[Postfixbuch-users] Spam-Abwehr durch Stottern

[Stefan Hoth]

Hallo,

ich persönlich halte von Methoden, die sich auf bestimmte Eigenarten der 
Spammertools verlassen für nicht (mehr) effektiv genug.

Dies habe ich persönlich z.B. bei Greylisting festgestellt, da der 
Spamanteil der durchgelassenen Mails nach dem Abschalten von GL nicht 
anstieg und somit zeigte, dass GL (bei mir) keinen Gewinn mehr bringt.

Die Ressourcen der Spammer steigen täglich (ob nun durch eigene Server 
oder Zombies) und daher ist die Frage, ob ein Ansatz, welcher sich 
darauf verlässt dass die Spammer Ressourcen sparen wollen (= Teergruben 
vermeiden), Erfolg haben kann. Ich schätze die Anpassungsgeschwindigkeit 
als so hoch ein, dass es sich nicht lohnt diese Technik zu implementieren.

Just my 2 cents...

Mit freundlichen Grüßen

Stefan Hoth

Konrad-Wolf-Str. 64
13055 Berlin

eMail:
mail at stefanhoth.de
Fax + Anrufbeantworter:
030 - 315 675 81

+++ +++ +++ +++ +++ +++ +++ +++ +++
OpenGPG/ PGP - Signatur:
http://www.stefanhoth.de/opengpg/public.asc
Fingerprint: 8700 5636 6543 18E3 331A  6D06 11D4 B07A 462F AF2B

Thomas Schwenski schrieb:
> Guten Morgen Liste,
> 
> hat zufälligerweise jemand den Artikel "Schneckenpost" im aktuellen 
> Linuxmagazin (Heft 02/08 Seite 74) gelesen?
> Dort wird eine Technik als Nachfolger von Greylisting beschrieben um 
> spammende Mailserver "abzuweisen".
> 
> Kern der Technik ist, dass man mit validen Mailservern eine Teergrube 
> simuliert.
> D.h. der eigentlich valide Mailserver verzögert zu Beginn der 
> Kommunikation seine Antworten eine Zeit lang und stottert so.
> 
> Der Mailserver (oder die SMTP-Engine des von den Spammern verwendeten 
> Botnetzes) erhält dadurch den Eindruck, dass es sich beim Ziel-MX um 
> eine Teergrube handelt und bricht (eine gewisse Intelligenz der Software 
>   vorrausgesetzt) die Kommunikation ab.
> Nach einer festgelegten Anzahl übermittelter Bytes kommunziert der 
> empfangende Mailserver normal schnell.
> Sinnvollerweise sollte es sich bei diesem Zählwert aber um einen 
> Zufallswert handeln, der lediglich durch eine Obergrenze bestimtm ist.
> 
> Hintergrund dieser Technik ist die Wirtschaftlichkeit des 
> Nachrichtenversandes für Spammer. Eine Teergrube verursacht nur Kosten 
> hat aber keinen oder nur wenig Nutzen, da lediglich Ressourcen für die 
> Zeit des Kommunikationsversuches gebunden werden.
> 
> Im Artikel wird unser aller "Lieblingsmailserverdienst" sendmail 
> dahingehend verändert um entsprechend zu agieren.
> 
> Bei lesen fiel mir nur folgende Möglichkeit einer Umsetzung für Postfix ein:
> Die Einbindung erfolgt über die Policy-Schnittstelle, ein entsprechender 
> Dienst wird in die smtpd_(helo|sender|recipient|data)_restrictions 
> eingebunden und ist somit in jeder Phase der SMTP-Kommunikation präsent.
> In jeder dieser Ebenen verzögert der Policy-Daemon seine Antwort um eine 
> zufällige Anzahl von Sekunden.
> Anhand der Queue-ID kann er Buch führen, wieviele Sekunden die 
> Nachrichtenannahme bereits verzögert wurde.
> 
> Um die entsprechende Datenbank nicht zu sehr wachsen zu lassen, könnte 
> man in der letzten Ebene in der der Dienst eingebunden ist dann den 
> Datensatz dann löschen.
> (Alternativ über die Einbindung in den smtpd_end_of_data_restrictions, 
> aber dann wird eine neue Policy-Abfrage nötig -> unnötige 
> Ressourcenver(sch)wendung.)
> 
> Idealerweise übernimmt der Dämon dann auch noch auf der 
> smtpd_recipient_restrictions-Ebene die Greylisting-Funktionalität.
> 
> Wie seht Ihr das?
> Wäre das eine Erweiterung/Nachfolge für Greylisting??
> 
> Gruß
> Thomas

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 250 bytes
Beschreibung: OpenPGP digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20080121/6e354c2f/attachment.asc>