AOL - zu doof für SPF?

Servus,

seit Anfang des Jahres quäkt AOL gross herum, dass man zwecks Verringerung des Spamaufkommens massiv SPF unterstütze und einsetzen wolle. Mehr und mehr drängt sich mir aber der Verdacht auf, dass AOL damit

a) nur erreichen will, dass der eigene Name nicht mehr so oft in Spams auftaucht, ihnen dieses Thema aber sonst ziemlich am Arsch vorbei geht

b) von den intellektuellen Kapazitäten seiner Administratoren her völlig überfordert ist bei der Einführung einer solchen Lösung

Nicht zum ersten Mal flattert mir heute eine von Spamassassin getaggte Mail ins Sperrfach, die eindeutig kein Spam ist, aufgrund der Ignoranz der AOL-Admins aber als solcher erkannt wird. Der Header:

Return-path: 
Received: from imo-m23.mx.aol.com (64.12.137.4) by glatz.de 
(Mercury/32 v4.01a) with ESMTP ID MG000033;
 20 Feb 2004 08:44:13 -0000
Received: from [email protected]
 by imo-m23.mx.aol.com (mail\_out\_v36\_r4.14.) id e.103.3fb0d213 (16109)
 for ; Fri, 20 Feb 2004 02:44:09 -0500 (EST)
Received: from aol.com ([218.63.34.129]) by air-id12.mx.aol.com (v98.6) with 
ESMTP id MAILINID121-3eed4035b935e6; Fri, 20 Feb 2004 02:37:34 -0500

Spamassassin meint dazu (auf den ersten Blick völlig zu recht):

 4.1 NO\_RDNS\_DOTCOM\_HELO Host HELO'd as a big ISP, but had no rDNS
 2.4 FAKE\_HELO\_AOL Host HELO did not match rDNS: aol.com
 0.1 RCVD\_IN\_SORBS RBL: SORBS: sender is listed in SORBS
 [218.63.34.129 listed in dnsbl.sorbs.net]

Der ausliefernde Server air-id12.mx.aol.com ist im DNS nicht bekannt, die Adresse 218.63.34.129 gehört zu Chinanet-YN, einem zu Recht als Spamlieferant verschrieenen Provider. Der einliefernde Server imo-m23.mx.aol.com ist nicht bekannt, seine Adresse 64.12.137.4 aber immerhin in den SPF-Records für AOL eingetragen.

So weit, so gut, doch dass dumme ist nur: von all diesen Angaben ist nicht eine einzige gefälscht, sie stammen tatsächlich von AOL. Der Absender und sein PC sind mir persönlich bekannt, der Absender ist AOL-Mitglied und geht mit AOL-Account in China ins Internet. Und die Mail stammt auch tatsächlich von diesem Absender.

Meine Befürchtung ist nun, dass, wenn sich SPF tatsächlich durchsetzen sollte, dieses sich zu einem Instrument massivster nicht Spam-, sondern Mailverhinderung entwickeln wird. Abgesehen davon, dass ich den mögl. Vorteil von SPF- gegenüber herkömmlichen MX-Records alleine auf der Seite der grossen Provider und weltweiter Unternehmen sehe, aber keinen Vorteil für die spamgeplagten Anwender.

Was haltet ihr von der SPF-Initiative? Kann diese tatsächlich zur Verringerung des Spamaufkommens beitragen? Bietet sie den Anwendern irgendwelche Vorteile, die ich bislang übersehe? Oder läuft das auf ein Hornberger Schiessen hinaus - Viel Wind um nichts?

Gruss,
Schorsch

P.S.: By the way: eine whois-Abfrage auf AOL.com ergibt folgende Servereinträge:

Server Name: AOL.COM.IS.N0T.AS.1337.AS.GULLI.COM
Server Name: AOL.COM.IS.0WNED.BY.SUB7.NET
Server Name: AOL.COM.AINT.GOT.AS.MUCH.FREE.PORN.AS.SECZ.COM

Spricht doch für die Professionalität der AOL-Admins, oder?

