Problem mit Spam

[ms at ddnetservice.de]

Am 31.03.2017 um 21:16 schrieb Thomas Schwenski:
> > Es gibt also durchaus Mittel und Wege solche Spammer IPs zu
> > blockieren, die mit den neuen TLDs verschicken, ohne gleich alle
> > neuen TLDs von Haus aus blockieren zu müssen.
>
> Das Problem sind tatsächlich weniger die konkreten IPs als die 
> besagten TLDs - diese werden tatsächlich gerade verstärkt beschickt.
> (Ist zumindest auch meine Erfahrung hier mit vermutlich nur einem 
> einzigen Verursacher.)
>
>


Für mich eher ein Fall des bekannten Henne-Ei Problems.

Wenn man es schafft, die Spammer-IPs zu erfassen, dann muss man die 
neuen TLDs nicht komplett blocken.
Der Versand erfolgt meinen Beobachtungen zufolge immer nur von einigen 
wenigen Servern aus dem Netz von Massen-Hoster XYZ.

Daher der Ansatz mit Spamassassin, weil man hierüber die TLDs erfassen 
kann von denen gerne mal gespammt wird.
Ich mache es so, dass ich mit Spamassassin solche E-Mails von den neuen 
TLDs tagge und dann stündlich das maillog auf evtl. Hits automatisiert 
überprüfe.

Wenn ein gewisser Threshold erreicht wurde, dann wandert diese IP in 
eine interne DNSBL.
Im schlimmsten Fall provoziert dies einen false-positive, da vielleicht 
tatsächlich mal jemand legitimes viele E-Mails über eine der neuen TLDs 
verschickt hat.

Allerdings ist dieser Fall in der Praxis mir noch nicht untergekommen.
Daher ist dieser Ansatz m.M.n. mit taggen und später blocken immerhin 
ein guter Kompromiss zwischen "ich bin total resolut und blocke alle 
neuen TLDs" und "ich lasse mal alle neuen TLDs durch".


Gruß
Micha