PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : @Software-Schreiber &Doc: Zeitpunkt der Domainregistrierung als Filterkriterium?



testkeintest
26.04.2004, 12:45
Hallo!
Ich glaube es gibt hier ja ein, zwei Leute, welche selber Antispam-Software schreiben. Vom Doc gibt es z.B. einen Spamassassin-Patch der einen Sitz bei bestimmten Webhostern negativ bewertet.
---> Idee: kam schon jemand auf die Idee, das Alter einer Domain mit einzubeziehen?
Zugegeben, dass ist ein freiwilliges Feld bei einer whois-Anfrage, die man extra stellen müßte. Bei z.B. antispam.de selbst ist das nicht sehr aussagekräftig:
changed: 2004-04-20Txx:xx:xx+0200
source: DENIC
woanders evt. schon, hier eine normale Domain (kein Spam):
Record expires on 18-Jul-2004.
Record created on 18-Jul-2003.
Database last updated on 27-Apr-2004 xx:xx:xx EDT.
hier Spam von heute:
XLANDA.BIZ:
Domain Registration Date: Wed Apr 21 xx:xx:xx GMT 2004
Domain Expiration Date: Wed Apr 20 xx:xx:xx GMT 2005
Domain Last Updated Date: Mon Apr 26 xx:xx:xx GMT 2004
CHEAP-SOFT-HERE.BIZ
Domain Registration Date: Mon Apr 26 xx:xx:xx GMT 2004
Domain Expiration Date: Mon Apr 25 xx:xx:xx GMT 2005
Domain Last Updated Date: Mon Apr 26 xx:xx:xx GMT 2004
pharemd.com:
Created: 2004-04-20
Expires: 2005-04-20
ivoiremarketing.com
Record created on March 23, 2002
Record last updated on March 29, 2004
Record expires on March 23, 2005
expeditemortgage.net
Record expires on 04-17-2005
Record created on 04-17-2004
goart422rx.biz
Domain Registration Date: Wed Apr 21 xx:xx:xx GMT 2004
Domain Expiration Date: Wed Apr 20 xx:xx:xx GMT 2005
Domain Last Updated Date: Mon Apr 26 xx:xx:xx GMT 2004
creamofdacrop.biz
Domain Registration Date: Wed Mar 24 xx:xx:xx GMT 2004
Domain Expiration Date: Wed Mar 23 xx:xx:xx GMT 2005
Domain Last Updated Date: Thu Mar 25 xx:xx:xx GMT 2004

...
Was die Sache leider wenig praktikabel macht, ist die notwendige Zahl der whois-Anfragen, sowie die fehlende Standardisierung (gwschweige denn Zwang) zur Datumsangabe.
Naja, jedenfalls meine Idee in der Mittagspause.
TKT

DarkX2
26.04.2004, 13:15
Dennoch halte ich das durchaus für praktikabel, wenn ein Filterprogramm zusätzlich zur Filterroutine, eben auch noch einige Sachen per whois überprüfen könnte - besonders da viele Domains ja mehrmals vorkommen, und so im Filter gespeichert bleiben könnten, kann man so ein mögliches Kriterium schaffen - das zumindest die SPAM Wahrscheinlichkeit erhöht.
Das Problem an dieser Methode wäre allerdings dann der Fall, wenn mir ein Kumpel seine neue Domain zeigen will, daher kann man eine solche Überprüfung nur eine Wahrscheinlichkeit einräumen, keine 100% Sicherheit - die gibt es aber sowieso nicht ;)
--------------------------------------------------
Hartmunt Nessler, Chef des Zolls am Frankfurter Flughafen, sinngemäß am 20.4.04:
"Keine Kontrolle ist auch eine Art der Kontrolle"

DocSnyder
26.04.2004, 13:56
Eine solche Erweiterung wäre durchaus denkbar. Dumm ist nur, dass die Whois-Antworten der verschiedenen Registrare syntaktisch erheblich voneinander abweichen und ein Whois-Parser deshalb recht schwierig und anfällig wäre. Deshalb wird derzeit über einen Whois-Nachfolge-Dienst nachgedacht, dessen Antworten in einem standardisierten (XML- oder LDIF-)Format kommen.
Rein DNS-basierte Geschichten wären nicht das Problem, da man z. B. die Seriennummern oder die Nameserver oder wasauchimmer leicht auslesen könnte. Eine häufig aktualisierte Seriennummer ist jedoch kein Indiz für Spamverdacht - ich aktualisiere meine Zonenfiles recht häufig. Man könnte höchstens noch prüfen, über welchen Registrar eine Domain angemeldet ist und welche Nameserver dafür zuständig sind, was durchaus ein Indiz für die Hutfarbe sein kann, wenn nicht sogar das deutlichste. Die Implementierung wäre nicht schwieriger als die für DNSBL- oder RHSBL-Abfragen, da alle Informationen über das DNS-Protokoll geliefert werden.
Denkbar wäre auch, regelmäßig Whois- und DNS-Informationen von verdächtigen Domains und IP-Adressen in eine Datenbank einzuspeisen und damit eine Historie aufzubauen. Dies ist jedoch rechtlich bedenklich, da fast alle Registrare die externe Spiegelung ihrer Daten explizit verbieten. Wenn jemand für sich privat zu Ermittlungszwecken Whois-Informationen in Fresszetteldateien dumpt, juckt dies niemanden. Wenn man jedoch eine Art "archive.org" für Whois-Daten aufbaut, gebe ich dem Ganzen nur ein paar Tage, bis sich ein Registrar meldet und gewaltig Druck macht.
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/