Postfix/Spamasassin: Filtern anhand von Whois-Daten (z.B. Whoisguard -> Spam)

[mwyraz]

Hallo zusammen,

ich sortiere regelmäßig den manuellen Spamordner durch und schaue, wie ich unsere Filter verbessern kann. Bei der Abfrage der Sender-Domains kommt es häufig vor, dass diese nicht gefälscht sind, sondern "nur" durch Whoisguard "geschützt" sind.
Daher würde ich gern eine Policy auf unserem Mailserver einrichten, dass Mails, deren Sender-Domain durch Whoisguard geschützt ist, abgelehnt werden. Keine Ahnung, ob Whoisguard auch seriöses Geschäft macht aber ich muss ja keine Mails von Domains annehmen, die die Identität der Eigentümer verschleiern.
Daher meine Frage: wie könnte man einen solchen Filter technisch umsetzen? Oder hat jemand vielleicht schon so einen Filter?

Vielen Dank,
Michael.

[Solli]

Prinzipiell möglilch wär's schon: Es gibt command line tools für die Whois-Abfrage. Der Filter könnte also in Echtzeit eine Abfrage durchführen, das Resultat nach bestimmten Begriffen (wie "whoisguard") durchsuchen und bei einem Treffer die Mail als Spam betrachten. Wie man das jetzt im Detail in Spamassassin o.ä. einbaut weiß ich nicht, aber so schwer kann das nicht sein.

Allerdings frage ich mich ob's das bringt. Wie viel Spam erwischt man dadurch tatsächlich? Vor allem, wie viel Spam erwischt man dadurch, den man nicht anderweitig hätte rausfiltern können? Und wie viele false positives bekommt man mit so einem Filter?

[hoppala]

Ich habe so was in der Richtung vor Jahren mal gemacht, wobei ich die URLs im Text analysiert habe. Sender-Domains waren nach meiner Erfahrung selten für die Erkennung zu gebrauchen (hängt vielleicht auch damit zusammen, dass die entsprechenden Spams schon gar nicht an der IP-basierten Blocklist vorbeikommen).
Die maschinelle Abfrage von Whois-Daten ist allerdings bei den meisten (allen?) Whois-Services unerwünscht. Anders als DNS ist Whois nicht für diese Art von Zugriff gemacht. Und offenbar sind die "verschleiernden" Registrare zu eng mit einflussreichen Providern verbandelt, so dass Services, die Whois-Daten in DNS verpackt anbieten wollen, keinen Fuß auf die Erde bekommen.
Der Fisch stinkt vom Kopf her.

hoppala

[Mittwoch]

Die maschinelle Abfrage von Whois-Daten ist allerdings bei den meisten (allen?) Whois-Services unerwünscht. Anders als DNS ist Whois nicht für diese Art von Zugriff gemacht.

Wie bitte? Ich frage die Whois-Daten regelmäßig "maschinell" ab, mit Hilfe des Linux-(UNIX?-)Pakets whois. Dort kann ich sogar verschiedene Dienste angeben, die abgefragt werden sollen. Das Ergebnis könnte ich dann z.B. im Rahmen eines Shell-Scripts in der von mwyraz beabsichtigten Weise auswerten, denn die Abfrage wird auf die Standardausgabe ausgegeben und kann somit z.B. mit grep weiter untersucht werden. Eine grobe Idee für so ein Skript habe ich, aber da ich keinen Mailserver betreibe, habe ich nichts in der Richtung versucht. Man jagt die Domain durch das Skript, und bei ordnungsgemäßer Beendigung (=Domain ist Whois-Protected) wird die Mail geschreddert.

Letztendlich läuft im Hintergrund der großen Whois-Internetseiten nichts anderes, nur dass die Ausgabe eben auf der Webseite angezeigt wird.

Zu der Frage der möglichen Fehlerquote: Whois-Protection hat in einigen Ländern wie z.B. der USA durchaus Sinn. Wenn man für ein politisches Blog Restriktionen befürchten muss oder wenn die Registrierungsdaten von der Wirtschaft als Freiwild betrachtet werden dürfen, kann ich die Inanspruchnahme solcher Dienste durchaus nachvollziehen. Und ich will nicht ausschließen, dass ich zum Beispiel von einem amerikanischen Freund mal eine Mail bekomme, in der eine Domain verlinkt wird, die aus seriösen Motiven heraus Whois-Protected ist. Diese würde dann natürlich auch geschreddert. Ich würde demnach eine solche Filterregel immer mit einem vorgeschalteten Positiv-Abgleich einer Whitelist kombinieren.

Schönen Gruß
Mittwoch

[homer]

Ich würde noch etwas weiter gehen und einen Cache für die Abfrage-Ergebnisse mitschreiben. Die "sauberen" Domains sind dann als Dauereinträge drin und der Rest verfällt nach einer gewissen Zeit, um die Tabelle nicht zuzumüllen.

Einige WHOIS-Betreiber (u.a. auch die DENIC, IIRC) lassen nur eine gewisse Anzahl von Abfragen/Zeitraum zu. Das muss auch berücksichtigt werden.

[kjz1]

Mal grundsätzlich gefragt: reicht ein Abgleich mit URIBL und SURBL nicht aus? Spammer-Domains werden dort doch relativ schnell gelistet.