[Postfixbuch-users] SPAMers erkennen ...

Christian Boltz postfixbuch at cboltz.de
So Jan 13 19:18:54 CET 2008 

Hallo Beat, hallo Leute,

Am Montag, 7. Januar 2008 schrieb Beat Jucker:
> Ich verwende neben den offiziellen RBLs auch ein lokal aufgebauter
> RBL. 
...
> Also: der Backup Mailserver sollte im Normalfall nicht verwendet
> werden und wenn dann noch ein Reject wegen unbekanntem User erfolgt,
> duerfte es sich mit groesster Wahrscheinlichkeit um ein SPAMer
> handeln. 

Das heißt, Du blacklistest bereits bei _einem_ unbekannten Empfänger auf 
dem Backup MX?

> Ich bin nur ein (kleiner) KMU-Mailmaster und kein 
> Mailservice Anbieter und gehe jetzt davon aus, dass ein serioeser ISP
> seine offiziellen Mailserver nicht im gleichen Adressbereich
> verwaltet, wie seine Kunden IPs. 

Mag sein, aber sicher ist das nicht. (Nein, ich kenne keine Beispiele.)

> Mit dieser Annahme kann ich jetzt 
> also getrost das gesamte Class-C der betroffenen SPAM-IP sperren.

Warum nicht gleich das ganze Internet? Erspart Dir noch mehr Spam ;-)

> Neben den offiziellen RBLs habe ich so eine eigene RBL mit mehreren
> zig Tausend Class-C Adressen aufgebaut. Ich weiss, dass so evtl auch
> einmal ein False Positiv Test auftreten kann. Der %%-Anteil ist aber
> verschwindend klein und der Absender hat sich jeweils auch lautstark
> gemeldet, so dass er umgehend in unserer Whitelist aufgenommen wurde.

Oder seine Reaktion kam nie an, weil er ja in der Blacklist steht...

> Wie ist Eure Haltung/Meinung/Erfahrung zu dieser SPAM Abwehr?

Es hält Dir bestimmt einiges an Spam fern, aber IMHO ist es
- zu strikt beim Listing (user unknown kann jedem mal passieren).
- methodisch problematisch (wenn der Haupt-MX mal überlastet ist,
  kommen auch gute Mailserver zum Backup-MX). Und trotz "groesster 
  Zuverlaessigkeit" des Haupt-MX kann das durchaus mal passieren.
- zu scharf - warum sperrst Du gleich das ganze Subnet statt der 
  betroffenen IP?

Naja. Letztenendes ist es Dein Server und somit Deine Entscheidung...

Wenn das Listing erst ab einer bestimmten Anzahl "user unknown" passiert 
(z. B. 20 am Tag), halte ich es für nicht mehr so schlimm. Trotzdem 
würde ich nur eine IP statt des Subnets blocken.


Gruß

Christian Boltz
-- 
> Eine Frage, wann wird denn wohl die KDE 3.1 über den
> YOU-Service angeboten werden?
Gar niemals. YOU ist fuer BugFixes, nicht um welche ins
System einzufuegen.       [Peter Wiersig in suse-linux]

Mehr Informationen über die Mailingliste Postfixbuch-users