Post by Marco MoockPost by p***@pocnet.netZu c): Ein schweizer Blacklistenprovider hat im Frühjahr mal eben
flugs ein ganzes /16 meines IP-Providers in eine zum Glück nur von
wenigen Mailservern verwendete Blacklist aufgenommen, aus dem auch
meine statischen Adressen stammen.
Welche Blacklist genau?
uceprotect?
Gerade nachgeschaut: Ja.
Post by Marco MoockDann war das Level 2 und das deutet drauf hin, dass da viele Spammer in
diesem Netz unterwegs waren.
Von der Homepage, deren Aufmachung und den nicht sonderlich
anwenderfreundlichen Delisting-Mitteln hatte ich den Eindruck "Anrüchig" und
"Kohle ziehen" behalten.
Post by Marco MoockDer Provider sollte diesen Leuten die Server
sperren, bis das Problem behoben wurde. Beim nächsten Vorfall erneut.
Entsperren sollte dann 50€ oder so kosten ab dem 2. oder 3. Mal, dann wird
das für Spammer unrentabel. Das spricht sich rum und Spammer werden sich
andere ISPs suchen.
Der Provider ist Plusnet, im Hintergrund steckt eON. Die werden sich von
keinem dahergelaufenen Linux-Sysadmin erklären lassen wie sie ihre Arbeit zu
tun haben. BTDT.
Sie haben was gemacht, das Problem ist gelöst.
Was bleibt ist der bittere Nachgeschmack, dass mit großer Keule mal eben
draufgehauen wird: Ein /16 zu blocken finde ich daneben, *egal* wieviele
Spammer da von einzelnen IP-Adressen kommen. Speziell bei wenn's um einen
Provider wie Plusnet geht, der sich hautpsächlich im Geschäftskundenumfeld
bewegt. Ist ja nicht so, dass da einer manuell kontrolliert und Arbeit
investiert. Das sind Scripte, die Dinge auswerten und Menschen haben dem
Script gesagt, schau in der RIPE und würg den zugehörigen Netzblock ab.
Ich bin reichlich froh, dass außer einer mir bekannten Person diese Liste als
harte Blacklist in seinem MTA konfiguriert hat.
Post by Marco MoockPost by p***@pocnet.netIch konnte trotzdem über Tage an diesen einen Absender, der meinte diese
Blacklist als ultimatives Sperrkriterium nutzen zu müssen keine Mails
versenden, obwohl ich hier zu keinem Zeitpunkt als Störer aufgetreten bin.
Das sind leider die Kollateralschäden.
Das klingt mir viel zu sehr nach "Sorry, kann man nix machen, danke für Ihre
Geduld." Nur, finde einen Provider, bei dem das anders läuft. Ich behaupte:
Den gibt es nicht. Unbefriedigend.
Post by Marco MoockDoch was will man machen, wenn ein solcher ISP immer wieder von Spammern
genutzt wird und die immer ihre IPs durchrotieren?
Das scheint mir der Komplexität der Fragestellung nicht gerecht zu werden.
Hatte ich ja schon an anderer Stelle erklärt.
Post by Marco MoockDie Frage ist halt, wie stark man belästigt wird.
Ich werde aktuell nicht belästigt und muss daher gegen Spam nix machen.
Bei Websites mit allen Mailadressen der Mitarbeiter drauf sieht das
aber anders aus.
Meine Mailadresse verwende ich seit ca. 1997, zusätzlich gibt es einige wenige
"technische" Adressen, z. B. dem webhamster. Beides verwende ich frei und ohne
Verschleierungstaktiken (die es am Ende doch nur einem legitimen Absender
schwerer machen) seit dieser Zeit.
Mein Spamassassin ackert zudem noch einige Domains von Freunden durch und auch
viele automatisch generierte Mails von Cronjobs.
Um wieder ein weig näher ans Gruppentopic zu kommen:
Ich habe mir vor einiger Zeit mal ein Statistiktool gebaut: Perl, Hercules mit
MVS und einem selbstgeschriebenen COBOL-Auswerteprogramm. Perl erzeugt aus den
mit logtail ermittelt neu hinzugekommenen Daten einen virtuellen
Lochkartenstapel, der dann via netcat verfüttert wird. Das dürfte die
Dimensionen einigermaßen aufzeigen, dessen was da so alles anklopft.
----- Avg. Score ----- ----- Max. Score ----
Mon Spams Hams Gesamt Spam Ham Spam Ham
Nov 2423 2158 4581 53.23 - 20.55 107.30 - 135.30
Dec 2809 2014 4823 54.13 - 19.84 122.70 - 154.40
Jan 2020 2301 4321 46.29 - 22.35 119.80 - 113.10
Feb 2550 1990 4540 49.68 - 21.85 113.10 - 115.70
Mar 2414 2240 4654 49.29 - 24.28 111.20 - 155.10
Apr 2639 2239 4878 59.33 - 23.01 113.80 - 154.20
May 1792 2532 4324 51.04 - 25.01 113.80 - 134.50
Jun 1736 2637 4373 52.66 - 24.67 113.60 - 154.60
Jul 1317 2621 3938 51.51 - 23.80 110.20 - 134.50
Aug 1068 3014 4082 53.44 - 24.81 101.10 - 154.50
Sep 915 2843 3758 52.92 - 24.27 99.10 - 134.60
Oct 204 502 706 54.05 - 20.84 112.80 - 112.40
Anmerkung: Das "-" ist kein "bis", im Sinne eines Wertebereichs, sondern ein
Vorzeichen. Eine Einschränkung des 1960er Jahre COBOL Compilers. ;-)
Falls jemand Interesse hat, möge er sich melden. Das würde den Punkt "Doku
schreiben und veröffentlichen" auf meiner ToDo Liste signifikant nach oben
verschieben.
