Freitag, 22. September 2006, 12:12
Holzhammermethode
Ich kann ja verstehen, dass Mailserver-Administratoren im Kampf gegen den Spam sich gerne Blacklists bedienen, aber das hier geht einfach gar nicht:
Besser wäre daher, verschiedene Blacklists in Kombination mit anderen Merkmalen als Bewertungskriterium heranzuziehen, das ergibt unter'm Strich ein besseres Bewertungsbild.
Ich vergleiche das immer gerne mit einer postalischen Situation. Wenn mir mein Nachbar sagt "Briefe von Firma ABC sind blöd und enthalten nur Werbung", und ich jeden Brief von dieser Firma ungelesen wegwerfe (eigentlich zurückschicke), könnte auch eine Rechnung dabei sein. Wenn mein Nachbar wirklich auch vielleicht nur Werbung von diesen erhalten hat, seine Einschätzung zur Firma ABC ist subjektiv und nicht Inhalts-bezogen. Das, was ich von denen erhalte, kann ja etwas ganz Anderes sein!
Also landete aufgrund einiger weniger Falschmeldungen heute ein rein intern genutzer Mailserver auf der Spamcop-Blacklist, ein Mailing erreichte daher unsere Kunden nur teilweise. Nun dürfen die Kollegen das Mailing teilweise erneut verschicken.
----- The following addresses had permanent fatal errors -----Eine E-Mail schon beim Einliefern anhand nur einer einzigen Blacklist-Bewertung abzulehnen, ist heikel, kann u.a. zu rechtlichen Problemen führen und kommt einer Holzhammermethode gleich.
(...)
(reason: 550 5.1.2... Mail from 217.11.48.50 refused - see http://spamcop.net/bl.shtml)
Besser wäre daher, verschiedene Blacklists in Kombination mit anderen Merkmalen als Bewertungskriterium heranzuziehen, das ergibt unter'm Strich ein besseres Bewertungsbild.
Ich vergleiche das immer gerne mit einer postalischen Situation. Wenn mir mein Nachbar sagt "Briefe von Firma ABC sind blöd und enthalten nur Werbung", und ich jeden Brief von dieser Firma ungelesen wegwerfe (eigentlich zurückschicke), könnte auch eine Rechnung dabei sein. Wenn mein Nachbar wirklich auch vielleicht nur Werbung von diesen erhalten hat, seine Einschätzung zur Firma ABC ist subjektiv und nicht Inhalts-bezogen. Das, was ich von denen erhalte, kann ja etwas ganz Anderes sein!
Also landete aufgrund einiger weniger Falschmeldungen heute ein rein intern genutzer Mailserver auf der Spamcop-Blacklist, ein Mailing erreichte daher unsere Kunden nur teilweise. Nun dürfen die Kollegen das Mailing teilweise erneut verschicken.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Matthias
Auch wir sind gestern auf der Spamcop-BL gelandet, allerdings war es leider unser Hauptmailserver, der betroffen war. Als ich mir dann angeschaut habe, warum man bei denen landen kann bin ich fast vom Stuhl gefallen. Autoresponder (falls man mal im Urlaub ist) sind doch in Deutschland höchst üblich. Schickt dein treuer Mailserver dann mal eine Nachricht an eine Spamtrap von Spamcop ist es aus. Da reg ich mich jetzt noch auf, zumal das hier beschriebene Vorgehen leider ein paar Mailserverbetreiber verfolgen..
Leider mussten wir daher erstmal aus Sicherheitsgründen die Autoresponderfunktion deaktivieren und verschicken bis auf weiteres keine Autoresponder aus unserem Ticketsystem. Wir werden dann wohl den Versand dieser automatischen Mails über eine andere IP rausschicken, wenn diese dann geblockt wird, ist es zwar ärgerlich, aber immer noch besser, als wenn es unseren Hauptserver trifft...
Mit kollegialen Grüßen,
Matthias
Manuel Schmitt (manitu)
cs
Sven
Wobei die Urlaubs-Responder noch am schlimmsten sind, wie jeder regelmäßige Nutzer von Mailinglisten feststellen dürfte - dass jemand Urlaub hat, weiß da immer sofort die gesamte Liste, und wenn der Responder schlecht geschrieben ist, kriegt sie das im Sekundentakt immer wieder mitgeteilt...
Zumal Autoresponder meist keinen wirklichen Wert haben. Sie bestätigen, dass die technische Übermittlung der Mail geklappt hat. Hurra! Das weiß man eigentlich auch so, weil keine Fehlermail generiert wurde. Ob sich jemand tatsächlich um das Anliegen in der Mail kümmert, und wann er damit wohl fertig sein wird, erfährt man ja leider nicht.
Sven
Matthias
Ich denke Backscatter sollte man eher dadurch vermeiden, auslösende Spammails schon vorher durch einen Spamfilter zu blockieren. Bleibt aber die Schwierigkeit, dass ein Spamfilter nur optional zuschaltbar ist...
