Tom: email-Server: "kauft Viagra"

Hello,

so langsam gehts mir doch auf den Senkel!
Über 200 Spam-Mails am Tag.

Was wäre die einfachste Lösung, davon wenigstens einen Teil schon auf dem Server loszuwerden?
Es muss aber sichergestellt werden, dass keine wenentlichen Mails verloren gehen.
Und dann wieder irgendeinen Mülleimer durchzusehen, habe ich auch keine Lust.

Ich habe schon überlegt, jedem Kunden und Liferanten einen eigenen "Mail-Code" zu geben und wenn der dann auch mit Spam zusammen kommt, den Geschäftspartner zu verklagen (nur so als Denkansatz).

Meine Idee mit dem VMTP-Protokoll schmort hier auch immer noch. Das wäre ja quasi ser Weg. Nur noch mails aus authentifizierten Quellen annehmen.

Ich wills einfach nochmal zur Diskussion stellen. Was ist der richtige[tm] Weg?

Harzliche Grüße aus http://www.annerschbarrich.de

Tom

--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau
Ich bekenne: Ich gehöre zu den Induktivitäten dieser Welt!
  1. Was wäre die einfachste Lösung, davon wenigstens einen Teil schon auf dem Server loszuwerden?
    Es muss aber sichergestellt werden, dass keine wenentlichen Mails verloren gehen.
    Und dann wieder irgendeinen Mülleimer durchzusehen, habe ich auch keine Lust.

    Das sind doch mal ein hehre Weihnachtswünsche. Wenn Dein Provider keine Anstalten macht, einen Spam-Filter auf den Mailserver zu setzen, hätte ich einen kleinen Vorschlag:

    Deine jetzige Mail-Adresse als Weiterleitung auf eine Web.de-Adresse nutzen, dort den "patentierten Drei-Wege-Spamschutz" genießen und zum Senden einfach Deinen bisherigen (SMTP-)Account nutzen.

    Michel

    1. Hello,

      Das sind doch mal ein hehre Weihnachtswünsche. Wenn Dein Provider keine Anstalten macht, einen Spam-Filter auf den Mailserver zu setzen, hätte ich einen kleinen Vorschlag:

      Ich habe meinen Provider bisher nicht darum gebeten, denn ich will ja selber wissen, welches Verfahren das zweckmäßigste ist ;-)

      Harzliche Grüße aus http://www.annerschbarrich.de

      Tom

      --
      Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
      Nur selber lernen macht schlau
      Ich bekenne: Ich gehöre zu den Induktivitäten dieser Welt!
      1. Ich habe meinen Provider bisher nicht darum gebeten, denn ich will ja selber wissen, welches Verfahren das zweckmäßigste ist ;-)

        Ein kurzer Blick in die Filterliste des Heise-Verlags (http://www.heise.de/ix/nixspam/nixspam.blackmatches) zeigt deutlich: Wer Mails von Modem- oder DSL-Verbindungen annimmt, die sich nicht beim Mailserver authentifiziert haben, muss sich über die Spammassen nicht wundern.

        1. Hello,

          Ich habe meinen Provider bisher nicht darum gebeten, denn ich will ja selber wissen, welches Verfahren das zweckmäßigste ist ;-)

          Ein kurzer Blick in die Filterliste des Heise-Verlags (http://www.heise.de/ix/nixspam/nixspam.blackmatches) zeigt deutlich: Wer Mails von Modem- oder DSL-Verbindungen annimmt, die sich nicht beim Mailserver authentifiziert haben, muss sich über die Spammassen nicht wundern.

          Klar. Ich wundere mich auch nicht.
          Aber wie könnte ich denn z.B. die Filterliste in die Regeln des Mailservers einbinden?
          Auf dem hauptsächlich betroffenen Server läuft qmail.

          Kann ich die Liste nicht einfach in die Konfiguration einbinden? Allerdings würde ich das nicht direkt wollen, sondern per dokumentiertem CronJob o.ä.

          Vielleicht habe ich jetzt eben nicth genau hingeschaut, aber dürfte ich das?
          Viermal am Tag die Liste per Cronjob in die Configuration des Mailservers einbinden?

          Harzliche Grüße aus http://www.annerschbarrich.de

          Tom

          --
          Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
          Nur selber lernen macht schlau
          Ich bekenne: Ich gehöre zu den Induktivitäten dieser Welt!
          1. Viermal am Tag die Liste per Cronjob in die Configuration des Mailservers einbinden?

            Dann weißt Du viermal am Tag, welche Computer gerade heise.de beackern. Ob diese etwas subjektive Sicht des Weltgeschehens Deinem Server hilft, vermag ich nicht zu sagen.
            Die Sache ist außerdem deutlich einfacher, denn fast alle rDNS-Namen dieser Liste haben ein, teilweise sogar zwei Dinge gemeinsam: Entweder taucht die IP-Nummer mit mindestens drei Triplets auf oder ein verräterischer Begriff wie dsl, modem, cable, ppp, slip und dergleichern. Das lässt sich leichtens mit zwei regex-Ausdrücken filtern.

            Falls der Mailserver nicht in der Lage ist, auf diese Art zu filtern, kann man immer noch auf procmail zurückgreifen, so wie es der Heise-Verlag macht. Ein entsprechender Hinweis befindet sich in den Erklärungen am Anfang der Liste.

        2. Hallo!

          Wer Mails von Modem- oder DSL-Verbindungen annimmt, die sich nicht beim Mailserver authentifiziert haben, muss sich über die Spammassen nicht wundern.

          AFAIK gibt es aber (noch) kein standardisiertes Verfahren hierfür. Klar, gegenüber Email-Clients ist das kein Problem, aber der Spam kommt ja meist von SMTP-Servern, die unwissentlich auf solchen Rechnern installiert werden (Viren...) und mails selber an den Zielhost übergeben.

          Grüße
          Andreas

          --
          SELFHTML Linkverzeichnis: http://aktuell.de.selfhtml.org/links/
          1. Wer Mails von Modem- oder DSL-Verbindungen annimmt, die sich nicht beim Mailserver authentifiziert haben, muss sich über die Spammassen nicht wundern.

            AFAIK gibt es aber (noch) kein standardisiertes Verfahren hierfür.

            War das eine rethorische Feststellung? Falls nicht, woher glaubst Du, weiß ich, dass da lauter dynamische IP-Adressen in der Heise-Liste stehen? Es gibt da einige offensichtliche Übereinstimmungen.

            Klar, gegenüber Email-Clients ist das kein Problem, aber der Spam kommt ja meist von SMTP-Servern, die unwissentlich auf solchen Rechnern installiert werden (Viren...) und mails selber an den Zielhost übergeben.

            Auf keinem infizierten Rechner wird ein SMTP-Server installiert. Das dürften ganz einfache Miniatur-SMTP-Clients sein, die regelmäßig von sich aus bei ihrem Herrn die zu versendenden Mails abholen. Ein echter SMTP-Server, der als Relais fungiert, macht keinen Sinn, denn woher sollen die Spammer wissen, auf welchem der Millionen potentieller Opfer sie ihren Server installiert haben? Hinzu kommt, dass die Übermittlung von zig Hundertausend Zieladressen per SMTP auch nicht gerade ideal ist.

            1. Hallo!

              AFAIK gibt es aber (noch) kein standardisiertes Verfahren hierfür.

