symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien

Moderation
Einstellungen
Story einsenden

Suchen & Index
Ruhmeshalle
Statistiken
Umfragen

Redaktion
Themen
Partner
Planet

XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Übergrosser Spam
Veröffentlicht durch XTaran am Sonntag 11. Juli 2004, 14:13
Aus der Oje Abteilung
Internet Flupp schreibt: "In letzter Zeit häufen sich Spams in meiner Inbox, die die Limite von 256 KBytes meines spamc/spamd Paares von Spamassassin überschreiten. Es handelt sich dabei mehrheitlich um chinesichen Spam. Aufgeblasen werden die Mails mit Word-Attachements oder Bildern."

Flupp weiter: "Einerseits ist es faszinierend, dass Spammer mittlerweile genug Bandbreite zur Verfügung haben, um pro Empfänger ¼ MByte Traffic zu tolerieren. Den Bot Armeen sei Dank, dass die Spammer diesen Traffic nicht bezahlen müssen - immerhin so runde CHF 3.- - 4.- pro Mail. [Anm. d. Red.: Dank?!? Würden sie das nicht machen, bekämen wir den Span nicht!] Andererseits gibt mir die Systemlast, die auf unsere Server zukommt, doch sehr zu denken.

Leider kann ich zur Zeit die Limite nicht erhöhen. Ich habe User, die vermutlich mit Eudora unter MacOS BINHEX direkt in ihre Mails pappen. Im Gegensatz zu UUCODE und Base64 erkennt Spamassassin diesen nicht, parst den codierten Text und füllt ihn in die Bayesian Datenbank :-/

Andere Leute hier, denen solchen Spam auffällt?"

Die Juli-Ausgabe von LinuxFocus ist da. | Druckausgabe | Geeks und ihre Weltanschauungen, Teil 26: Geocaching  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Flupp
  • spamc
  • spamd
  • Spamassassin
  • Bot Armeen
  • Eudora
  • Mehr zu Internet
  • Auch von XTaran
  • Kolumnen
  • Perl lernen im Linux Hotel (1/5)
  • NX Erfahrungsbericht
  • Portale und andere Peinlichkeiten
  • Mahnung per Spam?
  • Playstation 2 Games ab Harddisk spielen
  • Nigeria und andere Freizeitvergnügungen
  • Geeks und ihre Weltanschauung, Teil 27: Rechtschreibreform
  • Come on Baby, run Linspire...
  • Die unendliche SCO-Geschichte in Reimform
  • Angie, 19, 1.77m, 70 kg, blond, weiblich
  • Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    Spamfilter (Score:1)
    Von trieder am Sunday 11. July 2004, 14:27 MEW (#1)
    (User #1138 Info) http://private.rcms.ch
    Mit was für Spamfiltern habt ihr guete bzw. schlechte erfahrungen gemacht?

    Was ist eure meinung zu "junkfilter"?
    Re: Spamfilter (Score:2)
    Von Flupp (beat@rubis.ch) am Sunday 11. July 2004, 15:08 MEW (#6)
    (User #2 Info) http://www.rubis.ch/~beat/
    Verglichen mit Spamassassin macht Junkfilter einen ziemlich primitiven Eindruck. Ein paar wenige Regeln, die ueber Spam/Ham entscheiden und nicht ein punktebasierendes Scoring wie bei Spamassassin. Weiterhin kennt Junkfilter keinen Bayesian wie Spamassassin, Bogofilter und aktuellen MUAs wie Mozilla, iMail etc. - ein Weg, der den individuellen Mailbegebenheiten eines Users Rechnung traegt.

    Ich denke, dass Junkfilter eher als ein Relikt aus vergangenen Zeiten ist als ein wirkungsvoller Spamfilter.

    I saw screens of green, red messages too, then came blue, shubidu
    And i think to myself, what a wunderful world

    SPAM abblitzen lassen (Nachtrag) (Score:0)
    Von Anonymer Feigling am Sunday 11. July 2004, 23:55 MEW (#10)
    Diskriminierende RBLs benutze Ich NICHT.
    Doch nicht richtig funktionierende Content-Filter ala Spamassassin benutze Ich auch NICHT.

