[Postfixbuch-users] postfix und image spam

Peer Heinlein p.heinlein at heinlein-support.de
Fr Sep 8 13:18:37 CEST 2006 

Am Freitag, 8. September 2006 11:54 schrieb Matthias Haegele:

> > Sie fangen bereits damit an. Greylisting wird nicht mehr lange so
> > effektiv sein.

"so" effektiv sicher nicht.

"sehr effektiv" wird es weiterhin sein.

*) Auch SpamAssassin existiert seit Jahren. Es ist weiterhin effektiv. 
Manche optimieren vielleicht dadrauf, viele nicht. Die, die darauf 
optimieren, erschlagen wir eben durch andere Mechanismen. Das durch 
Greylisting immens eingesparte Grundrauschen, ermöglicht uns 
aufwändigere Checks für den Rest.

*) Ich klaue dem Spammer weiterhin Resourcen. Geil.

*) Wir gewinnen Zeit für Viren-Updates, die die infizierten PCs finden. 
Ein paar Stunden sind hier schon eine Menge. Ein aus allen Rohren 
feuernder Spammer wird nicht nach wenigen Minuten, sondern ggf. erst 
nach geraumer Zeit die Möglichkeit haben, erneute Zustellversuche zu 
unternehmen.

*) Wir gewinnen Zeit, bis der PC-Besitzer den Befall bemerkt und behebt.

*) Wir gewinnen Zeit, so daß IP-Änderungen bei Dialup-PCs das 
Greylisting erneut anstoßen

*) Wir gewinnen Zeit, bis die infizierten PCs nach wenigen Stunden in 
den RBLs stehen.

*) Viele, viele, SEHR viele werden weiterhin nicht gegen Greylisting 
ankommen, weil sie nicht ankommen WOLLEN. Es ist für Spammer nicht 
effektiv Greylisting durch Queuing überleben zu können, wenn Sie 
parallel keine Resourcen mehr haben um andere Adressen zu beschicken. 
Jeder erneute Zustellversuch (mit hoher Fehlerwahrscheinlichkeit) sorgt 
nur dafür, daß der Spammer an eine andere Adresse keine Mail schicken 
kann. Spammer geht es aber nicht darum EINE Adresse gezielt zu 
beschicken, sondern es interessiert alleine der Schnitt "Durchsatz pro 
Stunde". Jeder Wiederholungsversuch senkt diesen Schnitt. Das ist reine 
Evolutionsbiologie: Wie verbreitet sich eine Art. Durch Brutpflege 
(wenige Nachkommen, die mühsam gepflegt und geschützt werden), oder 
durch Masse (wie Fische: Tausende von ungeschützten Eiern und es ist 
egal, ob 99% gefressen werden). Spammer fahren durch die Masse, also  
Fire-and-Forget-Taktik, den besseren Einsatz, während wir Mailserver 
echte Brutpflege machen müssen, weil die einzelne Mail ja nicht 
verloren gehen kann.


Mit freundlichen Grüßen

Peer Heinlein

-- 
Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de

*** Secure Linux Administration Conference
*** 7. + 8.12.2006 http://www.heinlein-support.de/slac

Mehr Informationen über die Mailingliste Postfixbuch-users