              War das eine rethorische Feststellung?

              gibt es sowas? ;-) Jedenfalls war es mein Ernst. Die SMTP-Auth Daten kennt nur der Client und der entsprechende SMTP-Server der Mails von dieser Adresse entgegenimmt. Aber ein Mail-Gateway auf dem PC kann ja eine Mail direkt an den Zielhost übergeben, der die SMTP-Auth Daten natürlich nicht kennen kann. Was ich meinte ist dass der Zielhost nicht wissen kann, ob derjenige der jetzt die Email von einer bestimmten Domain überträgt, tatsächlich hierfür autorisiert ist, oder eben nicht. Er nimmt die mail einfach an. Er hat zwar dann die IP des sendenden Hosts, aber wenn das die eines Privat-PCs eines "Schädlings-Opfers" ist, bringt das herzlich wenig. Es gibt verschiedene Ansätze dies zu lösen, z.B. über eine Erweiterung von DNS festzulegen von welcher IP aus Mails einer bestimmten Domain versendet werden dürfen. Aber das ist nicht die einzige Alternative, einen weit verbreiteten Standard gibt es eben noch nicht. Ein Ansatz sind eben auch solche Blacklisten, wodurch Mail-Server keine Mails von IPs auf dieser Liste entgegennehmen.

              Falls nicht, woher glaubst Du, weiß ich, dass da lauter dynamische IP-Adressen in der Heise-Liste stehen? Es gibt da einige offensichtliche Übereinstimmungen.

              Du weißt es weil da eben dynamische Adressen drinstehen ;-)

              In der von Dir verlinkten Liste steht unter anderem:

              Spamversender verringern die Wirksamkeit von Blacklists, indem sie

              eine grosse Anzahl nur voruebergehend mit dem Internet verbundener

              "Zombie"-PCs fuer ihre Zwecke missbrauchen. Dazu nutzen sie

              Backdoor-Funktionen von Programmen, die PC-Anwender in gutem Glauben

              oder versehentlich (etwa durch Viren und Wuermer) installieren.

              Ueber eigene SMTP-Funktionen oder als offene Proxies treten solche

              Rechner als Mail-Gateways in Erscheinung und fallen oft durch

              DNS-Namen mit vielen Ziffern oder durch Namensbestandteile wie

              "dyn", "dhcp", "dialin", "dsl" und andere auf. Nach etwa einem

              Tag fallen die Adressen heraus und tauchen erst wieder auf, wenn

              sie neuen Spam senden.

              Auf keinem infizierten Rechner wird ein SMTP-Server installiert.

              Bist Du Dir da so sicher? Die installieren natürlich keinen "richtigen" SMTP-Server, es sind halt bestimmte Trojaner... die die Funktionalität eines Mail-Gateways implementiert haben. Das SMTP-Protokoll ist ja auch nicht wirklich kompliziert.

              Das dürften ganz einfache Miniatur-SMTP-Clients sein, die regelmäßig von sich aus bei ihrem Herrn die zu versendenden Mails abholen.

              abholen? Viele Schädlinge haben einfach den Mail-Client verwendet um Mails zu versenden. Inzwischen gibt es aber hier immer mehr Möglichkeiten.

              Ein echter SMTP-Server, der als Relais fungiert, macht keinen Sinn, denn woher sollen die Spammer wissen, auf welchem der Millionen potentieller Opfer sie ihren Server installiert haben?

              Genau. Diese Adressen werden für viele 1000 USD gehandelt. Natürlich haben entsprechende Schädlinge Funktionen implementiert die eigene Adresse bei Einwahl an den "Auftraggeber" zu übermitteln. Das Opfer bekommt davon normalerweise nichts mit.

              Hinzu kommt, dass die Übermittlung von zig Hundertausend Zieladressen per SMTP auch nicht gerade ideal ist.

              Hm? Wie denn sonst? Es werden auch gerne schlecht gesicherte Server (vor allem von "Ich-bin-jetzt-auch-Provider-Root-Server-Betreiben") hierzu missbraucht, die Dank der fetten Anbindung, fester IP aus einem "vertrauenswürdigeren" Netzabschnitt natürlich erheblich interessantere Ziele darstellen. Aber bzgl. Client-PCs geht es halt um "Masse statt Klasse". Aber im Prinzip macht ein Schädling auf einem Client-PC auch nichts anderes.

              Siehe z.B. hier: http://www.heise.de/ct/04/11/003/

              Ich zitiere mal:

              Er kann genauso Kreditkarteninformationen oder eBay-Kontodaten

              ausspionieren wie die Windows-Registry nach CD-Keys für Online-Spiele

              absuchen oder den Rechner als Spam-Relay missbrauchen.

              Wie hoch der Schaden durch Ausspähen und späteres Ausnutzen solcher

              Daten bei den Anwendern ist, lässt sich nicht im Entferntesten

              abschätzen. Mittlerweile sind bereits über 1000 Phatbot-Stämme

              registriert - und jeder Stamm kann locker über mehr als

              hunderttausend infizierte Systeme gebieten.

              Grüße
              Andreas

              --
              SELFHTML Linkverzeichnis: http://aktuell.de.selfhtml.org/links/
              1. Hello,

                "Zombie"-PCs fuer ihre Zwecke missbrauchen. Dazu nutzen sie

                Backdoor-Funktionen von Programmen, die PC-Anwender in gutem Glauben

                oder versehentlich (etwa durch Viren und Wuermer) installieren.

                Ja, dazu gehört z.B. auch der Thorn-Deamon. Der kann zwar dann im Prinzip die volle Kontrolle über das System verschaffen, aber die SPAMMER sind inzwischen auch genügsam geworden. Es gibt genügend SMTP-Server, über die man mal eben einige 1000 eMails versenden kann.

                Ich hatte Spam-Assassin auch schon mal in Erwägung gezogen, aber wirklich sinnvoll scheint mir das doch nur bei gleichzeitiger Benutzung der Virenschutzsoftware zu sein.

                Harzliche Grüße aus http://www.annerschbarrich.de

                Tom

                --
                Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
                Nur selber lernen macht schlau
              2. Was ich meinte ist dass der Zielhost nicht wissen kann, ob derjenige der jetzt die Email von einer bestimmten Domain überträgt, tatsächlich hierfür autorisiert ist, oder eben nicht.

                Glaubst Du, dass irgendein Mailserver eines echten Providers an einer 24h-DSL- oder Modemleitung hängt? Außer ein paar Halbstarken, die sich von einem "Server" unterm Kinderzimmertisch früheren Bartwuchs erhoffen, verschickt niemand Mails direkt an das Zielsystem, man geht immer über den Mailserver des Providers.

                Schlussfolgerung für den eigenen Mailserver: Von einer Einwahlleitung aus kommt keine Mail (eigene Relaisnutzer ausgenommen, aber die identifizieren sich mittels SMTP Auth).

                Falls nicht, woher glaubst Du, weiß ich, dass da lauter dynamische IP-Adressen in der Heise-Liste stehen? Es gibt da einige offensichtliche Übereinstimmungen.
                Du weißt es weil da eben dynamische Adressen drinstehen ;-)

                Es stehen viele dynamische Adressen drin, aber nicht ausschließlich. Diese Liste entsteht durch Analyse empfangener Mails, es ist eine Liste von Hosts, die Spam an Heise versandt haben, keine Liste dynamischer IPs. Und gerade weil es eine Liste ist, die auf tatsächlich empfangenen Spammails basiert, zeigt sie besonders deutlich, wie hoch der Anteil an dynamischen Adressen gegenüber echten SMTP-Servern ist.

