Christoph Schnauß: Sinn von Spam-Filtern

hallo Forum,

mein Mail-Provider hat lange gezögert, ehe ein Spam-Filter eingebaut wurde. Mir war das zu doof, also hatte ich mir selber einen gebaut, der alles zurückschickte mit "Empfänger unbekannt"  -  der Nachteil war, daß das Ding nur dann funktionierte, wenn ich mir den Kram bereits vom Provider angefordert hatte. Es konnte also schon mal ein halber Tag vergehen, ehe irgendso eine Spam-Schleuder den entsprechenden Vermerk zurück bekam.
Jetzt dachte ich ursprünglich, daß das doch ganz prima ist, was mein Provider da neuerdings anbietet und habe das Teil dankbar aktiviert. Ich bemerke jedoch seit einiger Zeit, daß mein Spam-Aufkommen erheblich steigt. Der Grund dürfte sein, daß mein Provider die Dinger ja erstmal annimmt und nix zurückmeldet bis auf die Tatsache "alles heil gelandet". Ob ich selbst lese und/oder reagiere, ist ja eh zweitrangig, die Spamer wissen aber jetzt, daß es sich um eine valide Adresse handelt und schicken fröhlich immer mehr Krempel. Heute waren es bisher etwas über 400 mails, und ihr wißt ja, was da kommt: Porno, Viagra, billige Software ...

Meine Adresse steht nicht nur hier im Forum (wo ich sie "verschlüsseln" könnte, was sich aber nicht mehr lohnt, da es sie mehrfach auch im Archiv gibt), sondern bereits seit mehreren Jahren auch in einigen Newsgroups und an anderen Stellen, so daß es Unsinn ist, da jetzt noch irgendwelche "Maskierungen" zu versuchen. Die Spamer haben mich auf ihren Listen, das einzige, was dagegen helfen könnte, wäre eine völlig neue mail-Adresse. Und genau da liegt mein Problem, denn meine Adresse ist relativ gut eingeführt, zumindest bei den Leuten, die mir gelegentlich gerne etwas schreiben dürfen und zu recht auf Korrespondenz und Antwort hoffen.

Ich fürchte, ich muß mich in Geduld üben. Oder gibts irgendwas ganz besonders Effektives an der Anti-Spam-Front?

Grüße aus Berlin

Christoph S.

  1. Hallo Christoph,

    Ich fürchte, ich muß mich in Geduld üben. Oder gibts irgendwas ganz besonders Effektives an der Anti-Spam-Front?

    Was hindert dich daran, deinen selbstgebauten Spamfilter weiter zu verwenden?

    Johannes

    --
    Das sage ich deshalb, weil ich Hompagebauer bin und Ahnung davon .
    ss:| zu:) ls:[ fo:) de:] va:) ch:) n4:| rl:) br:< js:| ie:{ fl:( mo:}
    1. du nun wieder <seufz> ;-)

      Was hindert dich daran, deinen selbstgebauten Spamfilter weiter zu verwenden?

      Nix, überhaupt nix. Aber der "Filter" beim Provider schickt mir halt den Müll gar nicht mehr rüber, und ich muß mir die Arbeit machen, nachzusehen, ob der Provider schon ein "dankeschön, alles heil angekommen" gesendet hat. Das kann der Provider wesentlich schneller und effektiver als ich, und es steht zu befürchten, daß das mittlerweile zu oft passiert ist.

      Grüße aus Berlin

      Christoph S.

      1. du nun wieder <seufz> ;-)

        Morgen sind die Ferien zu Ende, da habe ich dann nicht mehr so viel Zeit ;-)

        Was hindert dich daran, deinen selbstgebauten Spamfilter weiter zu verwenden?

        Nix, überhaupt nix. Aber der "Filter" beim Provider schickt mir halt den Müll gar nicht mehr rüber,

        Und du kannst nicht einstellen, dass er die gefilterten Mails auch an dich weiterschick bzw. den Mailfilter deaktivieren. Wenn das nicht geht, macht er sich aber, soweit ich weiß, rechtliche Probleme.

        und ich muß mir die Arbeit machen, nachzusehen, ob der Provider schon ein "dankeschön, alles heil angekommen" gesendet hat.

