[linux-l] Spambekämpfung?

Steffen Dettmer steffen at dett.de
So Jan 28 18:22:19 CET 2007 

* Lutz Willek wrote on Sun, Jan 28, 2007 at 15:09 +0100:
> Steffen Dettmer schrieb:
> 
> > Schreibe ich von yahoo aus, kriegst Du nie wieder Mails von den
> > Freemailer-nutzenden Kumpels, oder?
> 
> Nein, solche Adressen können mit diesem System recht einfach erkannt 
> werden. Sie werden dann immer als nicht vorbelastet behandelt, also 
> weder eine blacklist, noch eine whitelist.

Ja? Wie soll das funktionieren? (yahoo war natürlich nur ein Beispiel;
natürlich ist mir auch klar, dass per MTA IP viel besser ist, als per
MAIL FROM zu filtern).

> > Ja, solange das selten benutzt wird, funktioniert das wohl ganz gut.
> > Aber wie Du ja schon gesagt hast, sind Spammer ja auch nicht blöd,
> > wer weiss, was da in Zukunft noch kommt...
> 
> Nö, man darf nur keine Techniken einsetzen, die auf Techniken von 
> Spammern reagieren. Man muss Techniken einsetzen, auf die die Spammer 
> reagieren müssen. (kling?)
> Mir fällt da spontan teergrubing in Verbindung mit Annahmeverzögerung 
> der normalen Mailserver ein. Das ist praktisch kostenlos, muss nicht von 
> jeden Server eingesetzt werden um zu wirken.Es ist absolut tödlich für 
> Spammer, gleichzeitig verhindert es in keinster weise den normalen 
> Mailverkehr.. Da hilft dann auch keine Blacklist mehr.

Ja, insbesondere dass es normalen Verkehr kaum stört (ausser, wenn viele
Mails kommen; kann mich nicht mehr an die Details erinnern, und die FAQ
hat leider keinen Link auf einen technischen Überblick der
Funktionsweise).

> Das beste daran ist, das sich der Spammer etwas einfallen lassen muss, 
> nicht mehr ich als Mailadmin.

Der Mailadmin musste teergrube installieren... Na ja, wie auch immer,
das funktioniert halt alles nur, solange es Spam nicht wirklich
verhindert (also nur einzelne Usern hilft). Sonst würden die Spammer
schon etwas dagegen tun.

Das man sich nicht automatisch (global) vor Spam schützen kann (ohne
Nachteile in Kauf zu nehmen), ist ja ganz logisch, da die Grenzen
zwischen Spam und nicht-Spam fliessend sind. Über Freischalte-Links mit
OCR feinlichen Prüfcodes usw. kann man natürlich versuchen, bis zu einem
bestimmten Punkt Automatismen rauszuhalten - allerdings merkt man das
(man muss als Mensch da rumklicken :)).

> Das geile an der Sache:
> Die Spammer haben inzwischen reagiert und lassen ihre bots die 
> Verbindung abbrechen, wenn der Mailserver nicht _sofort_ antwortet.

Ohh Schade, funktioniert jetzt schon nicht mehr richtig, ja? Eigentlich
sollte die Teergrube ja die Spammer bremsen (und nicht Spams selbst
lokal verhindern). Schade. Na ja, ist ein endloser Kampf :)

> Meine Idee ist ein MTA, der die normalen Techniken und eine Art 
> abgespecktes teergrubing kombiniert. Abhängig von der 
> Spamwarscheinlichkeit der Mail (Absenderserver bekannt?, dyn. IP?, usw) 
> wird die Annahme der Mail unterschiedlich lange künstlich 
> hinausgezögert. Bekannte Spammer werden auf einen richtigen 
> teergrubing-MTA umgeleitet und bemerken es nicht einmal. Meine 
> Schätzungen gehen von 70-75% Erfolgsqote aus, die Mail abzuweisen, je 
> nach Auslastung meines Servers. Normale Mails werden dadurch nach einer 
> Einlaufphase von ca. 2 Wochen nicht mehr behindert. Es ist 
> ausgeschlossen, das ham-Mails verloren gehen.

Ja, das ist auch ein guter Vorteil von Teergruben, es geht nichts
verloren. Hat eine Eleganz. greylisting ist ja auch nicht schlecht. Na
ja, muss nur halt exotisch bleiben, damit es sich nicht lohnt, das zu
umgehen.

> Die zusätzliche Arbeit meines Servers ist minimal. In Kombination 
> gesehen wird die load sogar abnehmen, da ich nicht mehr so viel Mails 
> durch amavis und SA jagen muss, was ja bekanntermaßen viel Rechenzeit 
> kostet. 

Ja, klingt überzeugend, der Aufwand für die Mailverarbeitung ist wohl
höher. Wenn das funktioniert, kann man auch wieder mehr bouncen. Heute
ist ja das Problem, dass normale Mails manchmal als Spam falsch erkannt
werden - aber nicht gebounct werden, was IMHO gefährlich und schlecht
ist.

> Die Anpassungen am MTA habe ich fast fertig, brauche es aber zur 
> Zeit nicht, da die normalen Techniken noch sehr gut wirken.

"normalen Techniken" ist teergrubing (plus spam scoring), ja?

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.

Mehr Informationen über die Mailingliste linux-l