Der graduelle Rückgang von Spammails dürfte dem Ableben meines Vaters
geschuldet sein. Ich weiss nicht wieviele hunderte an "Newslettern" ich
abgemeldet habe. Einen signifikanten Teil hat das einen feuchten interessiert.
Kommen wir zu dem was bei mir durchrutscht. Das ist im Monatsschnitt eine Mail
pro besagtem Monat, bei noch keine Blacklist zieht und die gemäß Bayes nach
Ham ausschaut. Die wandert dann brav in den "bitte als Spam neu lernen" Ordner
und gut ist. Allerdings gibt es auch "Wellen", wo der gleiche Mist auf immer
neue Weise beworben wird und durchrutscht. Kommt aber interessanterweise nur
noch selten vor.
Ansonsten schraube ich 2-3x im Jahr an Scorewerten für existierende
Regeln rum oder bau mir (temporär) für o. G. Wellen kurz eigene Regeln, weil
der Absender ja auch nicht von gestern ist und Bayes austrickst.
Einige Chinesen haben mitbekommen, dass man Spamassassin umgehen kann, indem
man einfach nur gigantische Mengen an Bildern dranhängt, sodass die Mail über
den Schwellwert von "scan mal" gelangt. Hab' ich einige Monate beobachtet
(kommt ja auch nicht jede Woche) und Postfix' message_size_limit entsprechend
angepasst.
Ja, das war mal eine Menge Arbeit, vor > 10 Jahren, und seither nur noch
Feintuning und mit jedem Debian-Upgrade eine Stunde Lesen was der neuere
Spamassassin für weitere hilfreiche Features mitbringt. Dass das nicht jeder
leisten kann oder mag kann ich nachvollziehen. Was ich sagen will ist: Mit der
notwendigen Sorgfalt kann man schon heute sein Postfach sauber halten. Und
genau das ist Wasser auf die Mühlen der "gut genug" Verfechter, zu denen ich
mich in vielen Fällen nicht zählen mag. In diesem unangenehmerweise schon.
Man muss halt mit der Zeit gehen. Wenn man wie ich auch noch in der IT
arbeitet kriegt man im Regelfall mit, wenn sowas wie SPF oder DKIM nicht mehr
wirklich optional ist. Dies dann aber Google als Schuld in die Schuhe zu
schieben, weil der eigene Provider das letzte Jahrzehnt technologisch verpennt
hat finde ich unangebracht. Auch gegenüber Google, die nun wirklich genug
Gründe liefern, sie nicht zu mögen.
Post by Marco MoockPost by p***@pocnet.netPost by Marco MoockWürde man das rigoros durchsetzen, wäre das Spam-Aufkommen massiv geringer.
Nicht nur das, auch legitime Mails wären in Stand heute unbekanntem Maße
betroffen.
Sind sie heute schon.
Im Vergleich zu Deinen Maßnahmen ist das Betroffenheitsniveau vergleichsweise
gering und anscheinend tolerabel.
Post by Marco MoockMeine IPs stehen z.B. auch bei Talos auf der suspicious-Liste, ohne dass von
denen oder dem Netz Spam kommt.
Meine auch. Für Talos is "suspicious" der Default, wenn man dort so gar nix
weiß. Also auch (auf welchen geheimnisvollen Wegen auch immer) keine Beispiele
für "der versendet nur erwünschtes". Talos wird AFAIK auch von Cisco Ironport
verwendet, was größere Mailprovider nutzen. Solange unsereins nicht
signifikant mit Leuten "hinter" einer solchen Appliance kommuniziert, bleibt's
beim Suspicious.
Was man aber machen kann ist sich bei dnswl.org registrieren, sofern man für
seinen Mailserver eine statische Adresse hat, um seine eigene Reputation zu
unterstreichen. (Ich denke nicht, dass man mit einem MTA hinter einer Dyn-IP
mit generischem oder gar keinem PTR heutzutage überhaupt noch Chancen hat
Mails loszuwerden.)
Post by Marco MoockFirmen haben aber leider auch das Problem, dass sie von Spammern belästigt
werden.
Das Problem hat jeder Mailaccount.
Post by Marco MoockEs hat einen Grund, dass es so viele Sperrlisten, auch welche mit
Kollateralschäden.
Ja. Der Grund ist in den allermeisten Fällen erfahrungsgemäß: Mangelndes
Nachdenken und "des hammer scho immer so gmacht".
Hat der Mailpartner, mit dem ich mich dann telefonisch ausgetauscht habe mir
auch letztendlich so bestätigt. Hat er halt mal so aufgesetzt.
Es ist recht einfach für den Admin, eine tolle neu entdeckte Blacklist als
utima ratio in Postfix zu hinterlegen. "Geschäftspartner, die's ernst meinen
melden sich im Zweifelsfall dann telefonisch." Das war vielleicht vor 20 Jahren
so. Aber heute? Ich habe da meine Zweifel.
Post by Marco MoockPost by p***@pocnet.netLetztendlich ist Internet Mail wie wir es heute kennen eine
Aneinanderreihung von Workarounds zu - aus heutiger Sicht gesehen -
Designschwächen.
Solange es ein offenes weltweites System ist, wird das bleiben.
So sieht's aus.
--
:wq! PoC