                Auf keinem infizierten Rechner wird ein SMTP-Server installiert.
                Bist Du Dir da so sicher? Die installieren natürlich keinen "richtigen" SMTP-Server,

                Warum schreibst Du SMTP-Server, wenn Du weißt, dass es keine SMTP-Server sind?

                Ein echter SMTP-Server, der als Relais fungiert, macht keinen Sinn, denn woher sollen die Spammer wissen, auf welchem der Millionen potentieller Opfer sie ihren Server installiert haben?
                Genau. Diese Adressen werden für viele 1000 USD gehandelt.

                Mit potentiellen Opfern meine ich infizierte PCs. Deren (IP-)Adressen sind nicht handelbar, weil sie sich gemeinhin spätestens nach 24 Stunden ändern. Potentiell, weil niemand gezielt von einem Spammer dazu ausgesucht wird, seinen trojanischen Mailer aufzunehmen. Es ist reine Glückssache, wie weit sich ein Trojaner verbreitet.

                Aber im Prinzip macht ein Schädling auf einem Client-PC auch nichts anderes [als ein offenes Relais].

                Falsch, wie soll die Spamzentrale wissen, wo gerade jemand sein trojanisches Mailrelais per Modem mit dem Internet verbindet? Der Trojaner muss also erst einmal eine Verbindung zur Zentrale herstellen. Dann kann er aber auch gleich asynchron arbeiten, wie unten beschrieben.

                Hinzu kommt, dass die Übermittlung von zig Hundertausend Zieladressen per SMTP auch nicht gerade ideal ist.
                Hm? Wie denn sonst?

                Stell Dich nicht dümmer, als Du bist. Listen mit Mailadressen und Werbetexte kann man auch per HTTP, FTP oder irgendeinem selbstgestrickten Protokoll übertragen und sich dabei gzip oder bzip2 zu Nutze machen. Es könnte dem Eigentümer des infizierten PCs sonst auffallen, wenn seine Kiste drei Stunden mit dem Empfang von (wegen SMTP unkomprimierten) 500.000 Mailadressen beschäftigt ist.

                Ein einfacher Werbetrojaner schleicht sich auf dem PC eines Ahnungslosen ein, stellt eine Verbindung zu seinem Herrn her, holt Mailadressen und Werbetexte ab und beginnt mit dem Versand, direkt an die Zielsysteme, da ihm die Zugangsdaten, die der Ahnungslose für den Mailserver seines Provider hat, nicht unbedingt bekannt sein können.
                Auf diese Weise...

                • bleibt der Spammer dank nicht ständiger Verbindung die meiste Zeit im Verborgenen,
                • er belastet seine eigenen Systeme nicht mit dem tatsächlichen Mailversand, wie es bei einem "trojanischen SMTP-Server" der Fall wäre,
                • der Trojaner kann sein Werk bei Bedarf drosseln, um den Besitzer des infizierten PCs nicht durch auffällig geringen Datendurchsatz zu alarmieren,
                • der Spammer braucht sich nicht darum zu kümmern, welcher Trojaner in seinen 10 Minuten Onlinezeit bereits welche Mailadressen beglückt hat, da er jedem Trojaner einen Satz Adressen gibt, die dieser in den nächsten Tagen selbständig abarbeiten kann,
                • und es funktioniert alles auch aus einem privaten Netzwerk heraus und/oder vielleicht sogar durch eine Firewall.

                Der Nachteil ist, dass ein heimischer PC anhand des Domainnamens meistens leicht erkannt werden kann. Ein effektiver, nicht zu umgehender Schild gegen von Spammern infizierte PCs (und Viren sowieso). Davon rede ich die ganze Zeit.

                Es werden auch gerne schlecht gesicherte Server [...mit] fester IP aus einem "vertrauenswürdigeren" Netzabschnitt natürlich erheblich interessantere Ziele darstellen.

                Falsch, solche Server sind die schlechtere Wahl, denn ihre nicht ohne weiteres austauschbare IP-Adresse findet sich innerhalb weniger Stunden in schwarzen Listen wieder, womit dieser Server für den Spamversand beinahe wertlos ist. Du hast die gleichlautende Aussage von Heise selbst zitiert:

                In der von Dir verlinkten Liste steht unter anderem:

                Spamversender verringern die Wirksamkeit von Blacklists, indem sie

                eine grosse Anzahl nur voruebergehend mit dem Internet verbundener

                "Zombie"-PCs fuer ihre Zwecke missbrauchen.

                Außerdem muss man solche offenen Relais erstmal aufspüren. Wozu soll der Spammer zum Berg laufen, wenn der Berg mit Hilfe eines Ahnungslosen von ganz allein zum Spammer kommen kann?

                Wer im übrigen irgendeinen fremden Netzabschnitt als "vertrauenswürdig" einstuft, dem ist sowieso nicht mehr zu helfen.

                1. Hello,

                  Auf keinem infizierten Rechner wird ein SMTP-Server installiert.
                  Bist Du Dir da so sicher? Die installieren natürlich keinen "richtigen" SMTP-Server,

                  Warum schreibst Du SMTP-Server, wenn Du weißt, dass es keine SMTP-Server sind?

                  Weil es ein Dinestprogramm ist, also ein Server. Dieses kann aber nur Mail versenden, aber nicht empfangen. Wozu sollte es auch empfangen? Es ist also ein automatisierter SMTP-Client. Und hier setzt die Philosohie doch ein. Dann ist es also ein "halber Server".

                  Falsch, wie soll die Spamzentrale wissen, wo gerade jemand sein trojanisches Mailrelais per Modem mit dem Internet verbindet? Der Trojaner muss also erst einmal eine Verbindung zur Zentrale herstellen. Dann kann er aber auch gleich asynchron arbeiten, wie unten beschrieben.

                  Er wird aber mit den email-Listen und den email-Texten von außen gefüttert. Immer wieder.

                  Es könnte dem Eigentümer des infizierten PCs sonst auffallen, wenn seine Kiste drei Stunden mit dem Empfang von (wegen SMTP unkomprimierten) 500.000 Mailadressen beschäftigt ist.

                  Soviele werden selten be einer Kiste in Auftrag gegeben. Es sind meistens nur ca. 20 bis 30; und die sind kurz und ganz selten HTML-Mails. Der meiste Spam ist textbasiert, dafür oft mit einem schönen[tm] PIF oder SCR oder EXE ... hinten dran.

                  Harzliche Grüße aus http://www.annerschbarrich.de

                  Tom

                  --
                  Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
                  Nur selber lernen macht schlau
                2. Hallo!

                  Glaubst Du, dass irgendein Mailserver eines echten Providers an einer 24h-DSL- oder Modemleitung hängt?

                  Hab ich das gesagt?

                  Außer ein paar Halbstarken, die sich von einem "Server" unterm Kinderzimmertisch früheren Bartwuchs erhoffen, verschickt niemand Mails direkt an das Zielsystem, man geht immer über den Mailserver des Providers.

                  Normale Menschen schon, Spammer aber nicht.

                  Schlussfolgerung für den eigenen Mailserver: Von einer Einwahlleitung aus kommt keine Mail (eigene Relaisnutzer ausgenommen, aber die identifizieren sich mittels SMTP Auth).