    Aber MRTG (http://tmda.sourceforge.net/) kommt demnächt zum Einsatz wenn das mit dem SPAM mehr wird.
    ;-)
    Re: SPAM abblitzen lassen (Nachtrag) (Score:1)
    Von mirabile (root@[IPv6:2001:6f8:94d:1::1]) am Monday 12. July 2004, 00:35 MEW (#12)
    (User #504 Info) http://mirbsd.de/
    Stimmt, denn wer IPv6 nicht hat, darf sich über
    richtige Server auf dynamischer IPv4 nicht
    wundern.

    Dial-Up Listen machen erst Sinn, wenn man selber
    auch via IPv6 eMails akzeptiert.

    Und wie Spamassassin funktioniert, sehe ich an
    den gefraggten Headern von über SourceFrog
    hereinkommenden Mails oft genug.

    Selber nutze ich bmf für ein Vorfiltering; meist
    reicht es, in der spambox ; A A D zu drücken,
    selten hat er false positives. Das reichte mir
    bisher, mittlerweile blocke ich auch gewisse
    Domains komplett (und lese Mailinglisten via
    gmane.org, statt sie zu abonnieren):

    Netterweise steht das gleich in meiner .sig:

    Currently blocking eMail from the following domains: bigpond.com, biz, gmx.de,
    gmx.net, hotmail.com, info, jumpy.it, libero.it, name, netscape.net,
    postino.it, simplesnet.pt, spymac.com, tatanova.com, tiscali.co.uk,
    tiscali.cz, tiscali.de, tiscali.it, voila.fr, yahoo.co.uk, yahoo.com.


    -- 
    Ich bin BSDler, ich darf das!
    Re: SPAM abblitzen lassen (Nachtrag) (Score:0)
    Von Anonymer Feigling am Monday 12. July 2004, 18:00 MEW (#22)
    Currently blocking eMail from the following domains: bigpond.com, biz, gmx.de,
    gmx.net, hotmail.com, info, jumpy.it, libero.it, name, netscape.net,
    postino.it, simplesnet.pt, spymac.com, tatanova.com, tiscali.co.uk,
    tiscali.cz, tiscali.de, tiscali.it, voila.fr, yahoo.co.uk, yahoo.com.


    IOW: Currently blocking almost everything ;P
    Re: SPAM abblitzen lassen (Nachtrag) (Score:2)
    Von NoSuchGuy (symlink@barney.ebuzz.de) am Monday 12. July 2004, 19:19 MEW (#23)
    (User #97 Info)
    Du hast wanadoo vergessen!
    --
    eat my .sig!
    SPAM abblitzen lassen (Score:1, Interessant)
    Von Anonymer Feigling am Sunday 11. July 2004, 23:38 MEW (#9)
    Meine eMail Adresse ist 10 Jahre alt,
    Sie ist auch in der Linux Kernel Mailing List
    archiviert, aber in meinem Postfach landet nur
    ca. 1 SPAM Mail im Monat.

    Wie ? So:

    · Der eMail anliefernde Rechner muss richtige und vollständige Angaben über seinen eigenen Namen machen. (Ein DNS A-Record die IP und der HELO oder EHLO Name müssen übereinstimmen)

    · Die Domäne des eMail Absenders muss existieren. (DNS A-Record vom MAIL FROM Name)

    · Die Domäne des eMail Absenders muss bestätigen dass der Absender existiert und dass dieser auch eine Antwort akzeptieren würde. (Eine Test-eMail Anlieferung vom postmaster unseres Relays muss bis kurz vor dem SMTP DATA Befehl akzeptiert werden - in "Echtzeit".)

    · eMail anliefernde Rechner, die noch nie zuvor Kontakt mit unserem Relay hatten, werden bei ihrem Erstkontakt gebeten die eMail Anlieferung in 5 Minuten oder später noch einmal zu wiederholen.