Gehts noch polemischer?
Hallo,

dein Beispiel in allen Ehren, aber:

a) Was hat das mit AOL zu tun? Auch andere Provider werden/wollen SPF benutzen?

b) Das normale Mail als Spam erkannt wird, ist nichts neues. Das passiert mit normalen Spam-Filtern auch

c) Bei all deiner Abneigung gegen AOL. Die dortigen Administratoren sind auch nicht doof. Das sind genauso qualifizierte Leute wie in jedem anderen Unternehmen auch. Die Entscheidung zur Einführung von SPF hat wohl kaum ein Admin getroffen, sondern die Geschäftsführung.

d) SPF bedeutet, dass empfangende Mail-Server im DNS nachschauen können, ob die IP-Adresse zu der angeblichen Absender-Domain passt. Wenn dein bekannter das mißachtet, kann keiner was dafür.

e) AOL macht das ganze aus demselben Grund wie alle andern Provider auch. Einmal um die Kosten durch Spam zu minimieren und zweitens um den Kunden weniger Spam zu zumuten.

f) Wie bitte soll der SPF-Filter erkennen, dass es sich bei deinem Freund um keinen Spammer handelt, wenn sein HELO nicht das ist, was es eigentlich sein soll? Hellsehen können die auch nicht.

g) SPF bietet auch Vorteile für private Anwender, weil sie einfach weniger Spam bekommen.

Was haltet ihr von der SPF-Initiative?

Nunja, sie wird auf jeden Fall kommen. Und man weiß ja, was man zu tun hat, damit die Mails vom Mailserver angenommen werden.

Kann diese tatsächlich
zur Verringerung des Spamaufkommens beitragen?

Auf jeden Fall. SPF ist wesentlich effektiver als all der andere Schmarrn den man sonst versucht.

Bietet sie den
Anwendern irgendwelche Vorteile, die ich bislang übersehe?

Du bekommst weniger Spam? Ist das nichts?

P.S.: By the way: eine whois-Abfrage auf AOL.com ergibt
folgende Servereinträge:

Server Name:
AOL.COM.IS.N0T.AS.1337.AS.GULLI.COM
Server Name: AOL.COM.IS.0WNED.BY.SUB7.NET
Server Name:
AOL.COM.AINT.GOT.AS.MUCH.FREE.PORN.AS.SECZ.COM

Spricht doch für die Professionalität der AOL-Admins, oder?

Nein, das spricht für deine Unwissenheit, was eine whois-Ausgabe alles anzeigt…

Ein whois mit „aol.com“ gibt folgendes:

 Server Name: AOL.COM.IS.N0T.AS.1337.AS.GULLI.COM
 IP Address: 80.190.192.24
 Registrar: GANDI
 Whois Server: whois.gandi.net
 Referral URL: http://www.gandi.net



 Server Name: AOL.COM.IS.0WNED.BY.SUB7.NET
 IP Address: 216.78.25.45
 Registrar: INNERWISE, INC. D/B/A ITSYOURDOMAIN.COM
 Whois Server: whois.itsyourdomain.com
 Referral URL: http://www.itsyourdomain.com



 Server Name: AOL.COM.AINT.GOT.AS.MUCH.FREE.PORN.AS.SECZ.COM
 IP Address: 209.187.114.133
 Registrar: INNERWISE, INC. D/B/A ITSYOURDOMAIN.COM
 Whois Server: whois.itsyourdomain.com
 Referral URL: http://www.itsyourdomain.com



 Domain Name: AOL.COM
 Registrar: AMERICA ONLINE, INC. DBA AOL AND/OR COMPUSERVE-AOL
 Whois Server: whois.registrar.aol.com
 Referral URL: http://www.registrar.aol.com
 Name Server: DNS-02.NS.AOL.COM
 Name Server: DNS-01.NS.AOL.COM
 Name Server: DNS-06.NS.AOL.COM
 Name Server: DNS-07.NS.AOL.COM
 Status: REGISTRAR-LOCK
 Updated Date: 24-nov-2003
 Creation Date: 22-jun-1995
 Expiration Date: 23-nov-2004

Die ersten 3 Einträge - die deiner Meinung nach zeigen, wie doof doch die AOL Admins sind - stammen nicht von AOL. Das sind irgendwelche Spinner, die sich solche Domains geholt haben, um sich einen Spass zu erlauben.
Wenn du mal ein whois auf „microsoft.com“ oder „linux.com“ machst, dann kannst du da ähnliche Einträge sehen.

mfg
deconstruct

[…]Wenn dein bekannter das mißachtet, kann
keiner was dafür.

f) Wie bitte soll der SPF-Filter erkennen, dass es sich bei
deinem Freund um keinen Spammer handelt, wenn sein HELO nicht
das ist, was es eigentlich sein soll? Hellsehen können die
auch nicht.

