Sven Rautenberg: die liebe googlelei

Beitrag lesen

Moin!

Der Hostname läßt sich zu EINER IP-Adresse auflösen. Wo ist da das Problem?

Spamer sind durchaus nicht so dumm, wie ich es gerne hätte. Das Kriterium, daß sich der angegebene host zu einer IP-Adresse auflösen läßt, erfüllen derzeit mehr als 50% - da liegt das Problem.

Das ist aber nichts besonderes, schon lange nicht mehr. Spamsoftware stellt die eigene IP-Adresse fest, löst die rückwärts auf, und verwendet das Ergebnis als HELO-Angabe. Und genau dasselbe (im Ergebnis) tun auch legitime SMTP-Server.

Die Prüfung auf Existenz und Auflösbarkeit der HELO-Angabe eignet sich nicht als ausschließliches Spamfilter-Kriterium. Es ist EINES der Kriterien, um Spam abzuhalten, sofern der Spammer so freundlich war, und dort eine falsch eingerahmte IP-Adresse oder offensichlichen Blödsinn wie den eigenen Servernamen oder die eigene IP anzugeben - oder eventuell eben auch einen nicht existierenden fremden DNS-Namen.

Aber damit kriegt man nach meiner Erfahrung nur einen kleinen Bruchteil des Spams abgewehrt.

Was also nun tun? Ich werde mir eine Routine basteln, daß ein angegebener host zumindest im nächsten IP-Adressbereich liegt. Das aber ist auch keine wirkliche Lösung. Es wäre eine wirkliche Löung, wenn jeder konfigurierte host sich tatsächlich zu der IP-Adresse auflösen lassen würde, die angegeben wurde. Dabei zeigt google ja recht deutlich, daß mehrere hosts den gleichen Namen haben können (log-Auszug) - nur warum machen sie es dann nicht bitteschön ganz richtig und bennenen alle Maschinen von "cw-out-0708.google.com" in "mproxy.base.google.com" um?

Du versuchst der HELO-Angabe eine Bedeutung zuzumessen und für das Filtern zu verwenden, die diese Angabe nicht hat.

Anzugeben ist ein Hostname. Der Hostname hat laut Standard aber nicht zwingend irgendetwas mit dem in angebenden Server zu tun zu haben, es ist lediglich ein Bezeichner - der im weiteren Verlauf des SMTP-Dialogs nicht mehr weiter auftaucht. Dass dort typischerweise bei regulärer SMTP-Software der EIGENE Hostname angegeben wird, ist nett von der Software, und hilft etwas beim Filtern - aber nicht viel.

Ich würde an deiner Stelle nicht zu streng nach HELO filtern, sondern viel eher nachfolgende Angaben ebenfalls hinzunehmen. Fakt ist: Am meisten filtert man mit IP-Blacklisten raus. Man muß nur die richtigen finden oder sich selbst zusammenstellen.

- Sven Rautenberg

--
My sssignature, my preciousssss!