Hallo!

Glaubst Du, dass irgendein Mailserver eines echten Providers an einer 24h-DSL- oder Modemleitung hängt?

Hab ich das gesagt?

Außer ein paar Halbstarken, die sich von einem "Server" unterm Kinderzimmertisch früheren Bartwuchs erhoffen, verschickt niemand Mails direkt an das Zielsystem, man geht immer über den Mailserver des Providers.

Normale Menschen schon, Spammer aber nicht.

Schlussfolgerung für den eigenen Mailserver: Von einer Einwahlleitung aus kommt keine Mail (eigene Relaisnutzer ausgenommen, aber die identifizieren sich mittels SMTP Auth).

Und wie genau stellst Du das jetzt sicher, also dass auch Mails von Einwahlleitungen in China, Russland, Argentinien und sonstwo abgeblockt werden?

Du weißt es weil da eben dynamische Adressen drinstehen ;-)

Es stehen viele dynamische Adressen drin, aber nicht ausschließlich. Diese Liste entsteht durch Analyse empfangener Mails, es ist eine Liste von Hosts, die Spam an Heise versandt haben, keine Liste dynamischer IPs. Und gerade weil es eine Liste ist, die auf tatsächlich empfangenen Spammails basiert, zeigt sie besonders deutlich, wie hoch der Anteil an dynamischen Adressen gegenüber echten SMTP-Servern ist.

Was hat denn die IP mit dem dahinter laufenden Dienst zu tun? Wieso kannst Du sicher sein dass sich hinter einer dynamischen Adresse kein SMTP-Server verbergen kann, der ohne Wissen des Anwenders auf dem PC läuft?

Auf keinem infizierten Rechner wird ein SMTP-Server installiert.
Bist Du Dir da so sicher? Die installieren natürlich keinen "richtigen" SMTP-Server,

Warum schreibst Du SMTP-Server, wenn Du weißt, dass es keine SMTP-Server sind?

Es sind natürlich SMTP-Server von der Funktionalität, aber es installiert niemand so Software wie Postfix oder was weiß ich was es da für Windows gibt. Die SMTP-Funktionalität wird in Schädlinge implementiert, und das auf verschiedene Art und Weise, und in verschiedenem Umfang.

Mit potentiellen Opfern meine ich infizierte PCs. Deren (IP-)Adressen sind nicht handelbar, weil sie sich gemeinhin spätestens nach 24 Stunden ändern.

Das zu glauben ist naiv! Kennst Du dyndns? oder ICQ? oder IRC? Es gibt 1000 Möglichkeiten wo sich eingewählte PCs ohne Wissen des Anwenders melden können. Die melden sich in irgendeiner Form beim Betreiber, und dieser kann diese Nutzen.

Potentiell, weil niemand gezielt von einem Spammer dazu ausgesucht wird, seinen trojanischen Mailer aufzunehmen. Es ist reine Glückssache, wie weit sich ein Trojaner verbreitet.

Ja. Aber viele Trojaner verbreiten sich Millionenfach. Jeder dieser Trojaner meldet seine IP in irgendeiner Form an seinen Betreiber. Dieser hat dann oft 100.000de IPs, natürlich sind die nicht immer alle online, aber ein großer Teil schon. Spammer bezahlen dafür, diese IP-Adressen zu erhalten, oder vielleicht auch für Programme in denen die IPs automatisch aktualisiert werden. Dann schicken die Spammer einfach ein paar 100 Mails an jede dieser IPs, uns selbst wenn nur 50.000 IPs funktionieren werden so in kürzester Zeit zig Mio. Spam-Mails versendet.

Aber im Prinzip macht ein Schädling auf einem Client-PC auch nichts anderes [als ein offenes Relais].

Falsch, wie soll die Spamzentrale wissen, wo gerade jemand sein trojanisches Mailrelais per Modem mit dem Internet verbindet?

Indem sich ein eingewähltes Relais z.B. im IRC meldet?

Hinzu kommt, dass die Übermittlung von zig Hundertausend Zieladressen per SMTP auch nicht gerade ideal ist.
Hm? Wie denn sonst?

Stell Dich nicht dümmer, als Du bist. Listen mit Mailadressen und Werbetexte kann man auch per HTTP, FTP oder irgendeinem selbstgestrickten Protokoll übertragen und sich dabei gzip oder bzip2 zu Nutze machen. Es könnte dem Eigentümer des infizierten PCs sonst auffallen, wenn seine Kiste drei Stunden mit dem Empfang von (wegen SMTP unkomprimierten) 500.000 Mailadressen beschäftigt ist.

Wie diese Systeme im Detail funktionieren weiß ich nicht, ich weiß aber dass es sowas wie von mir beschrieben gibt. Es gibt auch sowas was Du beschreibst, viele Wege führen nach Rom.

Ein einfacher Werbetrojaner schleicht sich auf dem PC eines Ahnungslosen ein, stellt eine Verbindung zu seinem Herrn her, holt Mailadressen und Werbetexte ab und beginnt mit dem Versand, direkt an die Zielsysteme, da ihm die Zugangsdaten, die der Ahnungslose für den Mailserver seines Provider hat, nicht unbedingt bekannt sein können.

Wie gesagt, es gibt sicher viele Wege und "Implementierungen". Ob ich den Schädling als SMTP-Relay betreibe, oder mir eine effizientere Art der Kommunikation zwischen Spammer und Schädlingen überlege, ist IMHO nebensächlich.

Der Nachteil ist, dass ein heimischer PC anhand des Domainnamens meistens leicht erkannt werden kann. Ein effektiver, nicht zu umgehender Schild gegen von Spammern infizierte PCs (und Viren sowieso). Davon rede ich die ganze Zeit.

Und wie erkennst Du das zuverlässig? Sicher, in D ist das einfach, aber in anderen Ländern auch? Und Blacklisten veralten manchmal recht schnell. Unter anderem steht/stand auch web.de schon mehrfach auf solchen Listen. Glaubst Du dadurch konnte ich auch nur eine einzige mail nicht versenden?

Es werden auch gerne schlecht gesicherte Server [...mit] fester IP aus einem "vertrauenswürdigeren" Netzabschnitt natürlich erheblich interessantere Ziele darstellen.

Falsch, solche Server sind die schlechtere Wahl, denn ihre nicht ohne weiteres austauschbare IP-Adresse findet sich innerhalb weniger Stunden in schwarzen Listen wieder, womit dieser Server für den Spamversand beinahe wertlos ist.

Sicher? Wieviel % der Mail-Server nutzen denn diese Blacklists? Dank der 100Mbit Anbindung kann so ein Server ein vielfaches der Mails über die Leitung schaufeln, wie PCs.

Außerdem muss man solche offenen Relais erstmal aufspüren. Wozu soll der Spammer zum Berg laufen, wenn der Berg mit Hilfe eines Ahnungslosen von ganz allein zum Spammer kommen kann?

Solche Infos gibts wie gesagt gegen Bares.

Grüße
Andreas