[Postfixbuch-users] Öffentliche Spamstatistik

Uwe Driessen driessen at fblan.de
Fr Jan 18 16:51:06 CET 2008


Stepken schrieb:
> 
> Uwe Driessen schrieb:
> > Ich bin gerade dabei die größten Dialinnetze die hier auffallen per Iptables eine
> > Portsperre auf 25 einzurichten. Ist aber ein Haufen arbeit die alle rauszuziehen und
> das
> > ohne die legitimen Server mit zu erfassen.
> >
> >
> Wozu diese überflüssige Arbeit? Hat Spamhaus doch alles schon gemacht!
> Wer zen.spamhaus.org als DNSBL einträgt, kriegt die mit herausgefiltert.

Tztztz das ist nur für die Überflüssig die die Verantwortung wer angenommen oder abgelehnt
wird an andere weitergeben.
In einer gut geführten RBL wird es immer einige Tage dauern bis das neue einträge
aufgenommen werden.
Auf einer RBL wird nach einer einzelnen IP-Adresse abgefragt nicht nach einem PTR oder gar
nach einem ganzen B Netz. 
Wenn ich meinen eigenen Auswertungen trauen kann (und davon gehe ich mal aus) dann sind
innerhalb von 4 Monaten zurück aus Class -B Netzen mal 5-10 Einlieferungen von 5-10
einzeln aufgetretenen IP Adressen aus dem gleichen DIALIN gekommen. Ganz selten dass da
wirklich mal von ein und derselben IP Adresse mehrmals versucht wurde über einen Zeitraum
(nicht hintereinander in 5 Minuten) Mails einzuwerfen.
So schön wie sich diese botnetze bzw. diese Spamer verteilen schafft es kaum eine IP mal
in die RBL's und wenn dann kommt der morgen mit einer anderen IP.

Wenn du den Beitrag weiter gelesen hast dann stand da auch noch das es eher eigene
Neugierde denn praktischen Nutzen hat was ich da tue (hilft mir aber beim Verständnis wie
Botnetze aufgebaut sind und Spamer arbeiten bzw. evtl. kann [Mm]an(n) auch zusammenhänge
erkennen).
Wer unerwünschte Mails verhindern möchte muss erstmal wissen wie die Gegenseite arbeitet.

Ansonsten brauche ich für DIALIN nur regex Tabelle und komme ganz gut ohne externe
Abfragen bei 99,9% Erfolgsrate besser hin und bis dato ohne nennenswerte Verluste an
gewünschten Mails (in 5 Monaten nur 2 falsepositive).
Bei meiner Map habe ich in der Hand wer da rein darf und wer nicht und kann im falle von
einem falsepositive sehr schnell reagieren. 

Alles im allem kann jeder auf seinem Mailserver treiben was und mit wem er möchte solange
die User mit der Policy einverstanden und darüber informiert sind.

Sicherlich kann ich hier einiges mehr tun wie ein großer Provider da es einen ganz
persönlichen Kontakt zu jedem einzelnen Kunden gibt. 

Ich kann hier wirklich noch das Maillog lesen ohne das ich ganz speziell nach einem
bestimmten Vorgang suchen muss.   

> 
> Grüsse, Guido Stepken
> 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045   Fax: 06708 / 661397





Mehr Informationen über die Mailingliste Postfixbuch-users