    /etc/postfix/main.conf

    # AntiSPAM basics
    strict_rfc821_envelopes = yes
    strict_7bit_headers = yes
    smtpd_helo_required = yes

    smtpd_helo_restrictions =
    permit_mynetworks,
    reject_invalid_hostname,
    reject_unknown_hostname,
    reject_non_fqdn_hostname
    # wir fragen erst nach ob es den Absender gibt
    # mit caching
    address_verify_map = btree:/D/var/mta/verify

    smtpd_sender_restrictions = hash:/etc/postfix/access,
    permit_mynetworks,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    check_sender_access hash:/etc/postfix/sender_access,
    reject_unverified_sender

    # Die ueblichen checks, plus greylisting
    smtpd_recipient_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination,
    reject_unauth_pipelining,
    reject_non_fqdn_recipient,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    reject_unknown_recipient_domain,
    reject_invalid_hostname,
    reject_unverified_recipient,
    check_policy_service unix:/var/run/postgrey

    postgrey_time_limit = 3600

    # SMTP connections von allen clients, solange sie sich an die RFCs halten.
    smtpd_client_restrictions =

    # Ab in die Teergrube nach dem ersten SMTP Fehler
    # 100 Sekunden Verzoegerung nach jedem Befehl, max. 6048 mal = max. 1 Woche Teergrube
    # default RFC Timeout = 120

    smtpd_soft_error_limit = 1
    smtpd_error_sleep_time = 100
    smtpd_hard_error_limit = 6048

    # Falsch BLEIBT falsch, go away, don't come back
    unknown_address_reject_code = 550
    unknown_client_reject_code = 550
    unknown_hostname_reject_code = 550
    unknown_local_recipient_reject_code = 550
    unverified_recipient_reject_code = 550
    unverified_sender_reject_code = 550

    Postgrey: http://isg.ee.ethz.ch/tools/postgrey/
    Re: SPAM abblitzen lassen (Score:1)
    Von mirabile (root@[IPv6:2001:6f8:94d:1::1]) am Monday 12. July 2004, 00:36 MEW (#13)
    (User #504 Info) http://mirbsd.de/
    · Der eMail anliefernde Rechner muss richtige und vollständige Angaben über seinen eigenen Namen
                machen. (Ein DNS A-Record die IP und der HELO oder EHLO Name müssen übereinstimmen)

    *hust* AAAA?


    -- 
    Ich bin BSDler, ich darf das!
    Re: AAAA ? (Score:0)
    Von Anonymer Feigling am Monday 12. July 2004, 02:20 MEW (#14)
    Was soll AAAA heissen ?
    Meine Anforderungen erfüllt jedes halbwegs richtig konfigurierte SMTP Relay problemlos.
    Als DialUp SMTP Server z.B. einfach als meinmailserver.dyndns.org eMail anliefern.
    Das ist doch keine Hürde.
    Was ich mit Absicht NICHT mache ist eine IP=DNS=HELO Kontrolle.
    Das währe diskriminierend, damit hätten eMail Server auf DialUp IPs echte Probleme.

    Auf eMail von Müll-Schleuder Domänen verzichte Ich gerne, solche Leute sollen das Kontakt Form auf der Website benutzen.
    Re: AAAA ? (Score:2, Informativ)
    Von leuzi (chris+www@westworks.ch) am Monday 12. July 2004, 14:02 MEW (#20)
    (User #439 Info) http://westworks.ch/~chris/
    Aus RFC 1886:

    2.1 AAAA record type

    The AAAA resource record type is a new record specific to the Internet class that stores a single IPv6 address.


    Re: SPAM abblitzen lassen (Score:2)
    Von P2501 am Tuesday 13. July 2004, 13:21 MEW (#24)
    (User #31 Info) http://www.p2501.ch/

    Vollständige IPv6 Unterstützung kommt erst mit Postfix 2.2. Damit sollten auch die AAAA-Records abgefragt werden. Wer will, kann ja die Beta ausprobieren.