                  Und wie genau stellst Du das jetzt sicher, also dass auch Mails von Einwahlleitungen in China, Russland, Argentinien und sonstwo abgeblockt werden?

                  Du weißt es weil da eben dynamische Adressen drinstehen ;-)

                  Es stehen viele dynamische Adressen drin, aber nicht ausschließlich. Diese Liste entsteht durch Analyse empfangener Mails, es ist eine Liste von Hosts, die Spam an Heise versandt haben, keine Liste dynamischer IPs. Und gerade weil es eine Liste ist, die auf tatsächlich empfangenen Spammails basiert, zeigt sie besonders deutlich, wie hoch der Anteil an dynamischen Adressen gegenüber echten SMTP-Servern ist.

                  Was hat denn die IP mit dem dahinter laufenden Dienst zu tun? Wieso kannst Du sicher sein dass sich hinter einer dynamischen Adresse kein SMTP-Server verbergen kann, der ohne Wissen des Anwenders auf dem PC läuft?

                  Auf keinem infizierten Rechner wird ein SMTP-Server installiert.
                  Bist Du Dir da so sicher? Die installieren natürlich keinen "richtigen" SMTP-Server,

                  Warum schreibst Du SMTP-Server, wenn Du weißt, dass es keine SMTP-Server sind?

                  Es sind natürlich SMTP-Server von der Funktionalität, aber es installiert niemand so Software wie Postfix oder was weiß ich was es da für Windows gibt. Die SMTP-Funktionalität wird in Schädlinge implementiert, und das auf verschiedene Art und Weise, und in verschiedenem Umfang.

                  Mit potentiellen Opfern meine ich infizierte PCs. Deren (IP-)Adressen sind nicht handelbar, weil sie sich gemeinhin spätestens nach 24 Stunden ändern.

                  Das zu glauben ist naiv! Kennst Du dyndns? oder ICQ? oder IRC? Es gibt 1000 Möglichkeiten wo sich eingewählte PCs ohne Wissen des Anwenders melden können. Die melden sich in irgendeiner Form beim Betreiber, und dieser kann diese Nutzen.

                  Potentiell, weil niemand gezielt von einem Spammer dazu ausgesucht wird, seinen trojanischen Mailer aufzunehmen. Es ist reine Glückssache, wie weit sich ein Trojaner verbreitet.

                  Ja. Aber viele Trojaner verbreiten sich Millionenfach. Jeder dieser Trojaner meldet seine IP in irgendeiner Form an seinen Betreiber. Dieser hat dann oft 100.000de IPs, natürlich sind die nicht immer alle online, aber ein großer Teil schon. Spammer bezahlen dafür, diese IP-Adressen zu erhalten, oder vielleicht auch für Programme in denen die IPs automatisch aktualisiert werden. Dann schicken die Spammer einfach ein paar 100 Mails an jede dieser IPs, uns selbst wenn nur 50.000 IPs funktionieren werden so in kürzester Zeit zig Mio. Spam-Mails versendet.

                  Aber im Prinzip macht ein Schädling auf einem Client-PC auch nichts anderes [als ein offenes Relais].

                  Falsch, wie soll die Spamzentrale wissen, wo gerade jemand sein trojanisches Mailrelais per Modem mit dem Internet verbindet?

                  Indem sich ein eingewähltes Relais z.B. im IRC meldet?

                  Hinzu kommt, dass die Übermittlung von zig Hundertausend Zieladressen per SMTP auch nicht gerade ideal ist.
                  Hm? Wie denn sonst?

                  Stell Dich nicht dümmer, als Du bist. Listen mit Mailadressen und Werbetexte kann man auch per HTTP, FTP oder irgendeinem selbstgestrickten Protokoll übertragen und sich dabei gzip oder bzip2 zu Nutze machen. Es könnte dem Eigentümer des infizierten PCs sonst auffallen, wenn seine Kiste drei Stunden mit dem Empfang von (wegen SMTP unkomprimierten) 500.000 Mailadressen beschäftigt ist.

                  Wie diese Systeme im Detail funktionieren weiß ich nicht, ich weiß aber dass es sowas wie von mir beschrieben gibt. Es gibt auch sowas was Du beschreibst, viele Wege führen nach Rom.

                  Ein einfacher Werbetrojaner schleicht sich auf dem PC eines Ahnungslosen ein, stellt eine Verbindung zu seinem Herrn her, holt Mailadressen und Werbetexte ab und beginnt mit dem Versand, direkt an die Zielsysteme, da ihm die Zugangsdaten, die der Ahnungslose für den Mailserver seines Provider hat, nicht unbedingt bekannt sein können.

                  Wie gesagt, es gibt sicher viele Wege und "Implementierungen". Ob ich den Schädling als SMTP-Relay betreibe, oder mir eine effizientere Art der Kommunikation zwischen Spammer und Schädlingen überlege, ist IMHO nebensächlich.

                  Der Nachteil ist, dass ein heimischer PC anhand des Domainnamens meistens leicht erkannt werden kann. Ein effektiver, nicht zu umgehender Schild gegen von Spammern infizierte PCs (und Viren sowieso). Davon rede ich die ganze Zeit.

                  Und wie erkennst Du das zuverlässig? Sicher, in D ist das einfach, aber in anderen Ländern auch? Und Blacklisten veralten manchmal recht schnell. Unter anderem steht/stand auch web.de schon mehrfach auf solchen Listen. Glaubst Du dadurch konnte ich auch nur eine einzige mail nicht versenden?

                  Es werden auch gerne schlecht gesicherte Server [...mit] fester IP aus einem "vertrauenswürdigeren" Netzabschnitt natürlich erheblich interessantere Ziele darstellen.

                  Falsch, solche Server sind die schlechtere Wahl, denn ihre nicht ohne weiteres austauschbare IP-Adresse findet sich innerhalb weniger Stunden in schwarzen Listen wieder, womit dieser Server für den Spamversand beinahe wertlos ist.

                  Sicher? Wieviel % der Mail-Server nutzen denn diese Blacklists? Dank der 100Mbit Anbindung kann so ein Server ein vielfaches der Mails über die Leitung schaufeln, wie PCs.

                  Außerdem muss man solche offenen Relais erstmal aufspüren. Wozu soll der Spammer zum Berg laufen, wenn der Berg mit Hilfe eines Ahnungslosen von ganz allein zum Spammer kommen kann?

                  Solche Infos gibts wie gesagt gegen Bares.

                  Grüße
                  Andreas

                  --
                  SELFHTML Linkverzeichnis: http://aktuell.de.selfhtml.org/links/
                  1. Glaubst Du, dass irgendein Mailserver eines echten Providers an einer 24h-DSL- oder Modemleitung hängt?
                    Hab ich das gesagt?

                    Du...

                    Außer ein paar Halbstarken, die sich von einem "Server" unterm Kinderzimmertisch früheren Bartwuchs erhoffen, verschickt niemand Mails direkt an das Zielsystem, man geht immer über den Mailserver des Providers.
                    Normale Menschen schon, Spammer aber nicht.

                    ...hast es gesagt. Wenn normale Menschen keine Mailserver an dynamischen Zugängen benutzen, dürfte es kein Problem sein, dynamische Zugänge zu blockieren.

