Freitag, 22. September 2006
Holzhammermethode
Ich kann ja verstehen, dass Mailserver-Administratoren im Kampf gegen den Spam sich gerne Blacklists bedienen, aber das hier geht einfach gar nicht:
Besser wäre daher, verschiedene Blacklists in Kombination mit anderen Merkmalen als Bewertungskriterium heranzuziehen, das ergibt unter'm Strich ein besseres Bewertungsbild.
Ich vergleiche das immer gerne mit einer postalischen Situation. Wenn mir mein Nachbar sagt "Briefe von Firma ABC sind blöd und enthalten nur Werbung", und ich jeden Brief von dieser Firma ungelesen wegwerfe (eigentlich zurückschicke), könnte auch eine Rechnung dabei sein. Wenn mein Nachbar wirklich auch vielleicht nur Werbung von diesen erhalten hat, seine Einschätzung zur Firma ABC ist subjektiv und nicht Inhalts-bezogen. Das, was ich von denen erhalte, kann ja etwas ganz Anderes sein!
Also landete aufgrund einiger weniger Falschmeldungen heute ein rein intern genutzer Mailserver auf der Spamcop-Blacklist, ein Mailing erreichte daher unsere Kunden nur teilweise. Nun dürfen die Kollegen das Mailing teilweise erneut verschicken.
----- The following addresses had permanent fatal errors -----Eine E-Mail schon beim Einliefern anhand nur einer einzigen Blacklist-Bewertung abzulehnen, ist heikel, kann u.a. zu rechtlichen Problemen führen und kommt einer Holzhammermethode gleich.
(...)
(reason: 550 5.1.2... Mail from 217.11.48.50 refused - see http://spamcop.net/bl.shtml)
Besser wäre daher, verschiedene Blacklists in Kombination mit anderen Merkmalen als Bewertungskriterium heranzuziehen, das ergibt unter'm Strich ein besseres Bewertungsbild.
Ich vergleiche das immer gerne mit einer postalischen Situation. Wenn mir mein Nachbar sagt "Briefe von Firma ABC sind blöd und enthalten nur Werbung", und ich jeden Brief von dieser Firma ungelesen wegwerfe (eigentlich zurückschicke), könnte auch eine Rechnung dabei sein. Wenn mein Nachbar wirklich auch vielleicht nur Werbung von diesen erhalten hat, seine Einschätzung zur Firma ABC ist subjektiv und nicht Inhalts-bezogen. Das, was ich von denen erhalte, kann ja etwas ganz Anderes sein!
Also landete aufgrund einiger weniger Falschmeldungen heute ein rein intern genutzer Mailserver auf der Spamcop-Blacklist, ein Mailing erreichte daher unsere Kunden nur teilweise. Nun dürfen die Kollegen das Mailing teilweise erneut verschicken.
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Hi!
Auch wir sind gestern auf der Spamcop-BL gelandet, allerdings war es leider unser Hauptmailserver, der betroffen war. Als ich mir dann angeschaut habe, warum man bei denen landen kann bin ich fast vom Stuhl gefallen. Autoresponder (falls man mal im Urlaub ist) sind doch in Deutschland höchst üblich. Schickt dein treuer Mailserver dann mal eine Nachricht an eine Spamtrap von Spamcop ist es aus. Da reg ich mich jetzt noch auf, zumal das hier beschriebene Vorgehen leider ein paar Mailserverbetreiber verfolgen..
Leider mussten wir daher erstmal aus Sicherheitsgründen die Autoresponderfunktion deaktivieren und verschicken bis auf weiteres keine Autoresponder aus unserem Ticketsystem. Wir werden dann wohl den Versand dieser automatischen Mails über eine andere IP rausschicken, wenn diese dann geblockt wird, ist es zwar ärgerlich, aber immer noch besser, als wenn es unseren Hauptserver trifft...