Nochmals: Er geht mit AOL-Software auf einem AOL-Account online. Er missachtet nicht, er hat keine Chance, einen eigenen HELO zu setzen. Er hat keinen Einfluss darauf, über welchen Provider (ich nehme an, dass AOL hier ein Roamingabkommen mit dem chin. Provider getroffen hat) er sich tatsächlich ins Internet einwählt.

Aber mein Verständnisproblem ist folgendes: Wo liegt der Vorteil der Abfrage eines SPF-Records gegenüber der Abfrage eines MX-Records? Ich kann doch heute schon jederzeit prüfen, ob MX und Adresse übereinstimmen. Ich sperre damit alle die aus, die zuhause einen eigenen Mailserver betreiben, aber mit Firmenadresse senden. Die meisten dieser ‚privaten‘ Mailserver sind aber Zombies, die von Spammern missbraucht werden. Und ob die sich nun @aol.com oder @uni-mannheim.de oder … nennen, ist mir dabei relativ egal.

Dass SPF-Einträge einfacher und flexibler zu handhaben sind als MX-Einträge, okay. Aber das betrifft die Sender, wo habe ich als Empfänger meinen Vorteil?

Was haltet ihr von der SPF-Initiative?

Nunja, sie wird auf jeden Fall kommen. Und man weiß ja, was
man zu tun hat, damit die Mails vom Mailserver angenommen
werden.

Das bedeutet doch im Umkehrschluss, dass du für alle Mails ohne gültigen SPF-Eintrag schlicht die Annahme verweigerst. Genauso gut könntest du heute hingehen, und alle Mails von Dialup-Connections verweigern. In 99,5% liegst du damit wahrscheinlich richtig. Aber mit dem einen halben Prozent habe ich Probleme. Wenn du 200 Spams/Tag auf diese Weise verhinderst, hast du dummerweise auch eine möglicherweise wichtige Mail/Tag abgeschossen. Und es wird immer Fälle geben (Umzug zu anderem Provider, Übermittlungsfehler, verschlafen…), in denen Absender und SPF-Eintrag nicht übereinstimmen, ohne dass der Absender ein Spammer ist.

Kann diese tatsächlich
zur Verringerung des Spamaufkommens beitragen?

Auf jeden Fall. SPF ist wesentlich effektiver als all der
andere Schmarrn den man sonst versucht.

Dass SPF den Spammern das Leben schwerer machen wird, sehe ich. Dass dadurch das Spamaufkommen wesentlich verringert werden wird, sehe ich noch nicht. Es sei denn, dass nahezu jeder Betreiber tatsächlich bereits am Server alles abfängt, wo SPF und Absender nicht übereinstimmen. Und damit aber das Risiko eingeht, dass legitime Mail verloren geht.

Andererseits, wenn ich dieses Risiko und den möglichen Gewinn gegeneinander abwäge, sehe ich hier vielleicht zu schwarz.

Die ersten 3 Einträge - die deiner Meinung nach zeigen, wie
doof doch die AOL Admins sind - stammen nicht von AOL.
Das sind irgendwelche Spinner, die sich solche Domains geholt
haben, um sich einen Spass zu erlauben.
Wenn du mal ein whois auf „microsoft.com“ oder „linux.com“
machst, dann kannst du da ähnliche Einträge sehen.

Da habe ich wirklich nicht sauber hingeguckt und muss den AOL-Admins Abbitte leisten. Hier war ich der Doofe.

Gruss,
Schorsch

SPF
Hallo,

Nochmals: Er geht mit AOL-Software auf einem AOL-Account
online. Er missachtet nicht, er hat keine Chance, einen
eigenen HELO zu setzen. Er hat keinen Einfluss darauf, über
welchen Provider (ich nehme an, dass AOL hier ein
Roamingabkommen mit dem chin. Provider getroffen hat) er sich
tatsächlich ins Internet einwählt.