Grüße,
Matthias
Tommes
Grund: Die Umlaute in der Betreffzeile. Diese sind gemäß RFC zu kodieren.
Um den genannten Problemen aus dem Weg zu gehen, nutzt man bei Geschäfts-Mailings sehr häufig einen speziellen Versanddienstleister. Das muss auch gar nicht teuer sein und kann sich m.E. jedes SOHO-Unternehmen leisten. Wer Infos möchte -> Mail an mich.
Gruß,
Tommes
Frank
SMTP error from remote mail server after end of data:
host mail.xxxxxxx.de [xx.xx.xxx.194]: 554 5.7.1 This message has
been blocked because it is from a RBL/ORDBL IP address.(path black ip
82.82.xxx.xxx)
PATH (!) black ip ... Die haben bestimmt nur ganz wenig Emails bekommen
Sven
- Er hat die Mail nicht angenommen und Bounces verschickt.
- Er hat eine sinnvolle Fehlermeldung zurückgegeben.
- Die Mail ist auch nicht in irgendeinem schwarzen Loch versunken, sondern kam unzustellbar zurück, so dass der Sender reagieren konnte.
Der einzige Fehler war: Er hat die falsche Blacklist benutzt, nämlich eine, deren Betreiber etwas zu rücksichtslos mit dem Listen von potentiellen Spam-IPs sind.
Aus diesem Vorfall kann man jetzt natürlich eine Menge lernen - vor allem beim Mailempfänger (hoffentlich passiert dies auch tatsächlich):
- mindestens mal gehört der jetzt eindeutig als "gut" identifizierte Providermailserver auf die Whitelist.
- die Auswahl an Blacklisten sollte zumindest in diesem einen Fall noch mal überdacht werden.
- ggf. sind auch alternative Spamverhinderungsmethoden ganz sinnvoll.
Als Mailadmin jedenfalls sind meine zwei besten Erfolgsrezepte derzeit:
1. Strenge Prüfung der HELO-Angabe (54% der gefilterten Mails)
2. Greylisting (42%)
Danach irgendwann:
3. falsche Absenderadresse (nichtexistente Domain etc.) (6%)
4. Blacklisten (extern + intern) (4%)
5. unbekannte Empfänger (1%)
6. SPF gescheitert (weniger als 1%)
7. Sonstiges (2%)
Nur wenn man nichts aus so einem Vorfall lernen will, ist man ein dummer MX-Mailadmin.
Sven
Sven
Das Fragment darf entsorgt werden...
Manuel Schmitt (manitu)
Stefan
Noch schlimmer:
http://www.uceprotect.net/de/index.php
und sowas wird dann noch vom Land Bayern unterstützt und die meisten Städte und Landessachen nutzen das auch tatsächlich. Die Sperren gleich ganze /24 (Class-C) Netze und dann muss man 7 Tage warten - oder 50,- Euro pro IP für die Entsperrung zahlen.
Bei uns steht nun ein ganzes /24 drauf, weil ein Spammer über eine Lücke in einem Hostingaccount eine Mail an eine Trap von denen geschickt hat.
Die Texte auf der Seite sind auch sehr amüsant. Ich verstehe nur nicht, dass soetwas mit Steuergeldern unterstützt wird.
Sven
Allerdings widersprechen sich die Anbieter auf dieser Seite (in Verbindung mit den anderen Seiten) leider selbst:
In Punkt 2 wird gefordert, dass Dialup-Rechner keinen Zugang zu den Port 25 des Internets haben sollen, sondern über einen Provider-Smarthost geleitet werden sollen. Gleichzeitig wird SRS abgelehnt, und SPF als wirksame Maßnahme ausdrücklich befürwortet.
Mal so ganz dumm gefragt: Wie zum Teufel soll man dann als Dialup-User seine Mails an den im SPF vorgesehenen Mailserver zum Versand einliefern, wenn die Direktverbindung nicht gestattet wird? Und wie toll muß ich es finden, dass sich mein Zugangsprovider in die Kommunikation mit meinem Mailserver einschalten soll, und alles mitlesen kann?
Klar, es gibt den "smtp submit"-Port. Und es gibt SSL. Wirklich vertrauenswürdige Daten würde der Provider also nicht erhalten können. Aber das Redirecten auf seinen Smarthost zerstört die Möglichkeit, SMTP mit SSL-Verbindung zum Originalserver vorzunehmen, und der Extra-Port für SMTP-Einlieferung hilft ja auch nicht wirklich gegen Spam. Gekaperte Rechner haben üblicherweise Mailzugangsdaten der üblichen Mailprogramme gespeichert - dann wird der Spam eben über den existierenden Account des Opfers rausgeschickt. Nach tausend Mails ist Schluß - kein Problem, dann kapert man eben eine Million Rechner für eine Milliarde Mails.
Stefan