Mit kollegialen Grüßen,
Matthias
Auch wir sind gestern auf der Spamcop-BL gelandet, allerdings war es leider unser Hauptmailserver, der betroffen war. Als ich mir dann angeschaut habe, warum man bei denen landen kann bin ich fast vom Stuhl gefallen. Autoresponder (falls man mal im Urlaub ist) sind doch in Deutschland höchst üblich. Schickt dein treuer Mailserver dann mal eine Nachricht an eine Spamtrap von Spamcop ist es aus. Da reg ich mich jetzt noch auf, zumal das hier beschriebene Vorgehen leider ein paar Mailserverbetreiber verfolgen..
Leider mussten wir daher erstmal aus Sicherheitsgründen die Autoresponderfunktion deaktivieren und verschicken bis auf weiteres keine Autoresponder aus unserem Ticketsystem. Wir werden dann wohl den Versand dieser automatischen Mails über eine andere IP rausschicken, wenn diese dann geblockt wird, ist es zwar ärgerlich, aber immer noch besser, als wenn es unseren Hauptserver trifft...
Mit kollegialen Grüßen,
Matthias
das ist eines der grundprobleme von blacklists. früher oder später spielt sich jeder blacklist-betreiber als bully auf und versucht, subjektive kriterien durchzudrücken. googlet mal, wieviele amerikanische blacklist frankreich komplett listen. die anzahl ist >=0 (!). und zwar mit dem argument, dass aus frankreich viel spam verschickt wird. dabei ist in sämtlichen weltweiten spamhitlisten amerika an erster stelle, vor china.
Autoresponder sind ein Problem. Warum soll ein Mailsystem blind auf die Absenderangabe (die bei Spam eben gefälscht ist) vertrauen und dorthin Autoresponses verschicken? Das ist nerviges Backscatter und Teil des Spamproblems.
Wobei die Urlaubs-Responder noch am schlimmsten sind, wie jeder regelmäßige Nutzer von Mailinglisten feststellen dürfte - dass jemand Urlaub hat, weiß da immer sofort die gesamte Liste, und wenn der Responder schlecht geschrieben ist, kriegt sie das im Sekundentakt immer wieder mitgeteilt...
Zumal Autoresponder meist keinen wirklichen Wert haben. Sie bestätigen, dass die technische Übermittlung der Mail geklappt hat. Hurra! Das weiß man eigentlich auch so, weil keine Fehlermail generiert wurde. Ob sich jemand tatsächlich um das Anliegen in der Mail kümmert, und wann er damit wohl fertig sein wird, erfährt man ja leider nicht.
Ja klar, die gefühlte Nutzerfreundlichkeit ist natürlich höher, solange die Responses an die korrekten Adressen gehen...
Sven
Wobei die Urlaubs-Responder noch am schlimmsten sind, wie jeder regelmäßige Nutzer von Mailinglisten feststellen dürfte - dass jemand Urlaub hat, weiß da immer sofort die gesamte Liste, und wenn der Responder schlecht geschrieben ist, kriegt sie das im Sekundentakt immer wieder mitgeteilt...
Zumal Autoresponder meist keinen wirklichen Wert haben. Sie bestätigen, dass die technische Übermittlung der Mail geklappt hat. Hurra! Das weiß man eigentlich auch so, weil keine Fehlermail generiert wurde. Ob sich jemand tatsächlich um das Anliegen in der Mail kümmert, und wann er damit wohl fertig sein wird, erfährt man ja leider nicht.
Ja klar, die gefühlte Nutzerfreundlichkeit ist natürlich höher, solange die Responses an die korrekten Adressen gehen...Sven
Das ist sicher eine durchaus vernünftige Sichtweise, sobald man aber providermäßig für überwiegend mittelständische und kleinere Kunden (die also unseren Mailserver nutzen) zuständig ist, sind allzu idealistische Standpunkte zumindest problematisch. Da darf man sich dann ganz fix anhören, welche Provider eben diese Dienstleistung anbieten.
Ich denke Backscatter sollte man eher dadurch vermeiden, auslösende Spammails schon vorher durch einen Spamfilter zu blockieren. Bleibt aber die Schwierigkeit, dass ein Spamfilter nur optional zuschaltbar ist...
