[Postfixbuch-users] LÖSUNG Grund das web.de einen als SPAM erkennt herausfinden
Lexa
lexa at acpweb.de
Di Okt 13 19:53:48 CEST 2009
Hallo Peer,
ich muss einfach nochmal drauf rumtrampeln, sorry:
> > Begründung (die man erst mal rauskriegen muss):
> > Das HELO "example.de" passte nicht zur IP, die sie wohl irgendwo
> > gespeichert hatten.
>
> Jau, das machen auch andere Anti-Spam-Komponenten. Wenn sich der HELO
> einer IP plötzlich ändert dann IST auch das ein sehr merkwürdiges
> Ereignis das zwar vorkommen kann, aber zumindest sehr kritisch beäugt
> werden darf.
Gegen das Beäugen habe ich absolut nichts einzuwenden ;)
"Andere Anti-Spam-Komponenten" nehmen dies nicht als *alleiniges* Merkmal, um
sofort jegliche Kommunikation über eine IP zu sperren, bis der Postmaster das
merkt und sich meldet *plus* X Stunden/Tage Reaktionszeit.
Es scheint bei web.de auch keine Quarantäne bzw. automatische Bereinigung der BL
zu geben. Und es gibt keine Möglichkeit, den Status einzusehen und es gibt vor
allem keine Nachricht an den Postmaster...
In der Summe ist das alles einfach schlechter Stil.
Andere müssen auch mit Spamlawinen klar kommen. Wenn namhafte Profis wie Du sich
schützend vor diese web.de Praktiken stellen, muss man befürchten, dass die Admins
anderer Provider Gefallen daran finden und sich ähnlichen rücksichtslosen Unfug
ausdenken, der uns kleinen Postmastern auf die Füsse fällt, weil wir nicht damit
rechnen.
Wie gesagt: web.de sind (noch) die Einzigen, die eine IP wegen diesem Vorkommnis
sperren. Kein gmx, hotmail, yahoo, t-online etc. tut das aktuell, soweit für mich
aus diesem Vorfall ersichtlich ist.
> > "Dies ist eine Fehlkonfiguration (siehe RFC2821) und weist in der Regel
> > auf ein mit schädlicher Software verseuchtes System hin.
>
> Da hat web.de inhaltlich auch durchaus recht auch wenn der Wechsel
> natürlich keine Fehlkonfiguration i.S.d. 2821 ist.
Natürlich nicht. Und deshalb haben sie eben *nicht* recht, nur weil eine ihrer
internen 100-Prozent-Regeln darauf hinweist. Andere Regeln, z.B. Mail-Subjects,
Checksummen, Reverse-DNS, etc. weisen genau auf das Gegenteil hin.
Wenn das HELO *täglich* oder 1x pro Woche oder was-weiss-ich-wie-oft wechselt
kann man sicher einen Anfangsverdacht untermauern und Massnahmen ergreifen. Aber
niemals kann man einen 100%-igen Tatbestand ableiten. Da gehört einfach mehr dazu.
Wir argumentieren ja auch, dass nicht alle Computerbesitzer automatisch
Raubkopierer sind oder alle Hackertoolbesitzer und -verwender nicht sofort nach
Hacker§§ dingfest gemacht werden müssen :)
> > "... weist in der Regel auf ein mit schädlicher Software verseuchtes
> > System hin." Das ist auch eine vorzügliche Begründung, etwa so wie
> > "Bauchschmerzen weisen in der Regel auf eine Blinddarmentzündung hin ->
> > ab in den OP" :)
>
> Naja, wenn Du krasse Bauchschmerzen hast dann ist es in der Tat so, daß
> man das sehr kritisch beobachten sollte. Genau das hat web.de durch die
> temporäre Sperre getan. ...
Muss ich operiert werden, nur weil ich mich überfressen habe? ;)
Letztlich ist die Sperre *nicht* temporär. Sie würde ohne Bittstellung bis in alle
Ewigkeit bestehen. Das ist es, was mich so ärgert, und es gab keine Info. Das
Aufheben der Sperre erfordert direkten Web-Mailkontakt oder teure Hotline (könnte
das ein Motiv sein?) und das Hoffen auf deren Gnade und zeitnahe Reaktion.
> Aber man sollte schon genau schauen, wann man sich da wie weit aus dem Fenster
> lehnen kann.
Nun, als kleiner Postmaster hat man schlechte Karten. Ich könnte ja im Gegenzug
web.de blocken, weil über ihre Mailserver Spam verteilt wird. Das weist in der
Regel (meine Regel!) auf schlecht gewartete User und deren verseuchte Systeme hin.
Auch wenn RFC2821 nicht vorschreibt, dass Mails nur von sauberen Systemen gesendet
werden dürfen... :P
Tut mir leid. Ich kann dieser Willkür nichts Gutes abgewinnen.
--
Mit frdl. Grüßen / Best regards
Axel Frankenberg [alias lexa] c/o
ACP Computer
Herrenbreite 9
06449 Aschersleben (Germany)
Mehr Informationen über die Mailingliste Postfixbuch-users