[linux-l] Adress-Missbrauch durch SPAMmer - wie stoppen?

[Christoph Biedl]

Volker Grabsch wrote...

> Christophs Kommentar war ironisch gemeint.

note to self: Nicht die Existenz von Ironiedetektoren voraussetzen.

> Im Ernst, die Instant-Messanger, vorallem Jabber, haben wirkungsvolle
> Anti-Spam-Mechanismen. Jabber hat sogar von Anfang an Kryptographie
> eingebaut, sowohl für die Client-Server-Verbindungen, als auch für
> Client <-> Client (analog zu OpenPGP bei E-Mails).

Cryptographie zur Sicherung der eigentlichen Nachricht hast Du bei Mail
auch längst. Das Problem hier ist aber das der Absenderfälschung.

> Womit wir wieder beim Thema wären: Absenderfälschung kriegt man meiner
> Meinung nach nur durch Kryptographie ordentlich in den Griff.

Gar nicht mal. Aber jabber hat hier in der Tat Vorteile, weil es einige
Jahre später konzipiert wurde und auch schon Erfahrungen von anderswo
mitnehmen konnte.

> > Ist es so 
> > schwer, ein bestehendes Protokoll zu erweitern bzw. ein neues zu 
> > entwickeln, und das dann als Standard Netzweit zu verabschieden? 
> 
> Ja, ein verbesserter Standard wäre nicht schlecht, aber er müsste
> zu einem hohen Grad abwärtskompatibel sein. Da aber viele Probleme
> prinzipbedingt sind, wirst du diese nicht abwärtskompatibel lösen
> können.

SMTP erlaubt sehr große Freiheiten, und wenn man deren Mißbrauch nicht
an der Empfängerseite ausfiltern will (die Senderseite kann man
vergessen), man muß man diese Freiheiten einschränken. Und weil das für
einige einen Verlust von legitimen Möglichkeiten bedeutet, sind die
davon nicht besonders begeistert (Oh Mist, es wird schon wieder
politisch [und noch dazu in eine Richtung, die mir gar nicht gefällt]).

So haben wir halt einige Verfahren nebeneinander, die mehr oder weniger
brauchbar sind:
* SPF (Sender Policy Framework/Sender Permitted From)
  Erlaubt die Verwendung von Absenderdomains nur noch von festgelegten
  Servern. Dann müßte ich Mails mit der gmx-Adresse über den Server
  von gmx verschicken. Jabber hat so etwas eingebaut.
* Call-Out-Verification (und andere Namen)
  Eigentlich sehr nett, erhöht aber die Last auf Mailservern, gerade
  dann, wenn eine bei denen untergebrachte Domain mißbraucht wird.
  Kollidiert mit late bounces.
* DomainKeys
  Keine Ahnung, wie das funktioniert. Aber nachdem ich gestern lernen
  durfte, daß SpamAssassin seine X-Spam-* header jetzt an den Anfang
  des Headers schreiben muß, damit der Key nicht bricht, bin ich mir
  ziemlich sicher, daß man das nicht will.
* Late Bounces verbieten
  Meiner Meinung nach ein wichtiges und realistisches Ziel: Verhindern,
  daß bei Mißbrauch fremder Adressen auch noch die Bounces beim Opfer
  runterfallen (das ist Normätn passiert). Verschiedene RBLs listen
  Versender von late bounces, mit entsprechendem Geschrei.
* Greylisting auf allen Protokollebenen
* Viele andere Dinge, die vor allem Streß machen, wenn man mal legitim
  ein paar tausend Mails raushauen will. Netterweise bekam ich vom 
  Posthamster vorher die entscheidenden Cheats.
* etc.pp.

> Also was völlig neues, aber da kannst du auch gleich Jabber nehmen. ;-)

FUSSP-Alarm! Immer wieder als reality check lesenswert:
http://www.rhyolite.com/anti-spam/you-might-be.html
Vor allem das mit "until it has been deployed at more than 60% of SMTP
servers and that's not a problem.".

> > Sicherlich, so ein Prozess braucht Zeit, auch die Einführung, 
> > Parallelbetrieb, umstellung der Anwendungsprogramme etc. - aber das 
> > hätte auch schon vor 5 Jahren abgeschlossen sein können, hätte man es 
> > früher angefangen.
> 
> 5 Jahre sind sehr optimistisch. Eine weltweite Durchsetzung braucht
> eine kritische Masse. Ein Henne-Ei-Problem. Siehe IPv6, das ist schon
> ewig standardisiert, aber der zusätzliche Nutzen rechtfertigt einfach
> nicht den Umstellungs-Aufwand, meist nichtmal in größeren Firmennetzen.

Eben. Vor allem mußt Du die wirklich großen Mail-Provider mit
einbeziehen. Von daher wird es keine Lösung geben, wenn nicht yahoo und
hotmail mitspielen, und dann hast Du ganz schnell eine "Lösung", die auf
Software-Patenten aufsetzt (und gleich wird es wieder politisch).

Eher sehe ich eine Tendenz, daß sich die Kommunikation in irgendwelche
communities mit runden Ecken verzieht, ob man nun irgendein Webmail
macht oder sich in proprietären Systemen die Nachrichten zuschiebt, ist
für viele Nutzer gar kein wesentlicher Unterschied mehr. Der nächste
Schritt ist dann, daß jemand mit großem Trara ein Gateway für
cross-community-messaging einführt, und nur wenige, mit grauem Bart,
werden ein Gefühl von deja vu haben.

> Diese ganze Energie sollte man lieber darauf verwenden, die 150 größten
> Spammer einzubuchten. Das wäre eine ordentliche Abschreckung für
> zukünftige Spammer.

Du glaubst an Abschreckung? Vor allem mußt Du einen Aufwand zur
Ermittlung treiben, gegen den das Aufspüren von KiPo-Versendern ein
Scherz ist (und jetzt könnte es gleich wieder politisch werden).

> Das Verfolgen der Spammer erscheint dir unrealistisch? Mir auch,
> aber es wäre immer noch weniger Aufwand als die weltweite Umstellung
> aller Mailsysteme.

Nein, denn letzteres wirkt nachhaltig. Ähm, würde nachhaltig wirken.

> Andererseits haben Wegwerf-Adressen auch große Nachteile. Es ist so
> schade, wenn man mehrere Jahre alte Artikel im Netz findet, und sich
> fragt: Was ist aus dem Projekt geworden. Aber man hat niemanden mehr,
> den man anschreiben kann. Der Autor hinterließ keine Mailadresse
> (klar, wegen Spam) oder hatte eine Wegwerf-Adresse verwendet, die
> nicht mehr gültig ist.

Been there, done that :-(

> > Blöd ist halt, dass bei einer "Unterhaltung" oder einem 
> > "Gespräch" das Thema schnell wechseln kann bzw. neue Themen einbezogen 
> > können
> 
> Ob das geschieht oder nicht, entscheiden die Schreibenden.

Ich habe mir alle Mühe gegeben, es klappt nicht.

    Christoph