    --
    Linux ist eine Turboprop. HURD ist ein Düsenjetprototyp, der seinen Heimatflughafen nie verlassen hat.

    Re: SPAM abblitzen lassen (Score:2)
    Von P2501 am Tuesday 13. July 2004, 13:48 MEW (#25)
    (User #31 Info) http://www.p2501.ch/

    Die Teergrube würd ich weglassen. Heutzutage verwenden die Spammer spezialisierte Programme, die eine Verbindung einfach abreissen, wenn sie in eine Teergrube geraten. Somit bringt sie nichts. Ausserdem machen Teergruben deinen Server für DDOS-Attacken anfällig.

    strict_7bit_headers = yes ist gefährlich. Möglicherweise kriegst du damit false positives.

    Das Greylisting ist auch heikel. Es funktioniert ja nach dem Prinzip, dass der Sender beim ersten Versuch einen 450-er erhält. Manche Programme weichen in einem solchen Fall direkt auf den Backup-MX aus.

    Das Umbiegen der Reject-Codes auf 550 schliesslich solltest du auch lassen. Es bringt rein gar nichts (Spamprogramme beachten die Codes ohnehin nicht). Sender von nicht RFC konformen nicht-SPAM Mails, bekommen so aber keinen Hinweis darauf, was sie falsch machen.


    --
    Linux ist eine Turboprop. HURD ist ein Düsenjetprototyp, der seinen Heimatflughafen nie verlassen hat.

    Re: SPAM abblitzen lassen (Score:2)
    Von P2501 am Tuesday 13. July 2004, 14:15 MEW (#26)
    (User #31 Info) http://www.p2501.ch/

    Ach ja, noch was: SPAM aus botnets oder safe harbours kann sämtliche dieser Sperren leicht umgehen. Und leider ist beides am zunehmen (vor allem botnets).


    --
    Linux ist eine Turboprop. HURD ist ein Düsenjetprototyp, der seinen Heimatflughafen nie verlassen hat.

    CHF 3.-- pro Mail??? (Score:1)
    Von sheimers (stefan.sym@heimers.ch) am Sunday 11. July 2004, 14:28 MEW (#2)
    (User #255 Info) http://www.heimers.ch/
    Woher kommen die CHF 3.-- pro Mail?

    Ich denke selbst beim teuersten Provider in der Schweiz bekommt man das GB unter CHF 100.-, also unter CHF 0.025 pro 250kB Mail. (Oder geht der Spam neuerdings über GSM? ;-) )
    Re: CHF 3.-- pro Mail??? (Score:1)
    Von XTaran (symlink /at/ deux chevaux /dot/ org) am Sunday 11. July 2004, 14:53 MEW (#4)
    (User #129 Info) http://abe.home.pages.de/
    bit -äh- Flupp hatte sich in der Submission an einer Stelle um Faktor 1000 verrechnet (oder vertippt). Das war mir aufgefallen und ich habe es dann auch nach Rückfrage korrigiert. Vielleicht hat er aus Versehen mit dem falschen Wert weitergerechnet...

    Wobei das gegenüber dem von Dir genannten Preis auch nur Faktor 100 und nicht 1000 ist...

    --
    There is no place like $HOME
    Re: CHF 3.-- pro Mail??? (Score:2)
    Von Flupp (beat@rubis.ch) am Sunday 11. July 2004, 14:54 MEW (#5)
    (User #2 Info) http://www.rubis.ch/~beat/
    Sorry, mein Hirn hatte noch einen akuten Kaffeemangel, als ich das ausgerechnet habe...

    So CHF 12.- - 18.- muss man bei uns fuer ein GByte rechnen. 256KBytes sind demzufolge CHF 0.003 ~ CHF 0.004. Spam ueber GSM? Warum eigentlich auch nicht? Die notwendige programmierbare Umgebug ist ja schon bald verfuegbar...