Grüße,
Matthias
Ich denke Backscatter sollte man eher dadurch vermeiden, auslösende Spammails schon vorher durch einen Spamfilter zu blockieren. Bleibt aber die Schwierigkeit, dass ein Spamfilter nur optional zuschaltbar ist...
Grüße,
Matthias
Das besagte Mailing ist bei mir (auch) im Spamordner eingestuft worden - allerdings verwende ich kein Spamcop, sondern den guten Spamassassin. Seine Fehlermeldung lautet "SUBJ_ILLEGAL_CHARS".
Grund: Die Umlaute in der Betreffzeile. Diese sind gemäß RFC zu kodieren.
Um den genannten Problemen aus dem Weg zu gehen, nutzt man bei Geschäfts-Mailings sehr häufig einen speziellen Versanddienstleister. Das muss auch gar nicht teuer sein und kann sich m.E. jedes SOHO-Unternehmen leisten. Wer Infos möchte -> Mail an mich.
Gruß,
Tommes
Grund: Die Umlaute in der Betreffzeile. Diese sind gemäß RFC zu kodieren.
Um den genannten Problemen aus dem Weg zu gehen, nutzt man bei Geschäfts-Mailings sehr häufig einen speziellen Versanddienstleister. Das muss auch gar nicht teuer sein und kann sich m.E. jedes SOHO-Unternehmen leisten. Wer Infos möchte -> Mail an mich.
Gruß,
Tommes
Das kann ich noch toppen. Eine Kundin von uns konnte keine Mail an Ihren Kunden senden.
SMTP error from remote mail server after end of data:
host mail.xxxxxxx.de [xx.xx.xxx.194]: 554 5.7.1 This message has
been blocked because it is from a RBL/ORDBL IP address.(path black ip
82.82.xxx.xxx)
PATH (!) black ip ... Die haben bestimmt nur ganz wenig Emails bekommen
SMTP error from remote mail server after end of data:
host mail.xxxxxxx.de [xx.xx.xxx.194]: 554 5.7.1 This message has
been blocked because it is from a RBL/ORDBL IP address.(path black ip
82.82.xxx.xxx)
PATH (!) black ip ... Die haben bestimmt nur ganz wenig Emails bekommen
Im Prinzip hat der Mailempfänger eine ganze Menge richtig gemacht:
- Er hat die Mail nicht angenommen und Bounces verschickt.
- Er hat eine sinnvolle Fehlermeldung zurückgegeben.
- Die Mail ist auch nicht in irgendeinem schwarzen Loch versunken, sondern kam unzustellbar zurück, so dass der Sender reagieren konnte.
Der einzige Fehler war: Er hat die falsche Blacklist benutzt, nämlich eine, deren Betreiber etwas zu rücksichtslos mit dem Listen von potentiellen Spam-IPs sind.
Aus diesem Vorfall kann man jetzt natürlich eine Menge lernen - vor allem beim Mailempfänger (hoffentlich passiert dies auch tatsächlich):
- mindestens mal gehört der jetzt eindeutig als "gut" identifizierte Providermailserver auf die Whitelist.
- die Auswahl an Blacklisten sollte zumindest in diesem einen Fall noch mal überdacht werden.
- ggf. sind auch alternative Spamverhinderungsmethoden ganz sinnvoll.
Als Mailadmin jedenfalls sind meine zwei besten Erfolgsrezepte derzeit:
1. Strenge Prüfung der HELO-Angabe (54% der gefilterten Mails)
2. Greylisting (42%)
Danach irgendwann:
3. falsche Absenderadresse (nichtexistente Domain etc.) (6%)
4. Blacklisten (extern + intern) (4%)
5. unbekannte Empfänger (1%)
6. SPF gescheitert (weniger als 1%)
7. Sonstiges (2%)
Nur wenn man nichts aus so einem Vorfall lernen will, ist man ein dummer MX-Mailadmin.
Sven
- Er hat die Mail nicht angenommen und Bounces verschickt.
- Er hat eine sinnvolle Fehlermeldung zurückgegeben.
