Hi,

seit einiger zeit kommen in meinem Catchall Postfach ständig nicht zustellbare Mails zurück.. das sind jedesmal irgendwelche Spam mails die über meine domain verschickt wurden von irgendwas@koshigaya.de..

Hab schon geschaut ob mein Mail server versehentlich OpenRelay ist, ist er aber nicht. (Könnt ihr gerne auch testen, mail.koshigaya.de ist der host)
Ich nehme an irgendwer verschickt seine Spam mails udn gibt als absender halt einfach irgendwas@koshigaya.de an...

Kann ich da irgendwas gegen tun, oder muß ich damit leben das mein Catchall zugemüllt wird und meine domain evtl auf manchen blacklists landet?

Als das ganze anfing hatte ich damals in den header der mails geschaut und gesehen das die über telecomitalia verschickt wurden.. da hab ich denen dann ne mail geschrieben und sie gebeten da mal nachzuhaken. Dannach war auch kurz stille, ging dann aber plötzlich wieder los

Hat da irgendwer ne idee?
Oder muß ich jedesmal bei dem Provider nerven gehen?

Aya~

Wurden diese wirklich über deine Domäne verschickt oder haben sie nur einen derartigen Absender?

mkinzler hat folgendes geschrieben:

Wurden diese wirklich über deine Domäne verschickt oder haben sie nur einen derartigen Absender?

Sie haben nur einen derartigen absender (denke ich).. wie gesagt, mein Server ist kein OpenRelay.

Es belibt zu hoffen das man sich endlich auf einen neuen Standard bzw. einer Erweiterung von SMTP einigt.

Wir können nur hoffen und abwarten. Meine Domain wurde auch missbraucht - von einer russischen Firma. Ich habe solang die eMail-Weiterleitung abgestellt.

Ich hatte das kürzlich auch bei meiner Domain.

Ein paar meiner POP3-Accounts hatte ich Freunden zur Verfügung gestellt.

Ich habe dann einfach mal alle diese POP3-Accounts stillgelegt. Der Spuk hat dann sofort aufgehört.

Beste Grüße
Tastaro

Wozu neuen Standard???

Es gibt seit langem ASTMP ... Würde das wirklich mal konsequent umgesetzt werden, wäre schon ein großer Schritt getan

Was maximal wünschenswert wäre, wäre eine Absender-Authentifizierung des absendenden Servers, d.h. jeder SMTP-Server, der für eine bestimmte Domain Mails versenden möchte, muss dies mit einem Zertifikat im DNS-Record bestätigt haben. Wenn dieses Zertifikat für den absenden Server fehlt, wird die Mail verworfen. Soviele gefälschte Zertifikate könnte sich kein Spammer leisten ... Und selbst OpenRelays wären auf einen Schlag nutzlos ... Denn diese besitzen für keine Absender-Adresse ein gültiges Zertifikat. Lediglich der Absendende Mailserver, auf dem ASMTP läuft, wäre in der Lage, eine entsprechende Signatur in den Mail-Header einzufügen (der dann von jedem Relay überprüft werden kann).

P.S.: Bei Omorphia isses leider nicht anders ... Das eine Postfach ist regelmäßig mit Spam voll ...

Anyone who is capable of being elected president should on no account be allowed to do the job.
Ich code EdgeMonkey - In dubio pro Setting.

Es würde kurzfristig schon reichen, wenn die Mailserver endlich alle eine DNS-Prüfung durchführen würden.

Wieso nur kurzfristig?

Du meinst, weil die Spammer dann alle ihre eigene Domain einrichten???

Anyone who is capable of being elected president should on no account be allowed to do the job.
Ich code EdgeMonkey - In dubio pro Setting.

BenBE hat folgendes geschrieben:

Wieso nur kurzfristig? Du meinst, weil die Spammer dann alle ihre eigene Domain einrichten???

Das Spam-Problem meinte ich damit. Denn es werden ja nicht nur fremde Domains verwendet. Kennst Du nicht diese Domains wie xvfz.com, szuf.com oder vrxy.com? Genauso gibt es genug offene Mail-Relays.

Und zu guter Letzt belastet man damit natürlich das DNS-Netzwerk doch ganz schön, auch wenn die Daten gecached werden.

Ich bin seit je her dafür, jegliche autorisierten Mails zu Unterschrieben ...

Entweder mit Zertifikat oder mit GnuPG (oder ggf. anderer Lösung) ...

Eine gefälschte Mail von @volksbank.de mit einem Zertifikat für @vollksbank.de fällt nämlich auf ...

Anyone who is capable of being elected president should on no account be allowed to do the job.
Ich code EdgeMonkey - In dubio pro Setting.

BenBE hat folgendes geschrieben:

Es gibt seit langem ASTMP ... Würde das wirklich mal konsequent umgesetzt werden, wäre schon ein großer Schritt getan

Du meinst SMTP-AUTH, was einige ASMTP nennen? Das authentifizert lediglich deinen Client gegenüber deinem Server, nicht die Server untereinander. Ich könnte immer noch mit einem Botnetz beliebig Mails verschicken. Anders geht's auch nicht, sonst bräuchte man Zugangsdaten für jeden aus dem eigenen netz erreichbaren Mailserver, und das sind verhältnismäßig viele derzeit.

