netztaucherbrille » Spam

Screencast Spamfilter einstellen

Marco Neuber — Mon, 07 Jul 2008 07:01:05 +0000

Auf allen Servern läuft ein Spamfilter. Nach einem komplexen Regelwerk werden alle eingehenden eMails auf Spam-Merkmale untersucht. erkennt der Server Spam schreibt er den Hinweis in die Betreffzeile: *****SPAM*****. Sie können nun in Ihrem eMail-Programm eine Regel definieren wenn eMail mit solch einem Betreff ankommt direkt in den Papierkorb zu verschieben. Ab sofort müssen Sie Spam aber nicht mehr lokal filtern lassen!

Bereits Ende März angekündigt ist in der letzten Woche der letzte Server mit den erweiterten Spamfilterfunktionen ausgerüstet worden. Welche neuen Funktionen gibt es nun?

direktes Verschieben und Löschen auf dem Server
Greylisting um den Server von der Spamberechnung zu entlasten
inhaltliche Filterung per Filter (Spamassassin)

Links aus dem Beitrag

Wie Sie Ihren Spamfilter einstellen können erfahren Sie in diesem Sreencast. Feedback ist ausdrücklich erwünscht! Bitte hier direkt in den Kommentaren.

[Video ist nur auf der Website zu sehen!]

Spamabwehr: Neue Spamfilterfunktionen und Greylisting

Marco Neuber — Mon, 31 Mar 2008 07:15:24 +0000

Das Feedback vieler Kunden zum hohen Spamaufkommen habe ich zum Anlass genommen zwei Dinge in der Mailbehandlung einzuführen. Zum einen wird es die Möglichkeit geben vom Server als Spam erkannte Mails entweder direkt löschen zu lassen oder sie in ein spezielles Postfach verschieben zu lassen. Die zweite Massnahme ist Greylisting. Besonders das Greylisting sorgte bereits bei einigen Kunden für Erstaunen. Auf zwei Servern kommt dies bereits testweise zum Einsatz und es kommt keine einzige Spammail mehr durch.

Was ist Greylisting?

Wird ein SMTP-Server kontaktiert, damit dieser eine E-Mail in Empfang nimmt, so sind diesem Mailserver folgende drei Daten bekannt, bevor der Mail-Server die E-Mail annehmen muss:

IP-Adresse des absendenden Mailservers
E-Mail-Adresse des E-Mail-Senders
E-Mail-Adresse des E-Mail-Empfängers

Wurde eine E-Mail mit dieser Kombination von Adressen noch nie empfangen, dann wird der Zustellversuch durch den SMTP-Server abgeblockt mit einer Meldung, dass ein temporärer Fehler aufgetreten sei, der SMTP-Client die Zustellung also später noch einmal versuchen soll. Wird ein nächstes Mal versucht eine E-Mail mit der selben Kombination von Daten zuzustellen (was ein regulärer und RFC-konform konfigurierter SMTP-Server auf jeden Fall tun sollte), so wird diese E-Mail (nach einem konfigurierbaren Zeitintervall) akzeptiert. Ob und wann ein erneuter Zustellversuch unternommen wird, hängt einzig und allein vom Versender ab.

Quelle: Wikipedia

Ab Wann stehen diese Funktionen zur Verfügung?

Die gute Nachricht: Bereits auf vielen Servern. Stück für Stück wird weiter ausgebaut. Jeder Kunde erhält per eMail einen Hinweis das die Funktion bereitsteht. Eine kurze Anleitung zur Verwendung und Einrichtung wird es noch geben.

relays.ordb.org abgeschaltet und bums…

Marco Neuber — Wed, 26 Mar 2008 17:42:52 +0000

Seit gestern abend hagelte es auf fast allen Servern Fehlermeldungen. Benutzer konnten keine Mails mehr absetzen, ausser Sie verwendeten direkt das Webmailsystem. Der Grund war schnell gefunden – die Behebung dauerte einen Moment. Aber was war passiert? Info und Diskussion hier.

