[Postfixbuch-users] SPAMers erkennen ...

Beat Jucker Beat.Jucker at glue.ch
Mo Jan 14 11:08:14 CET 2008


Hallo Cristian

Danke fuer Deine Bemerkungen

> > Ich verwende neben den offiziellen RBLs auch ein lokal aufgebauter
> > RBL. 
> ...
> > Also: der Backup Mailserver sollte im Normalfall nicht verwendet
> > werden und wenn dann noch ein Reject wegen unbekanntem User erfolgt,
> > duerfte es sich mit groesster Wahrscheinlichkeit um ein SPAMer
> > handeln. 
> 
> Das heißt, Du blacklistest bereits bei _einem_ unbekannten Empfänger auf 
> dem Backup MX?

ja, aber nicht Realtime. Das Logfile wird woechentlich ausgewertet
und die daraus generierte Liste (deren zwei: eine fuer RBLDNS
und eine zweite fuer manuelle Grobkontrolle). Die Liste wird erst
nach einer Grobkontrolle aktiviert (viele dieser Eintraege sind
"unknown", d.h. im DNS nicht eingetragen)

> > Ich bin nur ein (kleiner) KMU-Mailmaster und kein 
> > Mailservice Anbieter und gehe jetzt davon aus, dass ein serioeser ISP
> > seine offiziellen Mailserver nicht im gleichen Adressbereich
> > verwaltet, wie seine Kunden IPs. 
> 
> Mag sein, aber sicher ist das nicht. (Nein, ich kenne keine Beispiele.)
> 
> > Mit dieser Annahme kann ich jetzt 
> > also getrost das gesamte Class-C der betroffenen SPAM-IP sperren.
> 
> Warum nicht gleich das ganze Internet? Erspart Dir noch mehr Spam ;-)

Tja, schoen waer's aber etwas Arbeit will man ja doch noch haben ... ;-)

> > Neben den offiziellen RBLs habe ich so eine eigene RBL mit mehreren
> > zig Tausend Class-C Adressen aufgebaut. Ich weiss, dass so evtl auch
> > einmal ein False Positiv Test auftreten kann. Der %%-Anteil ist aber
> > verschwindend klein und der Absender hat sich jeweils auch lautstark
> > gemeldet, so dass er umgehend in unserer Whitelist aufgenommen wurde.
> 
> Oder seine Reaktion kam nie an, weil er ja in der Blacklist steht...

In der DSN steht die Begruendung, warum abgelehnt und eine TelNr fuer
Reklamationen. Hat bis jetzt eigentlich meist funktioniert. Zudem
wird taeglich eine Zusammenfassung der abgelehnten Emails an die 
entsprechenden Empfaenger zugestellt, so dass sie den Absender oder
den Mailclient auf die Whiteliste setzen lassen koennen, wenn es sich
um ein FP handelt.

> > Wie ist Eure Haltung/Meinung/Erfahrung zu dieser SPAM Abwehr?
> 
> Es hält Dir bestimmt einiges an Spam fern, aber IMHO ist es
> - zu strikt beim Listing (user unknown kann jedem mal passieren).
> - methodisch problematisch (wenn der Haupt-MX mal überlastet ist,
>   kommen auch gute Mailserver zum Backup-MX). Und trotz "groesster 
>   Zuverlaessigkeit" des Haupt-MX kann das durchaus mal passieren.
> - zu scharf - warum sperrst Du gleich das ganze Subnet statt der 
>   betroffenen IP?

Die Blackliste wird erst verzoegert aktiviert. Die SPAM Hosts 
erscheinen meist nach einer gewissen Zeit auch in den oeffentlich
zugaenglichen RBL Listen, die ich ebenfalls verwende. Die SPAMers
bedienen sich ja meist Rechner im Netz von unbedachten Usern. wo
ein solcher Rechner steht, hat es evtl. noch deren weitere solche
Kumpanen, die aber noch im Dornroeschenschlaf weilen. So sind sie
provilaktisch bereits gesperrt. Da ich meine eigene RBL als erste 
Blackliste konsultiere, erspare ich damit unnoetige Netzabfragen.

> Naja. Letztenendes ist es Dein Server und somit Deine Entscheidung...

Ja ich weiss, darum wuerde ich meine Liste auch nicht gerne einfach
so weiteren Nutzern zur Verfuegung stellen. Diese Verantwortung koennte
ich nicht uebernehmen!

> Wenn das Listing erst ab einer bestimmten Anzahl "user unknown" passiert 
> (z. B. 20 am Tag), halte ich es für nicht mehr so schlimm. Trotzdem 
> würde ich nur eine IP statt des Subnets blocken.

Das mit mehreren "user unknown" ist sicher ein Verbesserung!

Ich liebaeugle eigentlich auch nocht damit, ganze Laender zu sperren.
Ich moechte nicht diskriminierend wirken, aber gehe davon aus, dass
serioese Kunden in unserem Umkreis keine IP-Adressen fuer ihre Mailserver
verwenden, die einem der Laender/ISP zugeorndet werden koennen wie
zB Vanuatu, Tuvalu, Solomon Islands oder wie die "Exoten" auch immer 
heissen moegen. Wenn dann eine gewisse Anzahl Rejects einem Exotenland 
zugeorndet werden kann, werden alle dazugehoerenden Class-C Bereiche
gesperrt. Ich weiss, die grossen SPAM Nationen kann man so nicht 
sperren aber auch viele kleine Fische ergeben eine Mahlzeit.

Danke fuer Euren Kommentar & Gruss 
-- Beat



Mehr Informationen über die Mailingliste Postfixbuch-users