                    Und wie genau stellst Du das jetzt sicher, also dass auch Mails von Einwahlleitungen in China, Russland, Argentinien und sonstwo abgeblockt werden?

                    Ich zwinge niemanden, einen Filter zu verwenden, der nur 8 von 10 Spammails abblockt. Im übrigen empfehle ich einen Blick in die Heise-Liste, aus dem Gedächtnis heraus möchte ich behaupten, dass der überwiegende Teil der Domains aus dem Ausland stammt.

                    Wieso kannst Du sicher sein dass sich hinter einer dynamischen Adresse kein SMTP-Server verbergen kann, der ohne Wissen des Anwenders auf dem PC läuft?

                    Absolute Sicherheit gibt es nicht, den Ausnahmefall wie auch die Regel habe ich bereits beschrieben (Halbstarke). Ich bin aber gespannt auf Deine Vorstellungen darüber, in welcher Konstellation es vorkommen soll, dass auf einem per Einwahlleitung angebundenen PC ein nicht für Spam genutzter SMTP-Server installiert ist, ohne das der Besitzer des PCs davon weiß.

                    Diese Adressen werden für viele 1000 USD gehandelt.
                    Mit potentiellen Opfern meine ich infizierte PCs. Deren (IP-)Adressen sind nicht handelbar, weil sie sich gemeinhin spätestens nach 24 Stunden ändern.
                    Das zu glauben ist naiv! Kennst Du dyndns? oder ICQ? oder IRC? Es gibt 1000 Möglichkeiten wo sich eingewählte PCs ohne Wissen des Anwenders melden können. Die melden sich in irgendeiner Form beim Betreiber, und dieser kann diese Nutzen.

                    Schön, er kann sie nutzen, aber nicht verkaufen, denn gerade bei nach Zeit abgerechneten Zugängen dürfte die Ware IP-Adresse in den meisten Fällen unbrauchbar sein. Und für sowas soll jemand "viele 1000 USD" zahlen? Ok, es gibt auch Leute, die meinen, sie hätten in Hong Kong für 3,99 eine echte Rolex gekauft. Vielleicht sollte ich doch die Profession wechseln.

                    Aber ich will mich hier nicht um den effektiven Einsatz von Spamsoftware streiten. Du hast bereits zugegeben, dass Spammer dynamische Zugänge verwenden, somit hat sich meine These zumindest schonmal als nicht vollkommen nutzlos erwiesen.

                    Und Blacklisten veralten manchmal recht schnell. Unter anderem steht/stand auch web.de schon mehrfach auf solchen Listen. Glaubst Du dadurch konnte ich auch nur eine einzige mail nicht versenden?

                    Wen interessiert's? Es ging in der ursprünglichen Frage darum, wie man seinen eigenen Mailserver vor ankommendem Spam schützen kann. Was gehen mich Mailserver von Leuten an, die sich nicht vor Spam schützen wollen oder können?

                    Aber wir weichen schon wieder vom Thema ab.

                    Es werden auch gerne schlecht gesicherte Server
                    Falsch, solche Server sind die schlechtere Wahl, denn ihre nicht ohne weiteres austauschbare IP-Adresse findet sich innerhalb weniger Stunden in schwarzen Listen wieder, womit dieser Server für den Spamversand beinahe wertlos ist.
                    Sicher? Wieviel % der Mail-Server nutzen denn diese Blacklists?

                    Du hast Dir offenbar die Heise-Liste nicht angeschaut, ansonsten wäre Dir das Verhältnis von offensichtlich dynamischen zu regulären Domains aufgefallen. Ansonsten, siehe ein paar Zeilen höher, was kümmert es mich?

                    1. Hallo,

                      Glaubst Du, dass irgendein Mailserver eines echten Providers an einer 24h-DSL- oder Modemleitung hängt?
                      Hab ich das gesagt?

                      Du...

                      hab ich das? Naja.

                      ...hast es gesagt. Wenn normale Menschen keine Mailserver an dynamischen Zugängen benutzen, dürfte es kein Problem sein, dynamische Zugänge zu blockieren.

                      Wenn man sie denn zuverlässig erkennen kann, ja.

                      Und wie genau stellst Du das jetzt sicher, also dass auch Mails von Einwahlleitungen in China, Russland, Argentinien und sonstwo abgeblockt werden?

                      Ich zwinge niemanden, einen Filter zu verwenden, der nur 8 von 10 Spammails abblockt. Im übrigen empfehle ich einen Blick in die Heise-Liste, aus dem Gedächtnis heraus möchte ich behaupten, dass der überwiegende Teil der Domains aus dem Ausland stammt.

                      Du sprachst von 2 einfachen Regulären Ausdrücken. Ich bezweifele nur dass es so einfach ist. Gemäß allgemeiner Spamherkunft dürften nur sehr wenige % der IPs aus D kommen.

                      Ich bin aber gespannt auf Deine Vorstellungen darüber, in welcher Konstellation es vorkommen soll, dass auf einem per Einwahlleitung angebundenen PC ein nicht für Spam genutzter SMTP-Server installiert ist, ohne das der Besitzer des PCs davon weiß.

                      Hm, anscheinend drücke ich mich etwas undeutlich aus. Wenn ich von "SMTP-Relays" auf PCs spreche dann spreche ich von für Spam missbrauchten Rechnern.

                      Schön, er kann sie nutzen, aber nicht verkaufen, denn gerade bei nach Zeit abgerechneten Zugängen dürfte die Ware IP-Adresse in den meisten Fällen unbrauchbar sein.

                      Oh je ;-) Mit Dir zu diskutieren ist anstrengend. Man könnte einem Spammer auch den Zugriff auf einen Stamm von Bot-Rechnern verkaufen, wo sich diese ständig melden. Aber lassen wir das.

                      Und für sowas soll jemand "viele 1000 USD" zahlen?

                      Ja.

                      Ok, es gibt auch Leute, die meinen, sie hätten in Hong Kong für 3,99 eine echte Rolex gekauft. Vielleicht sollte ich doch die Profession wechseln.

                      Ja, solltest Du vielleicht überlegen, wobei ich bei der langen Leitung an einem Erfolg in diesem Geschäft zweifeln würde, also bleibe lieber bei den Uhren ;-)

                      Aber ich will mich hier nicht um den effektiven Einsatz von Spamsoftware streiten. Du hast bereits zugegeben, dass Spammer dynamische Zugänge verwenden,

                      Genau, und das schon im 1. Posting in diesem Thread: "aber der Spam kommt ja meist von SMTP-Servern, die unwissentlich auf solchen Rechnern installiert werden (Viren...)", wir reden glaube ich etwas aneinander vorbei.

                      somit hat sich meine These zumindest schonmal als nicht vollkommen nutzlos erwiesen.

                      Das Spam zum großen Teil von dynamischen Adressen kommt? Ja, das war aber von Anfang an klar. Ich sage nur, dass es kein standardisiertes Verfahren gibt emails nur von autorisierten SMTP-Servern entgegenzunehmen. Ansätze von denen ich sprach wären z.B. SPF, SenderID oder  domainkeys. Nicht dass ich was gegen Blacklisten habe, aber zum einen sind sie nur begrenzt wirksam, und es kann zu "False Positives" kommen. Es landen immer wieder "normale" SMTP-Server auf verschiedenen Listen, web.de war ein Beispiel. Und das kann sich nicht jeder erlauben. Aber ich kann es auf der anderen Seite durchaus verstehen Blacklisten zu verwenden, denn einige davon filtern wirklich einen nennenswerten Teil des Spams.

