PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Spamfallen mit automatischer Weitermeldung



p0b
06.10.2003, 04:42
Ich beschäftige mich nun schon eine Weile mit technischer Spambekämfung und wollte hier mal berichten, welche technischen Maßnahmen so meine Favoriten sind.
Es gibt ja die verschiedensten Bekämpfungsarten, insbesondere unter Windows werden meist einfache Textfilter z.T. noch kombiniert mit DNS-Blacklisten benutzt. Dabei sind insbesondere die DNSBL`s besonders fehleranfällig und blocken mitunter auch erwünschte Mails, weil sie auf ganze IP-Adressen wirken. Zudem sind DNSBL`s meist nicht einsehbar und man muß sich blind darauf verlassen, daß die Daten aktuell und wenigstens größtenteils richtig sind.
Besser, aber leider auch kein Allheilmittel, sind dann schon die Filter die mit regulären Ausdrücken arbeiten, diese funktionieren insbesondere im Englischen gut, da es dort eine feste Satzgliedstellung gibt und man außer z.B. ein paar 13373|| M0|>ifik [at] t1on3n d3r W0rte nicht wirklich was dagegen machen kann (gefakte Tags, base64/qouted printable-Encoding etc. lassen sich leicht mit geeigneten Vorfiltern wieder rückgängig machen, wie das zum Beispiel SpamAssassin macht). Bei deutschem Spam gibts aber damit schon Probleme, da einfach zu viele Möglichkeiten der Wahl und Positionierung von Wörtern hat, was die Spammer auch voll auschlachten, so daß man nach kurzer Zeit neue/andere Filterregeln schreiben muß. Im Endeffekt bleiben dann nur noch die Regeln gegen allgemeine Spammerkmale als wirksam übrig.
Der nächst bessere Ansatz aus Sicht der Antispammer sind dann die Bayes-Filter, diese lernen einfach Worthäufigkeiten in Spam bzw. Nicht-Spam(Ham) durch den Benutzer und sortieren dann die Mails auf dieser Grundlage automatisch. Der Vorteil dieser Filter ist, das die Spammer nicht wissen, welche Worte bei auch gerade auf der Ham-Wortliste stehen, denn das hängt vom Inhalt eurer bisherigen empfangenen Mails ab. Also haben die Spammer ein Problem, da sie nicht wie z.B. gegen SpamAssasin sich einfach die passenden Negativregeln heraussuchen und ihre Mails entsprechend so präperieren können, daß sie noch durch den Filter kommen. Insbesondere aus diesem Grund finde ich gut, daß der Bayes-Filter in SA 2.60 endlich einer Spammail den sicheren Tod bringen kann, denn damit landet auch das in der Tonne, was sonst manchmal noch durchgekommen ist.
Meiner Meinung nach der effektivste langfristige Schutz ist aber, neben den Bayes-Filtern, das Installieren automatischer Spamtraps, die die Prüfsummen(Hashwerte) alle eingehenden Mails sofort an verteilte, kooperative Datenbanksysteme wie DCC, Pyzor oder Razor weiterleiten, damit andere Nutzer durch Vergleich des eindeutigen Hashwertes sofort wissen, ob die Mail Spam ist. Man braucht faktisch nur einen neuen Nutzer anlegen, dem dann divers Mailaliase zugeordnet werden. Da die meisten Spammer ihre Adresslisten absteigend sortieren, sollte man vor allem Aliase benutzen, die möglichst weit vorn im Alphabet liegen, aber nürlich auch mittige und Aliase am Ende, damit z.B. das Löschen der ersten n Adressen nicht wirklich etwas einbringt. Jedenfalls installiert man dann auf diesem Mailaccount ein Reportscript (das geht sicher am leichtesten über .forward mit "| meldescript.sh") dieses ruft dann z.B. dccproc -t many und/oder pyzor report auf und piped die Mail dort hindurch. Man sollte den Spam auf jedenfall sofort melden lassen, denn die Spammer kennen die Systeme auch und streuen deshalb in die Mails Buchstabensalat etc. ein, in der Hoffnung, das diese Datenbanksysteme die Mail dann für eine neue halten, obwohl sie eigentlich schon mal mit fast identischem Text gemeldet wurde. Die erzeugten Aliase jedenfalls bietet man dann den Spammern dann als Köder ("austragen", Usenet etc.) an und erreicht damit, das die Spammer ihre Mails quasi fortan selbst als Spam kennzeichnen und man nur noch zu filtern braucht. Der größte Vorteil dieser Variante ist aber, daß egal ist, wie die Spammer ihre Mails in Zukunft auch immer gestalten oder ob sie z.B. Bilder statt Text verschicken um RegEx-Filter zu umgehen. Wichtig ist nur, das möglichst viele Leute Spamtraps aufsetzen, denn um so höher ist die Wahrscheinlichkeit, das der Spam schon früher gemeldet wurde und fortan überall leicht mit Hilfe dieser datenbanken gefiltert werden kann.