        Was meinst du damit? Sendet dein Provider für jede Mail eine Empfangsbestätigung?

        Schöne Grüße,

        Johannes

        --
        Das sage ich deshalb, weil ich Hompagebauer bin und Ahnung davon .
        ss:| zu:) ls:[ fo:) de:] va:) ch:) n4:| rl:) br:< js:| ie:{ fl:( mo:}
        1. Hi Johannes,

          Was meinst du damit? Sendet dein Provider für jede Mail eine Empfangsbestätigung?

          Das würde den Sinn eines Spam-Filters wirklich ad absurdum führen. Ich habe noch nie mit einem serverseitigen Spamfilter gearbeitet. Ist das wirklich so üblich?

          Viele Grüße
          Mathias Bigge

          1. Hallo Mathias,

            [...] Ist das wirklich so üblich?

            Nein.

            Grüße,
             CK

            --
            So, wie ein Teil ist, ist das Ganze.
            http://wwwtech.de/
          2. Hallo Mattes,

            Was meinst du damit? Sendet dein Provider für jede Mail eine Empfangsbestätigung?
            Das würde den Sinn eines Spam-Filters wirklich ad absurdum führen. Ich habe noch nie mit einem serverseitigen Spamfilter gearbeitet. Ist das wirklich so üblich?

            Nein. Ich konnte mit Christophs Aussage nichts anfangen. Das war das einzige, was mir dazu eingefallen ist.

            Schöne Grüße,

            Johannes

            --
            Das sage ich deshalb, weil ich Hompagebauer bin und Ahnung davon .
            ss:| zu:) ls:[ fo:) de:] va:) ch:) n4:| rl:) br:< js:| ie:{ fl:( mo:}
      2. Hallo,

        Nix, überhaupt nix. Aber der "Filter" beim Provider schickt mir halt
        den Müll gar nicht mehr rüber,

        ja aber ist das denn nicht das, was man will? Den Müll nicht bekommen? Irgendwas habe ich jetzt nicht am Problem verstanden(?)

        Chräcker

        --
        Erinnerungen?
        zu:]
  2. hi Christoph!

    das einzige, was dagegen helfen könnte, wäre eine völlig neue mail-Adresse. Und genau da liegt mein Problem, denn meine Adresse ist relativ gut eingeführt, zumindest bei den Leuten, die mir gelegentlich gerne etwas schreiben dürfen und zu recht auf Korrespondenz und Antwort hoffen.

    Ich fürchte, ich muß mich in Geduld üben. Oder gibts irgendwas ganz besonders Effektives an der Anti-Spam-Front?

    naja, geduld ist immer gut, und eine in jeglicher hinsicht gute loesung wirst du auch nicht finden. aaaaber schrauben, an denen man drehen kann gibt es genug.

    wahrscheinlich werde ich dir auch nichts neues sagen koennen, aber ueberdenkenswert ist vielleicht trotzdem folgendes:
    eine moeglichkeit besteht darin, dass du deine jetzige email-adresse mit einem auto-responder versiehst a la "diese email-adresse wird nicht mehr weitergefuehrt, meine aktuelle email-adresse ist auf http://ooglefoogleboogle.../zork/bork/gork.htm zu finden. sorry fuer diese umstaende...". naja, und auf eben jener adresse hinterlegst du als leichtverzerrtes bild deine neue email-adresse.
    klar, das macht dem sender zwar ein wenig arbeit, aber ich finde, das ist durchaus zumutbar.

    zudem habe ich gemerkt, dass es sinnvoll ist, fuer verschiedene anlaesse verschiedene email-adresse zu nutzen. der vorteil dabei ist, dass man eine email-adresse loeschen (oder wiederum per auto-responder auf .../gork.htm hinweisen) kann, ohne dass viele so leute davon betroffen sind.

    man kann diese beiden sachen auch kombinieren, indem man auf der seite http://ooglefoogleboogle.../zork/bork/gork.htm die eingabe eines namens verlangt und aus jenem und ein paar zufaelligen zahlen eine email-adresse generiert. dafuer sind dann allerdings besondere zugriffsrechte auf den mailserver erforderlich.

    ach ja, ein eigener mail-server ist natuerlich wohl sowieso das beste. aber sowas kostet wieder viel geld, strom und zeit.

    prost
    seth

    ps. (wie) hast du eigentlich das problem mit der alten festplatte geloest? ist dazu hier irgendwo ein thread mit der loesung? wenn ja, wo?

