[linux-l] Spambekämpfung?

[Lutz Willek]

Steffen Dettmer schrieb:
> * Lutz Willek wrote on Sun, Jan 28, 2007 at 15:09 +0100:
>> Steffen Dettmer schrieb:

>>> Schreibe ich von yahoo aus, kriegst Du nie wieder Mails von den
>>> Freemailer-nutzenden Kumpels, oder?
>> Nein, solche Adressen können mit diesem System recht einfach erkannt 
>> werden...
> Ja? Wie soll das funktionieren? ...
Man kann da schon einiges prüfen. Gerade bei großen Anbietern wie gmx 
oder yahoo ist das sehr einfach. Schwieriger wird es bei kleinen 
Anbietern, die ev. nur einen Mailserver haben, und der ist auch noch 
falsch konfiguriert... Dann gibt es wirklich früher oder später Ärger 
mit nicht entgegengenommenen Mails. Das ist aber ok. Die Mails werden 
nicht entgegen genommen, der Absender erhält eine Mail, meldet sich bei 
seinem Admin, der seinen Server fixt, und alles ist schön...

>> ... teergrubing in Verbindung mit Annahmeverzögerung 
>> der normalen Mailserver..
> Ja, insbesondere dass es normalen Verkehr kaum stört (ausser, wenn viele
> Mails kommen..
Nein, gerade dann ist es ein Segen. Es hilft Dir, die "guten" von den 
"schlechten" Verbindungen zu unterscheiden. Obwohl eine Armee Spambots 
auf Deinen Server einrennt kommen normale Mails ungehindert durch, 
solange Deine Leitung ins Netz nur dick genug ist. Und sollte wirklich 
der unwahrscheinliche Fall eintreten, das die Spambots mehr als 60000 
gleichzeitige Verbindungen aufbauen können(was wirklich eine Leistung 
ist), dann wirken immer noch andere Techniken, wie greylisting oder rbl 
recht gut.

> Der Mailadmin musste teergrube installieren... 
Nein, er musste viel mehr tun. Ein reines teergrubing geht prinzipiell 
nur mit Domains, die keinen normalen Mailverkehr haben.

> das funktioniert halt alles nur, solange es Spam nicht wirklich
> verhindert (also nur einzelne Usern hilft). Sonst würden die Spammer
> schon etwas dagegen tun.
Es trifft keine User, maximal andere MTA. Und wenn die sich nach rfc 
verhalten auch nur ein mal. Das ist nicht wirklich schlimm.

> Das man sich nicht automatisch (global) vor Spam schützen kann (ohne
> Nachteile in Kauf zu nehmen), ist ja ganz logisch, da die Grenzen
> zwischen Spam und nicht-Spam fliessend sind. Über Freischalte-Links mit
> OCR feinlichen Prüfcodes usw. kann man natürlich versuchen, bis zu einem
> bestimmten Punkt Automatismen rauszuhalten - allerdings merkt man das
> (man muss als Mensch da rumklicken :)).
Das ist ein ganz anderer Ansatz, über den ich noch nicht wirklich 
nachgedacht habe. Da dieser Automatismus (gewollt) bis aus den Nutzer 
durchschlägt, würde ich spontan sagen, das ich das nicht haben will. 
Zweitens setzt es vorraus, das immer ein Mensch direkt mit einem Mensch 
redet. Damit fallen dann Newsletter oder Mailinglisten durch das Raster. 
Nein, ich glaube das wird so nichts. Bei einigen Firmen-MTA würde das 
funktionieren, nicht aber global. Aber wie gesagt, habe das noch nicht 
wirklich durchdacht.

>> Das geile an der Sache:
>> Die Spammer haben inzwischen reagiert und lassen ihre bots die 
>> Verbindung abbrechen, wenn der Mailserver nicht _sofort_ antwortet.
> 
> Ohh Schade, funktioniert jetzt schon nicht mehr richtig, ja? Eigentlich
> sollte die Teergrube ja die Spammer bremsen (und nicht Spams selbst
> lokal verhindern). Schade. Na ja, ist ein endloser Kampf :)

Du hast teergrubing noch nicht verstanden. Genau das wollte teergrubing 
doch erreichen. Wenn mein Gegenüber die Verbindung abbricht ist doch 
alles schön. Die 200 byte sinnlosen Verkehr kann ich verkraften.

>> Meine Idee ist ein MTA, der die normalen Techniken und eine Art 
>> abgespecktes teergrubing kombiniert....
> 
> Ja, das ist auch ein guter Vorteil von Teergruben, es geht nichts
> verloren.
Ähm, wie meinen? Bei Teergruben geht doch alles verloren.

> ja, muss nur halt exotisch bleiben, damit es sich nicht lohnt, das zu
> umgehen.
Nein!!! Eben nicht! Natürlich wirkt es(exotisch..) wenn nur ich es 
einsetze, das ist nicht der Punkt. Es wird aber auch die volle 
Wirksamkeit behalten, wenn es viele MTA einsetzen.


>> ... da die normalen Techniken noch sehr gut wirken.
> 
> "normalen Techniken" ist teergrubing (plus spam scoring), ja?
Nöö, normal ist das bestehen auf rfc, dann abgefragte und statische 
schwarze und weisse Listen gewürzt mit dyn. greylisting und spätere 
Aufbereitung mit SA durch amavis. Damit kann ich das nächste halbe Jahr 
gut leben.

In der Testphase ist zur Zeit prüfsummenbasiertes bewerten mit Pyzor, 
Razor und DCC. Das wird in absehbarer Zeit fest rein kommen, es wirkt 
bis auf Newsletter recht gut und hat mich fast schon überzeugt, obwohl 
ich auch hier mehr erwartet hätte. Hier feile ich noch an der Art der 
Einbindung ins System. Ich bin noch nicht sicher, wo der wirklich beste 
Punkt ist, die Prüfsummen abzufragen. Das sind aber alles Feinheiten.

Weiterhin teste ich auf der Arbeit noch einige Techniken zur 
Bilderspamerkennung, das fliegt aber wieder raus, ist leider nicht 
wirksam genug und verbrät vergleichsweise zu viel cpu-Leistung. Das hat 
mich etwas enttäuscht, hätte etwas mehr erwartet.

Grüße, Lutz