- Die Mail ist auch nicht in irgendeinem schwarzen Loch versunken, sondern kam unzustellbar zurück, so dass der Sender reagieren konnte.
Der einzige Fehler war: Er hat die falsche Blacklist benutzt, nämlich eine, deren Betreiber etwas zu rücksichtslos mit dem Listen von potentiellen Spam-IPs sind.
Aus diesem Vorfall kann man jetzt natürlich eine Menge lernen - vor allem beim Mailempfänger (hoffentlich passiert dies auch tatsächlich):
- mindestens mal gehört der jetzt eindeutig als "gut" identifizierte Providermailserver auf die Whitelist.
- die Auswahl an Blacklisten sollte zumindest in diesem einen Fall noch mal überdacht werden.
- ggf. sind auch alternative Spamverhinderungsmethoden ganz sinnvoll.
Als Mailadmin jedenfalls sind meine zwei besten Erfolgsrezepte derzeit:
1. Strenge Prüfung der HELO-Angabe (54% der gefilterten Mails)
2. Greylisting (42%)
Danach irgendwann:
3. falsche Absenderadresse (nichtexistente Domain etc.) (6%)
4. Blacklisten (extern + intern) (4%)
5. unbekannte Empfänger (1%)
6. SPF gescheitert (weniger als 1%)
7. Sonstiges (2%)
Nur wenn man nichts aus so einem Vorfall lernen will, ist man ein dummer MX-Mailadmin.
Sven
Kann man ahnen, dass das Blog das Kleiner-Zeichen gleich als HTML-Tagstart interpretiert und den Kommentar dann abschneidet?
Das Fragment darf entsorgt werden...
Das Fragment darf entsorgt werden...
Hi!
Noch schlimmer:
http://www.uceprotect.net/de/index.php
und sowas wird dann noch vom Land Bayern unterstützt und die meisten Städte und Landessachen nutzen das auch tatsächlich. Die Sperren gleich ganze /24 (Class-C) Netze und dann muss man 7 Tage warten - oder 50,- Euro pro IP für die Entsperrung zahlen.
Bei uns steht nun ein ganzes /24 drauf, weil ein Spammer über eine Lücke in einem Hostingaccount eine Mail an eine Trap von denen geschickt hat.
Die Texte auf der Seite sind auch sehr amüsant. Ich verstehe nur nicht, dass soetwas mit Steuergeldern unterstützt wird.
Noch schlimmer:
http://www.uceprotect.net/de/index.php
und sowas wird dann noch vom Land Bayern unterstützt und die meisten Städte und Landessachen nutzen das auch tatsächlich. Die Sperren gleich ganze /24 (Class-C) Netze und dann muss man 7 Tage warten - oder 50,- Euro pro IP für die Entsperrung zahlen.
Bei uns steht nun ein ganzes /24 drauf, weil ein Spammer über eine Lücke in einem Hostingaccount eine Mail an eine Trap von denen geschickt hat.
Die Texte auf der Seite sind auch sehr amüsant. Ich verstehe nur nicht, dass soetwas mit Steuergeldern unterstützt wird.
Das hier (http://www.uceprotect.net/de/index.php?m=4&s=0) scheint aber kostenlos zu sein: Spamschutzvereinbarung für strenge Provider, die Abuse ernst nehmen.
Allerdings widersprechen sich die Anbieter auf dieser Seite (in Verbindung mit den anderen Seiten) leider selbst:
In Punkt 2 wird gefordert, dass Dialup-Rechner keinen Zugang zu den Port 25 des Internets haben sollen, sondern über einen Provider-Smarthost geleitet werden sollen. Gleichzeitig wird SRS abgelehnt, und SPF als wirksame Maßnahme ausdrücklich befürwortet.
Mal so ganz dumm gefragt: Wie zum Teufel soll man dann als Dialup-User seine Mails an den im SPF vorgesehenen Mailserver zum Versand einliefern, wenn die Direktverbindung nicht gestattet wird? Und wie toll muß ich es finden, dass sich mein Zugangsprovider in die Kommunikation mit meinem Mailserver einschalten soll, und alles mitlesen kann?
