[linux-l] Spambekämpfung?

Steffen Dettmer steffen at dett.de
Mo Jan 29 20:04:57 CET 2007 

* Lutz Willek wrote on Mon, Jan 29, 2007 at 05:46 +0100:
> Steffen Dettmer schrieb:
> >* Lutz Willek wrote on Sun, Jan 28, 2007 at 15:09 +0100:
> >>Steffen Dettmer schrieb:
> 
> >>>Schreibe ich von yahoo aus, kriegst Du nie wieder Mails von den
> >>>Freemailer-nutzenden Kumpels, oder?
> >>Nein, solche Adressen können mit diesem System recht einfach erkannt 
> >>werden...
> >Ja? Wie soll das funktionieren? ...
> Man kann da schon einiges prüfen. Gerade bei großen Anbietern wie gmx 
> oder yahoo ist das sehr einfach. Schwieriger wird es bei kleinen 
> Anbietern, die ev. nur einen Mailserver haben, und der ist auch noch 
> falsch konfiguriert... 

Wir waren bei blacklisten der Sender-IP von Mailservern.

mmm... Versteh ich nicht. Hier mein Angriffsszenario.

Beispiel ist vielleicht mein-neuer-online-mailer.de. Ich weiss, dass
Deine Freundin bei mein-neuer-online-mailer.de ist und Du diese IP Sache
machst. Ich melde mich bei m-n-o-m.de an und schicke Mails über
Tabletten deren Namen die Mail hier verschwinden lassen würden lol 
Schicke Dir also von da orginal Spam. Du blockst die IP von m-n-o-m.de -
und doch damit auch Mails Deiner Freundin. Oder?

> >>... teergrubing in Verbindung mit Annahmeverzögerung 
> >>der normalen Mailserver..
> >Ja, insbesondere dass es normalen Verkehr kaum stört (ausser, wenn viele
> >Mails kommen..
> Nein, gerade dann ist es ein Segen. Es hilft Dir, die "guten" von den 
> "schlechten" Verbindungen zu unterscheiden. Obwohl eine Armee Spambots 
> auf Deinen Server einrennt kommen normale Mails ungehindert durch, 
> solange Deine Leitung ins Netz nur dick genug ist. 

Versteh ich nicht. Wie unterscheidet man 1000 Mails eines Spambots von
1000 Mails von yahoo?

> Und sollte wirklich der unwahrscheinliche Fall eintreten, das die
> Spambots mehr als 60000 gleichzeitige Verbindungen aufbauen können(was
> wirklich eine Leistung ist), 

Warum, die haben doch nicht 60k remote-Server gleichzeitig? Die würden
doch von z.B. 100 Absender-IPs je 10 Verbindungen oder so aufmachen. Was
yahoo ja auch so macht. Und dann je 50 Mails durchschieben (falls Du ein
wirklich sehr viele Addressen hat, sonst halt nur 10 IPs oder so, keine
Ahnung).

> dann wirken immer noch andere Techniken, wie greylisting oder rbl
> recht gut.

Bei rbl muss man aber auch wieder unbekannten trauen, dass die nicht
"gute" Server aufnehmen, oder?

> >Der Mailadmin musste teergrube installieren... 
> Nein, er musste viel mehr tun. Ein reines teergrubing geht prinzipiell 
> nur mit Domains, die keinen normalen Mailverkehr haben.

achso? ups :)

> redet. Damit fallen dann Newsletter oder Mailinglisten durch das Raster. 

Newsletter sind ein prima Beispiel, warum man Spam gar nicht richtig
verhindern *kann*. Die Grenzen sind ja fliessend.

> >>Das geile an der Sache:
> >>Die Spammer haben inzwischen reagiert und lassen ihre bots die 
> >>Verbindung abbrechen, wenn der Mailserver nicht _sofort_ antwortet.
> >
> >Ohh Schade, funktioniert jetzt schon nicht mehr richtig, ja? Eigentlich
> >sollte die Teergrube ja die Spammer bremsen (und nicht Spams selbst
> >lokal verhindern). Schade. Na ja, ist ein endloser Kampf :)
> 
> Du hast teergrubing noch nicht verstanden. Genau das wollte teergrubing 
> doch erreichen. Wenn mein Gegenüber die Verbindung abbricht ist doch 
> alles schön. Die 200 byte sinnlosen Verkehr kann ich verkraften.

Die Idee ist doch, Spammer zu bremsen? Und hast Du oben nicht
geschrieben "Ein reines teergrubing geht prinzipiell nur mit Domains,
die keinen normalen Mailverkehr haben"? 

Ja, Hab ich wohl schlicht nicht verstanden; wie gesagt, fand keinen
Link.

Hast Du da was zur Hand? Die FAQ war (für mich) nicht ausreichend, es zu
verstehen.

> In der Testphase ist zur Zeit prüfsummenbasiertes bewerten mit Pyzor, 
> Razor und DCC. Das wird in absehbarer Zeit fest rein kommen, es wirkt 
> bis auf Newsletter recht gut und hat mich fast schon überzeugt, obwohl 
> ich auch hier mehr erwartet hätte. Hier feile ich noch an der Art der 
> Einbindung ins System. Ich bin noch nicht sicher, wo der wirklich beste 
> Punkt ist, die Prüfsummen abzufragen. Das sind aber alles Feinheiten.

DCC kenn ich als dynamic currency conversion - ist hier wohl was anderes
:)

So wie ich in http://www.freespamfilter.org/FC4.html#_Toc110999211
gelesen hab, sind die Tools Pyzor, Razor und DCC eine Art verteile
Spamerkennungsmerkmal-Datenbank, ja? Könnte man sowas in gewerblichem
Umfeld einsetzen? Da müsste man Angst haben, von der Konkurenz geschickt
als Spammer "gemeldet" zu werden.

Jedenfalls klingt das alles kompliziert. Wieviel Spam kriegt man damit
*sicher* raus (also "ohne" false-positives)? Auch "nur" 50%?

> Weiterhin teste ich auf der Arbeit noch einige Techniken zur
> Bilderspamerkennung, das fliegt aber wieder raus, ist leider nicht
> wirksam genug und verbrät vergleichsweise zu viel cpu-Leistung. Das
> hat mich etwas enttäuscht, hätte etwas mehr erwartet.

Ja, die blöden Bilder bremsen dabei noch den IMAP download :)

Jedenfalls gibts scheinbar noch kein Geheimrezept gegen Spam. Ausser
natürlich: keine E-Mail benutzen :)

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.

Mehr Informationen über die Mailingliste linux-l