2014 22:09:29 +0200
    From: "Carolina Gilbert" 
    Reply-To:"Carolina Gilbert" 
    Message-ID: 
    To: myuser@mydomain.com
    Subject:  Wow [[:)]], Big boobs hentai jerked by old man
    X-Priority: 3 (Normal)
    MIME-Version: 1.0
    Content-Type: text/html; charset="iso-8859-1"
    Content-Transfer-Encoding: 8bit





    Please let me know if you need any more information. There is no pattern found with the originating IP or mail server of these type of spams.

    Thanx Again Bob.

    -Ron
Children
No Data
Unfiltered HTML