Klar, es gibt den "smtp submit"-Port. Und es gibt SSL. Wirklich vertrauenswürdige Daten würde der Provider also nicht erhalten können. Aber das Redirecten auf seinen Smarthost zerstört die Möglichkeit, SMTP mit SSL-Verbindung zum Originalserver vorzunehmen, und der Extra-Port für SMTP-Einlieferung hilft ja auch nicht wirklich gegen Spam. Gekaperte Rechner haben üblicherweise Mailzugangsdaten der üblichen Mailprogramme gespeichert - dann wird der Spam eben über den existierenden Account des Opfers rausgeschickt. Nach tausend Mails ist Schluß - kein Problem, dann kapert man eben eine Million Rechner für eine Milliarde Mails.
Allerdings widersprechen sich die Anbieter auf dieser Seite (in Verbindung mit den anderen Seiten) leider selbst:
In Punkt 2 wird gefordert, dass Dialup-Rechner keinen Zugang zu den Port 25 des Internets haben sollen, sondern über einen Provider-Smarthost geleitet werden sollen. Gleichzeitig wird SRS abgelehnt, und SPF als wirksame Maßnahme ausdrücklich befürwortet.
Mal so ganz dumm gefragt: Wie zum Teufel soll man dann als Dialup-User seine Mails an den im SPF vorgesehenen Mailserver zum Versand einliefern, wenn die Direktverbindung nicht gestattet wird? Und wie toll muß ich es finden, dass sich mein Zugangsprovider in die Kommunikation mit meinem Mailserver einschalten soll, und alles mitlesen kann?
Klar, es gibt den "smtp submit"-Port. Und es gibt SSL. Wirklich vertrauenswürdige Daten würde der Provider also nicht erhalten können. Aber das Redirecten auf seinen Smarthost zerstört die Möglichkeit, SMTP mit SSL-Verbindung zum Originalserver vorzunehmen, und der Extra-Port für SMTP-Einlieferung hilft ja auch nicht wirklich gegen Spam. Gekaperte Rechner haben üblicherweise Mailzugangsdaten der üblichen Mailprogramme gespeichert - dann wird der Spam eben über den existierenden Account des Opfers rausgeschickt. Nach tausend Mails ist Schluß - kein Problem, dann kapert man eben eine Million Rechner für eine Milliarde Mails.
Der Witz - es kam nie eine Beschwerde - und Spammer werden selbstverständlich direkt gesperrt. Und solche Sachen unterstützen wir sicherlich nicht mit einer Unterschrift.
IPv4 vs. IPv6
Du bist hier via
Suche
Ökostrom
Kalender
Kommentare
Mi, 16.05.2012 22:40
Das ist ein Honeypot!
Sobald
ein Zugriff auf diese IP Adres
se erfolgt wird dem nachgegang
en.
zu SIGwas?
Mi, 16.05.2012 21:37
Und ich dachte, die Packung is
t von der PCISIG entworfen.. (
Package and Containers Industr
y Special Interest Group [...]
zu Akamai tot?
Mi, 16.05.2012 20:51
Wie kann man auf die Idee komm
en das...
1. tagsüber und
2.
vor einem Feiertag zu machen?
Unglaublich...
Ic [...]
zu SIGwas?
Mi, 16.05.2012 18:19
Nein wir sind noch immer traur
ig darüber dass die Firma aufg
eteilt wurde 
Mi, 16.05.2012 17:43
und einmal aus München mit (ec
htem) Balulicht ...
http://ww
w.ehrl-sicherheit.de/webseite/
img/neu2942GER5B.jpg
zu SIGwas?
Mi, 16.05.2012 11:30
Wenn das MHD abläuft bekommst
du ein SIGTERM. Wenn du dann e
in paar Tage später dran riech
st ein SIGILL und nach d [...]
zu SIGwas?
Mi, 16.05.2012 10:15
SIG stellt den Combiblock (ein
Konkurenzprodukt zum Tetrapac
k) her und ja, das ist die gle
iche Firma, die mal mit [...]
