Hi,
Hat noch jemand in den letzten Tagen die Mail von Valentin aus Rußland erhalten, der um Spenden und Dosenfutter und so bittet?
Hab mir den Header angeschaut und festgestellt, daß die Mail von einem DSL-Anschluß bei der Belgacom kam (ist sowas wie die Telekom in Belgien).
Hab denen die Mail weitergeleitet und ihnen mitgeteilt, daß unter ihren Kunden jemand Spams versendet. Vor 10 Minuten hab ich die Antwort erhalten, daß sie den Account gesperrt haben.
Gruß
Sticky
Hat noch jemand in den letzten Tagen die Mail von Valentin aus
Rußland erhalten, der um Spenden und Dosenfutter und so
bittet?
Nein. Ich bekomme soviel Spam, dass ich unmöglich alles lesen kann.
Hab denen die Mail weitergeleitet und ihnen mitgeteilt, daß
unter ihren Kunden jemand Spams versendet. Vor 10 Minuten hab
ich die Antwort erhalten, daß sie den Account gesperrt haben.
Wäre bei mir eine tagesfüllende Beschäftigung.
Gruß,
Stefan
du bist ein held! (o.w.t.)
nö
Hat noch jemand in den letzten Tagen die Mail von Valentin aus
Rußland erhalten, der um Spenden und Dosenfutter und so
bittet?Nein. Ich bekomme soviel Spam, dass ich unmöglich alles lesen
kann.
Du bekommst sowas noch? Mein Mailserver lehnt Spam ab einem bestimmten Threshold noch vor der Annahme resp. der Queue einfach mit einem permanent error ab. Ziemlich geile Sache.
Gruß,
Malte
Du bekommst sowas noch? Mein Mailserver lehnt Spam ab einem
bestimmten Threshold noch vor der Annahme resp. der Queue
einfach mit einem permanent error ab. Ziemlich geile Sache.
Sowas kann aber auch ziemlich schiefgehen. Ich lasse mir alle erkannten Spams mit einer Bayesschen Bewertung
Du bekommst sowas noch? Mein Mailserver lehnt Spam ab einem
bestimmten Threshold noch vor der Annahme resp. der Queue
einfach mit einem permanent error ab. Ziemlich geile Sache.
Mein Mailserver steht bei web.de und egal, was ich auch argumentiere: sie geben mir keinen root-Zugang drauf 
Ich habe den Spamfilter bei web.de nicht aktiviert, weil ich
a) lieber meinen eigenen Augen vertraue
b) wissen will, wie die Spam-Entwicklung so läuft
Im letzten halben Jahr hat die Spammerei erheblich zugenommen - 40 Spams pro Tag sind da schon Ehrensache.
Gruß,
Stefan
Du bekommst sowas noch? Mein Mailserver lehnt Spam ab einem
bestimmten Threshold noch vor der Annahme resp. der Queue
einfach mit einem permanent error ab. Ziemlich geile Sache.Sowas kann aber auch ziemlich schiefgehen.
Klar, ist ja auch „nur“ die private Kiste plus ein paar Domains aus dem Bekanntenkreis. Der Threshold ist momentan auch noch ziemlich hoch, alles darunter wird getagged und ausgeliefert.
Vor allem bei Geschäftspartner aus Südostasien resultieren
daraus immer wieder mal Whitelist-Einträge.
Habischnet 
Für die Bayessche Bewertung muss ich die Mail aber zunächst
vollständig entgegengenommen haben.
Entgegennehmen tut meiner die auch komplett. Aber die Rückmeldung OK/Rejected gibt’s eben erst nach dem Scan auf Viren und Spam. Ich mache das mit einer Exim-ACL. Zweifellos sind Szenarien vorstellbar, in denen das nicht sinnvoll ist.
Gruß,
Malte
Entgegennehmen tut meiner die auch komplett. Aber die
Rückmeldung OK/Rejected gibt’s eben erst nach dem Scan auf
Viren und Spam. Ich mache das mit einer Exim-ACL. Zweifellos
sind Szenarien vorstellbar, in denen das nicht sinnvoll ist.