                      Es werden auch gerne schlecht gesicherte Server
                      Falsch, solche Server sind die schlechtere Wahl, denn ihre nicht ohne weiteres austauschbare IP-Adresse findet sich innerhalb weniger Stunden in schwarzen Listen wieder, womit dieser Server für den Spamversand beinahe wertlos ist.
                      Sicher? Wieviel % der Mail-Server nutzen denn diese Blacklists?

                      Du hast Dir offenbar die Heise-Liste nicht angeschaut,

                      doch, habe ich.

                      ansonsten wäre Dir das Verhältnis von offensichtlich dynamischen zu regulären Domains aufgefallen.

                      Jetzt verrate mir mal bitte, was der Satz mit meinem zu tun hat.

                      Du sagst sinngemäß: "Server im RZ sind eine schlechte Wahl da die feste IP auf Blacklisten landet"
                      Ich sage sinngemäß: "Wenn die Blacklisten kaum genutzt werden, findet  man auch wenn man gelistet ist noch genügend Opfer"
                      Du antwortest: "Auf der Liste stehen mehr dynamische als feste IPs. Außerdem interessiert es mich nicht"

                      Tolle Diskussion ;-)

                      Natürlich ist dies irrelevant wenn man solche Listen nutzt. Aber darum ging es in diesem Abschnitt gar nicht.

                      Grüße
                      Andreas

                      --
                      SELFHTML Linkverzeichnis: http://aktuell.de.selfhtml.org/links/
                      1. Und wie genau stellst Du das jetzt sicher, also dass auch Mails von Einwahlleitungen in China, Russland, Argentinien und sonstwo abgeblockt werden?

                        Du sprachst von 2 einfachen Regulären Ausdrücken. Ich bezweifele nur dass es so einfach ist. Gemäß allgemeiner Spamherkunft dürften nur sehr wenige % der IPs aus D kommen.

                        Ich sprach von zwei regulären Ausdrücken, die auf die per rDNS ermittelten Domainnamen angewendet werden. Ich weiß nicht, wie Du darauf kommst, das IP-Adressen untersucht werden, geschweige denn, dass diese aus Deutschland stammen müssen. Ich habe davon jedenfalls nicht geredet, bitte Zitat vorlegen (und nicht aus dem Zusammenhang reißen wie folgendes).

                        Und gerade weil es eine Liste ist, die auf tatsächlich empfangenen Spammails basiert, zeigt sie besonders deutlich, wie hoch der Anteil an dynamischen Adressen gegenüber echten SMTP-Servern ist.
                        Wieso kannst Du sicher sein dass sich hinter einer dynamischen Adresse kein SMTP-Server verbergen kann, der ohne Wissen des Anwenders auf dem PC läuft?
                        Ich bin aber gespannt auf Deine Vorstellungen darüber, in welcher Konstellation es vorkommen soll, dass auf einem per Einwahlleitung angebundenen PC ein nicht für Spam genutzter SMTP-Server installiert ist, ohne das der Besitzer des PCs davon weiß.
                        Hm, anscheinend drücke ich mich etwas undeutlich aus. Wenn ich von "SMTP-Relays" auf PCs spreche dann spreche ich von für Spam missbrauchten Rechnern.

                        Lies Dir die beiden Absätze »» »» »» »» und »» »» »» nochmal durch. Ich sage, dass Spammer häufig dynamische Zugänge benutzen, Du fragst darauf hin zweifelnd, ob sich hinter dynamischen Zugängen nicht ein Spammer verbergen könnte. Ich sage "Es ist grün", Du zweifelst "Könnte es nicht auch grün sein?".

                        Ich habe nicht damit gerechnet, dass Du den Überblick verlierst und bin deshalb davon ausgegangen, dass Du mit "SMTP-Server" einen nicht für Missbrauch gedachten SMTP-Server meinst, den der Benutzer installiert haben soll, ohne davon zu wissen.

                        Das Spam zum großen Teil von dynamischen Adressen kommt? Ja, das war aber von Anfang an klar.

                        Schön, Butter bei die Fische, fassen wir zusammen: Spam kommt zum großen Teil von dynamischen Zugängen. Normale Mail wird von dynamischen Zugängen nicht versandt. Was also hindert Dich daran, Mail von unbekannten dynamischen Zugängen generell zu verweigern (jetzt mal unabhängig von der Methode, mit der dynamische Zugänge erkannt werden könnten)? Welche Nachteile befürchtest Du?

                        Ich sage nur, dass es kein standardisiertes Verfahren gibt emails nur von autorisierten SMTP-Servern entgegenzunehmen.

                        Was interessiert das? Es geht hier nicht um reguläre SMTP-Server mit fester IP, es geht hier um solche SMTP-Verbindungen, die von einem dynamischen Internetzugang aus kommen. Diesen dynamischen Zugang kann man sehr häufig an dem per rDNS ermittelten Domainnamen erkennen, was meiner Meinung nach in der Heise-Liste überdeutlich wird. Wo siehst Du bei dieser Form der Erkennung von dynamischen Zugängen ein Problem, abgesehen davon, dass ein paar wenige durchflutschen? Oder glaubst Du, die Regel greift nicht oft genug? Wie erklärst Du Dir dann die häufigen Übereinstimmungen in der Heise-Liste?

                        Es werden auch gerne schlecht gesicherte Server
                        Falsch, solche Server sind die schlechtere Wahl, denn ihre nicht ohne weiteres austauschbare IP-Adresse findet sich innerhalb weniger Stunden in schwarzen Listen wieder, womit dieser Server für den Spamversand beinahe wertlos ist.
                        Sicher? Wieviel % der Mail-Server nutzen denn diese Blacklists?

                        Du hast Dir offenbar die Heise-Liste nicht angeschaut,
                        doch, habe ich.
                        ansonsten wäre Dir das Verhältnis von offensichtlich dynamischen zu regulären Domains aufgefallen.
                        Jetzt verrate mir mal bitte, was der Satz mit meinem zu tun hat.

                        Daran, dass der überwiegende Teil der Domainnamen in der Heise-Liste von dynamischen Zugängen stammt, lässt sich erkennen, dass reguläre Mailserver offenbar bei Spammern nicht mehr allzu hoch im Kurs stehen und die schlechtere Wahl gegenüber Trojanern für Heim-PCs sind. Dafür kann es nur einen Grund geben, nämlich den weit verbreiteten Einsatz von schwarzen Listen, die spammende reguläre Mailserver sehr schnell sperren.

                        Wieviel Prozent möchtest Du wissen? Keine Ahnung, aber Schlund + Partner arbeiten mit solch einer Liste, die haben im deutschen Hostingbereich fast 40% Marktanteil (auf Domainbasis) und arbeiten im Mailversand soweit ich weiß mit 1&1 zusammen. GMX und sicher auch web.de arbeiten mit solchen Listen, auch nicht gerade kleine Klitschen.
                        Und jetzt bitte keine Debatte über Blacklists mehr. Wer sie einsetzt, hat einen wirksamen Schutz, wer sie nicht einsetzt, ist selber Schuld, und mit meiner These hat das alles überhaupt nichts zu tun.

