[Postfixbuch-users] SPAMers erkennen ...

Beat Jucker Beat.Jucker at glue.ch
Mo Jan 7 17:27:51 CET 2008


Hallo SpamCops ;-)

Ich verwende neben den offiziellen RBLs auch ein lokal aufgebauter RBL.
Das Prinzip:

  - neben dem Primary Mailserver gibt es einen Secondary (Backup) Mailserver
  - dieser Backup Mailserver sollte per MX Definition nur verwendet werden,
    wenn der Primary Mailserver versagt
  - der Primary Mailserver erfreut sich groesster Zuverlaessigkeit ...
  - SPAMers lieben Backup Mailserver
  - Dictionary Attacken auf dem Backup Mailserver produzieren Rejects
  - diese so erkannten SPAM IP Adressen werden in unserer lokalen RBL 
    aufgenommen (gesamtes zugehoerendes Class-C Netz)

Also: der Backup Mailserver sollte im Normalfall nicht verwendet werden
und wenn dann noch ein Reject wegen unbekanntem User erfolgt, duerfte es 
sich mit groesster Wahrscheinlichkeit um ein SPAMer handeln. Ich bin
nur ein (kleiner) KMU-Mailmaster und kein Mailservice Anbieter und
gehe jetzt davon aus, dass ein serioeser ISP seine offiziellen 
Mailserver nicht im gleichen Adressbereich verwaltet, wie seine Kunden 
IPs. Mit dieser Annahme kann ich jetzt also getrost das gesamte Class-C
der betroffenen SPAM-IP sperren.

Neben den offiziellen RBLs habe ich so eine eigene RBL mit mehreren
zig Tausend Class-C Adressen aufgebaut. Ich weiss, dass so evtl auch 
einmal ein False Positiv Test auftreten kann. Der %%-Anteil ist aber 
verschwindend klein und der Absender hat sich jeweils auch lautstark 
gemeldet, so dass er umgehend in unserer Whitelist aufgenommen wurde.

Wie ist Eure Haltung/Meinung/Erfahrung zu dieser SPAM Abwehr?

Mit freundlichen Gruessen
-- Beat



Mehr Informationen über die Mailingliste Postfixbuch-users