Teilweise weise ich schon allein aufgrund von Header-Informationen zurück. Viel Spam geht z. B. nicht an schorsch, sondern an schorschd, schorschdd… Kaum anzunehmen, dass da was legitimes bei ist. Durchaus legitim, wenn auch falsche Adresse (aber entgegenzunehmen!) hingegen vielfach herr.schorsch oder h.schorsch u. ä. Oder VOLKSBANKEN-RAIFFEISENBANKEN im Subject weist sehr klar auf die üblichen Frauds hin.
Solche Informationen kann ich im Postfix mit regexes abfragen und im Vorfeld schon mit entspr. Fehlermeldung zurückweisen. Wobei man sich aber auch leicht ins Knie schiessen kann: ^To:.*schorsch.+@domain hat bei meinen Tests manchmal auch schorsch@domain abgewiesen. Erst als ich hier (im Server-Brett) eine entspr. Anfrage stellen wollte, wo mein Denkfehler liegt, ist mir dieser aufgrund des Zwanges, das Problem detailliert und anschaulich schildern zu müssen, aufgegangen. 'Schorsch ’ war von dieser regex natürlich auch betroffen. Erst eine Präzedenzregel ‚^To:.* IGNORE‘ hat das Problem gelöst. Wär aber alles gut gegangen - wenn ich meine Tests nicht clevererweise auf dem Produktionsserver gemacht hätte.
Sowas einzurichten ist natürlich einige Tipparbeit gefragt, aber immerhin ein halbes Tausend Anfragen täglich muss auf diese Weise erst gar nicht mehr durch Inhaltsfilter laufen lassen - theoretisch rund 40% des gesamten Mailaufkommens. In der Praxis ist diese Zahl deutlich kleiner, weil viele SpamBots nach einem Fehlschlag es einfach ein weiteres dutzend mal probieren, diese Dubletten muss ich natürlich rausrechnen. Aber es dürfte immer noch ein signifikanter knapp zweistelliger %-Anteil sein, der so gefiltert wird.
Aber gerade dieses Verhalten der SpamBots dürfte dazu führen, dass bei einer Inhaltsprüfung noch im smtp-Dialog zwar die Postfächer ent-, der Mailserver bzw. nachgelagerte Scan- und Virencheck-Server aber zusätzlich erheblich belastet werden.
Ein wesentlicher Grund, warum ich Header-Checks so ausgiebig nutze, liegt woanders: Mails, die rfc-konforme smtp-Fehlermeldungen enthalten, gehen, ob Spams oder nicht, in Kopie an mich als Postmaster. Durch die Checks erspare ich mir immerhin sämtliche Rückläufer auf angeblich von schorschdd@domain an dritte versendete Mails.
Gruss
Schorsch
P.S.:
Um möglichen Missverständnissen vorzubeugen:
‚^To:.* IGNORE‘
heisst bei Postfix nicht, dass die Mail, sondern dass die nächstfolgende Regel ignoriert wird.
Gruss
Schorsch
off topic
Hi
Du bekommst sowas noch? Mein Mailserver lehnt Spam ab einem
bestimmten Threshold noch vor der Annahme resp. der Queue
einfach mit einem permanent error ab. Ziemlich geile Sache.
Mhm. Liegt das daran, dass ich seit Tagen versuche dir
und deiner Wohnungsgenossin eine Mail zu schicken, die nicht
durchkommt (war nichts Wichtiges) ?
Gruß
Elke
(ich hatte zu eine Artikel kommentiert und dazu deine Addy
über dem Artikel angeklickt)
Hi
Du bekommst sowas noch? Mein Mailserver lehnt Spam ab einem
bestimmten Threshold noch vor der Annahme resp. der Queue
einfach mit einem permanent error ab. Ziemlich geile Sache.Mhm. Liegt das daran, dass ich seit Tagen versuche dir
und deiner Wohnungsgenossin eine Mail zu schicken, die nicht
durchkommt (war nichts Wichtiges) ?
