[Postfixbuch-users] Bayes und Spambekämpfung

Uwe Driessen driessen at fblan.de
So Mär 9 22:00:07 CET 2008


Peer Heinlein schrieb: 
> Am Sonntag, 9. März 2008 schrieb Marcel Hartmann (privat):


> > Und kannst Du die false Positives der genannten Dyn-Ip
> > Liste von Herrn Driessen mal nennen bitte?
> 
> Nein, naturgemäß kann ich das nicht, weil dynamische IP-Adressen nunmal
> dynamisch sind. Und: Würde ich sie benennen können, so könnte sie Uwe ja
> einfach rausnehmen. Außerdem kenne ich Uwes Liste nicht im Detail weil
> ich sie eben naturgemäß auch nicht einsetze.

Och ich suche immer noch große Server die einfach mal eine Auswertung der Logs machen um
falsepositive zu erkennen. Dafür muss man die Liste nicht einsetzen. 

> 
> Es geht hier ja nicht um Einzelfälle. Es geht ums Prinzip.
> 
> Dynamische Adresssen "sollten" nicht zum Versand von Mails genutzt werden.
> Ich kann davon auch nur strikt abraten. Aber es ist nunmal nicht
> verboten.
> 
> Und wer nunmal pauschal dynamische Adressen blockt, der riskiert eben, daß
> er dort auch "normale" Mailserver außen vor läßt. Das kann man bewußt in
> Kauf nehmen (GMX und web.de machen das auch, aber das ist kein Argument),
> das kann man aber auch nicht akzeptieren wollen, weil es eigentlich nicht
> technisch zwingend ist und man sich ggf. durch andere Methoden genauso
> zuverlässiger und weniger riskant schützen kann.

Ist ein bisschen quick and dirty wie alles was sich nur auf ein Merkmal stützt.
Ein Punktesystem wäre mir da auch lieber aber soweit ist diese Liste noch nicht. 

Um evtl. falsepostive zu finden gibt es auch das script dazu das die logs auswertet.
Wer da auf falsepositive stößt kann mir die gerne schicken dann kommen dafür Ausnahmen
rein. Ansonsten verwende ich schon sehr viel Sorgfalt auf die Einträge dieser Liste
(Welche Mailadressen von wem und wie oft, wie viele unterschiedliche pro Einlieferung,
Helo passend zum Server kam irgendwann mal was richtiges aus dem Bereich usw. usw.) 
Fast alle diese Mailserver wären auch in anderen checks hängengeblieben. Diese Liste
greift nur den externen Checks vor und vermeidet ein bisschen Trafik und Last. 
Der Regel Mailserver kommt nicht aus einem Dialin und hat sauber gesetztes Helo, PTR und
ist vorwärts und rückwärts auflösbar. (aber das ist Ansichtssache ob man das durchsetzt
oder eben auch nicht)
Wer seine Logfiles liest und bei bedarf einschreitet dürfte mit diese Liste weniger
Probleme haben wie mit vielen anderen externen RBL's die nicht so leicht zu beeinflussen
sind.    

Weniger riskant heißt dann höhere Serverlast da mehr Prüfungen durchgeführt werden
müssen.(Header-, Bodychecks, externe RBL's)  
Und nicht jeder Spamer bleibt darin hängen das Problem bei den meisten RBL's ist einfach
das es eine Zeitlang dauert bis das einer gelistet wird und wenn er gelistet ist ist
dieser Server schon nicht mehr aktiv.

Jede andere Restriktion in Postfix kann bei Konfigurationsfehlern des sendenden Servers
ebenfalls falsepositive erzeugen.

Aber ich stimme Peer zu das man bevor man diese Liste einsetzt unbedingt die Warnhinweise
im Header der Datei beachten sollte und sich seines Handelns im klaren sein sollte. Wer
den Bedarf seiner Kunden genau kennt, seine Logfiles auch ab und an mal durchschaut und
auswertet und nur dann wenn nichts anderes der weniger restriktiven Maßnahmen erfolgt
verspricht kann diese Liste als Vorlage nehmen und seine eigene Liste daraus stricken.
In einem International tätigen Unternehmen kann diese Liste auch zu Problemen mit dem Chef
führen. 
Also lasst Vorsicht walten(gilt für jede eingesetzte Restriktion) und setzt die Liste nur
dort ein wo es kaum noch andere Möglichkeiten gibt.  


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045   Fax: 06708 / 661397




Mehr Informationen über die Mailingliste Postfixbuch-users