BenBE hat folgendes geschrieben:

muss dies mit einem Zertifikat im DNS-Record bestätigt haben.

Habe ich da jemanden gefunden, der mir das Geld für ein Verisign-Zertifikat gibt?
Oder wer soll entscheiden, welche CA vertrauenswürdig ist und wieviel Betreiber von Mailservern künftig bezahlen sollen, wenn sie auch wollen, daß Mails ankommen?

BenBE hat folgendes geschrieben:

Ich bin seit je her dafür, jegliche autorisierten Mails zu Unterschrieben ...

Das dürfte eine ziemliche Last auf den Servern erzeugen, wenn jede Signatur geprüft werden soll. Angenommen es sollen nur Mails mit gültiger OpenPGP-Signatur durchkommen, der Server müsste für jede eingehende Mail einen Public Key finden (dieser muss also vor dem letzten Sync-Zyklus auf einen der üblichen verdächtigen Keyserver hochgeladen sein) und die Signatur prüfen. Das geht für meinen Mailserver mit wenigen dutzend Mails am Tag, aber das geht nicht bei Web.de, GMX und 1und1 mit mehreren Millionen Mails (wenn das überhaupt reicht) am Tag, zumindest nicht ohne mehr Rechenpower für die Signaturverifikation. Und lasse ich signierte Mails durch, unabhängig ob die Signatur zum Content und Absender passt, werden die Spammer halt einfach irgendeinen Signaturblock anhängen und man hat das gleiche Spiel wie vorher.


Die einzige Lösung, keinen Spam zu erhalten, ist, das Medium eMail nicht mehr zu benutzen. Alle anderen Lösungen sind entweder mit imensen Kosten verbunden oder halten höchstens so lange, bis bekannt wird, wie diese Lösung aussieht.

tommie-lie hat folgendes geschrieben:

BenBE hat folgendes geschrieben: Es gibt seit langem ASTMP ... Würde das wirklich mal konsequent umgesetzt werden, wäre schon ein großer Schritt getan Du meinst SMTP-AUTH, was einige ASMTP nennen? Das authentifizert lediglich deinen Client gegenüber deinem Server, nicht die Server untereinander. Ich könnte immer noch mit einem Botnetz beliebig Mails verschicken. Anders geht's auch nicht, sonst bräuchte man Zugangsdaten für jeden aus dem eigenen netz erreichbaren Mailserver, und das sind verhältnismäßig viele derzeit. Jup. Genau das. Dass dies vorrangig für Client-Authentifizierung genutzt wird, ist klar. Kann jedoch Problemlos auch für Relays genutzt werden: Die sind ja auch nix anderes, als Clients bei den Reay-Servern, wenn sie wollen, dass ne Mail weitergereicht wird.

Wird bei uns an der Uni seit langem erfolgreich durchgezogen: Die gehen da sogar soweit, dass die die Header-Zeilen versandter Emails prüfen UND ggf. sogar abändern. Beispiel: Ich administriere an der Uni den Subversion-Server. Ich wollte nun im Absender ganz legitim "SVN-Server (B. Baumann)" bei meinen Mails hinschreiben, gefolgt von der ganz normalen Absender-Adresse des Servers (mit der ich mich auch für ASMTP authentifiziert hab: Resultat war jedes Mal, dass der Mail-Server die Absender-Adresse in "Subversion" geändert hat.

tommie-lie hat folgendes geschrieben:

BenBE hat folgendes geschrieben: muss dies mit einem Zertifikat im DNS-Record bestätigt haben. Habe ich da jemanden gefunden, der mir das Geld für ein Verisign-Zertifikat gibt? Oder wer soll entscheiden, welche CA vertrauenswürdig ist und wieviel Betreiber von Mailservern künftig bezahlen sollen, wenn sie auch wollen, daß Mails ankommen?

1. Es gibt kostenlose Zertifikate (die offiziell anerkannt sind).
2. Bei SSL funktioniert das schon seit langem. D.h. das Server-Zertifikat, was im Apache liegt, könnte dafür Problemlos wiederverwendet werden (wenn Mailserver auch Webserver).
Sehe da also weniger das Problem ...

tommie-lie hat folgendes geschrieben:

BenBE hat folgendes geschrieben: Ich bin seit je her dafür, jegliche autorisierten Mails zu Unterschrieben ... Das dürfte eine ziemliche Last auf den Servern erzeugen, wenn jede Signatur geprüft werden soll.

Jain ... Meine was anderes ...

Problem heutzutage ist doch, dass selbst von renomierten Firmen ATM vollkommen unverifizierbare Emails versand werden. Ich kann also als Empfänger außer über die HEader-Zeilen (die man bis zu einem bestimmten Grad auch fälschen kann) nicht nachvollziehen, ob die Mail echt ist. Wichti wäre in diesem Punkt also nicht das generelle Verifizieren von Unterschriften, sondern eine Möglichkeit zu schaffen, anhand derer berechtigte Mails besser erkannt werden können. S/MIME und OpenPGP sind da nur zwei Möglichkeiten (Wobei OpenPGP auf dem Subversion-Server an meiner Uni von uns Admins umgesetzt wurde, um bewusst die Hemmschwelle für Phishing zu erhöhen).

tommie-lie hat folgendes geschrieben:

Angenommen es sollen nur Mails mit gültiger OpenPGP-Signatur durchkommen, der Server müsste für jede eingehende Mail einen Public Key finden (dieser muss also vor dem letzten Sync-Zyklus auf einen der üblichen verdächtigen Keyserver hochgeladen sein) und die Signatur prüfen. Das geht für meinen Mailserver mit wenigen dutzend Mails am Tag, aber das geht nicht bei Web.de, GMX und 1und1 mit mehreren Millionen Mails (wenn das überhaupt reicht) am Tag, zumindest nicht ohne mehr Rechenpower für die Signaturverifikation. Und lasse ich signierte Mails durch, unabhängig ob die Signatur zum Content und Absender passt, werden die Spammer halt einfach irgendeinen Signaturblock anhängen und man hat das gleiche Spiel wie vorher.

In dem Punkt hast Du Recht: Die Signatur-Prüfung serverseitig bringt nichts. Die Signatur-Prüfung Clientseitig aber dafür umso mehr. Es macht einen großen Unterschied, ob mein Spamfilter anhand von Keywords filtern muss, oder ob er anhand von digitalen Unterschriften aussortieren kann. Im ersten Falle muss ein Spammer nur einen Weg finden, die Keywords, nach denen mein Spamfilter sucht, zu verbergen. Im zweiten Fall muss er das Krypto-System umgehen ODER aushebeln. Zweitens würde für einen Spammer also kaum Nutzen bringen, weil es einfach zu viel Aufwand erzeugt.

Ein Angriffspunkt wäre hier, dass sich ein Spammer einen eigenen, legitimen Key erzeugt. Machbar und auch gut automatisierbar. Allerdings kann der Spammer dann seine Identität nicht mehr verbergen, da dieser Key auf eine gültige Email-Adresse zeigen muss (vorausgesetzt in Verbindung mit ASMTP genutzt).

BTW: OpenPGP-Schlüssel sind auf eine bestimmte Email-Adresse ausgestellt. D.h. Du müsstest neben der Email-Adresse auch den Key fälschen, was IMHO nicht so einfach werden dürfte.

tommie-lie hat folgendes geschrieben:

Die einzige Lösung, keinen Spam zu erhalten, ist, das Medium eMail nicht mehr zu benutzen. Alle anderen Lösungen sind entweder mit imensen Kosten verbunden oder halten höchstens so lange, bis bekannt wird, wie diese Lösung aussieht.

1. Full-ACK
2. Siehe Erklärung.

Anyone who is capable of being elected president should on no account be allowed to do the job.
Ich code EdgeMonkey - In dubio pro Setting.

BenBE hat folgendes geschrieben:

tommie-lie hat folgendes geschrieben: BenBE hat folgendes geschrieben: Es gibt seit langem ASTMP ... Würde das wirklich mal konsequent umgesetzt werden, wäre schon ein großer Schritt getan Du meinst SMTP-AUTH, was einige ASMTP nennen? Das authentifizert lediglich deinen Client gegenüber deinem Server, nicht die Server untereinander. Ich könnte immer noch mit einem Botnetz beliebig Mails verschicken. Anders geht's auch nicht, sonst bräuchte man Zugangsdaten für jeden aus dem eigenen netz erreichbaren Mailserver, und das sind verhältnismäßig viele derzeit. Jup. Genau das. Dass dies vorrangig für Client-Authentifizierung genutzt wird, ist klar. Kann jedoch Problemlos auch für Relays genutzt werden: Die sind ja auch nix anderes, als Clients bei den Reay-Servern, wenn sie wollen, dass ne Mail weitergereicht wird.

Das ist jedoch nicht praktikabel. Ich richte mir einen Mailserver ein und möchte Mails verschicken. Jetzt gibt es zwei Möglichkeiten: es existieren Relays, die meine Mails weiterleiten, wenn ich mich bei denen registriere und per SMTP-AUTH auch authentifiziere. Ich bin diesen Relays schutzlos ausgeliefert, fallen sie aus, kann ich keine Mails mehr versenden, fangen sie an, teuer zu werden, muss ich zahlen.
Ich muss mir zu jedem Mailserver, an den ich Mails schicken will (angefangen bei GMX, web.de, freenet.de, gmail.com und den restlichen üblichen Verdächtigen und bei allen größeren Unternehmen mit eigener IT-Infrastruktur) SMTP-AUTH-Zugangsdaten besorgen. Das heißt ich habe ganz schnell mehrere Tausend Username-Password-Kombinationen, die ich nach Host indizierbar irgendwie warten muss. Möchte ich mal eine Mail an einen mir unbekannten schreiben, muss ich erst den seinen Operator anhauen, mir SMTP-AUTH-Zugangsdaten zu geben, damit meine Mails ankommen. Du siehst, das Vorgehen ist indiskutabel.

BenBE hat folgendes geschrieben:

Wird bei uns an der Uni seit langem erfolgreich durchgezogen: Die gehen da sogar soweit, dass die die Header-Zeilen versandter Emails prüfen UND ggf. sogar abändern. Beispiel: Ich administriere an der Uni den Subversion-Server. Ich wollte nun im Absender ganz legitim "SVN-Server (B. Baumann)" bei meinen Mails hinschreiben, gefolgt von der ganz normalen Absender-Adresse des Servers (mit der ich mich auch für ASMTP authentifiziert hab: Resultat war jedes Mal, dass der Mail-Server die Absender-Adresse in "Subversion" geändert hat.

Ja, so kann man lokal Spam aus seinem Netz unterbinden, aber nicht bei jedem. Vor allem deshalb schon nicht, weil im Internet jeder seinen eigenen Mailserver aufmachen kann, und das ist auch gut so!

BenBE hat folgendes geschrieben:

muss dies mit einem Zertifikat im DNS-Record bestätigt haben.

Habe ich da jemanden gefunden, der mir das Geld für ein Verisign-Zertifikat gibt?
Oder wer soll entscheiden, welche CA vertrauenswürdig ist und wieviel Betreiber von Mailservern künftig bezahlen sollen, wenn sie auch wollen, daß Mails ankommen?
1. Es gibt kostenlose Zertifikate (die offiziell anerkannt sind).
2. Bei SSL funktioniert das schon seit langem. D.h. das Server-Zertifikat, was im Apache liegt, könnte dafür Problemlos wiederverwendet werden (wenn Mailserver auch Webserver).
Sehe da also weniger das Problem ...[/quote]1. Wie lange bleiben diese RootCAs kostenfrei, wenn sich herausstellt, daß sie damit jede Menge Kohle machen können? Oder wieviel muss Verisign einem der Global Player des Mailversand (im deutschen Falle der United Internet AG) bezahlen, damit nur Verisign-Zertifikate akzeptiert werden? "Hey, wir teilen den Gewinn brüderlich, wenn nur Verisign-Zertifikate bei allen Ihren Kunden akzeptiert werden, dann gibt es mehr verkaufte Zertifikate für uns und mehr Gewinn für Sie!"
2. SSL-Zertifikate authentifizieren einen Server gegenüber einem Client. Welche Person hinter diesem Server steht, sprich wer ihn betreibt, darüber kann auch ein SSL-Zertifikat keinerlei Auskunft geben. Wenn ein Onlineshop ein Verisign-Zertifikat hat, sagt mir das überhaupt nichts darüber aus, ob der Shop vertrauenswürdig ist, ob sie die Ware liefern, ob der Support toll ist oder ob sie meine eMail-Adresse für Werbezwecke missbrauchen. Das olle Zertifikat sagt mir lediglich, daß ich tatsächlich mit dem Server spreche, dessen Hostname ich in meinem Browser reingetippt habe.

BenBE hat folgendes geschrieben:

In dem Punkt hast Du Recht: Die Signatur-Prüfung serverseitig bringt nichts. Die Signatur-Prüfung Clientseitig aber dafür umso mehr. Es macht einen großen Unterschied, ob mein Spamfilter anhand von Keywords filtern muss, oder ob er anhand von digitalen Unterschriften aussortieren kann. Im ersten Falle muss ein Spammer nur einen Weg finden, die Keywords, nach denen mein Spamfilter sucht, zu verbergen. Im zweiten Fall muss er das Krypto-System umgehen ODER aushebeln. Zweitens würde für einen Spammer also kaum Nutzen bringen, weil es einfach zu viel Aufwand erzeugt.

Bayes-Filter sind, gut trainiert, mittlerweile in der Lage, zuverlässig Spam zu erkennen. Und so verteilst du nur das Lastproblem. Anstatt daß mein Bayes-Filter mit einem false positive in 6 Monaten und mit vielleicht einem false negative in vier Wochen meine Mails in 400ms filtert, braucht er jetzt mehrere Sekunden, um OpenPGP anzuwerfen, die Signaturen zu verifizieren und nicht-bekannte Public-Keys zu fetchen. Wenn du deine Mails so filtern willst, kannst du das gerne machen, aber bevor das zuverlässig vor Spam schützt, müssen alle deine Kontakte, inklusive der dir derzeit noch nicht bekannten, OpenPGP verwenden.
Daß das Phishing-Versuche unwirksam machen würde, stimmt zwar, aber Phishing kommt bei mir mittlerweile deutlich seltener an als Angebote für ***, Hormone oder Aktion.

BenBE hat folgendes geschrieben:

Ein Angriffspunkt wäre hier, dass sich ein Spammer einen eigenen, legitimen Key erzeugt. Machbar und auch gut automatisierbar. Allerdings kann der Spammer dann seine Identität nicht mehr verbergen, da dieser Key auf eine gültige Email-Adresse zeigen muss (vorausgesetzt in Verbindung mit ASMTP genutzt).

Nein, wenn du es clientseitig filterst, kann es nicht mehr in Verbindung mit SMTP-AUTH benutzt werden. Deine Kiste kriegt von einem SMTP-Envelope nichts mehr mit, wenn du die Mails per IMAP oder POP3 abholst. Benutzt der Angreifer die gleiche eMail-Adresse mehrmals, kann er einen Key recyclen und so korrekt signierte Mails massenweise verschicken. Diese eMail-Adresse kan gefälscht sein. Ohne Rückgriff auf ein Web of Trust bietet ein OpenPGP-Key alleine keinerlei Personenidentifizierung. Und derjenige, der einen firmen-globalen (also nicht-persönlichen) OpenPGP-Key signiert, dessen Web of Trust ist kaputt.

BenBE hat folgendes geschrieben:

BTW: OpenPGP-Schlüssel sind auf eine bestimmte Email-Adresse ausgestellt. D.h. Du müsstest neben der Email-Adresse auch den Key fälschen, was IMHO nicht so einfach werden dürfte.

Klar. Ich suche mir einen Pool an eMail-Adressen, automatisiere mir ein gpg --gen-key, verteile die Schlüssel und sage meinem Botnetz, daß es eMails mit passenden Signaturen verschicken soll. Die Nachricht kann ich vorbereiten, da muss ich nichtmal die Schlüssel und entsprechende Software auf die Rechner in meinem Botnetz verteilen.

BenBE hat folgendes geschrieben:

tommie-lie hat folgendes geschrieben: Die einzige Lösung, keinen Spam zu erhalten, ist, das Medium eMail nicht mehr zu benutzen. Alle anderen Lösungen sind entweder mit imensen Kosten verbunden oder halten höchstens so lange, bis bekannt wird, wie diese Lösung aussieht. 1. Full-ACK

Hm, überraschendes Ende für deinen Post...

tommie-lie hat folgendes geschrieben:

BenBE hat folgendes geschrieben: tommie-lie hat folgendes geschrieben: BenBE hat folgendes geschrieben: Es gibt seit langem ASTMP ... Würde das wirklich mal konsequent umgesetzt werden, wäre schon ein großer Schritt getan Du meinst SMTP-AUTH, was einige ASMTP nennen? Das authentifizert lediglich deinen Client gegenüber deinem Server, nicht die Server untereinander. Ich könnte immer noch mit einem Botnetz beliebig Mails verschicken. Anders geht's auch nicht, sonst bräuchte man Zugangsdaten für jeden aus dem eigenen netz erreichbaren Mailserver, und das sind verhältnismäßig viele derzeit. Jup. Genau das. Dass dies vorrangig für Client-Authentifizierung genutzt wird, ist klar. Kann jedoch Problemlos auch für Relays genutzt werden: Die sind ja auch nix anderes, als Clients bei den Reay-Servern, wenn sie wollen, dass ne Mail weitergereicht wird. Das ist jedoch nicht praktikabel. Ich richte mir einen Mailserver ein und möchte Mails verschicken. Jetzt gibt es zwei Möglichkeiten: es existieren Relays, die meine Mails weiterleiten, wenn ich mich bei denen registriere und per SMTP-AUTH auch authentifiziere. Ich bin diesen Relays schutzlos ausgeliefert, fallen sie aus, kann ich keine Mails mehr versenden, fangen sie an, teuer zu werden, muss ich zahlen. Ich muss mir zu jedem Mailserver, an den ich Mails schicken will (angefangen bei GMX, web.de, freenet.de, gmail.com und den restlichen üblichen Verdächtigen und bei allen größeren Unternehmen mit eigener IT-Infrastruktur) SMTP-AUTH-Zugangsdaten besorgen. Das heißt ich habe ganz schnell mehrere Tausend Username-Password-Kombinationen, die ich nach Host indizierbar irgendwie warten muss. Möchte ich mal eine Mail an einen mir unbekannten schreiben, muss ich erst den seinen Operator anhauen, mir SMTP-AUTH-Zugangsdaten zu geben, damit meine Mails ankommen. Du siehst, das Vorgehen ist indiskutabel.

Jain ... Du kannst Dir nämlich für 5 große Relays (die Du häufig brauchst) diie SMTP-AUTH-Daten geben lassen, die wiederum die Relay-Daten für weitere SMTP-Server besitzen. Nicht anders funktioniert das Forwarden von IP-Paketen: Ich kenne jemanden, der wissen könnte, wo das Paket hin muss. Und da eMails eh Postkarten sind, ist es auch relativ egal, wieviele vertrauenswürde Zwischenhänder die Postkarte in Händen halten und Lesen ...

tommie-lie hat folgendes geschrieben:

BenBE hat folgendes geschrieben: Wird bei uns an der Uni seit langem erfolgreich durchgezogen: Die gehen da sogar soweit, dass die die Header-Zeilen versandter Emails prüfen UND ggf. sogar abändern. Beispiel: Ich administriere an der Uni den Subversion-Server. Ich wollte nun im Absender ganz legitim "SVN-Server (B. Baumann)" bei meinen Mails hinschreiben, gefolgt von der ganz normalen Absender-Adresse des Servers (mit der ich mich auch für ASMTP authentifiziert hab: Resultat war jedes Mal, dass der Mail-Server die Absender-Adresse in "Subversion" geändert hat. Ja, so kann man lokal Spam aus seinem Netz unterbinden, aber nicht bei jedem. Vor allem deshalb schon nicht, weil im Internet jeder seinen eigenen Mailserver aufmachen kann, und das ist auch gut so!

Dann frag ich mich, warum viele große Provider nicht ähnliche Maßnahmen ergreifen? Das fängt mit IP-Spoofing an, was redirected wird und geht mit Emails weiter ... Ein geschützter Relay würde den Mail-Verkehr nicht behindern, sondern gegen plump gefälschte Absender (was sehr häufig gemacht wird) unanfälliger machen.

tommie-lie hat folgendes geschrieben:

BenBE hat folgendes geschrieben: muss dies mit einem Zertifikat im DNS-Record bestätigt haben. Habe ich da jemanden gefunden, der mir das Geld für ein Verisign-Zertifikat gibt? Oder wer soll entscheiden, welche CA vertrauenswürdig ist und wieviel Betreiber von Mailservern künftig bezahlen sollen, wenn sie auch wollen, daß Mails ankommen? 1. Es gibt kostenlose Zertifikate (die offiziell anerkannt sind). 2. Bei SSL funktioniert das schon seit langem. D.h. das Server-Zertifikat, was im Apache liegt, könnte dafür Problemlos wiederverwendet werden (wenn Mailserver auch Webserver). Sehe da also weniger das Problem ...

1. Wie lange bleiben diese RootCAs kostenfrei, wenn sich herausstellt, daß sie damit jede Menge Kohle machen können? Oder wieviel muss Verisign einem der Global Player des Mailversand (im deutschen Falle der United Internet AG) bezahlen, damit nur Verisign-Zertifikate akzeptiert werden? "Hey, wir teilen den Gewinn brüderlich, wenn nur Verisign-Zertifikate bei allen Ihren Kunden akzeptiert werden, dann gibt es mehr verkaufte Zertifikate für uns und mehr Gewinn für Sie!"
2. SSL-Zertifikate authentifizieren einen Server gegenüber einem Client. Welche Person hinter diesem Server steht, sprich wer ihn betreibt, darüber kann auch ein SSL-Zertifikat keinerlei Auskunft geben. Wenn ein Onlineshop ein Verisign-Zertifikat hat, sagt mir das überhaupt nichts darüber aus, ob der Shop vertrauenswürdig ist, ob sie die Ware liefern, ob der Support toll ist oder ob sie meine eMail-Adresse für Werbezwecke missbrauchen. Das olle Zertifikat sagt mir lediglich, daß ich tatsächlich mit dem Server spreche, dessen Hostname ich in meinem Browser reingetippt habe.[/quote]
Genau das reicht doch aber aus, um sicherzustellen, dass der Absendende Server für die verwendete Absender-Adresse autorisiert ist, oder irre ich mich da?

tommie-lie hat folgendes geschrieben:

BenBE hat folgendes geschrieben: In dem Punkt hast Du Recht: Die Signatur-Prüfung serverseitig bringt nichts. Die Signatur-Prüfung Clientseitig aber dafür umso mehr. Es macht einen großen Unterschied, ob mein Spamfilter anhand von Keywords filtern muss, oder ob er anhand von digitalen Unterschriften aussortieren kann. Im ersten Falle muss ein Spammer nur einen Weg finden, die Keywords, nach denen mein Spamfilter sucht, zu verbergen. Im zweiten Fall muss er das Krypto-System umgehen ODER aushebeln. Zweitens würde für einen Spammer also kaum Nutzen bringen, weil es einfach zu viel Aufwand erzeugt. Bayes-Filter sind, gut trainiert, mittlerweile in der Lage, zuverlässig Spam zu erkennen. Und so verteilst du nur das Lastproblem. Anstatt daß mein Bayes-Filter mit einem false positive in 6 Monaten und mit vielleicht einem false negative in vier Wochen meine Mails in 400ms filtert, braucht er jetzt mehrere Sekunden, um OpenPGP anzuwerfen, die Signaturen zu verifizieren und nicht-bekannte Public-Keys zu fetchen. Wenn du deine Mails so filtern willst, kannst du das gerne machen, aber bevor das zuverlässig vor Spam schützt, müssen alle deine Kontakte, inklusive der dir derzeit noch nicht bekannten, OpenPGP verwenden. Daß das Phishing-Versuche unwirksam machen würde, stimmt zwar, aber Phishing kommt bei mir mittlerweile deutlich seltener an als Angebote für ***, Hormone oder Aktion.

Dann nimm den Bayes-Filter zur Vorfilterung und prüfe nicht-Junk-Mails zusätzlich mit OpenPGP ... Nicht-Unterschriebene werden dann als unbekannt gekennzeichnet, ungültige als Spam und gültige (nicht per Bayes-Filter erkannte) als gewünscht ... Und die MTBF-Raten kann ich nicht bestätigen ... Teilweise 3 Failures pro Woche ... und mein Filter ist inzwischen mit Täglich ~80 Mails sehr gut trainiert ...

tommie-lie hat folgendes geschrieben:

BenBE hat folgendes geschrieben: tommie-lie hat folgendes geschrieben: Die einzige Lösung, keinen Spam zu erhalten, ist, das Medium eMail nicht mehr zu benutzen. Alle anderen Lösungen sind entweder mit imensen Kosten verbunden oder halten höchstens so lange, bis bekannt wird, wie diese Lösung aussieht. 1. Full-ACK Hm, überraschendes Ende für deinen Post...

Frei nach Wargames: Die einzige Möglichkeit zu gewinnen, ist nicht zu spielen ...

Anyone who is capable of being elected president should on no account be allowed to do the job.
Ich code EdgeMonkey - In dubio pro Setting.

BenBE hat folgendes geschrieben:

Du kannst Dir nämlich für 5 große Relays (die Du häufig brauchst) diie SMTP-AUTH-Daten geben lassen, die wiederum die Relay-Daten für weitere SMTP-Server besitzen. Nicht anders funktioniert das Forwarden von IP-Paketen: Ich kenne jemanden, der wissen könnte, wo das Paket hin muss. Und da eMails eh Postkarten sind, ist es auch relativ egal, wieviele vertrauenswürde Zwischenhänder die Postkarte in Händen halten und Lesen ...

Dafür fehlt im Moment die Infrastruktur. Für IP gibt es Router, für SMTP nicht. Die Information "wer kennt wen" existiert schlichtweg nicht. Und gerade bei neuen Hosts als Empfänger ist es schwierig, zu entscheiden, welchem Relay ich auch gut Glück meine Mail anvertraue und sie vielleicht doch bouncet, drie Tage später, wenn alle Relays durch sind und keiner genau wusste, wo es nun hingehen soll. Deswegen ist ja auch der übliche Versuch zunächst einmal direkt mit dem Empfänger Kontakt aufzunehmen: weil er unter Umständen erst sei fünf Minuten existieren könnte und ich bisher der einzige bin, der ihn kennt.
Schließlich dauert es auch bei einem DNS-Update mehrere Stunden bis wenige Tage, bis alle DNS-Server mitgekriegt haben, daß sich was am Eintrag geändert hat.

BenBE hat folgendes geschrieben:

Dann frag ich mich, warum viele große Provider nicht ähnliche Maßnahmen ergreifen? Das fängt mit IP-Spoofing an, was redirected wird und geht mit Emails weiter ... Ein geschützter Relay würde den Mail-Verkehr nicht behindern, sondern gegen plump gefälschte Absender (was sehr häufig gemacht wird) unanfälliger machen.

Weil die Spammer nicht auf die großen Provider angewiesen sind. Die Mails werden ja nicht über GMX geschickt, GMX ist am Ende nur der Empfänger einer eMail, die von irgendeinem Bot aus Südamerika kommt. Damit könnte GMX nur unterbinden, daß irgendein Outlook-Express-Wurm mal wieder *mist*e durch die Gegend schleudert, aber der Großteil des Spams hat doch bis auf meinen Thunderbird noch nie einen Mailclient von innen gesehen.

BenBE hat folgendes geschrieben:

tommie-lie hat folgendes geschrieben: Welche Person hinter diesem Server steht, sprich wer ihn betreibt, darüber kann auch ein SSL-Zertifikat keinerlei Auskunft geben. Wenn ein Onlineshop ein Verisign-Zertifikat hat, sagt mir das überhaupt nichts darüber aus, ob der Shop vertrauenswürdig ist, ob sie die Ware liefern, ob der Support toll ist oder ob sie meine eMail-Adresse für Werbezwecke missbrauchen. Das olle Zertifikat sagt mir lediglich, daß ich tatsächlich mit dem Server spreche, dessen Hostname ich in meinem Browser reingetippt habe. Genau das reicht doch aber aus, um sicherzustellen, dass der Absendende Server für die verwendete Absender-Adresse autorisiert ist, oder irre ich mich da?

Ja, daß der Server für die Adresse zuständig ist. Aber nicht, ob auch der Server vertrauenswürdig ist. Siehe Onlineshop-Beispiel: der Letzte Saftladen kann ein Verisign-Zertifikat haben, und trotzdem dreht der Shopinhaber krumme Dinger.
Mit einem derartigen Zertifikat könnte also sichergestellt werden, daß ein Server tatsächlich etwas mit einer bestimmten Adresse am Hut hat, bzw daß eine eMail von einem gewissen Server abgeschickt wurde. Aber ob der Server in den letzten 10 Sekunden nicht drei Millionen weitere Mails an andere Server verschickt hat oder vielleicht gleich tun wird, lässt sich aus einem Zertifikat nicht ablesen.

BenBE hat folgendes geschrieben:

Und die MTBF-Raten kann ich nicht bestätigen ... Teilweise 3 Failures pro Woche ... und mein Filter ist inzwischen mit Täglich ~80 Mails sehr gut trainiert ...

Schade für dich, aber bei meinem Mailaufkommen funktioniert das alles relativ gut. Ich kann mich nicht an eine nennenswerte Mail erinnern, die als false-positive im Junk-Ordner gelandet ist. Die letzte war am 25.5.2007 und war eine Benachrichtigungsmail, daß ich ein Onlineportal schon lange nicht mehr besucht habe und sie jetzt $VIELE_NEUE_DINGE haben und ich mir das doch mal anschauen könne. Streng genommen also eigentlich auch Werbung, die jedoch in diesem Fall tatsächlich erwünscht war. Und vor dieser nicht ganz zu unrecht als false positive erkannten Mail gab es mindestens zwei Monate lang keinen false-positive. False-negatives wirklich höchstens einen in vier Wochen.
Wie gut ein Bayes-Filter funktioniert hängt natürlich auch immer damit zusammen, wie sich die Charakteristika zwischen Spam und Nicht-Spam für das eigene Mailaufkommen unterscheiden. Einige Mails sind bei mir verschlüsselt, andere kommen von regelmäßigen Absendern, wieder andere (Benachrichtigungsmails für Foren, Newsticker) sind immer gleich aufgebaut und einmal als erwünscht markiert sind auch alle weiteren erwünscht. Ich schätze ich habe ein relativ einfach zu analysierendes Mailaufkommen.

BenBE hat folgendes geschrieben:

Frei nach Wargames: Die einzige Möglichkeit zu gewinnen, ist nicht zu spielen ...

Vollkommen anderes Thema, aber kennst du schon www.everybody-dies.com/? Gibt's auch für Linux

Hi,

um mal wieder auf die ursprüngliche Frage zurück zu kommen.

Aya hat folgendes geschrieben:

seit einiger zeit kommen in meinem Catchall Postfach ständig nicht zustellbare Mails zurück.. das sind jedesmal irgendwelche Spam mails die über meine domain verschickt wurden von irgendwas@koshigaya.de.. Hab schon geschaut ob mein Mail server versehentlich OpenRelay ist, ist er aber nicht. (Könnt ihr gerne auch testen, mail.koshigaya.de ist der host) Ich nehme an irgendwer verschickt seine Spam mails udn gibt als absender halt einfach irgendwas@koshigaya.de an...

Ja, davon kannst du ausgehen. Die machen sich nicht die Mühe deinen Server zu knacken wenn sie auch einfach so die Adresse missbrauchen können. Das Problem habe ich seit einigen Jahren immer wieder, wobei es seid ich kein öffentliches Angebot mehr auf meinem Server habe stark zurück gegangen ist. In sofern kannst du dich also geschmeichelt führen, deine Seite ist nun Populär genug um für Spamer interessant zu werden.

Die eigentlichen Spam Wellen klingen in der regel recht schnell ab, das Problem sind die Nachwirkungen. Die Fake Adressen unter denen der Spamer die Mails versendet, landen wiederum in Listen von "Werbetreibenden", was zur folge hat das du Spam auf diese Adressen bekommst, welche wiederrum im Catch All landen. Nach einigen Spam Wellen die vermeintlich über meinen Server gesendet wurden liegt das tägliche Spam aufkommen auf meiner Catch All Adresse im niedrigen fünfstelligen Bereich. Ohne automatische Filterung geht da gar nichts mehr und spiele immer mal wieder mit der Idee ein White-List verfahren ein zu führen, wen ich nicht kenne, der datf mir nicht mailen. Allerdings müsste ich dann noch einen gangbaren Weg finden, wie der sender einer Mail drüber informiert wird, das die Mail verworfen wurde ohne dass ich selber Spam produziere.

Aya hat folgendes geschrieben:

Kann ich da irgendwas gegen tun, oder muß ich damit leben das mein Catchall zugemüllt wird und meine domain evtl auf manchen blacklists landet?

Da das ganze je kein Problem auf deinem Server ist kannst du recht wenig dagegen machen. Ich habe damals auf der Indexseite meiner Homepage einen hinweis darauf platziert das meine Adresse zu solchen zwecken missbraucht wird und ich leider nichts gegen machen, dammit wenigstens die user die sich die Mühe machen zu gucken wer ihnen so einen Müll schickt aufgeklährt werden, und dass war alles.

Gruß
Klabautermann

Klabautermann hat folgendes geschrieben:

Ohne automatische Filterung geht da gar nichts mehr und spiele immer mal wieder mit der Idee ein White-List verfahren ein zu führen, wen ich nicht kenne, der datf mir nicht mailen. Allerdings müsste ich dann noch einen gangbaren Weg finden, wie der sender einer Mail drüber informiert wird, das die Mail verworfen wurde ohne dass ich selber Spam produziere.

Warum nicht mit der Zeit gehen und Greylisting verwenden? White-Lists und Black-Lists haben immer den Nachteil, daß neue erwünschte Mails nicht durchkommen und daß sie gepflegt werden müssen.