Nein, aber das spielt da rein. Mein noch-Provider ist doof, und mein noch-Server down. Mein neuer Server hier @work geht heute oder morgen produktiv online.
Gruß,
Malte
Entgegennehmen tut meiner die auch komplett. Aber die
Rückmeldung OK/Rejected gibt’s eben erst nach dem Scan auf
Viren und Spam. Ich mache das mit einer Exim-ACL. Zweifellos
sind Szenarien vorstellbar, in denen das nicht sinnvoll ist.Teilweise weise ich schon allein aufgrund von
Header-Informationen zurück. Viel Spam geht z. B. nicht an
schorsch, sondern an schorschd, schorschdd…
Werden nichtexistente Zieladressen nicht sowieso mit „Unroutable address“ abgelehnt?
Das macht hier bei mir die „ACL check_rpt“, die noch vor der „ACL check_data“ durchlaufen wird.
Durchaus legitim, wenn auch
falsche Adresse (aber entgegenzunehmen!) hingegen vielfach
herr.schorsch oder h.schorsch u. ä.
Leg ich für meine User immer als default-forwarder an - sicher ist sicher. Könnte man sicher auch mittels regex abfackeln, aber forwarder sind schnell gemacht, so viele Kombis gibt’s nicht und spätestens, wenn ich meine CDB nicht mehr händsich, sondern aus postgres füttere, ist das noch einfacher.
Aber gerade dieses Verhalten der SpamBots dürfte dazu führen,
dass bei einer Inhaltsprüfung noch im smtp-Dialog zwar die
Postfächer ent-, der Mailserver bzw. nachgelagerte Scan- und
Virencheck-Server aber zusätzlich erheblich belastet werden.
Okay, da hängts dann vom Setup ab, wo der Flaschenhals zuerst sichtbar wird. Bei meinem knappen Dutzend User derzeit ist das nicht so das Ding.
Ein wesentlicher Grund, warum ich Header-Checks so ausgiebig
nutze, liegt woanders: Mails, die rfc-konforme
smtp-Fehlermeldungen enthalten, gehen, ob Spams oder nicht, in
Kopie an mich als Postmaster. Durch die Checks erspare ich mir
immerhin sämtliche Rückläufer auf angeblich von
schorschdd@domain an dritte versendete Mails.
Das interessiert mich. Wie genau prüfst Du darauf?
Gruß,
Malte
Leg ich für meine User immer als default-forwarder an - sicher
ist sicher. Könnte man sicher auch mittels regex abfackeln,
aber forwarder sind schnell gemacht, so viele Kombis gibt’s
nicht und spätestens, wenn ich meine CDB nicht mehr händsich,
sondern aus postgres füttere, ist das noch einfacher.
Du unterschätzt die Fantasie der Absender. Die permutieren die ‚Kombis‘ durch, dass du auf diese sechs Buchstaben mehr Ergebnisse bekommst, als du auf eine Permutation des Worts ‚Kombinationen‘ mathematisch erwarten dürftest.
Ein wesentlicher Grund, warum ich Header-Checks so ausgiebig
nutze, liegt woanders: Mails, die rfc-konforme
smtp-Fehlermeldungen enthalten, gehen, ob Spams oder nicht, in
Kopie an mich als Postmaster.
Das interessiert mich. Wie genau prüfst Du darauf?
Genau genommen prüfe ich nicht auf Konformität, sondern aufs Gegenteil. Eine Mail mit leerem "Mail From: " (das glücklicherweise von Spammern selten verwendet wird) hat an den Postmaster durchzugehen. Anschliessend folgen Prüfungen auf Ungültigkeit. Dann gibts noch ein paar bestimmte Zeichenfolgen, die eine Kopie an den Postmaster triggern. Wenn ich mir die aber gerade so anschaue und jemand mich fragt, warum ich die irgendwann mal aufgenommen habe, bin ich ein bisschen überfragt. Ich liebe dokumentierte Prozesse!
Gruss
Schorsch