    1. Hi seth!

      ps. (wie) hast du eigentlich das problem mit der alten festplatte geloest? ist dazu hier irgendwo ein thread mit der loesung? wenn ja, wo?

      Er hats hinbekommen (wie sollte es auch anders sein :-)): http://forum.de.selfhtml.org/archiv/2004/10/91742/#m552853

      Grüße,
      Fabian St.

      --
      Endlich online: http://fabis-site.net
      --> XHTML, CSS, PHP-Formmailer, Linux
      Selfcode: ie:% fl:|  br:^ va:) ls:& fo:) rl:( n4:° ss:| de:> js:| ch:| mo:) zu:)
      1. gudn tach!

        (wie) hast du eigentlich das problem mit der alten festplatte geloest? ist dazu hier irgendwo ein thread mit der loesung? wenn ja, wo?

        Er hats hinbekommen (wie sollte es auch anders sein :-)): http://forum.de.selfhtml.org/archiv/2004/10/91742/#m552853

        hmm, also ich gebe zu, das hat fast schon was kafkaeskes, aber vor allem auch deswegen weil mir irgendwie das problem noch nicht so recht geloest worden zu sein scheint, oder doch? allerdings verstehe ich auch nicht, wie auf der einen seite dblspace-dateien noch nicht erfolgreich entpackt werden konnten, aber auf der anderen seite schon irgendwelche wri-dateien schon vorhanden sind. *aufm_schlauch_steh*.

        nun denn gute nacht und prost
        seth

    2. hi,

      eine moeglichkeit besteht darin, dass du deine jetzige email-adresse mit einem auto-responder versiehst a la "diese email-adresse wird nicht mehr weitergefuehrt, meine aktuelle email-adresse ist auf http://ooglefoogleboogle.../zork/bork/gork.htm zu finden. sorry fuer diese umstaende...". naja, und auf eben jener adresse hinterlegst du als leichtverzerrtes bild deine neue email-adresse.
      klar, das macht dem sender zwar ein wenig arbeit, aber ich finde, das ist durchaus zumutbar.

      viel spaß mit den ganzen zurückkommenden unzustellbar-meldungen, weil die spammer gar nicht existente mailadressen benutzen.

      gruß,
      wahsaga

      --
      "Look, that's why there's rules, understand? So that you _think_ before you break 'em."
      1. gudn tach!

        auto-responder [...] a la "diese email-adresse wird nicht mehr weitergefuehrt, meine aktuelle email-adresse ist auf http://ooglefoogleboogle.../zork/bork/gork.htm zu finden. sorry fuer diese umstaende...".

        viel spaß mit den ganzen zurückkommenden unzustellbar-meldungen, weil die spammer gar nicht existente mailadressen benutzen.

        die meisten (aber nicht alle) benutzen nicht existente email-adressen. das ist wahr. aber mit etwaigen zurueckkommenden emails hat man ja dann persoenlich keine probleme, da man die alte email-adresse ja nicht mehr benutzt, bzw. emails an jene gar nicht erst speichert/durchstellt.

        prost
        seth

    3. Hallo seth,

      eine moeglichkeit besteht darin, dass du deine jetzige email-adresse mit einem auto-responder versiehst a la "diese email-adresse wird nicht mehr weitergefuehrt, meine aktuelle email-adresse ist auf http://ooglefoogleboogle.../zork/bork/gork.htm zu finden. sorry fuer diese umstaende...". naja, und auf eben jener adresse hinterlegst du als leichtverzerrtes bild deine neue email-adresse.
      klar, das macht dem sender zwar ein wenig arbeit, aber ich finde, das ist durchaus zumutbar.

