[Postfixbuch-users] UCEPROTECT spinnt / Hallo an Uwe

Robert Felber r.felber at ek-muc.de
Do Mai 3 12:31:32 CEST 2007 

On Thu, May 03, 2007 at 11:57:07AM +0200, Robert Felber wrote:
> On Thu, May 03, 2007 at 11:31:36AM +0200, Uwe Driessen wrote:
> > Robert Felber schrieb: 
> > > On Thu, May 03, 2007 at 10:01:02AM +0200, Ralf Hildebrandt wrote:
> > > > Senderbase macht sowas
> > > 
> > > Ja, ich such mich nur nach info tot.
> > > 
> > > http://www.senderbase.org/dnsresponses.html ==> 403
> > > 
> > 
> > Also mir erschließt sich der praktische Nutzen der Daten bzw. das wie kann ich das
> > anwenden oder nutzen noch nicht ganz.
> > Und wie binde ich es dann sinnvoll ein.
> > Evtl. kann mich mal jemand erleuchten.
> 
> Angenommen du erhaeltst ein Zustellversuch von client 1.2.3.4, dieser client
> wurde am 1.Mai das erste mal von senderbase.org gesehen, hat aber eine daily
> magnitude von ... keine Ahnung ... 8 - dann ist es offensichtlich ein 
> Bulkmailer.
> 
> Waere der client schon Jahre vorher gesehen worden, und trotzdem daily 
> magnitude 8, so wie zB gmail oder yahoo, dann ist das nicht ganz so kritisch.
> 
> Wechselt nun ein Adress-Bereich den Besitzer, sollten die counter (nach 
> meiner logik) zurueckgesetzt werden.
> 
> 
> Alternativ, hat eine Organaisation 15791 IP Adressen mit der versendet wurde
> (Feld 9) so gehoert die offensichtlich zu einem dialup Netz. Danach wuerde
> ich aber nicht gehen - damit haben DynDNS MX user wieder das Nachsehen.

Wobei: droeseln wir mal folgendes auf:

% host -t TXT 125.113.153.84.test.senderbase.org
125.113.153.84.test.senderbase.org descriptive text "0-0=1|1=Deutsche Telekom AG|2=8.3|3=8.3|4=69677|6=1057244173|7=3125|8=12487409|9=15791|45=N|46=10|48=24|49=1.00|50=Munich|51=02|53=DE|54=11.5833|55=48.15"

% host -t TXT 8.250.168.87.test.senderbase.org
8.250.168.87.test.senderbase.org descriptive text "0-0=1|1=Deutsche Telekom AG|2=8.3|3=8.3|4=69677|5=NSP|6=1057244173|7=3125|8=12487409|9=15791|20=p57a8fa08.dip.|21=t-dialin.net|23=8.2|24=8.0|25=1049184000|41=4.1|43=2.7|44=1.00|45=N|46=10|48=24|49=1.00"

% host -t TXT 239.96.181.87.query.senderbase.org
239.96.181.87.query.senderbase.org descriptive text "0-0=1|1=Deutsche Telekom AG|2=8.3|3=8.3|4=69677|5=NSP|6=1057244173|7=3125|8=12487409|9=15791|20=p57b560ef.dip.|21=t-dialin.net|23=8.3|24=8.1|25=1049184000|40=4.8|41=3.7|43=2.3|44=1.00|45=N|46=10|48=24|49=1.00"

Alle sind .dip.t-dialin.net hosts.
host 84.153.113.125 ist kein bulk-mailer
host 87.168.250.8   ist offensichtlich ein bulk-mailer
host 87.181.96.239  ist momentan bulk-mailer

Warum?

Feld 9: 15791 bei allen == Anzahl IP Adressen mit der t-dialin.net gesendet
              hat

Monthly Magnitude
Feld 41:  4.1 bei 87.168.250.8
Feld 41:  existiert bei 84.153.113.125 nicht == 0
feld 41:  3.7 bei 87.181.96.239

Daily Magnitude
Feld 40:  existiert bei 84.153.113.125 nicht
Feld 40:  existiert bei 87.168.250.8 nicht
Feld 40:  4.8 bei 87.181.96.239


Average:
Feld 43: ignorieren wir bei allen

Aus diesen Werten kann man sich dann ein gewichtetes Ergebnis nach
Anzahl IP, Monthly + Daily Magnitude machen

-- 
    Robert Felber (PGP: 896CF30B)
    Munich, Germany

Mehr Informationen über die Mailingliste Postfixbuch-users