Nachdem Die Betreiber der Liste ordb.org meldeten das Sie Ihren Service abschalten werden hätte man die Datei anpassen müssen. Da bisher aber kein Fehler bei einer Abfrage offensichtlich war geriet dies bei vielen Admins in Vergessenheit – bei mir auch :-/. Seit gestern bringt die Liste aber bei jeder IP eine Meldung das die angefragte IP gelistet sei. Das Ergebnis: kaum eine Mail wird transportiert.

In vielen Standardkonfigurationen filtern Mailserver gegen eine Liste offener Relays und Mails die von diesen kommen werden nicht angenommen: reject_rbl_client relays.ordb.org. Nach dem Anpassen dieser Regeln lief wieder alles.

Das Statement sagt es wohl recht deutlich

It seems this is the only way. returning positive results gives a chances to wake up the sleeping beauty…

Spamcheck auf die Schnelle

Marco Neuber — Wed, 17 Oct 2007 08:59:53 +0000

Früher habe ich mir mal des öfteren den Spass gemacht und bei deutschen Spammern Kleinigkeiten geordert und dann auf die Rechnung gewartet. Die kam dann mit dem Absender eines Postfachs, der Bitte diese zu korrigieren und eine ladungsfähige Anschrift zu geben wurde nicht nachgekommen. Was für ein Zufall, dann hätte ich ja klagen können ;-) Heute ist viel interessanter wer dahintersteckt. Einige Anhaltspunkte liefern diese Checks:

In welchem Umfeld wird gehostet?
http://www.myipneighbors.com/
Wer ist der Hoster?
http://whoishostingthis.com/
Steht die IP schon auf Blacklisten?
http://www.mxtoolbox.com/blacklists.aspx

SpamAware: Kostenloser Spamfilter für Outlook

Marco Neuber — Sun, 29 Apr 2007 08:17:56 +0000

Ich verstehe nicht weshalb Outlook keinen funktionierenden Spamfilter mitbringt. Mit statischen Filterregeln kommt man in dem Programm nicht weiter. Eben bin ich hier auf einen Hinweis gestossen.

SpamAware ist ein Plugin für Ms-Outlook und MS-Outlook Express. Es benutzt SpamAssassin um neue Mails mit einer Punktzahl zu bewerten und entscheidet dann anhand der in den Optionen vorgenommenen Einstellungen was mit der Mail geschehen soll. SpamAware kontaktiert durch SpamAssassin mehrere öffentliche Spam-Server um eine hohe Effizienz zu bieten. Das Plugin ist nach der Installation funktionsfähig und wird bei neuen Mails selbständig aktiv. Es unterstützt Black- und Whitelist Filterung und kann automatisch alle ihre Outlook und Outlook Express Kontakte und Empfänger ihrer Mails zur Whitelist hinzufügen.

SpamAware Download

Geblockte Mails wegen SORBS

Marco Neuber — Thu, 04 Jan 2007 14:29:28 +0000

Seit Ende Oktober stehe ich mit einem Server in der Datenbank von SORBS als “Exploitable Server”. Manche Administratoren verwenden die Listen von SORBS um Mails zu filtern. Viele Kunden bekommen eMails zurück, mich eingeschlossen. Das ist mehr als ärgerlich. Ich weiss bis heute nicht nicht wie die IP auf die Liste gekommen ist und der “Support” von SORBS ist ein Witz. Was soll ich denn von solchen Antworten halten:

Darauf habe ich 12 Tage warten müssen:

http://www.sorbs.net/cgi-bin/support

Darauf habe ich weitere 10 Tage warten müssen:

For delisting please see: http://www.au.sorbs.net/faq/vulnerabilities.shtml

Ich bin so stinksauer, ich würde am liebsten schreiend was kaputtschlagen.

