Hallo zusammen,
im Zusammenhang mit den aktuellen Ereignissen, die sich rund um Key Systems hier im Forum ereignen, ging mir die Frage aus dem Kopf, ob man nicht die Whois-Daten von Links in Spammails als Filterkriterium nutzen könnte? Ich meine, es gibt eine Menge bekannter Schwarzhüte, die man als Registrare bei einem Großteil der beworbenen Links im Whois findet. Es dürfte doch ein leichtes sein, z.B. für Spamassasin einen entsprechenden Filter zu schreiben, der die Whois-Einträge auf bekannte Schwarzhüte abklopft?

Oder gibt es was in der Art bereits? Ich weiß bisher nur, dass die bekannten Blacklists die betroffenen Domains einzeln listen.

Schönen Gruß
Mittwoch

Nunja, das ist Abfragetechnisch das einfachste.

get URI - Frage BL (domain(URI)) - Antwort +/-
Möglich ist sicherlich etwas nach dem Motto:

get URI - whois domain(URI) - get Registrar(URI) - Frage Schwarzhut-BL (Registrar) - Antwort +/-
wobei sich mir die Frage stellt: Für kleine Systeme mag das noch angehen, aber bei auch nur etwas größeren Mailservern dürfte die Performance ein Problem werden. Ich wäre mir auch nicht sicher, ob tausende whois-Anfragen durch einen Server so statthaft wären...

Ich wäre mir auch nicht sicher, ob tausende whois-Anfragen durch einen Server so statthaft wären...
bei denic wäre ich besonders vorsichtig

Nutzungsbedingungen

Die in der whois-Abfrage ersichtlichen Domaindaten sind rechtlich geschützt. Sie dürfen nur zum Zwecke der technischen oder administrativen Notwendigkeiten des Internetbetriebs oder zur Kontaktaufnahme mit dem Domaininhaber bei rechtlichen Problemen genutzt und ohne ausdrückliche schriftliche Erlaubnis der DENIC eG weder elektronisch noch in anderer Art gespeichert werden. Insbesondere die Nutzung zu Werbe- oder ähnlichen Zwecken ist ausdrücklich untersagt.

Durch das Betätigen des untenstehenden Buttons "Akzeptieren" versichern Sie, dass Ihrerseits ein berechtigtes Interesse vorliegt und Sie die ausgegebenen Daten nur zu diesen Zwecken nutzen werden. Ihnen ist bekannt, dass sich die DENIC eG vorbehält, bei Missachtung dieser Versicherung rechtliche Schritte einzuleiten und Sie von der Nutzung der whois-Abfrage auszuschließen.

bei der Denic werden ausserdem die Abfragen (die vom gleichen Server kommen) limitiert, bzw. wenn zu viele sind auch schon mal geblockt :-)

Also zum Einen gibt es auch noch andere Whois-Dienste als die Denic, zum anderen fällt für mich Spamabwehr unter "Zwecke der technischen oder administrativen Notwendigkeiten des Internetbetriebs".

Bei größeren Mailservern dürfte ein vorheriger Abgleich mit einer internen Blacklist sowieso sinnvoll sein, denn es ist anzunehmen, dass eine Spammail gleich an mehrere localparts auf dem Server geht. Sobald sich eine Adresse aufgrund des Whois-Records als verdächtig erweist, kann sie dann dort abgelegt werden, das würde den Filterprozess dann erheblich beschleunigen.

War nur so ne Idee...
Schönen Gruß
Mittwoch

Also zum Einen gibt es auch noch andere Whois-Dienste als die Denic,

für de bleibt aber Denic :-)