Follow

Seit einigen Wochen steht darmstadt.social unter einem Angriff, bei dem Spam-Accounts erstellt werden unter nicht-existenten Email-Adressen. Das führt zu einer Menge an unzustellbarem Mail-Traffic was meinem wiederum der Reputation meines Mail-Servers schadet. Die IPs unter denen die Accounts erstellt werden kommen aus aller Welt, daher kann ich keine regionalen IP-Blocks verwenden. Hat jemand eine Idee, was ich außer Register-by-Invite noch als Gegenmaßnahme unternehmen kann?

@w4tsn I'm sorry, but I think that is your only solution beyond turning off new members entirely.

@w4tsn Schau mal in deine access.log files, ob die Spammer da nen bestimmten User Agent haben (z.B. Python Kram oder so) - wenn ja, kannst du auf der Ebene blocken. Für das "wie" kannst du mir mal ne DM schreiben - ich nutze das überall in meinen nginx Installationen. Sollte mit Mastodon auch gehen, solange es nginx nutzt.

@purelinux @w4tsn

Bastellösung :

Schreib ein Script, dass die verwendete E - Mail gegen den MX der Domain prüft - bekommst Du keinen forward confirm, weg mit dem ...

Ruhig schlafen Lösung :

#OpenBSD ’s spamd im greylisting mode - sofern Mastodings einen Bestätigungslink per E - Mail unterstützt.

@w4tsn nutzt du #fail2ban? Dies könnte die Schlagzahl ein wenig runter drücken.

@w4tsn
Ohä.
Useragent checken, wenn's was anderes ist als n Browser oder die Äpp, ab mit dem Profil gen Tonne
MX checken, wenn schräg -->Tonne
Bei nem Greylister im Maileingang seh ich grad weniger Sinn. Bei Fakeadressen kommt da höchstens was vom Mailerdemon.

@w4tsn

kann ein recaptcha nicht helfen? Oder bin ich da auf dem falschen Weg?

@olaf ich nutze keine re-captcha da ich keine sinnigen, self-hosted Lösungen dafür kenne die Mastodon und meine anderen Dienste unterstützen. Aus Privatsphäregründen. Bei meinen Diensten darauf zu achten und da dann eine Ausnahme zu machen fühlt sich einfach nicht gut an, auch wenn es in solchen Momenten ein bitterer trade-off ist

@w4tsn wir haben das gleiche Problem. Vor ein paar Wochen haben wir ein paar der häufigsten Maildomains per Admin-UI geblockt.

Jetzt mit Mastodon 3.3 gibt es bessere Möglichkeiten, u.A. eine Registrieranfrage als Pflichtfeld.

Bislang (seit heute Mittag läuft 3.3) haben wir noch keine Spam-Registrierung wieder bekommen. Daumen gedrückt.

@w4tsn Update 20h später: bisher 0 Spam-Registrierungen :)

@w4tsn
Hab aktuell Mailgun als MTA. gefällt mir auch nicht ganz. Will aber meinen Emailserver nicht versauen. Wenn da jemand Ideen hat, her damit.

Sign in to participate in the conversation
darmstadt.social

Willkommen in der digitalen Darmstädter Nachbarschaft aus dem Rhein-Main-Gebiet - komm doch mal auf einen Kaffee vorbei!