Update

Es kommt Bewegung in die Sache. Es entwickelt sich ein reger Mailverkehr, 5 Mails innerhalb einer Stunde, wow. Zum Schluss kommt folgende Info:

You need to access the pages from the IP address that is in the DB listed as the “trojaned host”. If you do not use the same IP address you will not see the “Get Delisted” button on the detail page.

In der Zwischenzeit ist jedoch schon die IP-Umstellung in der Mache. Alle auf dem Server laufenden Domains werden aktualisiert, die IP-Weiterleitung wird eingerichtet und alles wird in ein neues IP-Subnetz gelegt. Ein Haufen Arbeit wegen, sagen wir mal merkbefreiter Sysadmins…

Spam – Ganz neue Masche

Marco Neuber — Tue, 19 Dec 2006 20:44:53 +0000

Das Spamaufkommen nimmt zu. Tag für Tag. Auf den Servern läuft Spamassassin, lokal der Spamfilter von Opera. Trotz dieser zweistufigen Filterung kommt das eine oder andere Schätzchen durch. Der letzte Schrei war ja der Bildanhnag mit einer Animation die in den ersten paar Bildern nur Rauschen gezeigt hat. Was mir heute aufgefallen ist, war mir ganz neu.

Ein Haufen Buchstabensalat, der sich dann zu grossen Worten formt.

Interessanter Spam

Marco Neuber — Wed, 14 Jun 2006 09:42:40 +0000

Soeben kam eine Spammail reingeflattert, ganz neue Masche, zumindest ist mir das so noch nie aufgefallen:

Lieber Sir/Madam! Ich suche nach einem Job und ich würde onored sein, wenn ich meine Zusammenfassung schicken könnte Ihnen. Ich bitte um Ihre Erlaubnis, Ihnen mein Dokument zu schicken, weil I don`t Sie mit unerwünschten Buchstaben stören möchten. Bitte Antwort, wenn Sie interessiert sind. Appologise I, wenn ich Ihnen Störung verursachte. Ich freue, von Ihnen hering. Bester Respekt Fulop AngelaTel.;mobil; -0040744334873

Besonders lustig die automatische Übersetzung. Alos wer eine legasthenische Schönheit sucht, oben steht die Mobilfunknummer…

Spammer lernen offensichtlich dazu

Marco Neuber — Thu, 16 Mar 2006 14:14:04 +0000

Derzeit trudeln Mails von einer Firma ein die .eu-Doamins verkaufen möchte. Allerdings wird das nicht explizit gesagt, sondern man wird aufgefordert Infos anzufordern. Die Firma hat Ihren Sitz in der Tschechischen Republik…

Mit diesem Konstrukt versuchen sie offenbar den Schein von Gesetzeskonformaität zu wahren:

Warum sollten Sie unsere Geschäftsmitteilungen abnehmen? Als eine der wenigen Firmen bieten wir die Registrierung von .EU-Domains und Webhosting hoher Qualität zu einem sehr attraktiven Preis. Ohne diese Zustimmung können wir Ihnen aufgrund des § 7 UWG keine weiteren Nachrichten über unsere Dienstleistungen und über die neuesten Produkte senden.

Auch eine Idee

Marco Neuber — Mon, 20 Feb 2006 18:01:38 +0000

Soeben bekomme ich Mail das sich jemand im Gästebuch eingetragen hat. Eigentlich ein Grund zur Freude. Denkste, ein ellenlanger Text zu Wandertouren durchdie sächsiche Schweiz. Der ganze Kram eine einzige Werbung. Eben habe ich mit dem Spammer telefoniert. Da kann einem der Hut hochgehen.

Auf Ihrer Seite steht gar nicht das man keine Werbung einstellen darf. Sonst hätte ich das natürlich nicht getan. Sie können doch den Eintrag löschen, das ist doch kein Problem.

Na klar, kein Problem ich habe auch nicht besseres zu tun. Was sich manche Leute denken… Aber offensichtlich bin ich mit solchen Hobbyspammern nicht allein