Dann liegt aber der Fehler wohl eher bei dem chin. Provider, weil von dem bekommt er ja die IP. Dafür kann dann AOL auch herzlich wenig, und das Problem trifft sicherlich nicht nur AOL. Ich kenne den chin. Provider jetzt nicht, aber da du selbst ja schreibst, dass er Spam-bekannt ist, zeugt das nicht unbedingt von seiner Zuverlässigkeit.

Aber mein Verständnisproblem ist folgendes: Wo liegt der
Vorteil der Abfrage eines SPF-Records gegenüber der Abfrage
eines MX-Records?

Der MX-Record spezifiziert, welche Server einer Domain für die Mailzustellung verantwortlich ist. Da steht dann z.B. drin „Für *@aol.com ist der Server mail.aol.com zuständig“. Das wird nur gebraucht, weil man ja sonst nicht weiß, wohin man z.b. die Mail [email protected] hintun soll. Irgendwo müssen die anderen Mailserver ja wissen, wo sie die Mail hinreichen sollen. Und das ist in den MX-Records definiert.
Das nützt aber nichts, um Spam zu bekämpfen.

Ich kann doch heute schon jederzeit prüfen,
ob MX und Adresse übereinstimmen.

MX und Adresse stimmen nur dann überein, wenn die Mail vom Mailserver selbst versandt wird. Und das trifft wohl so gut wie nie zu. Die IP-Adresse - kann auch gern das Class-A Netzwerk sein - stimmt selten mit dem MX-Record überein.

Ich sperre damit alle die
aus, die zuhause einen eigenen Mailserver betreiben, aber mit
Firmenadresse senden.

Nein, weil das gar nicht funktioniert

Dass SPF-Einträge einfacher und flexibler zu handhaben sind
als MX-Einträge, okay. Aber das betrifft die Sender, wo habe
ich als Empfänger meinen Vorteil?

SPF-Einträge haben gar nichts mit MX-Einträgen zu tun. Eine Überprüfung der IP des Absenders wird bis jetzt doch noch gar nicht durchgeführt, deswegen wird doch SPF eingeführt.

Das bedeutet doch im Umkehrschluss, dass du für alle Mails
ohne gültigen SPF-Eintrag schlicht die Annahme verweigerst.

Wenn du bei einem Provider bist, dessen Mailserver das einsetzen: Ja.
Aber es hindert dich ja keiner den Provider zu wechseln.

Dialup-Connections verweigern. In 99,5% liegst du damit
wahrscheinlich richtig. Aber mit dem einen halben Prozent habe
ich Probleme.

Wieso? In dem halben Prozent stimmt was in den Einstellungen nicht. Das ist doch genauso wenn ich auf einen Brief eine falsche Adresse schreibe und mich dann wundere, wieso der Brief nicht ankommt. Und außerdem wird der Absender ja informiert, dass seine Mail geblockt wurde. Dann kann er ja schauen, wieso der Mailserver seine Mail nicht annimmt. Das ist IMO auf jeden Fall sinnvoller, als wenn die Mail mit einem normalen Spam-Filter irgendwo im Spam-Ordner landet, und dann vom Empfänger nicht gesehen wird, weil sie in der Spamflut untergeht. Ich war manchmal schon wirklich knapp davor eine Mail im Spam-Ordner zu löschen, bis ich kurz davor noch gespannt hab, dass es kein Spam ist.

wichtige Mail/Tag abgeschossen. Und es wird immer Fälle geben
(Umzug zu anderem Provider, Übermittlungsfehler,
verschlafen…), in denen Absender und SPF-Eintrag nicht
übereinstimmen, ohne dass der Absender ein Spammer ist.

Wenn er zu einem anderen Provider umzieht, dann hat er auch nicht mehr die alte Mail-Adresse. Einen AOL-Mailaccount kann nur ein AOL-Mitglied haben.

Kann diese tatsächlich
zur Verringerung des Spamaufkommens beitragen?

Auf jeden Fall. SPF ist wesentlich effektiver als all der
andere Schmarrn den man sonst versucht.