    I saw screens of green, red messages too, then came blue, shubidu
    And i think to myself, what a wunderful world

    jup... auch schon gesehen (Score:1)
    Von loozer (niki punkt christener at dtc punkt ch) am Sunday 11. July 2004, 14:31 MEW (#3)
    (User #974 Info)
    ich hatte einmal (vor ca. 2-3 Monaten) etwas noch viel grösseres in meinem Postfach. Das Ding war etwa 2.5MB gross und hatte ein zip angehängt. Darin befand sich ein Tool das Zugriff auf irgend einen Dienst ermöglichen sollte. Also eine App inkl. Dialer. Habs nicht genau angesehen, war aber ganz klar ein Spam Mail und kein Virus. Auch sonst, kommen langsam immer grössere Spams rein. Würde aber schätzen, dass sich die durchschnittliche Grösse bei mir momentan auf ca. 30KB/Spam-Mail beläuft. Viele solche Mails laden aber Grafiken aus dem Web nach. Zeigt ein Mailclient also die Vorschau an, werden sicherlich oft an die 250KB (geschätzt) oder mehr nachgeladen. Rechnet man das mal hoch, wirds wohl nicht nur mir übel.
    Re: jup... auch schon gesehen (Score:2)
    Von Flupp (beat@rubis.ch) am Sunday 11. July 2004, 15:11 MEW (#7)
    (User #2 Info) http://www.rubis.ch/~beat/
    Gibt es eigentlich brauchbare Statistiken, ob derzeit der Spam oder der P2P Traffic ueberwiegt? Bei mir ist es auf alle Faelle der Spam...

    I saw screens of green, red messages too, then came blue, shubidu
    And i think to myself, what a wunderful world

    Re: jup... auch schon gesehen (Score:1)
    Von apple am Monday 12. July 2004, 06:29 MEW (#16)
    (User #817 Info)
    bei mir isses andersherum: BitTorrent-traffic für tlm-project.org
    Vorschau mit Web-Nachladen (Score:1)
    Von Aurelio am Monday 12. July 2004, 07:57 MEW (#18)
    (User #859 Info)
    Es ist von Vorteil, die Bilder-Nachladefunktion zu sperren, denn wenn die aktiviert ist, ist es ein leichtes, Deine Mail-Adresse zu bestätigen - es genügt eine unterschiedliche Bild-URL für jeden Empfänger. Die Sperrung gegen die Anzeige ist sogar beim Web-Frontend von Yahoo möglich...
    Re: Vorschau mit Web-Nachladen (Score:1)
    Von loozer (niki punkt christener at dtc punkt ch) am Monday 12. July 2004, 14:19 MEW (#21)
    (User #974 Info)
    Ja natürlich... ist mir auch bekannt.
    Mein Client ist eh so konfiguriert, dass er HTML gar nicht erst darstellt.
    Ganz nach dem Motto:
    in the beginning was the word, and the word was content-type: text/plain
    Re: Vorschau mit Web-Nachladen (Score:1)
    Von Ermel (symlink@ermel.org) am Tuesday 13. July 2004, 18:29 MEW (#27)
    (User #1124 Info)
    Ich bin am Überlegen, ob ich einen Schritt weitergehe und Content-Type: multipart in den Filter schmeiße. Natürlich mit Whitelist für "berechtigte" Attachments. Wer mir dann unbekannterweise eins schicken möchte, der soll halt vorher in text/plain anfragen, damit ich ihn auf die Whitelist nehmen kann.

    Hintergrund: ich habe meinem Hamster grade genau diesen Filter temporär verpaßt, um eine (semi-erwünschte) 16 MB große Mail am Wochenende kostenlos herunterzuladen, und bin angenehm überrascht, wie wenig Spam jetzt noch durchkommt.

    Was meint Ihr?

    Re: Vorschau mit Web-Nachladen (Score:2)
    Von NoSuchGuy (symlink@barney.ebuzz.de) am Tuesday 13. July 2004, 22:45 MEW (#28)
    (User #97 Info)
    Meiner Meinung nach wirst Du sehr einsam werden.

    Nein, mal im Ernst, wenn Du das umsetzt solltest Du auch einen Anleitung/Link mitschicken wie man nur als text/plain sendet.