      Ich nicht.

      Schöne Grüße,

      Johannes

      --
      Das sage ich deshalb, weil ich Hompagebauer bin und Ahnung davon .
      ss:| zu:) ls:[ fo:) de:] va:) ch:) n4:| rl:) br:< js:| ie:{ fl:( mo:}
  3. Moin!

    mein Mail-Provider hat lange gezögert, ehe ein Spam-Filter eingebaut wurde. Mir war das zu doof, also hatte ich mir selber einen gebaut, der alles zurückschickte mit "Empfänger unbekannt"  -  der Nachteil war, daß das Ding nur dann funktionierte, wenn ich mir den Kram bereits vom Provider angefordert hatte.

    Ich glaube nicht, dass so ein Spamfilter mit dieser Funktionsweise schlau ist. Du wirst ja kaum einen eigenen SMTP-Server betreiben, sondern allenfalls mittels POP3 deine Post beim Provider abholen. Dementsprechend kannst du auch keine 5xx-Statusmeldung (z.B. 554) während des SMTP-Dialogs zurücksenden an exakt den, der da gerade Spam einliefern will, sondern du kannst nur eine Mail an die Adresse senden, die im Spam als Absender angegeben ist, weil der originale SMTP-Dialog ja schon lange vorbei ist.

    Das führt dazu, das deine "Empfänger unbekannt"-Mail in irgendeinem unschuldigen Postfach aufschlägt. Wenn das alle Spamfilter so machen würden, wäre der Schaden bei einer bösen Spammingaktion verdoppelt: Nicht nur dass die Welt eine weitere ungewollte Spamnachricht kriegt, nein, auch die unschuldige Absenderadresse kann ihr Mailpostfach komplett vergessen wegen der ganzen Rückmeldungen.

    Wenn du schon irgendwelche Spamfilter-Aktionen durchführen willst, dann halte doch bitte vernünftige Regeln ein:
    1. Entweder du akzeptierst die EMail während des SMTP-Dialogs, oder du weist sie mit Status 4xx oder 5xx zurück.
    2. Wenn du sie akzeptiert hast, melde nie etwas automatisch zurück, außer du möchtest persönlich der angegebenen (und evtl. gefälschten) Absenderadresse antworten.
    3. Alles, was du als Mail akzeptiert hast, kannst du natürlich eigeverantwortlich sortieren und auch direkt wegwerfen - deine Entscheidung.

    Es konnte also schon mal ein halber Tag vergehen, ehe irgendso eine Spam-Schleuder den entsprechenden Vermerk zurück bekam.

    Das ist ja eben das Problem: Übliche Spamschleudern interessiert das absolut nicht. Ob da nun eine Mail mehr oder weniger ausgeliefert wird - scheißegal. Ob der Mailserver die Mail akzeptiert oder nicht - scheißegal. Die Maildatenbanken werden kaum bereinigt, weil das in diesem Maßstab viel zuviel Aufwand wäre für die Spammer. Die haben ohne Probleme die Hardware, auch eine Million Fehlzustellungen zu verkraften. Ein Abbruch des SMTP-Dialoges ist da noch das einfachste (und auch die einzige Chance, die eigene Mailadresse als "hier kann man nix hinsenden" zu kennzeichnen) - schließlich muß man da die Mail nicht noch hinschicken, eine automatistierte Rückmeldung kommt aber wahrscheinlich gar nicht an - oder interessiert niemanden.

    Der Grund dürfte sein, daß mein Provider die Dinger ja erstmal annimmt und nix zurückmeldet bis auf die Tatsache "alles heil gelandet". Ob ich selbst lese und/oder reagiere, ist ja eh zweitrangig, die Spamer wissen aber jetzt, daß es sich um eine valide Adresse handelt und schicken fröhlich immer mehr Krempel. Heute waren es bisher etwas über 400 mails, und ihr wißt ja, was da kommt: Porno, Viagra, billige Software ...

    Nein, das hängt extrem vom Spamfilter ab.

