SPAM-Aufkommen

  • In letzter Zeit hat das Spam-Aufkommen bei mir stark zugenommen.

    Auf meiner privaten Email-Adresse sind zuletzt täglich ca. 100 Spam Mails reingekommen.

    Der eingebaute Filter von Thunderbird konnte die natürlich nicht alle automatisch erkennen, aber er ist ja lernfähig.

    Aber jeden Tag etliche Spam-Mails für den lernenden Filter zu markieren ist mir auf Dauer aber auch zu nervig.

    Daher habe ich (nach langer Zeit) mal wieder die Anti-Spam Einstellungen meines Mailserver unter die Lupe genommen.

    Den hatte ich bisher so eingestellt, daß er Spam Mails zwar im Betreff kennzeichnet, nicht aber aussortiert.

    Als ich das eingerichtet habe, wollte ich sicherstellen, daß keine Mail aussortiert werden, die in Wirklichkeit kein Spam sind.

    Zu den DNS Blacklists spamhaus.org und spamcop.net, die ich bisher im Mailserver drin hatte, habe ich jetzt noch wbpl.info und sorbs.net dazugenommen.

    Jeder DNS Blacklist Treffer erhält einen Score von 5.

    Einen Score von 3 gibt es jeweils für Prüfungen auf HELO, gültigen MX-Eintrag und DKIM Signatur.

    Als SPAM gekennzeichnet wird alles mit einem Score ab 5.

    Ich kann mich nicht erinnern, mal eine vom Mailserver als Spam gekennzeichnete Mail gesehen zu haben, die kein Spam war.

    Jetzt habe ich den Mailserver so konfiguriert, daß er alles mit einem Score ab 10 zurückweist.

    Damit fliegt also alles raus, was auf mindestens zwei Blacklist steht, oder was auf einer Blacklist steht und bei mindestens 2 der weiteren Prüfungen versagt.

    Ich bin gespannt, wie sich die neuen Einstellungen auswirken ...

  • Du bist aber tolerant.


    Ich habe 2 DNSBL (ix.dnsbl.manitu.net, zen.spamhaus.or, inaktiv: dnsbl.sorbs.net). Wird die IP als Spammer gemeldet, wird die Verbindung sofort abgebrochen.


    Weiterhin habe ich mehrere selbstgeschriebene Scripte., die mir unerlaubte Zugriffe oder Versuche auf POP Konten, SMTP Verbindungen ohne Mail, ftp Conencts und aehnliches melden. IPs, die hier auffallen, kommen auf die DropIP Liste meiner Firewall. Fuer diese IPs existiert der Rechner nicht mehr.

    ;------------------------------------
    ;----- ENABLE NMI INTERRUPTS
    (aus: IBM BIOS Source Listing)

  • Ich strafe zusätzlich noch alle Mails, die per IPv4 zugestellt werden ab. Quasi alle Spam-Mails werden nicht per IPv6 zugestellt, und in Anbetracht der Tatsache, dass IPv6 dieses Jahr 20 wird (!), sollte mittlerweile jeder, der einen ordentlichen Mailserver betreibt, IPv6 unterstützen. Wenn nicht: Es wird Zeit ;)

  • Weiterhin habe ich mehrere selbstgeschriebene Scripte., die mir unerlaubte Zugriffe oder Versuche auf POP Konten, SMTP Verbindungen ohne Mail, ftp Conencts und aehnliches melden. IPs, die hier auffallen, kommen auf die DropIP Liste meiner Firewall. Fuer diese IPs existiert der Rechner nicht mehr.

    Wie lange bleiben die Einträge bei Dir in der Drop Liste drin?

    Bei mir werden alle IPs, von denen auf dem Mailserver innerhalb einer Stunde zwei Loginversuche fehlschlagen, für 3 Stunden blockiert.

    Beim FTP-Server sperre ich IPs nach 5 fehlgeschlagenen Login-Versuchen in einer Stunde für 999 Stunden.

  • Ich strafe zusätzlich noch alle Mails, die per IPv4 zugestellt werden ab. Quasi alle Spam-Mails werden nicht per IPv6 zugestellt, und in Anbetracht der Tatsache, dass IPv6 dieses Jahr 20 wird (!), sollte mittlerweile jeder, der einen ordentlichen Mailserver betreibt, IPv6 unterstützen. Wenn nicht: Es wird Zeit ;)

    Ich glaube ja, daß die vollständige Umstellung auf IPv6 nicht vor der vollständigen Abschaltung des Internets abgeschlossen sein wird... :tüdeldü:

  • Hehe...

