RackBlogger

Was ist nur mit dem Spam los? Wir sind schon wieder nur etwa auf der Hälfte des üblichen Niveaus:

Nachtrag (10.12.2008): Inzwischen ist wieder alles beim alten… siehe auch der Beitrag im Heise Newsticker: Zurück zum normalen Spam-Wahnsinn

Auf heise.de gab es einen interessanten Artikel über das Botnetz “Srizbi”. Merkwürdig aufgestoßen ist mir jedoch folgender Absatz:

FireEye wäre nach eigenen Angaben in der Lage gewesen, den Bots zu befehlen, sich von infizierten Systemen zu löschen. Allerdings habe man Bedenken gehabt, damit möglicherweise Schäden auf PCs anzurichten und daher davon abgelassen. Aus dem Srizbi-Botnetz stammen Schätzungen zufolge 40 Prozent des weltweiten Spams. Rund eine halbe Million PCs sollen mit 50 Varianten von Srizbi-Bots infiziert sein. Nach dem zwischenzeitlichen Abflauen der Spam-Mails tritt also leider wieder der “Normalzustand” ein.

Bevor man also ohnehin infizierte PCs von deren Virus befreit und Gefahr läuft, dadurch evtl. andere Schäden anzurichten, lässt man sie also lieber in Ruhe um “nur” Spam zu versenden.

Ein Schelm, wer Böses dabei denkt - schließlich lebt FireEye ja zumindest indirekt auch vom Spam…

Nach der Spam-Pause vor knapp über einer Woche gab es am Wochenende wieder ein unglaubliches Spam-Tief:

In einem Artikel bei Heise gibt’s auch ein paar Informationen dazu. Angeblich sollen die Botnetze am Wochenende für massive DDoS-Attacken umfunktioniert worden sein.

[IRONIE]Ehrlich gesagt wäre mir Spam lieber als eine DDoS-Attacke… [/IRONIE]

Als Antwort auf einen Beitrag vom AdminBlogger adminlife.net sind hier die aktuellen Spamstatistiken von unserem Mailcluster (mail.keppler-it.de). Die blaue Linie entspricht den abgelehnten Mails (Blacklist/Greylisting/Contentfilter), die grüne Linie den akzeptierten Mails. Derzeit werden nur 4,4% aller eintreffenden Mails auch tatsächlich akzeptiert.

Da heute der Spam-Anteil wieder erheblich angestiegen ist, befürchte ich, dass die Spam-Absender eine neue Heimat gefunden haben…

Inzwischen verweist auch der Heise Newsticker auf die Thematik: Anti-Spam-Blacklist ORDB listet alles

Vor weit über einem Jahr wurde die DNS-Blacklist ordb.org deaktiviert. Scheinbar gibt es aber noch immer genügend Mailserver, die ihre DNS-Anfragen an die Domains relays.orgb.org gesendet haben. Um diesem nun ein Ende zu setzen, wurde ein drastischer, aber offenbar der letzte hilfreiche Weg beschritten: seit kurzem beantwortet ORDB alle Anfragen mit einer Positiv-Meldung und passendem Hinweistext.

In der Praxis heißt das: will unser Mailserver einem anderen Mailserver (der fälschlicherweise noch auf ORDB zugreift) eine Mail zustellen, prüft der Zielserver die IP unseres Servers über ORDB ab. ORDB antwortet nun sinngemäß mit “Ja, die Absender-IP steht auf unserer Blacklist. Grund: ORDB wurde abgeschaltet - hört endlich auf das zu nutzen!”. (im Original ist das etwas nüchterner: “ordb.org was shut down on December 18, 2006. Please remove from your mailserver.”).

In unserem Mailserverlog finden sich inzwischen mehrere solcher Meldungen - alles von vernachlässigten Mailservern.
Langsam fällt den entsprechenden Administratoren auf, daß komischerweise keine Mails mehr ankommen…

Schon irgendwie traurig…

Die blaue Linie beschreibt alle abgelehnten Mails (inklusive Greylisting), die verschwindend kleine grüne Linie die akzeptierten Mails. Derzeit wird von 330 Mails nur eine durchgelassen, was einer Spam-Quote von 99,7% entspricht!

Um das irgendwie mit Humor zu nehmen verweise ich an dieser Stelle auf einen Sketch von Monty Python’s Flying Circus: Spam.

Eine Kundendomain wurde vor über zwei Wochen zu einem neuen Provider umgezogen. Wie mir allerdings eben zufällig im Mailserver-Log aufgefallen ist, trifft nach wie vor an diese Domain adressierter Spam bei uns ein - obwohl die Domain zeitnah und korrekt aktualisiert wurde, und die TTL für alle Einträge nicht über 24 Stunden beträgt…

Merkwürdig… scheinbar enthalten die Spam-Datenbanken auch (hartcodiert) die IP des zuständigen Mailservers…?