[linux-l] Spambekämpfung?

Lutz Willek willek at gmx.de
Mo Jan 29 23:22:29 CET 2007 

Steffen Dettmer schrieb:
[..]
> Wir waren bei blacklisten der Sender-IP von Mailservern.
> 
> mmm... Versteh ich nicht. Hier mein Angriffsszenario.
> 
> Beispiel ist vielleicht mein-neuer-online-mailer.de. Ich weiss, dass
> Deine Freundin bei mein-neuer-online-mailer.de ist und Du diese IP Sache
> machst. Ich melde mich bei m-n-o-m.de an und schicke Mails über
> Tabletten deren Namen die Mail hier verschwinden lassen würden lol 
> Schicke Dir also von da orginal Spam. Du blockst die IP von m-n-o-m.de -
> und doch damit auch Mails Deiner Freundin. Oder?

Nee, es würde nur von diesen einen Sender mit dieser einen IP für einen 
Empfänger geblockt, und nur wenn der sendende Server sich "komisch" 
verhält. Erst wenn du mit wechselnden Absenderadressen oder an mehrere 
meiner Empfänger Spam schreibst, dann wird der Server für 24 Stunden 
geblockt und als unartig markiert. Sollte er sich in Zukunft wieder 
komisch verhalten, werden die mails in immer größeren Abständen 
geblockt, bis zu 14 Tagen. Das ist in der Praxis mit einem gut 
konfigurierten Server kaum zu schaffen.

>>>> ... teergrubing in Verbindung mit Annahmeverzögerung 
>>>> der normalen Mailserver..
>>> Ja, insbesondere dass es normalen Verkehr kaum stört (ausser, wenn viele
>>> Mails kommen..
>> Nein, .. Es hilft die "guten" von den 
>> "schlechten" Verbindungen zu unterscheiden...
> Versteh ich nicht. Wie unterscheidet man 1000 Mails eines Spambots von
> 1000 Mails von yahoo?
Es kommen keine 1000 Mails von einem spambot, sondern je 10 Mails von 
100 Bots, die alle keine feste Adresse, keinen MX-Eintrag usw. haben. 
Das geht schon.

>> Spambots mehr als 60000 gleichzeitige Verbindungen aufbauen können(was
>> wirklich eine Leistung ist), 
> 
> Warum, die haben doch nicht 60k remote-Server gleichzeitig? Die würden
> doch von z.B. 100 Absender-IPs je 10 Verbindungen oder so aufmachen.
Das sind dann aber nur 1000 Verbindungen. Ich habe vom sechsfachen 
geredet, solce Botnetze sind eher selten.

>  Was yahoo ja auch so macht.
Na ja, aber die Server von Yahoo kenne ich schon von vorhergehenden 
Verbindungen, wenn mein Server überlastet ist dann weise ich die 
Nachrichten einfach mit einer 400er Meldung ab. Dann kommen die Mails 
eben eine halbe Stunde später ins Postfach, na und?

>> dann wirken immer noch andere Techniken, wie greylisting oder rbl
>> recht gut.
> 
> Bei rbl muss man aber auch wieder unbekannten trauen, dass die nicht
> "gute" Server aufnehmen, oder?

Na ja, das ist Ansichtssache. Mir gefallen diese Listen auch nicht 
wirklich, ich habe inzwischen auch nur noch open relays und dyn. 
Adressen als rbl. Das ist mir persönlich dann sicher genug.

>> Du hast teergrubing noch nicht verstanden. Genau das wollte teergrubing 
>> doch erreichen. Wenn mein Gegenüber die Verbindung abbricht ist doch 
>> alles schön. Die 200 byte sinnlosen Verkehr kann ich verkraften.
> 
> Die Idee ist doch, Spammer zu bremsen? Und hast Du oben nicht
> geschrieben "Ein reines teergrubing geht prinzipiell nur mit Domains,
> die keinen normalen Mailverkehr haben"? 
> 
> Ja, Hab ich wohl schlicht nicht verstanden; wie gesagt, fand keinen
> Link.
> 
> Hast Du da was zur Hand? Die FAQ war (für mich) nicht ausreichend, es zu
> verstehen.
http://de.wikipedia.org/wiki/Teergrube_%28Informationstechnik%29

>> ...Pyzor, 
>> Razor und DCC....

> So wie ich in http://www.freespamfilter.org/FC4.html#_Toc110999211
> gelesen hab, sind die Tools Pyzor, Razor und DCC eine Art verteile
> Spamerkennungsmerkmal-Datenbank, ja? Könnte man sowas in gewerblichem
> Umfeld einsetzen? Da müsste man Angst haben, von der Konkurenz geschickt
> als Spammer "gemeldet" zu werden.

ganz kurz: theoretisch ja, praktisch nein. Diese Filter werden nicht als 
  einziges Merkmal genommen, nur als Hinweis auf Spam. Erst wenn andere 
Methoden anschlagen, wird die Mail gebounct.

> Jedenfalls klingt das alles kompliziert. Wieviel Spam kriegt man damit
> *sicher* raus (also "ohne" false-positives)? Auch "nur" 50%?

Jede einzelne Methode für sich allein genommen zwischen 5 und 50%, mit 
gewisser Unschärfe.

Erst in Zusammenarbeit machen diese ganzen Filter Sinn. Machbar sind 
etwa 98% Spamerkennung, bei 0,1-0,5% Ham-Erkennung. Das ist aber 
wirklich das Ende der Fahnenstange.
Wenn ich die Filter etwas weniger agressiv einstelle komme ich auf ca. 
92-94% Spamerkennung bei 0% false positives, auch nicht besser...

Die Erfolge bis ca. 80% stellten sich schnell ein. Darüber muss man um 
jeden Prozentpunkt kämpfen. Besonders der Bilderspam ist schwer zu 
filtern. Kaum Bayes, kein DCC, nur image_only, was gerade mal 0.9 Punkte 
bringt.


> Jedenfalls gibts scheinbar noch kein Geheimrezept gegen Spam. Ausser
> natürlich: keine E-Mail benutzen :)

Nein, leider gibt es kein Geheimrezept. Auch nicht

> oki,
> 
> Steffen
>

Mehr Informationen über die Mailingliste linux-l