[Postfixbuch-users] Spamabwehr

Robert Felber r.felber at ek-muc.de
Mo Mai 28 13:55:16 CEST 2007 

On Mon, May 28, 2007 at 10:58:46AM +0200, Ralf Kayser wrote:
> > Schon mal per dig hostname ns geschaut welcher DNS Server dahinter 
> > steht und ob da evtl.
> > alle diese aufgetretenen Mails herkommen?
> 
> Die Mails kommen von > 1000 Mailhosts (und laufen hier durchs Greylisting)
> und nicht von den Trashdomains sondern von irgendwelchen Wurmkisten (wobei
> ich nicht kapiere, wie die durch das Greylisting kommen) und teilweise über
> ganz reale Mailserver.
> 
[...] 
> > 
> > Wenns immer die gleichen IP's sind die auftauchen evtl. auch diese 
> > IP's sperren, sind es DIALinnetze dann schau dir mal
> > 
> > http://www.policyd-weight.org/
> 
> Wir haben spamcop, spamhaus, njabl etc aktiv eingebunden (ersteres füttern
> wir kräftig)

Policyd-weight macht ein bisschen mehr als DNSBL Gewichtung. Die Wurmkisten
sind echt kein Problem mit selekt. Greylisting und policyd-weight.

> > Maxime in der Spambekämpfung ist und bleibt zu schauen woher und wer 
> > und dann schon zu entscheiden will ich oder will ich nicht noch bevor 
> > die Mail in meiner queue landet und ein direktes reject und kein 
> > bounce(das trifft in der Regel den/die falschen).
> 
> Tendenziell gebe ich Dir recht. Das Ganze ist aber dank Wettrüsten aus
> meiner Sicht nur mit Body_check im Verbund zu lösen.

Ich finde body_checks extrem zu spaet. Die DATA Phase darf garnicht
erst erreicht werden.

Ich bin momentan am Tuefteln nach einem senderbase.org aehnlichem
Statistic Service der zuverlaessig (also nicht poisonable) Statistiken
bietet wieviele recipients ein user at domain.tld angemailt hat (24h, 30d).
Poisoning wird verhindert indem gesichert sein muss, dass der einliefernde
MTA auch verantwortlich fuer die Sender-Domain ist. Ausserdem muss der 
reporting service subscribe-per-IP-pfllichtig sein. Der query service
kann kostenlos sein.

Das heisst, fuer Spammer waere das quasi ein Schach durch 3 Figuren.

1: Entweder sie machen random Sender Info
    (sender, helo, etc)
    -> reject durch policyd-weight legacy checks

2: Oder sie bieten korrekte HELO/Sender zu IP Daten 
    -> statistical reject

3: Spammer die newsletter-interval-maessig spammen werden durch RBLs erfasst
    -> RBL reject

Selbst Forwarder kann man damit blocken.

Damit kann man yahoo, hotmail, gmail und co Spammers abfangen 
(die bei uns mitl. die Mehrheit bilden (ca 98%) zusammen mit
SOHO SMTPs).

Herausforderung ist, newsletter/MLs per Statistik auszublenden.
Die andere Herausforderung ist das Verwalten der Daten (Milliarden Bereich)
trotz Sicherstellung von Response Zeiten unter 200ms.

SQL faellt raus. Evtl ist eine Komb. aus Memory und FS sinnvoll.

Aber - ungelegte Eier und eben gedanklich noch nicht ausgereift. Mehr
Features vertraegt der Check nicht. Mit der Sicherstellung der
Authentizitaet der Daten ist die Schwelle von Kosten/Nutzen
quasi schon erreicht.



-- 
    Robert Felber (PGP: 896CF30B)
    Munich, Germany

Mehr Informationen über die Mailingliste Postfixbuch-users