    Zumindest nicht, wenn man Unitymedia-Kunde ist. Die Helden bieten einem ja nur entweder oder.


    Naja, 99% der Mails erreichen mich schon seit Jahren per IPv6, daher die Idee IPv4 abzustrafen.

  • Meine geänderten Einstellungen zeigen Wirkung:

    Ich habe seit den Änderungen (ca. 48 Stunden) noch 24 Spam-Mails bekommen, die fast alle von Thunderbird aussortiert wurden.

    Zusätzlich zu den oben bereits genannten Checks habe ich jetzt noch SPF ativiert (Score 3).



    Sich mal ordentlich mit dem Thema zu befassen war durchaus eine gute Idee.

    Um auch anderem Spam entgegenzuwirken, also nicht nur dem, der mich erreicht, habe ich meinen Mailserver angewiesen, DKIM-Signaturen zu erstellen.

    Die neu ertsellten Einträge für DKIM und SPF sind im DNS aktiv, und die entsprechenden Checks sind durch.

    Somit sollte also niemand mehr in der Lage sein, Spam unter Mißbrauch meiner Domain zu versenden, solange die Empfänger entsprechend konfigurierte Mailserver benutzen.


    Eine Sache ist mir aber aufgefallen:

    Ein T-Online Mailserver, der mir eine Mail von einem Vereinsmitglied übermittelt hat, stand in der DNS Blacklist auf bl.spamcop.net.

    Alle anderen Checks / DNSBL Abfragen waren OK.

    Daher werde ich sicherheitshalber auch weiterhin keine Mails zurückweisen, bei denen ledigleich eine DNS Blackist meckert.

  • Eine Sache ist mir aber aufgefallen:

    Ein T-Online Mailserver, der mir eine Mail von einem Vereinsmitglied übermittelt hat, stand in der DNS Blacklist auf bl.spamcop.net.

    Alle anderen Checks / DNSBL Abfragen waren OK.

    Daher werde ich sicherheitshalber auch weiterhin keine Mails zurückweisen, bei denen ledigleich eine DNS Blackist meckert.

    Wir hatten hier mal in der Uni vor Jahren einen Fall, dass ein Account eines Studenten gehackt wurde. Da war wohl das Passwort zu schwach. Und dann kam es, wie es kommen musste: ein superperformanter Mailserver und eine 10GBit-Anbindung an den Knoten in Frankfurt. Und das zu einer Zeit, als DSL die Megabit kaum knacken konnte. Innerhalb weniger Minuten gingen Hunderttausende von SPAM-Mails raus, und die ganze Uni landete auf einer Blacklist, bevor jemand "Piep" sagen konnte. Später war auch mal der von mir privat genutzte 1&1-Server auf einer Blacklist, vermutlich aus ähnlichen Gründen.

  • Deswegen sollte man bei einem Mailserver, der nicht nur von einem selbst privat genutzt wird, grundsätzlich auch ausgehende Mails durch den Spamfilter jagen, um zu verhindern, dass man auf den Blacklists landet.

    Mails mit verrecktem SPF werden bei mir sofort abgelehnt, Mails von Servern ohne gültigen PTR ebenfalls. Zudem sind alle dynamischen IP-Bereiche blackgelistet, ohne Authentifizierung wird von denen auch sofort abgewiesen.

    Ein paar Blacklists, denen ich voll vertraue, nutze ich auch, um direkt die Verbindung zu killen. Andere, etwas überempfindliche, wie z.B. SORBS habe ich dann in Spamassassin um die Mails mit einem (saftigen) Malus zu versehen.

    Bei mir schlagen so im Monat maximal zwei Spam-Mails auf, die dann auch korrekt im Spamordner landen.


    Greylisting bringt schon seit fast zehn Jahren gar nichts mehr, da die Spammer mittlerweile größtenteils Server nutzen, die mehrmals zustellen. Das nervt nur im Normalbetrieb mit zum Teil extrem verzögerter Zustellung.