[linux-l] Spambekämpfung?

Steffen Dettmer steffen at dett.de
Mi Jan 31 22:24:04 CET 2007 

* Lutz Willek wrote on Mon, Jan 29, 2007 at 23:22 +0100:
> Steffen Dettmer schrieb:
> [..]
> >Wir waren bei blacklisten der Sender-IP von Mailservern.
> >
> >mmm... Versteh ich nicht. Hier mein Angriffsszenario.
> >
> wechselnden Absenderadressen 

<gähn>

ja, dann meld ich mich also fünfmal an.

Also kurz: mein Angriffszenario funktioniert und dieses Verfahren wäre
nix für mich, self-denial-of-service :)

> >>>>... teergrubing in Verbindung mit Annahmeverzögerung 
> >>>>der normalen Mailserver..
> >>>Ja, insbesondere dass es normalen Verkehr kaum stört (ausser, wenn viele
> >>>Mails kommen..
> >>Nein, .. Es hilft die "guten" von den 
> >>"schlechten" Verbindungen zu unterscheiden...
> >Versteh ich nicht. Wie unterscheidet man 1000 Mails eines Spambots von
> >1000 Mails von yahoo?
> Es kommen keine 1000 Mails von einem spambot, sondern je 10 Mails von 
> 100 Bots, die alle keine feste Adresse, keinen MX-Eintrag usw. haben. 
> Das geht schon.

Woher weisst Du das? Du kannst maximal ein reverse-lookup machen. Ob der
Server für keinen MX ist, kriegst Du nicht raus. Ausserdem sieht die
Addresse ja erstmal "fest" aus. Oder meinst Du, es schützt vor Spammails
von dynamischen IPs, wie gehackten Win-DSL-Büchsen aus? Ja, dann ok,
kann man blocken, in dem man alle blockt, und genau das wird ja leider
gemacht.

> > Was yahoo ja auch so macht.
> Na ja, aber die Server von Yahoo kenne ich schon von vorhergehenden 
> Verbindungen, wenn mein Server überlastet ist dann weise ich die 
> Nachrichten einfach mit einer 400er Meldung ab. Dann kommen die Mails 
> eben eine halbe Stunde später ins Postfach, na und?

immer + 30 Minuten ist nie :-)

> >Bei rbl muss man aber auch wieder unbekannten trauen, dass die nicht
> >"gute" Server aufnehmen, oder?
> 
> Na ja, das ist Ansichtssache. Mir gefallen diese Listen auch nicht 
> wirklich, ich habe inzwischen auch nur noch open relays und dyn. 
> Adressen als rbl. Das ist mir persönlich dann sicher genug.

mmm, ja ok. Aber auch nicht so effektiv, weil die Spammer das auch
wissen, oder? Ich hab sowas auch als erste Blockstufe, weiss gar nicht,
wieviel da hängen bleibt, bei rbl wird kommentarlos entsorgt...

> > > > Ohh Schade, funktioniert jetzt schon nicht mehr richtig, ja?
> > > > Eigentlich sollte die Teergrube ja die Spammer bremsen (und
> > > > nicht Spams selbst lokal verhindern). Schade. Na ja, ist ein
> > > > endloser Kampf :)

> > > Du hast teergrubing noch nicht verstanden.  Genau das wollte
> > > teergrubing doch erreichen. Wenn mein Gegenüber die Verbindung
> > > abbricht ist doch alles schön. Die 200 byte sinnlosen Verkehr kann
> > > ich verkraften.
> >
> > Die Idee ist doch, Spammer zu bremsen? Und hast Du oben nicht
> > geschrieben "Ein reines teergrubing geht prinzipiell nur mit Domains,
> > die keinen normalen Mailverkehr haben"? 
> >
> > Hast Du da was zur Hand? Die FAQ war (für mich) nicht ausreichend, es zu
> > verstehen.
> http://de.wikipedia.org/wiki/Teergrube_%28Informationstechnik%29

Da steht aber genau das auch:

  "Genau das macht jedoch die Teergrube ziemlich unwirtschaftlich:
   Spammer beenden die Verbindung sofort, normale Versender werden
   gefangen genommen. Das ist gerade nicht der gewünschte Effekt."

> > Da müsste man Angst haben, von der Konkurenz geschickt
> > als Spammer "gemeldet" zu werden.
> 
> ganz kurz: theoretisch ja, praktisch nein. Diese Filter werden nicht als 
> einziges Merkmal genommen, nur als Hinweis auf Spam. Erst wenn andere 
> Methoden anschlagen, wird die Mail gebounct.

(ja gut, sowas hiess es zu RBL und anderem auch, bloss doof, dass HTML
und "venture capital" auch mal in normalen Mails auftauchen... :))

> Erst in Zusammenarbeit machen diese ganzen Filter Sinn. Machbar sind 
> etwa 98% Spamerkennung, bei 0,1-0,5% Ham-Erkennung. Das ist aber 
> wirklich das Ende der Fahnenstange.
> Wenn ich die Filter etwas weniger agressiv einstelle komme ich auf ca. 
> 92-94% Spamerkennung bei 0% false positives, auch nicht besser...

Welch himmlischen Zahlen! Aber glaube 94% ich nicht, inbesondere die "0%
false positives" sind ja einfach unmöglich, aber klar, dass man sie
nicht merkt :) Also, ohne trixen (wie schnell alle verseuchten Addressen
wechseln oder sowas) jedenfalls. Na ja, über 90% geht sicherlich eh
nicht, weil man nicht wirklich wissen kann, ob der Empfänger
Amazon-Produktinfos haben möchte, oder nicht. Und alles auf whitelist
geht auch nicht. mmm... schon gemein.

> Die Erfolge bis ca. 80% stellten sich schnell ein. Darüber muss man um
> jeden Prozentpunkt kämpfen. Besonders der Bilderspam ist schwer zu
> filtern. Kaum Bayes, kein DCC, nur image_only, was gerade mal 0.9
> Punkte bringt.

mmm... und wie haste die wegbekommen, ohne normale Bilder wegzukriegen?

> >Jedenfalls gibts scheinbar noch kein Geheimrezept gegen Spam. Ausser
> >natürlich: keine E-Mail benutzen :)
> 
> Nein, leider gibt es kein Geheimrezept. Auch nicht

Na ja, 90% droppen wäre schon eines, oder?

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.

Mehr Informationen über die Mailingliste linux-l