Dass SPF den Spammern das Leben schwerer machen wird, sehe
ich. Dass dadurch das Spamaufkommen wesentlich verringert
werden wird, sehe ich noch nicht.

Doch. Der meiste Spam wird über Privat-PCs mittels Trojaner usw versandt. Der Mißbrauch von Privat-PCs ist dann nicht mehr möglich.
Das Spammen hat ja nur so hohe Außmaße angenommen, weil die Spammer den Traffic dafür nicht zahlen müssen, weil sie andere PCs mißbrauchen.

Es sei denn, dass nahezu
jeder Betreiber tatsächlich bereits am Server alles abfängt,
wo SPF und Absender nicht übereinstimmen. Und damit aber das
Risiko eingeht, dass legitime Mail verloren geht.

Sie geht ja nicht verloren. Sie wird geblockt und der Absender informiert. Der kann dann schauen, wieso seine Mail geblockt wird.

mfg
deconstruct

Hallo!

seit Anfang des Jahres quäkt AOL gross herum, dass man zwecks
Verringerung des Spamaufkommens massiv SPF unterstütze und
einsetzen wolle.

Nun, das werden nach und nach alle grossen Provider tun, um ihr Pferdchen laufen zu lassen.

Im Brett IT-Sicherheit, meine ich, wurde vor ca. 4 Wochen schon mal nach dem Sinn und Zweck gefragt… ich wollte damals schon antworten, hab’s dann aber doch wieder gelöscht.

So ich die SPF-Technik richtig verstanden habe, wird sich daraus vorübergehend (A) ein gewisser Vorteil und (B) gewisse Nachteile/Problematik ergeben.

(A) Das Spam-Aufkommen wird schätze ich um 30-50% abnehmen, bis dass die Spammer neue Methoden gefunden haben (aber es wird sie auf jeden Fall teurer kommen, hähä!)

(B) Solange nicht jeder, der einen Mail-Server betreibt, eine entspr. Kennung für SPF eingetragen hat, werden häufig Mails als unzustellbar zurückkommen; das betrifft dann wohl v.a. mittelständische und kleine Unternehmen, die mit der Server-Pflege nicht nachkommen.
Daraus wird sich IMHO für 2-3 Jahre ein gewisser direkter wirtschaftlicher Schaden bemerkbar machen. Ob das dann das verringerte Spam-Aufkommen aufwiegen kann…?

Ein typisches Beispiel, Schorsch, hast Du ja schon genannt:

Der ausliefernde Server air-id12.mx.aol.com ist im DNS nicht
bekannt, die Adresse 218.63.34.129 gehört zu Chinanet-YN,
einem zu Recht als Spamlieferant verschrieenen Provider.

Tja, und an solchen widersprüchlichen Sachen wird das wohl haken.

Wir werden sehen… Bin mal neugierig.

CU DannyFox64

PS: Den erwähnten Artikel/Thread finde ich leider nicht auf; weil wieder mal wer „zu doof“ war, einfach mal SPF in den Titel zu schreiben… und so viel Musse zur Suche habe ich dann doch nicht.

Zu Spam:
Also ich bin mir ziemlich sicher dass sich die Spam-Flut technisch und sowieso lösen läßt. Nur es will ja keiner! Alle verdienen indirekt oder direkt mit Spam mit! Versteht ihr. Anbieter von Spam-Filter genauso wie Webmail-Anbieter und Provider. Du bleibst halt länger im
Netz der Netze weil du beschäftigt bist Werbemails zu löschen.
Dadurch erhöhen sich für alle außer dir die Werbeeinnahmen. Ergo ist niemand so richtig interessiert daran dass Spams, Viren, Trojaner und anderes verschwindet. Denn Geld kassieren, machen alle gerne und haben nur kassieren im Hirn. Also ärgert euch nicht. Schließlich gibt es ja Windows auch noch???

