[Postfixbuch-users] UCEPROTECT spinnt / Hallo an Uwe

Uwe Driessen driessen at fblan.de
Mi Mai 2 23:58:39 CEST 2007 

Sandy Drobic schrieb: 
> 
> Der Denkfehler bei dem System ist also, dass die Filterung voraussetzt,
> wenn eine Mail an eine Spamtrap-Adresse von einem Server gekommen ist,
> kommt NUR Spam von dem Server.

So ähnlich meinte ich es ja also Domain mäßige Filterung wenn immer wieder vom gleichen
Server von unterschiedlichen Domain Spam kommt, dann kann/darf evtl. auch der Server
gesperrt werden.

> 
> Das führt dann zu der grotesken Situation, dass ein mißbrauchter
> Freemail-Account von GMX ausreicht, damit dein Server die gesamte Domain
> GMX, die IMHO unter einer IP sendet, sperrt.

Bei GMX usw. müsste man sogar noch eine Stufe drunter anfangen also Mailadressen zuerst
Blacklisten.

Den Vorteil von System wie Uceprotect sehe ich in der Schnelligkeit wie schnell gelistet
wird. Aber es müsste wie gesagt dann auf der kleinsten Stufe anfangen zuerst werden die
Mailadressen gelistet.
Kommen von einer bestimmten Anzahl von Mailadressen mit der gleichen Domain Spam, dann die
Domain.
Kommen von Unterschiedlichen Domain in einer gewissen Anzahl immer vom gleichen Server
dann erst den Server (der Serveradmin sollte dann evtl. vorher eine Warnmail erhalten).
Dann kann die Prüfung wie Uceprotect es macht in Stufe 2 und 3 gehen. Ich glaube kaum das
dann ein Admin es soweit kommen lassen wird das seine Mailserver in Stufe 2 oder sogar
sein ganzes Netz in Stufe 3 gelistet wird dann werden wohl die die drüber sitzen schon
vorher einschreiten.

Bei solch einem System wäre die Geschwindigkeit mit der gelistet wird und die Sicherheit
das relativ wenig false Positive in der Datenbank landen gewährleistet.
Wenn jeder Server dann noch ein paar Spamtraps auf seiner HP versteckt könnte man bei
einem großflächigen Einsatz den Spamern das Leben ziemlich schwer machen.
Ach ich träume so gerne *gg

Das ganze dann über sich selbst replizierende mysql(oder sonst was) auf vielen vielen
Servern hosten so das jeder relativ wenig Netzwerklast/verkehr hat aber dennoch alle den
Nutzen daraus ziehen können. Wer die Liste nutzen will muss Mitglied werden im
Serververbund und braucht dann im Endeffekt nur seine lokale Database abfragen. 
Fängt irgendeiner der Server einen Spamtrap repliziert er den an den/die nächsten Server
weiter und so wären alle Datenbanken innerhalb von wenigen Minuten aktuell.       
Ach ich träume so gerne *gg

Mal überlegen was man an Infos benötigt. 
Die absendende Mailadresse und von welchem Server das ganze kommt, welche Server bereits
verständigt wurden und der absendende Server(da brauchen wir dann einen Algorithmus das
keiner doppelt bedacht wird aber auch keiner vergessen wird).  
Eigentlich reicht das schon an Informationen.
Beim Eintrag in die Database wird dann dazu ein Timestamp und die Anzahl hoch gezählt und
eingetragen und kurz durchgerechnet in welcher Stufe (mailadresse, domain, serverip,
netzerk) gelistet wird aufgrund der getroffen spamtraps.
Wird 7 Tage von den eingetragenen keine spamfalle mehr getroffen kann man eigentlich davon
ausgehen das sie z.Z. nicht mehr benutzt oder aber abgeschaltet wurde. Dann werden die
wieder gelöscht hält die Datenbanken etwas im Zaum aber ich denke das man dennoch so 2 GB
an Datenraum je Server braucht.
Ach ich träume so gerne *gg

Die Abfrage der Datenbank wird dann vom Netzwerk zur Mailadresse herunter aufgebaut das
dürfte etwas an Zeit sparen denn wenn ein ganzes Netzwerk gelistet ist muß ich nicht mehr
nach einer Mailadresse suchen.
Neue Server werden immer nur mit den neuen Einträgen gefüttert. Hat zwar den Nachteil das
die volle Wirkung erst nach ein paar Tagen oder Wochen sich entfaltet spart aber den
Trafik einer ganzen Datenbank Replikation. Des weiteren sind dann die neuen Datenbanken
mit Ihren Timestamps nicht Tage hinterher denn die werden ja immer erst auf dem Server
erzeugt.     
Neue Server müssen auch erst von den Spamern "entdeckt" werden.
Bei großen Providern reicht es ja wenn die einen Server haben auf dem dann zentral diese
Informationen abgefragt werden können, für die kleinen ist der Aufwand zwar größer aber
die haben wieder den Vorteil das bei den Großen mehr Spamtraps sind und sich die Spamer
auch eher darin verfangen wie auf einem System mit nur ein "paar" Webseiten.
Also würden die Großen in etwa dem gleichen Verhältnis zum Nutzen den Trafik der
Replikationen tragen müssen weil einfach mehr getroffene Spamtraps auftreten.
Ach ich träume so gerne *gg     
 

> 
> Was eher gefragt wäre, ist ein Trend/Statistik. Wenn von einem Server
> viele normale Mails gekommen sind und dann plötzlich ein paar Spams
> zwischendurch, dann sollte der Server definitiv nicht auf die Blacklist
> wandern.

Da hat Uceprotect sehr wahrscheinlich sein größtes Problem denn die wissen nicht was an
regulären Mails von den Server verschickt wird. Also können die keine Trends erstellen.
Nachteil von Trends ist leider auch bis das die erstellt sind sind die Spamer schon
weitergewandert und die Listung geht ins leere bzw. erfasst nur die die immer spam
versenden. 

> Ein Server, der jedoch noch nie eine saubere Mail geschickt hat und nur
> ein paar Spams in seiner History zu verzeichnen hat, kann ohne großes
> Bedauern in die Blacklist wandern.
> 
> Bisher ist mir so ein System jedoch nicht auf dem freuen Markt bekannt.
> 

Leider und ich habe nicht das wissen so was zu proggen (mal Hilfe an die Progger schreit
*gg und dann mal weiterträumt).

Alles in Allem mal ne schöne Träumerei und bei weitem noch nicht zu Ende gedacht aber Ihr
könnt ja auch mal träumen vielleicht wird dann ja ein Schuh draus und irgendjemand baut
mal so was. 

Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045   Fax: 06708 / 661397

Mehr Informationen über die Mailingliste Postfixbuch-users