                        1. Hallo!

                          Schön, Butter bei die Fische, fassen wir zusammen: Spam kommt zum großen Teil von dynamischen Zugängen. Normale Mail wird von dynamischen Zugängen nicht versandt. Was also hindert Dich daran, Mail von unbekannten dynamischen Zugängen generell zu verweigern (jetzt mal unabhängig von der Methode, mit der dynamische Zugänge erkannt werden könnten)? Welche Nachteile befürchtest Du?

                          Gar keine. Was aber nicht das Problem der Erkennung löst.

                          Ich sage nur, dass es kein standardisiertes Verfahren gibt emails nur von autorisierten SMTP-Servern entgegenzunehmen.

                          Was interessiert das?

                          Es wäre evtl. die Lösung unserer Probleme, das was Du vorschlägst ist eine Minderung der Symptome.

                          Es geht hier nicht um reguläre SMTP-Server mit fester IP, es geht hier um solche SMTP-Verbindungen, die von einem dynamischen Internetzugang aus kommen. Diesen dynamischen Zugang kann man sehr häufig an dem per rDNS ermittelten Domainnamen erkennen, was meiner Meinung nach in der Heise-Liste überdeutlich wird.

                          Ja. Man kann es durchaus häufig erkennen.

                          Wo siehst Du bei dieser Form der Erkennung von dynamischen Zugängen ein Problem, abgesehen davon, dass ein paar wenige durchflutschen?

                          Ich kenne Deine RegEx nicht um das beurteilen zu können.

                          Oder glaubst Du, die Regel greift nicht oft genug?

                          kann sein

                          Wie erklärst Du Dir dann die häufigen Übereinstimmungen in der Heise-Liste?

                          Ich weiß nicht welche RegEx Du nutzt, aber gemäß der Liste dürftest Du nicht über 50% kommen (anscheinend lässt sich ja nicht jede IP auflösen, weißt Du was sich dahinter verbirgt? Clients? Server? Kühlschränke?). Und man läuft Gefahr "ordentliche" Server auszuschließen.

                          Daran, dass der überwiegende Teil der Domainnamen in der Heise-Liste von dynamischen Zugängen stammt, lässt sich erkennen, dass reguläre Mailserver offenbar bei Spammern nicht mehr allzu hoch im Kurs stehen und die schlechtere Wahl gegenüber Trojanern für Heim-PCs sind. Dafür kann es nur einen Grund geben, nämlich den weit verbreiteten Einsatz von schwarzen Listen, die spammende reguläre Mailserver sehr schnell sperren.

                          Naja, ich bin mir halt nicht so sicher wie Du dass _das_ der einzige Grund ist. Noch nichtmal ob es der bedeutendste Grund ist.

                          Wieviel Prozent möchtest Du wissen? Keine Ahnung, aber Schlund + Partner arbeiten mit solch einer Liste, die haben im deutschen Hostingbereich fast 40% Marktanteil (auf Domainbasis) und arbeiten im Mailversand soweit ich weiß mit 1&1 zusammen. GMX und sicher auch web.de arbeiten mit solchen Listen, auch nicht gerade kleine Klitschen.

                          Ich habe nicht mitbekommen dass sowas dort eingesetzt wird, das einzige was ich hier finde ist http://groups.google.de/groups?q=Schlund+RBL+spam&start=20&hl=de&lr=&c2coff=1&selm=a8nhid%24l9o%2402%241%40news.t-online.com&rnum=21, aber das ist ja nicht dasselbe. Wäre dankbar für einen Link!

                          Grüße
                          Andreas

                          --
                          SELFHTML Tipps & Tricks: http://aktuell.de.selfhtml.org/tippstricks/
                      2. Hello,

                        Du sprachst von 2 einfachen Regulären Ausdrücken. Ich bezweifele nur dass es so einfach ist. Gemäß allgemeiner Spamherkunft dürften nur sehr wenige % der IPs aus D kommen.

                        Das wäre doch eine reale Chance, wenn es rechtlich nicht zu Verwicklungen kommen kann. Was sagt denn das TDG dazu aus, aus welchen Ländern man eMails annehmen muss? Das Gesetz bezieht sich ja nur auf das deutsche rechtsgebiet, aber muss ich da auch erreichbar sein für Firmen, die mir Ihre eMail aus dem Ausland zusenden wollen?

                        Harzliche Grüße aus http://www.annerschbarrich.de

                        Tom

                        --
                        Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
                        Nur selber lernen macht schlau
  2. Hallo,

    Was wäre die einfachste Lösung, davon wenigstens einen Teil schon auf dem Server loszuwerden?

    Wenn es dir um einen kleinen Linux Heimserver geht, der sich um alle eingehenden E-Mails kümmert kann ich nur fetchmail+procmail+popa3d+spamassasin+razor empfehlen.
    Toturial zum aufsetzen des Servers: http://www.64-bit.de/dokumentationen/netzwerk/f/002/DE-Mailserver-HOWTO.html
    SpamAssassin: http://spamassassin.apache.org/
    Razor: http://razor.sourceforge.net
    (Wie geht das eigendlich mit diesen selbst-gewählten Titel Links?).

    Ich habe damit sehr viel erfolg und bis jetzt noch kein False-Positiv von dem ich weiss.

    Gruß,
    Severin

    --
    They that can give up essential liberty to obtain a little temporary safty deserve neither liberty nor safty.
    -- Benjamin Franklin
    1. Severin,

      Wie geht das eigendlich mit diesen selbst-gewählten Titel Links?

      mit @title= - guck mal ins Antwortfeld unten:

      Toturial zum aufsetzen des Servers
      SpamAssassin
      Razor

      Gerade bei kurzen URL's jedoch bitte nicht übermäßig Gebrauch machen, dann sieht man direkt, wo's hin geht ;-)

      MfG, Dennis.

      --
      Mein SelfCode: ie:{ fl:{ br:^ va:) ls:< fo:) rl:( n4:& ss:) de:> js:( ch:{ sh:( mo:} zu:|
      Zufällige Hinweise:
      ------------------------
      Wer die FAQ gelesen hat, ist klüger!
      ... und weiß wie man Links macht ;-)
      1. Hallo,

        Gerade bei kurzen URL's jedoch bitte nicht übermäßig Gebrauch machen, dann sieht man direkt, wo's hin geht ;-)

        Vielen Dank :) Ich bevorzuge sowieso URLs im Klartext, nur ab und zu ist es einfach praktisch einen Link in den Text einpassen zu können.

        Gruß,
        Severin

        --
        They that can give up essential liberty to obtain a little temporary safty deserve neither liberty nor safty.
        -- Benjamin Franklin
        1. Hi Severin,

          Vielen Dank :) Ich bevorzuge sowieso URLs im Klartext, nur ab und zu ist es einfach praktisch einen Link in den Text einpassen zu können.

          Du weißt, dass du als registrierter User dir die Anzeige von Links einstellen kannst? z.B. >Titel (URL)<, ganz nach belieben.

          MfG, Dennis.

          --
          Mein SelfCode: ie:{ fl:{ br:^ va:) ls:< fo:) rl:( n4:& ss:) de:> js:( ch:{ sh:( mo:} zu:|
          Zufällige Hinweise:
          ------------------------
          Interessiert in Modellbahn?
          Wie wärs mit http://www.go-modellbahn.de?
          1. Hallo,

            Du weißt, dass du als registrierter User dir die Anzeige von Links einstellen kannst? z.B. >Titel (URL)<, ganz nach belieben.