Servus,

seit Anfang des Jahres quäkt AOL gross herum, dass man zwecks
Verringerung des Spamaufkommens massiv SPF unterstütze und
einsetzen wolle. Mehr und mehr drängt sich mir aber der
Verdacht auf, dass AOL damit

a) nur erreichen will, dass der eigene Name nicht mehr so oft
in Spams auftaucht, ihnen dieses Thema aber sonst ziemlich am
Arsch vorbei geht

b) von den intellektuellen Kapazitäten seiner Administratoren
her völlig überfordert ist bei der Einführung einer solchen
Lösung

Nicht zum ersten Mal flattert mir heute eine von Spamassassin
getaggte Mail ins Sperrfach, die eindeutig kein Spam
ist, aufgrund der Ignoranz der AOL-Admins aber als solcher
erkannt wird. Der Header:

Return-path:
Received: from imo-m23.mx.aol.com (64.12.137.4) by glatz.de
(Mercury/32 v4.01a) with ESMTP ID MG000033;
20 Feb 2004 08:44:13 -0000
Received: from [email protected]
by imo-m23.mx.aol.com (mail_out_v36_r4.14.) id e.103.3fb0d213
(16109)
for ; Fri, 20 Feb 2004 02:44:09 -0500
(EST)
Received: from aol.com ([218.63.34.129]) by
air-id12.mx.aol.com (v98.6) with
ESMTP id MAILINID121-3eed4035b935e6; Fri, 20 Feb 2004 02:37:34
-0500

Spamassassin meint dazu (auf den ersten Blick völlig zu
recht):

4.1 NO_RDNS_DOTCOM_HELO Host HELO’d as a big ISP, but had
no rDNS
2.4 FAKE_HELO_AOL Host HELO did not match rDNS:
aol.com
0.1 RCVD_IN_SORBS RBL: SORBS: sender is listed in
SORBS
[218.63.34.129 listed in
dnsbl.sorbs.net]

Der ausliefernde Server air-id12.mx.aol.com ist im DNS nicht
bekannt, die Adresse 218.63.34.129 gehört zu Chinanet-YN,
einem zu Recht als Spamlieferant verschrieenen Provider. Der
einliefernde Server imo-m23.mx.aol.com ist nicht bekannt,
seine Adresse 64.12.137.4 aber immerhin in den SPF-Records für
AOL eingetragen.

So weit, so gut, doch dass dumme ist nur: von all diesen
Angaben ist nicht eine einzige gefälscht, sie stammen
tatsächlich von AOL. Der Absender und sein PC sind mir
persönlich bekannt, der Absender ist AOL-Mitglied und geht mit
AOL-Account in China ins Internet. Und die Mail stammt auch
tatsächlich von diesem Absender.

Meine Befürchtung ist nun, dass, wenn sich SPF tatsächlich
durchsetzen sollte, dieses sich zu einem Instrument massivster
nicht Spam-, sondern Mailverhinderung entwickeln wird.
Abgesehen davon, dass ich den mögl. Vorteil von SPF- gegenüber
herkömmlichen MX-Records alleine auf der Seite der grossen
Provider und weltweiter Unternehmen sehe, aber keinen Vorteil
für die spamgeplagten Anwender.

Was haltet ihr von der SPF-Initiative? Kann diese tatsächlich
zur Verringerung des Spamaufkommens beitragen? Bietet sie den
Anwendern irgendwelche Vorteile, die ich bislang übersehe?
Oder läuft das auf ein Hornberger Schiessen hinaus - Viel Wind
um nichts?

Gruss,
Schorsch

P.S.: By the way: eine whois-Abfrage auf AOL.com ergibt
folgende Servereinträge:

Server Name:
AOL.COM.IS.N0T.AS.1337.AS.GULLI.COM
Server Name: AOL.COM.IS.0WNED.BY.SUB7.NET
Server Name:
AOL.COM.AINT.GOT.AS.MUCH.FREE.PORN.AS.SECZ.COM

Spricht doch für die Professionalität der AOL-Admins, oder?

Doch. Der meiste Spam wird über Privat-PCs mittels Trojaner
usw versandt. Der Mißbrauch von Privat-PCs ist dann nicht mehr
möglich.
Das Spammen hat ja nur so hohe Außmaße angenommen, weil die
Spammer den Traffic dafür nicht zahlen müssen, weil sie andere
PCs mißbrauchen.

Das ist der Punkt. In welcher Weise verhindert SPF den Missbrauch von Zombies?

Grübelnd,
Schorsch