[Postfixbuch-users] SPF +all als Filterkriterium

Robert Felber r.felber at ek-muc.de
Fr Mai 18 17:58:05 CEST 2007 

On Fri, May 18, 2007 at 04:40:53PM +0200, Andreas Pothe wrote:
> Servus,
> 
> > Hilfreich waere uebrigens eine kleine Sammlung solcher Spam-Domains mit
> > +all (idealerweise client IP, helo und senderdomain).
> 
> Mal so vier (fünf) Beispiele von einem Low-Traffic-Mailserver der letzten
> Stunden von Domains mit IP. Aber auch auf diesem Low-Traffic-Server sind das
> nur so wenig, weil vorher viele andere Tests (u. a. eine lokale Blocklist
> mit bekannten DynIP-Bereichen) stattfinden, der SPF-Check ist der vorletzte
> Test, nur noch von Greylisting gefolgt).
> 
> 1. 88.204.203.-65   y-mpinklemonade.com         88.204.203.65.metro.online.kz
> 2. 84.109.0.-21     m-onicashouseofbeauty.com
> bzq-84-109-0-21.red.bezeqint.net
> 3. 190.136.254.-97  a-usplusdirect.com
> host97.190-136-254.telecom.net.ar
> 4. 148.244.120.-19  a-usplusdirect.com
> host-148-244-120-19.block.alestra.net.mx
> 5. 85.152.248.-89   r-itasfudgefantasea.com     cm-85-152-248-89.telecable.es

Hab mal obfuscated. Mein SA hat das glatt als SPAM getagged.

> Man sieht, dass die Spamsoftware immer häufiger den "RDNS-Namen" der
> jeweiligen IP im Helo angibt, um Spamfilter zu umgehen. Und leider wird auch
> Greylisting in letzter Zeit immer häufiger umschifft.


Ja, wobei RDNS holen nicht so trivial wie erneut ausliefern ist.

Ich lass gerade mal unsere 10000 sender-domains ueber ein Monat pruefen.

Bisher kam 1 aus den 10.000 in die Quarantaene, der Rest wurde vorher
geblockt. Ich denke aber, ich werd dem trotzdem mal eine Chance geben.

Dieser check wuerde zumindest fuer etwas mehr Entscheidungssicherhheit
sorgen - da zumindest die grosseren ESP +all nicht hernehmen, was meine
groesste Sorge war.

Ich frage mich nur, ob es RFC maessig rechtens ist, +all als mit einen
der Ablehngruende herzunehmen. Das SPF proto definiert ja nunmal, dass
sowas zu akzeptieren ist.

Mich wuerde die Meinung Anderer dazu auch interessieren.

Fuer meinen Teil waers ok.

(Auch finde ich es sinnvoll, Sender abzulehnen die mehr als
einen redirect definiert haben (citigroup.com zB)).


-- 
    Robert Felber (PGP: 896CF30B)
    Munich, Germany

Mehr Informationen über die Mailingliste Postfixbuch-users