            Nein wusste ich nicht; Aber es scheint viele Features in der Userkonfiguration zu geben die ich nur oberflächlich nutze... gibt es eigendlich sowas wie eine Gebrauchsanweisung?

            Gruß,
            Severin

            --
            They that can give up essential liberty to obtain a little temporary safty deserve neither liberty nor safty.
            -- Benjamin Franklin
  3. Moin!

    Über 200 Spam-Mails am Tag.

    Was wäre die einfachste Lösung, davon wenigstens einen Teil schon auf dem Server loszuwerden?

    Filtern. :)

    Aber natürlich richtig.

    Es kann derzeit festgestellt werden, dass sich viele dieser Spam-Zombies nicht an einfachste SMTP-Regeln halten. Beispielsweise kann man als eine feste Forderung an den SMTP-Dialog stellen:
    1. Der bei HELO angegebene Domainname muß ein FQDN sein, nicht "none".
    2. Dieser HELO-Name kann auch nicht der Name oder die IP des eigenen Servers sein.
    3. Die Domain der absendenden Mailadresse muß existieren.

    Mit diesen simplen Forderungen kriegt man schon erstaunlich viele SPAM-Mails abgeblockt.

    Darüber hinaus empfiehlt es sich tatsächlich, IP-Blocklisten zu verwenden. Die Auswahl dieser Listen ist natürlich ein heikles Thema, denn man muß sich darüber informieren, wie eine IP auf so eine schwarze Liste draufkommt, und wie man sie da auch wieder runterkriegt. Wer hier (worunter web.de ja ein wenig zu leiden hatte) Listen von erklärten SPAM-Hassern einsetzt und sich mit deren möglicherweise etwas undurchsichtiger Listing-Policy einverstanden erklärt, der riskiert eben, dass mit Pech tatsächlich wichtige Mailserver drauf landen.

    Ich persönlich verwende folgende Blacklisten:
    1. relays.ordb.org - diese Liste basiert rein auf gemeldeten IPs, die aufgrund eines Tests als offene Relays enttarnt wurden. Runter kommt man von so einer Liste durch erneuten Test. Alles läuft vollautomatisch ab. Erfolg: Dann und wann kam bislang tatsächlich schon eine Mail über solche offenen Relays an und wurde geblockt.
    2. opm.blitzed.org - Diese Liste enthält offene Proxys. Interessanterweise lassen sich ja auch HTTP-Proxys dazu benutzen, SMTP mit Mailservern zu sprechen. Erfolg: Etwas mehr Blocks, als die Relay-Liste.
    3. sbl-xbl.spamhaus.org - Spamhaus verwaltet eine Liste bekannter Spammer-Organisationen und der dort verwendeten IPs. Ich vertraue denen einfach mal, dass die keinen zu großen Unsinn anstellen - bislang jedenfalls war diese Liste sehr geeignet gegen Spam. Dank XBL hängt auch noch ein größeres Spam-Trap-Netzwerk dran, man kriegt also dieses Frühwarnsystem auch noch mit.
    4. dul.dnsbl.sorbs.net - Liste mit dynamischen IPs. War ja im restlichen Thread schon geklärt, dass derartige IPs eigentlich nicht zur Direktauslieferung von Mails an Server (außer dem eigenen, der auch für die eigene Domain zuständig ist) genutzt werden sollten. Erfolg: Sehr positiv. Das haut ordentlich was weg.

    Zusätzlich benutze ich noch eine eigene White- und Blacklist. Whitelisting habe ich nur für den Mailserver von Strato eingetragen (der war auch mal in Spamlisten drin - macht nur niemand Wirbel drum), ansonsten sind noch etliche IPs schwarz gelistet, weil von dort Spam bis zu meinem Spamfilter (im Mailprogramm) durchgedrungen ist.

    Ein wichtiger Aspekt noch hinsichtlich eines "vernünftigen Verhaltens von SMTP-Servern": Entweder nimmt ein Mailserver eine Mail an und liefert sie dann auch ohne weiteres an den User aus, oder er verweigert die Annahme der Mail komplett (mit Status 5xx endgültig oder mit Status 4xx temporär, z.B. bei ergebnislosen Anfragen hinsichtlich der Senderdomain). Aber eines sollte ein Mailserver nie tun: Mails erstmal annehmen, dann feststellen, dass z.B. der Benutzer nicht existiert, und deswegen eine Mail zurück an den angeblichen Absender der Mail zu senden. Das ist echt asozial (da sollte man eigentlich mal eine Extra-Blackliste nur für solche Server einrichten).

    Es muss aber sichergestellt werden, dass keine wenentlichen Mails verloren gehen.

    Über "verloren gehen" kann man sich natürlich streiten. Wenn dein Mailserver entweder die Mail annimmt und dir zustellt oder die Annahme verweigert, kann die Mail nicht verloren gehen, weil sie entweder bei dir oder beim Absender wieder auftaucht.

    Und dann wieder irgendeinen Mülleimer durchzusehen, habe ich auch keine Lust.

    Der Mülleimer würde wirklich erheblich kleiner, wenn du z.B. dynamische IPs blocken würdest. Daher kommen bestimmt 90% des Mülls.

    Ich habe schon überlegt, jedem Kunden und Liferanten einen eigenen "Mail-Code" zu geben und wenn der dann auch mit Spam zusammen kommt, den Geschäftspartner zu verklagen (nur so als Denkansatz).

    Wie willst du das denn beweisen? Zumal: Wenn ein Virus einen Rechner befällt, und deine Mailcode-Adresse steht da zufällig irgendwo auf der Festplatte, kriegst du ggf. Spam auf diese Adresse. Es gibt tausend Gründe, warum sowas passieren könnte.

    - Sven Rautenberg

    1. Hello,

      und Danke für den vielen Stoff. Da werde ich wohl nochmal experimentieren.

      Ich habe schon überlegt, jedem Kunden und Liferanten einen eigenen "Mail-Code" zu geben und wenn der dann auch mit Spam zusammen kommt, den Geschäftspartner zu verklagen (nur so als Denkansatz).

      Wie willst du das denn beweisen? Zumal: Wenn ein Virus einen Rechner befällt, und deine Mailcode-Adresse steht da zufällig irgendwo auf der Festplatte, kriegst du ggf. Spam auf diese Adresse. Es gibt tausend Gründe, warum sowas passieren könnte.

      Das war ja auch nicht ernst gemeint. Die Missbrauchsmöglichkeiten sind ainfach noch zu vielfältig. Die einzige Möglichkeit wäre dann die Vergabe von TANs an die Mailpartner. Das System würde einfach steif und unhandlich :-((

      Harzliche Grüße aus http://www.annerschbarrich.de

      Tom

      --
      Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
      Nur selber lernen macht schlau
  4. Hallo Tom,

    äh, mein Rezept ist wohl nicht neu, aber wirksam. Meine 'neue' Privatadresse ist seit einem Jahr _absolut_ spamfrei: ich habe sie noch nie irgendwo veröffentlicht, sondern verschicke sie nur per Mail. So spare ich mir den ganzen Filter-Stress. Und wenn es mal anfängt, dann lege ich mir halt eine neue zu. Alle paar Jahre kann man das doch machen.

    Gruß, Andreas

    --
    SELFFORUM - hier werden Sie geholfen,
    auch in Fragen zu richtiges Deutsch