Man kann quasi den Tag sehen, als wir den Schalter umgelegt haben:
Messungen

Hah diese Forum-Rubriken...

Ich sehe drei "Schalter"
Beginn Woche 16 Start von etwas, das ich als Unfall taxiere
Ende Woche 16 Ende des Unfalls

nein, vergiß die Woche. Das waren wohl eigene Versuche. Du meinst die versendeten Mails, oder?

Vor drei Tagen: Inbetriebnahme einer 90% ablehnenden Mailfilterung

genau, Anfang der Woche 19 ist interessant!

Wenn ich die Statisten betrachte, sieht man, dass in den letzten 3-4 Tagen etwa 90% der ankommenden Mails verworfen wurden.
Das Verwerfen etwas anderes als Bouncing ist, verstehe ich es als Fallen Lassen ohne weitere Behandlung (effektiv löschen, eventuell Header Speicherung für die Auswertung)

Zur Begrifflichkeit:
Bounced: gesendete Mails, die abgewiesen wurden
Rejectedet: empfangene Mails, die abgewiesen wurden

0.5 - 1 verworfene Mail/Minute ist etwa 2 -4 mal so hoch wie was im Stand Herbst 2006 von meiner Domain gedropped wurde. Die aktuelle Rate meines Servers entzieht sich meiner Kenntnis Die Rate verworfen/akzeptiert dürfte 100:1 und mehr sein). Ich schliesse daraus, dass dein momentanes Volumen für eine Analyse noch nicht recht ausreicht.

Das mag sein. Aber ich weiß, was die "Rejected" bedeuten. D.h. das ist wirklich Müll, der es in der jetzigen Fassung nicht einmal bis zum Spamfilter schafft.

Da geb ich dir recht, wenn du nach weiteren Test-Interessierten suchst.

Der Anteil akzeptierter empfangener Mails ist grob geschätzt auf einen Viertel gesunken.

Wahrscheinlich noch etwas mehr.

Konzentriere ich mich auf die letzten Tage, so stelle ich fest, dass der Server sehr wenige Mails versendet, aber sehr viele einkommende Mails akzeptiert (Verhältnis 1:7). Wenn der Server Weiterleitungen realisisert, dann sollten diese meiner Vermutung nach im ausgehenden Teil drin sein.

Was meinst Du mit "Weiterleitungen". Relaying ist nicht erlaubt!, falls Du das meinst.
Das Thema der Verhältnisse "senden" und "empfangen" ist wohl auch komplexer. "Senden" heißt nicht immer, dass das unabhängig vom Empfang ist! "Senden" _kann_ durch einen Spamversuch iniitiert sein.

Für bestimmte Dienste kann ein solches Profil richtig sein (ein Reportserver der via Mails zur Hauptsache empfängt, kaum aber was rauslässt) Das Profil entspricht aber oft dem Otto Normalverbraucher, der im schnitt immer noch 10 mal mehr Mail erhält als er sendet oder ernstlich lesen will. Ich weiss nicht, ob eine menschliche Begutachtung hier mit dem Resultat zufrieden wäre (die endliche Begutachtung des Verfahrens ist gefragt).

Der Tagesablauf der verworfenen Mails.
Vermutung ist Zeitzone MEZ
Es zeichnet sich eine Rush-Hour ab. Das kann ein Hinweis sein darauf, das Spammail-Erzeuger tageszeitlich verschieden aktiv sind. Kann man ein Regionalprofil daraus ableiten? Hier sind noch mehr Daten gefragt.

Das wird sehr schwierig, wie Du Dir sicher denken kannst. Um regionale Bezüge hinzubommen, müßte man die Logfiles extrem auseinander nehmen.
Ich weiß aber schon jetzt, dass vor allem China und Russland hier sehr dunkelfarbig zu markieren wären!
Ansonsten: Vergiß die Tageszeit. Ich glaube nicht, dass ein Mensch vor einem Script sitzt und dieses startet! ;-)

Was mich aber verwundert, ist, dass der Anteil von verworfenen Mails vorher so gering ist.

Er ist vorher annähernd null, weil dort eine bestimmte Technik nicht angewendet wurde!

In der Woche 16 sieht man etwa, das ich als Unfall taxiere. Enorm viele Mails werden gesendet.

s.o.

Wenn ich den Unfall mal Ausklammere dann ist das Verhältnis:
GesendeteMails/akzeptiereMails
von 1:4 gesunken auf 1:7
Das bedeutet, dass vorher auch unerwünscht Mails weiter versendet wurden. (Weiterleitungen ?)

Ja, es kam extrem viel Scheiß an. Seitdem das eingeschaltet ist, hält sich das Angebot von Viagra, Rolexnachbauten, ... in übersichtlichen Grenzen bzw. ist gar nicht mehr vorhanden!
Was aber noch wichtiger ist: Es ist bisher keine wirklich wichtige Mail, die also wirklich gewünscht war, abhanden gekommen! Zumindest für mich wäre das schlimmer als ein, zwei Spammails, die u.U. doch durchkommen.

Warum hat sich das Verhältnis so verschoben? Objektiv erklären kann ich mir das nur dadurch, das etliche der vormals akzeptierten Mails Weiterleitungen an mehrere Adressen hatte, und der Server das akzeptierte. Dieser Anteil scheint sich reduziert zu haben.

Genau, das war doch der Sinn! ;-)

Die genauere Interpretation muss sich mir leider verschliessen.

Jetzt würde es mich natürlich Wunder nehmen, welche Algorithmen für das verwerfen ansprechen:
--Validierung nach existierender Empfrängeradresse (oft nur im eigenen Servernetzwerk möglich, für Host-Server für Mailboxen meist die effektivste massnahme)

Das würde zuviel Zeit kosten.

--Validierung des Absender (weiss nicht wie das geht/sinnvoll ist)

Ja, die Adresse muß zumindest einem gültigen Schema entsprechen.

--Abfrage nach Greylist/Whitelist

Ist eine Teilfilterung.

--Virenscanner

Verwende ich momentan nicht. Der Anteil der Viren dürfte in meinem Fall annähernd null sein. Der meiste Müll hat auch keine Attachments (außer Bilder nackter Frauen und nachgemachter Uhren).

--Besondere Dateiheader Heuristik

Header wird erstmal nicht weiter untersucht.

--Vollmail Bayes-Filter

Genau, der eigentlich Spamfilter.

--etwas das ich nicht berücksichtigt habe?

Bestimmt! ;-)

lg
Reiner