RackBlogger

Nachdem das (angebliche? weil bisher noch nicht näher benannte) Spamurteil des Landgerichts Lüneburg durch die Blogosphäre geistert will ich auch noch ein Wort dazu sagen: alles kein Problem.

Unsere Kunden können individuell ihren Spamfilter konfigurieren und dabei (derzeit noch über den Support, in Kürze aber auch über’s Web-Frontend) nicht nur Greylisting und Content-Filter, sondern sogar Blacklists individuell aktivieren oder deaktivieren. Somit bleibt es dem Kunden selbst überlassen, ob er Spam empfangen “will”.

Auch ohne dieses Urteil hätte ich als Provider ein Problem damit, dem Kunden (auf welche technische Art auch immer) irgendwelche E-Mails vorzuenthalten, wenn er/sie explizit keine Filterung wünscht (und Ja - wir haben solche Kunden…)

Die Spam-Statistik des Mailservers spricht mal wieder für sich:

Blau sind die gesamten Zustellversuche, grün die tatsächlich akzeptierten Mails.
Aktuell wird nur noch etwa jede hunderste Mail durchgelassen.

Gelobt seien Blacklists und Greylisting.

Das scheint ja lustig zu werden. In den letzten 24 Stunden hatte ich rund 100 Mails mit PDF-Spam in meinem Postfach - trotz Greylisting und anderer Filter.

Heute Nachmittag werden wir wohl oder übel SpamAssassin-Regeln für den neuen Spam bauen müssen… *gähn*

Nun ist es da - RFC4871 beschreibt die “DomainKeys Identified Mail Signatures”, kurz DKIM. Es handelt sich dabei um einen weiteren Ansatz um den Absenderserver einer Mail verifizieren zu können.

Da DKIM im Gegensatz zu SPF nun den quasi offiziellen Status eines Internet-Standards erreicht hat, werden wir diesen wohl in Kürze auch implementieren.

Dennoch gibt es nach wie vor zwei entscheidende Probleme, die DKIM alleine nicht lösen wird:

1. DKIM macht nur Sinn, wenn möglichst alle Provider diesen Standard auch tatsächlich einsetzen (ok, wir arbeiten daran )
2. Spammer sind ja auch nicht (immer) blöd - die können sich dutzende “Wegwerf-Domains” (entweder quasi kostenlose .info-Domains o.ä., oder sogar völlig kostenfreie Third-Level-Domains) registrieren und mit den entsprechenden DKIM-Einträgen “verifizierten” Spam in die Welt pusten.

Naja, mal schauen wie sich das alles so entwickeln wird…

Aufgrund der noch nie dagewesenen Spam-Flut der letzten Tage haben wir das bisher nur experimentell betriebene Greylisting für alle Postfächer aktiviert. Seit einer knappen Stunde verfolge ich die Greylisting-Datenbank, die Mailserver-Logs und die Testsysteme (gut daß ich hier drei TFTs habe )

Jedenfalls ist es der absolute Wahnsinn, wie viel Müll so hereinkommt. Über 90% (!) aller Mailserver-Aktivitäten haben mit Spam zu tun. Wenn man sich mal überlegt, was ein Mailserver heutzutage so macht bis er eine Mail überhaupt annimmt: Realtime-Blacklist-Check, diverse Protokoll-Tests, Greylisting, MIME-Check, Virenscanner, Spamfilter, … - früher wurde eine Mail einfach angenommen und als Datei abgespeichert.

Kleiner Ausschlag im Monitoring gestern Abend:

Über einen “eigentlich” vertrauenswürdigen Kanal kamen ein paar (~200.000) Mails an viele offenbar geratenen Adressen @yahoo.com.tw bei uns an. Das neue System zur zurückhaltung verdächtiger Mailfluten hat sich jedenfalls als hilfreich erwiesen.

Oder eher wieder die Ruhe vor dem Sturm?

Jedenfalls ist die Zahl der durchschnittlichen Spam-Mails pro Minute gegenüber letzter Woche auf etwa 30% gesunken.

Entweder hat denen endlich jemand die Server abgeklemmt, oder der aktuelle Auftrag wurde einfach nur abgearbeitet und der nächste ist in Vorbereitung…

Wie schon öfters erwähnt ist Spam ein zunehmendes Problem. Wir greifen ja schon seit Längerem auf externe DNS-Blacklists und Spamfilter-Regelwerke zurück. Die Erfahrungen hierbei zeigen jedoch, dass sich Spammer sehr schnell auch die frei verfügbaren Filterregeln anschauen und ihre Mails entsprechend modifizieren. Auf der anderen Seite besteht eine akute Spamwelle, die einige Tage lang anhält, zu schätzungsweise 80% aus identischen Mails.

Aus diesem Grunde haben wir nun einen neuen Prozess bei uns eingeführt: die manuelle Pflege eines spezialisierten Spamfilters. Das neue Spamassassin-Regelwerk ist auf spezifische Werbemails exakt zugeschnitten, und bewertet diese dann auch jeweils mit pauschal 30 Spam-Punkten.

Bei jeder gehäuft auftretenden Spam-Mail wird dieser Filter ab sofort zeitnah angepasst. Ich bin mal gespannt, wie mein eigenes Postfach morgen früh so ausschauen wird.