    Das Problem ist: Man kann als Provider keinen inhaltsbasierenden Filter einbauen, ohne damit grundsätzliche Probleme mit den eigenen Kunden zu provozieren. Denn wer will den Inhaltsfilter wohl füttern. Ein Spamfilter, bei dem ich nicht weiß, was er filtert, ist genauso wertlos, wie keinen Spamfilter zu haben.

    Gute Ergebnisse kann man erzielen, indem der SMTP-Server streng auf die Einhaltung der SMTP-Regeln achtet. Zusätzlich gibts genügend DNS- und IP-Blacklisten, die man ebenfalls zu Rate ziehen kann. Grundsätzlich sollte ein Provider ausschließlich basierend auf dem SMTP-Dialog _vor_ Empfang des Mailinhalts entscheiden, ob er die Mail empfangen (und dann dem Empfänger auch ins Postfach legen) will, oder ob er den Empfang verweigert.

    Der Empfänger selbst kann dann mit seinen eigenen Spamfiltern sein individuelles Postfach säubern. Ob er dazu vom Provider z.B. Spamassassin auf dem Mailserver installiert kriegt, um dann mit seinem Mailprogramm die zusätzlichen Header mit den Ratings auszuwerten, oder ob er das komplett seinem POP3-Client überläßt und lokal realisiert, sollte den Provider dann nicht mehr weiter interessieren.

    - Sven Rautenberg

  4. Servus,

    seit knapp 8 Monaten haben nwir eine antispam Projekt am laufen.
    Inzwiwschen sind wir bei einer Filterrate von rund 99,98 %
    D.H. -> 0,02 % Kommen noch durch, bzw. sind Werbungen unserer Kunden die leider ab und an auch mit in den Mülleimer wandern.
    Sieht man mal vom Umstand ab, dass es letzendlich nur "unnötige" Werbung ist die in den Müll wandert.

    -> Das ganze läuft natürlich auf dem Server ab.
    Begonnen hat die Filterei bei etwa 85 % Trefferquote sowie nur einem einzigen Newletter, der leider immer mit in die tonne gewandert ist.
    Dem MS Newsletter für Partner.

    Was solls.
    Hierbei handelt es sich um eine Kombination aus spamassassin Pyzor Razor2 und Bayes.

    Alles zu finden im Internet und / oder bei [LINK=http://www.linuxwiki.de]Linuxwiki[/LINK]

    Funktionieren tut es gut, solltest jedoch ein 2. Postfach anlegen, um dort die doch noch durchgerutschten Spams zu deponieren und dem System zu lernen.

    Allerdings war der Upgrade auf die neuste Version 3.0.1 nicht sonderliche glücklich. Das werden wir im Hause wohl nochmals üben müssen. -> Danach hat er nix mehr gefiltert. Was auch immer da nicht mehr wollte.
    Entweder die Regeln oder die Konfiguration die macken hatte.
    Solltest Du die Sourcen für 2.64 noch haben wollen, kann ich Dir das gerne zu kommen lassen.

    -> Das wars dann auch schon wieder.

    Gruss Matze

  5. Hi Christoph,

    Jetzt dachte ich ursprünglich, daß das doch ganz prima ist, was mein Provider da neuerdings anbietet und habe das Teil dankbar aktiviert. Ich bemerke jedoch seit einiger Zeit, daß mein Spam-Aufkommen erheblich steigt. Der Grund dürfte sein, daß mein Provider die Dinger ja erstmal annimmt und nix zurückmeldet bis auf die Tatsache "alles heil gelandet".

    Ich denke nicht das beides miteinander zusammnehängt.
    Vielmehr steigt auch mein Spamaufkommen und das meiner Kunden zur Zeit erheblich.
    Ich denke in den letzten Wochen hab ich ca 25-35% mehr Spam-Mails, ich filtere auch mit den unterschiedlichen Systemen ohne der ganzen Sache Herr zu werden.

    Also scheinbar hilft nichts wirklich, und man kann eigentlich nur dafür Sorge tragen, dass der ganze Müll nicht mehr im Postfach landet.

    :-(
    TomIRL