PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Spamhaus wird schlechter - oder Spamwelle neuer Art?



Squirrel
06.05.2014, 15:57
Guten Tag,

wir nutzen auf unserem Mailserver zen.spamhaus.org als RBL. In den letzten Jahren hat das auch ganz gut funktioniert.
Seit ca. 2 Wochen fällt aber auf daß eine deutlich stärkere Spam-Welle durch die RBL-Prüfung rutscht. Die Erkennungsrate
hat sich ca. halbiert.

Auffällig ist bei den durchschlagenden Spam-Mail daß als Absendeadresse im localpart immer gültige Adressen aus unserem
Adreßpool stehen, der domain part ist hingegen immer "irgendwo", nur nicht bei uns (Beispiel: angenommen es gibt einen
Mitarbeiter "anton.meier[at]firma.de", so wird diese Adresse vom Spammer verwendet in der Form "anton.meier[at]wasanderes").

Der Spam bezieht sich meistens auf dubiose "Gesundheitsmittel" wie Viagra, Abnehmeprodukte etc.; die enthaltenen
Links verweisen meist auf Server in Russland.

Auf die Sache kann ich mir keinen Reim machen.

Haben andere Forumsmitglieder evtl. die signifikante Zunahme der "Verspammung" in den letzten 2 Wochen bemerkt
und/oder eine andere Erklärung für das Problem?

Viele Grüße
Rolf

cmds
06.05.2014, 16:03
Tipp: zusätzlich die spamhaus DBL einbinden (Domain Black List), ZEN ist rein IP-basiert, und solange die Spammer frische IP verwenden, nützt die natürlich wenig

Squirrel
13.05.2014, 14:00
Unsere Software kann mit den DBL leider nichts anfangen.

Obwohl ich mich immer dagegen gewehrt habe werden wir es nun mal mit Greylisting versuchen.

Gibts denn hierzu Erfahrungen, was Delay-Time (Sekunden) und Maxage (Tage) betrifft?
Gibts irgendwo eine brauchbare Whitelist zum herunterladen?

Viele Grüße
Rolf

alariel
18.05.2014, 09:31
Damals™ als ich mich noch mit Greylisting befasst habe, hat es genügt, einfach den ersten Versuch zurückzuweisen - ohne jegliche Verzögerung.

Ich denke eher, dass dies eine technische Frage ist - wenn der Eintrag in die Datenbank aufgrund hohen Mailaufkommens 0.2 Sekunden dauert (oder so), dürfte eine Verzögerung von 1 Sekunde genügen. Liegt halt daran, wieviel Puffer man einbauen möchte. Wie gesagt - IMHO ist (technisch) keine Verzögerung nötig... spätestens dann nicht, wenn der Server seine Antwort erst nach Komplettierung des DB-Zugriffs sendet.

Letztlich entscheidet ohnehin der sendende Server, wie schnell nach einer ablehnenden Antwort er erneut versucht zu senden; in der Regel sollte das ja "sofort" sein. Alles, was älter ist als 6 Stunden, würde ich persönlich verwerfen - ich halte DAS schon für enorm lang. In der Zeit hätte mein Server schon 4-5 weitere Zustellversuche gemacht. Und nach 24h gibt er von sich aus auf. ;)

Ach ja, Whitelist(s): Würde ich immer selbst pflegen, da auch ich keine kenne, der ich vertrauen würde. Zwar gibt's da sowas wie die Certified Spammers Senders Alliance ... aber diese Liste benutze ich dann doch eher zum sperren als zum whitelisten - schaut man sich an, wer draufsteht. Zumal eine Whitelist erfahrungsgemäß doch eher überschaubar bleibt, pflegt man diese selbst.

Squirrel
21.05.2014, 11:59
Es wird immer seltsamer!

Ich habe probehalber die Spamcop-RBL dazugenommen. Zunächst wird auf spamhaus geprüft, dann auf Spamcop.
Seitdem geht täglich die Menge der via spamhaus geblockten Mails zurück, dafür nimmt die Menge der via Spamcop gefilterten Mails
täglich zu. Die via spamhaus-RBL geblockten Mails sind nur noch ca. 25% der früher üblichen Menge. Ohne Spamcop würden
wir mittlerweile komplett in Spam ersaufen.

Was kann das nur sein? Hat spamhaus ein Problem, oder haben die Spammer unauffällig ein neues Botnetz zusammengerafft
dessen Adressen bei spamhaus nicht verzeichnet sind?

Grüße
Rolf