    Lotus Notes User können Dir dann meines Wissens nach nichts mehr senden. Da Notes immer ein HTML-Salat sendet. Ich habe es leider nicht geschafft abzustellen. Wenn mir jemand sagen könnte wie, wäre ich zu tiefstem Dank verpflichtet...


    --
    eat my .sig!
    kein spam :))) (Score:0)
    Von Anonymer Feigling am Sunday 11. July 2004, 20:19 MEW (#8)
    da hab ich ja richtig glück, wenn ich das hier alles lese. ich habe in mein gmx postfach seid 2,5 jahren gerade mal ca. 5 spammails bekommen.

    allerdings hab ich noch einen alten hotmail account, der täglich mit spam überflutet wird. das ist aber natürlich auch die mailadresse, die ich überall angebe, wenn ich mich irgendwo anmelden muß.
    ca. 120 Spams/Tag (Score:2)
    Von NoSuchGuy (symlink@barney.ebuzz.de) am Monday 12. July 2004, 00:22 MEW (#11)
    (User #97 Info)
    Bei mir sind es ca. 120 Spammails am Tag.

    Wenn ich noch etwas an den Filtern rumschraube, dann kann ich meine Trefferquote auf ca. 118 steigern, jetzt sind es ca. 110.

    Zur Zeit wird aber wieder verstärkt nach offenen Mailrelays gescannt. Besonders tun sich hierbei asiatische IP-Adressen (.cn + .kr) und folgende Absender smtp2001soho@yahoo.com und china9988@21cn.com hervor.

    Warscheinlich gibt dann wieder eine Woche mit 150+ Spams/Tag...


    --
    eat my .sig!
    Re: ca. 120 Spams/Tag (Score:0)
    Von Anonymer Feigling am Monday 12. July 2004, 02:37 MEW (#15)
    Warum fragst du nicht bei der Absender Domäne nach, in dem Fall yahoo.com und 21cn.com ob die Domänen auch Antworten an die Absender annehmen würden, bevor Du die eMail annimmst ?

    Ich möchte wetten das dir yahoo.com in etwa "host mx3.mail.yahoo.com[64.156.215.5] said: 553 smtp2001soho Possible forgery or deactivated due to abuse (#5.1.1) (in reply to RCPT TO command)"
    erzählen würde.

    Dann kannst du dir den Filterkram sparen

    Warum soll Ich von jemand eMail annehmen dem Ich nicht antworten kann ?
    (Ja,ja robotern muss man dann halt ein Absender Konto mit Auto-Responder spendieren - Na und ?)
    Re: ca. 120 Spams/Tag (Score:2)
    Von Flupp (beat@rubis.ch) am Monday 12. July 2004, 07:39 MEW (#17)
    (User #2 Info) http://www.rubis.ch/~beat/
    Warum fragst du nicht bei der Absender Domäne nach, ... ob die Domänen auch Antworten an die Absender annehmen würden...?

    Ich ueberlege mir gerade was passiert, wenn zwei MTAs miteinander kommunizieren:

      a) macht einen Test, ob b ein Mail annehmen wuerde (HELO, MAIL FROM, RCPT TO, DATA, Abbruch)
      b) macht Greylisting von a (HELO, MAIL FROM, RCPT TO, Soft Error)
    Die Mail kommt nie an. Bin ich froh dass ich derzeit weder noch mache ;-)

    I saw screens of green, red messages too, then came blue, shubidu
    And i think to myself, what a wunderful world

    Re: ca. 120 Spams/Tag (Score:2)
    Von NoSuchGuy (symlink@barney.ebuzz.de) am Monday 12. July 2004, 08:24 MEW (#19)
    (User #97 Info)
    Dann kannst du dir den Filterkram sparen

    Eben nicht:
    1) Viele von den Versuchen werden schon vor der Annahme von sbl-xbl.spamhaus.org oder anderen Blocklisten abgeblockt
    2) Ich erlaube kein Relaying von fremden Adressen an fremde Empfänger


    --
    eat my .sig!

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.
    trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen