# Hilfe ich spamme....



## Bine (31 August 2004)

Hi zusammen!

Es gehört zwar nicht so recht hierhin aber ich habe da ein Problem.

Alle meine E_mail landen in den handelsüblichen Spamfiltern.
Das ist lästig.  :evil: 

Mein Provider ist 1und1.
Ich benutze keine bösen Wörter und verkaufe kein Viagra etc.  0 

Wo klemmt's

frägt sich

die Bine


----------



## Reducal (31 August 2004)

*Re: Hilfe ich spame....*



			
				Bine schrieb:
			
		

> Alle meine E_mail landen in den handelsüblichen Spamfiltern.


Wie, handelsüblich? Hast Du Dir eine extra Software zugelegt und diese womöglich auf "vollen" Schutz eingestellt? Meinst Du versendete oder empfangene Mails?


----------



## Bine (31 August 2004)

Hi!

Meine ausgehenden Mails.

Norton und Spampal machen das bei mittlerer Einstellung.
Bei niedrig filtern die bei mir so gut wie nichts raus.

Ich bekomme oft Antworten mit [Norton Antispam].
Einige Korrospondenz war unmöglich weil mein Gegenüber soviel Spam 
bekommt, dass er nimmer den Ordner durchschauen kann.
Da half dann nur das Telefon.

Ein Test mir selbst eine über Webmailer zuschicken landete auch im Spamfilter.

Ich frage mich warum, bei anderen ist das ja nicht so.

Grüße

Sabine


----------



## Reducal (31 August 2004)

Sorry, keine Ahnung! Gebe die Fragen hiermit weiter.


----------



## Counselor (31 August 2004)

Viele Spamfilter arbeiten nach dem Satz von Bayes und analysieren neben dem Text und Absenderadresse auch Links, Bildverweise und Übertragungsinformationen. Vielleicht liegt da der Hase im Pfeffer. Ohne eine solche Mail im Original gesehen zu haben, kann man da schwer was sagen. Letztlich müssen die Empfänger deine Adresse freischalten.


----------



## Fidul (1 September 2004)

*Re: Hilfe ich spame....*



			
				Bine schrieb:
			
		

> Mein Provider ist 1und1


Was für einen Mailserver benutzt du?


----------



## Bine (1 September 2004)

Hi!

Mailserver: 
mxng18.kundenserver.de
212.227.126.221

Bayes-Theorem:
Das würde bedeuten, dass der Filter lieber blinden Alarm gibt als einen
durch zulassen oder umgekehrt? 
Ich dachte immer das wäre eine Kombination aus Wortfilter
("Viagra", "want a bigger *piep*", etc.)
und einer Sammlung diverser ausländischer Server gemixt mit dem User,
der passend sortiert.

Grüße

Bine


----------



## Counselor (1 September 2004)

Bine schrieb:
			
		

> Bayes-Theorem:
> Das würde bedeuten, dass der Filter lieber blinden Alarm gibt als einen
> durch zulassen oder umgekehrt?


So ähnlich ist es. Ein SPAM Filter durchsucht die Mail nach Schlüsselwörtern. Gute Schlüsselwörter (auch HAM) kommen 'wahrscheinlicher' in seriösen Mails vor, schlechte Schlüsselwörter (auch SPAM) kommen 'wahrscheinlicher' in unerwünschten Werbemails vor. Der Spamfilter berechnet dann anhand der gefundenen Schlüsselwörter die Wahrscheinlichkeit, ob es ehr SPAM oder eine seriöse Mail ist. Je nach dem Ergebnis wird die Mail gefiltert oder zugestellt.


----------



## Bremsklotz (1 September 2004)

Ich benutze Incredimail als E-Mail-Programm. Nach dem letzten Update haben sie als neueste Errungenschaft auch einen Spam-Filter integriert. Mit dem Ergebnis, dass alle Mails, die von ebayern kamen, im Spam-Filter gelandet sind. 
Etliche andere auch, selbst wenn ich sie im Adressbuch hatte.
Nachdem mir dann fast was untergegangen wäre, habe ich den Spam-Filter wieder ausgeschaltet.   

Da ich äußerst selten Spam bekomme, ist das kein Problem.

Mein Provider ist übrigens auch 1 & 1. Von da aus werden auch meine Mails automatisch weitergeleitet zu Incredimail.


----------



## Anonymous (2 September 2004)

*Incredimail ist das problem*

Die bauen da doch von sich aus blinkende icons und weiteren sch... ein, probier mal einen seriösen mailclient wie z.b. The Bat! (www.ritlabs.com) aus.


----------



## technofreak (2 September 2004)

*Re: Incredimail ist das problem*



			
				Coke1984 schrieb:
			
		

> (www.ritlabs.com)





> DB query error.
> Please try later.


----------



## Heiko (2 September 2004)

*Re: Incredimail ist das problem*



			
				Coke1984 schrieb:
			
		

> Die bauen da doch von sich aus blinkende icons und weiteren sch... ein, probier mal einen seriösen mailclient wie z.b. The Bat! (www.ritlabs.com) aus.


Ich als alter Fledermaus-User bin mit der aktuell V3 auch nicht über die Maßen zufrieden.
Die Bubblegum-Optik ist eher etwas gewöhnungsbedürftig.


----------



## Nebelwolf ✟ (2 September 2004)

@Bine

Ist es möglich, daß Du mit HTML formatierte eMails verschickst? Das bedeutet eMails, die unterschiedliche Schriftgrößen, Farben, Hintergründe, usw. enthalten können.

Nebelwolf


----------



## Bine (5 September 2004)

Hi!

Nein HTML verschicke ich auch nicht.

Ich habe gerade einen Test laufen.
Weiß jemand wie man die aktualisierten Dateien von Norton
einsehen kann? Da müssten ja dann die Worte hinterlegt sein.

Grüße

Sabine


----------



## Anonymous (11 September 2004)

*Re: Incredimail ist das problem*



			
				Heiko schrieb:
			
		

> Ich als alter Fledermaus-User bin mit der aktuell V3 auch nicht über die Maßen zufrieden.
> Die Bubblegum-Optik ist eher etwas gewöhnungsbedürftig.



Das ist sie allerdings... bin deswegen bis auf weiteres bei der v2 geblieben. Ist das selbe Problem wie bei Opera, die verwenden auch dieses eklige neue Layout seit v.7.5, nur dafür gibt es zum Glück Skins...


----------



## disciple (13 September 2004)

Spamfilter suchen nur in dritter/vierter instanz nach Worten. Die Primäre Instanz bei Windows-Spamkillern ist eine IP Kontrolle. Das heißt: wurde die eMail von einem regulären Mail-"server" (der Begriff ist eigentlich technisch falsch und steht nur der Verständlichkeit halber hier, korrekt ist MTA Mail Transfer Agent mit statischer IP Adresse) oder von einem Dial Up Host, also einer normalen Kiste mit dynamischer IP verschickt. Sollte die Mail von einem Dial-Up-Host kommen, beträgt die Spam-Wahrscheinlichkeit 90%. 
Die sekundäre Kontrolle ist ein Plausibilätscheck. EMail von "[email protected]" sind technisch nicht möglich, da Domains in Deutschland 3 Zeichen haben müssen (mit wenigen Ausnahmen: db.de oder ix.de) und sind mit 100% Sicherheit Spam.
Professionelle (meist Unix basierte) Spamfilter versuchen dann noch einen Reverse User Look-Up. Jede MTA bietet die Möglichkeit, dass man anfragt, ob ein verschickender User wirklich existiert. Jetzt ist 1und1 nicht unbedingt für die saubersten Konfigurationen bekannt. Also kann es passieren, dass bei einem Reverse Look Up du als nicht existent eingestuft wirst, ob wohl du sehr wohl legitimer Benutzer des Servers bist.

Lange Rede, kurzer Sinn: ich schick dir ne PN mit meiner eMail-Adresse auf die du mal ne Testnachricht schicken kannst und dann poste ich hier mal ne Auswertung warum dich welches Antispam-Progg (Spam-Assassin, Spamhilator) als Spamversender einstuft.


----------



## Heiko (13 September 2004)

disciple schrieb:
			
		

> Sollte die Mail von einem Dial-Up-Host kommen, beträgt die Spam-Wahrscheinlichkeit 90%.


Diese Filter sind schwachsinnig.
Ich habe jahrelang meine Mails per MX ausgeliefert und das wird durch die momentane SPAM-Phobie unmöglich gemacht.
Wo steht denn geschrieben, dass man einen Smarthost nutzen muß?
Und seit die großen Provider Dial-Up-IPs für die Maileinlieferung sperren, habe ich keine einzige SPAM-Mail weniger bekommen.


----------



## disciple (13 September 2004)

Danke schön, weiß ich selber. Mein Postfix steht hier rechts von mir und langweilt sich nen Wolf. Ändert aber nichts daran, dass es Spamfilter tun. Nach Statistik meines Spam-Assassins hätte ich allerdings 8% weniger Spam, wenn ich den Dial-Up Filter einschalten würde.

EDIT: Achso meintest du das: die 90% sind nicht meine Zahl, sondern eine algorythmische Zahl. Ein Spamfilter addiert nur Wahrscheinlichkeiten. Wenn die Wahrscheinlichkeit 100% beträgt wird die Mail verworfen. Eine eMail mit dem Wort "Viagra", eingestellt von "[email protected]" mit dem Betreff "Prescription Drug" von einem Dial-Up Host erntet bei mir die Spamwahrscheinlichkeit von sage und schreibe 350%.


----------



## Heiko (13 September 2004)

Na, da sind wir dann ja einer Meinung.
Jedenfalls halte ich die ganzen tollen Idee, die aktuell zur SPAM-Vermeidung rumgeistern, für teilweise bedingt einsatztauglich.
Den Abschuß hat sich M$ mit dem Mail-Cent geleistet. Offensichtlich haben die das aber mittlerweile selbst gemerkt weil man da schon eine Weile nichts mehr davon gehört hat.


----------



## disciple (13 September 2004)

Doch hat "man". Am Freitag auf Heise:
http://www.heise.de/newsticker/meldung/50952

Microsoft hat einen auf den Deckel gekriegt und es wird weiter nach einem offenen Standart gesucht.
Wie sagt Linus Torvalds: "Software is like sex. It's better when it's free" - Recht hat der Junge


----------



## Counselor (13 September 2004)

disciple schrieb:
			
		

> Das heißt: wurde die eMail von einem regulären Mail-"server" (der Begriff ist eigentlich technisch falsch und steht nur der Verständlichkeit halber hier, korrekt ist MTA Mail Transfer Agent mit statischer IP Adresse) oder von einem Dial Up Host, also einer normalen Kiste mit dynamischer IP verschickt.


Hmm, eigentlich sollte man schon am SMTP Gateway die Weiterleitung von  nicht korrekten Mailservern unterbinden (Authentifizierung, Whitelist). Plausibiltätskontrolle ja, aber im vorliegenden Fall kann man von einer gültigen Mailadresse ausgehen. Die Sache mit dem Reverse Lookup hat was für sich.

Es kann aber auch viel trivialer sein: ZB kann die Mail einen Anhang mit unerwünschten Binärcode, gesperrten Dateiendungen etc pepe haben.


----------



## Captain Picard (13 September 2004)

disciple schrieb:
			
		

> Doch hat "man". Am Freitag auf Heise:
> http://www.heise.de/newsticker/meldung/50952



siehe : http://forum.computerbetrug.de/viewtopic.php?p=74197#74197

cp


----------



## disciple (13 September 2004)

Counselor schrieb:
			
		

> Hmm, eigentlich sollte man schon am SMTP Gateway die Weiterleitung von  nicht korrekten Mailservern unterbinden (Authentifizierung, Whitelist).



Warum sollte sich ein MTA bei einem anderen Authentifizieren? Der will ja nichts haben, sondern was loswerden.
Und bitte verzeih, aber das Word Whitelist in Zusammenhang mit SMTP zu verwenden kann unter günstigsten Bedingungen bestenfalls als Schwachsinn bezeichnet werden. Willst du auf einer MTA eine Liste mit allen Relays führen, die das Recht haben dir ne Mail zu schreiben? Fang schonmal an zu tippen, wir hören uns dann 2015 wieder.

Aber du kannst 1und1 ja mal vorschlagen, dass du auf dem zentralen Relay eine für dich optimierte Blacklist (Stichwort SORBS) einführen willst, aber such dir vorher schonmal nen neuen Hoster.

EDIT: Englischwahn natürlich Wort, nicht Word


----------



## Counselor (14 September 2004)

disciple schrieb:
			
		

> Warum sollte sich ein MTA bei einem anderen Authentifizieren? Der will ja nichts haben, sondern was loswerden.


Ein MTA ist ein Serverprozeß, der den Anschluß an ein externes Mailsystem herstellt. Damit beschränkt sich seine Funktion nicht darauf was loszuwerden, sondern er nimmt auch Mails entgegen. BTW: Schon mal was davon gehört, daß man den Zugang zum SMTP Gateway zB nach Domänen sperren kann?
Zur Authentifizierung: Wir haben etwa ein Dutzend firmeninterne MTAs. Die authentifizieren sich natürlich. Eine kleine Fa mit DSL Anschluß, die ihre Mails mehrmals täglich beim Provider abholt identifiziert ihren Gateway ebenfalls am Gateway des Providers.


			
				disciple schrieb:
			
		

> Und bitte verzeih, aber das Word Whitelist in Zusammenhang mit SMTP zu verwenden kann unter günstigsten Bedingungen bestenfalls als Schwachsinn bezeichnet werden. Willst du auf einer MTA eine Liste mit allen Relays führen, die das Recht haben dir ne Mail zu schreiben? Fang schonmal an zu tippen, wir hören uns dann 2015 wieder.


Eigentlich meinte ich eine Blacklist mit Open Relays. Insoweit falsch ausgedrückt.





			
				disciple schrieb:
			
		

> Aber du kannst 1und1 ja mal vorschlagen, dass du auf dem zentralen Relay eine für dich optimierte Blacklist (Stichwort SORBS) einführen willst, aber such dir vorher schonmal nen neuen Hoster.


Brauche ich ebenfalls nicht, weil ich dort nicht hosten lasse. Die Auftraggeber meines Arbeitegbers haben idR ein eigenes Rechenzentrum.


			
				disciple schrieb:
			
		

> Das heißt: wurde die eMail von einem regulären Mail-"server" ... oder von einem Dial Up Host, also einer normalen Kiste mit dynamischer IP verschickt.


Aha. Du willst also eine Liste aller dynamischen IP Segmente führen. Fang mal an zu tippen. 

Die Frage, die ein MTA beantworten muß, lautet etwas anders: Darf ich von der IP-Adresse X eine Nachricht im Namen von Absender A für Empfänger B entgegennehmen? Das hat nichts damit zu tun, ob eine IP dynamisch über DHCP vergeben wird oder nicht oder ob die IP zu einem Rechner gehört, der sich über DFÜ eingewählt hat. Oder willst du Mails von einer kleinen Fa, die sich über DFÜ einwählt als SPAM abtun?


			
				disciple schrieb:
			
		

> Spamfilter suchen nur in dritter/vierter instanz nach Worten


Stimmt so auch nicht. Man überwacht den Mailverkehr auf den Servern mittels Mail Conditions auf zahlreiche Eigenschaften, und nicht nur auf SPAM. Eine von mehreren Dutzend Mail Conditions ist zB SPAM. Wenn die Condition SPAM anhand konfigurierbarer  Regeln (=SPAM-Filter) durch einen Blicks in den Content der Mail festgestellt wird, dann wird der Mail-Deny Service aufgerufen. Der Mail Deny Service wird aber zB auch bei der Condition 'Attachement > 10 MB' aufgerufen oder wenn eine Mail aus einer unerwünschten Domäne kommt, ohne daß es zwingend SPAM sein muß.


----------



## disciple (14 September 2004)

Counselor schrieb:
			
		

> Ein MTA ist ein Serverprozeß, der den Anschluß an ein externes Mailsystem herstellt. Damit beschränkt sich seine Funktion nicht darauf was loszuwerden, sondern er nimmt auch Mails entgegen. BTW: Schon mal was davon gehört, daß man den Zugang zum SMTP Gateway zB nach Domänen sperren kann?



Falsch. Du kannst einen Socket nach Domänen sperren. Weiterhin ist eine MTA, wenn sie mit einer anderen MTA kommuniziert ein Relay, kein Server. Und wenn du schon auf Fachsimpelei bestehst, ist es ein Deamon. Und nochmal: eine Authentifizierung beim Einliefern würde bedeuten, dass nur die bekannte MTAs Mails an dich schicken könnten. Das natürlich auch ne Methode Spam (und eMails ganz allgemein) zu vermeiden. Gut dass sich MTAs nur identifizieren.



			
				Counselor schrieb:
			
		

> Zur Authentifizierung: Wir haben etwa ein Dutzend firmeninterne MTAs. Die authentifizieren sich natürlich. Eine kleine Fa mit DSL Anschluß, die ihre Mails mehrmals täglich beim Provider abholt identifiziert ihren Gateway ebenfalls am Gateway des Providers.



Abholt, richtig. Genau wie ich sagt. Zum loswerden reicht allerdings ein einfacher Helo. Ausnahme ist SMTPAuth, was aber eigentlich ausschließlich zwischen MTA und Client, nicht von Relays untereinander gesprochen wird.




			
				Counselor schrieb:
			
		

> Aha. Du willst also eine Liste aller dynamischen IP Segmente führen. Fang mal an zu tippen.



Schon geschehen. Willkommen in der Admin-Welt. Heute: Ich und das RIPE-Net



			
				Counselor schrieb:
			
		

> Die Frage, die ein MTA beantworten muß, lautet etwas anders: Darf ich von der IP-Adresse X eine Nachricht im Namen von Absender A für Empfänger B entgegennehmen? Das hat nichts damit zu tun, ob eine IP dynamisch über DHCP vergeben wird oder nicht oder ob die IP zu einem Rechner gehört, der sich über DFÜ eingewählt hat. Oder willst du Mails von einer kleinen Fa, die sich über DFÜ einwählt als SPAM abtun?


Wenn nach deiner Aussage relevant wäre, welche IP dahinter steckt, wäre DHCP sehr wohl relevant. Aber, glück gehabt, interessiert den MTA nicht. Dem reicht völlig, dass der helo im reverse-lookup mit der IP übereinstimmt. Deshalb kann man ja auch domain-ranges sperren, die ja mal mit IP-Adressen (abgesehen von dns) garnix zu tun haben.




			
				Counselor schrieb:
			
		

> Stimmt so auch nicht. Man überwacht den Mailverkehr auf den Servern mittels Mail Conditions auf zahlreiche Eigenschaften, und nicht nur auf SPAM. Eine von mehreren Dutzend Mail Conditions ist zB SPAM. Wenn die Condition SPAM anhand konfigurierbarer  Regeln (=SPAM-Filter) durch einen Blicks in den Content der Mail festgestellt wird, dann wird der Mail-Deny Service aufgerufen. Der Mail Deny Service wird aber zB auch bei der Condition 'Attachement > 10 MB' aufgerufen oder wenn eine Mail aus einer unerwünschten Domäne kommt, ohne daß es zwingend SPAM sein muß.


Richtig ist: man stellt mehrere Conditions fest. Falsch ist: man guckt nicht nur auf den Content sondern ebenso auf den Header. Noch richtiger ist: es wird kein Mail-Deny Service aufgerufen, sondern die Mail wird verworfen und je nach Config eine Ablehnungsmail direkt wieder in die MTA an den Versender eingetütet. Bei negativem Spamergebnis droppt die MTA dann die Mail einfach ins passende Postfach.

* An Biene*

Der Mailserver von 1und1 meldet sich mit einem falschen helo. Das kann nur von 1und1 selbst behoben werden. Aber zur Beruhigung: bei mir hats die Mail am Spamassassin vorbei bis ins Postfach geschafft.


----------



## Counselor (14 September 2004)

disciple schrieb:
			
		

> Counselor schrieb:
> 
> 
> 
> ...


Eine Frage kann nicht richtig oder falsch sein.





			
				disciple schrieb:
			
		

> Du kannst einen Socket nach Domänen sperren.


Du gibst mir also recht, daß man den Zugang zu einem SMTP Gateway sperren kann? Und unter Socket verstehst du hoffentlich auch ein Tupel aus Ziel- und Quell-IP-Adresse, Ziel- und Quell-Port und Netzwerkprotokoll, so daß wir uns auf eine Sperrung über eine Firewall verständigen können?





			
				disciple schrieb:
			
		

> Weiterhin ist eine MTA, wenn sie mit einer anderen MTA kommuniziert ein Relay, kein Server.


Tja, für die Weiterleitung (Relaying) von Mail ist ein SMTP-Relay-Server ja auch zuständig. Sonst würde dort ja keiner was hinschicken. Und wenn du dich an dem Begriff 'Serverprozess' störst: Darunter versteht man eine Anzahl von Tasks, die unter der Regie eines (Domino-)Servers laufen. Hat also nichts damit zu tun, ob der MTA gerade mit einem anderen MTA kommuniziert oder nicht.





			
				disciple schrieb:
			
		

> Und wenn du schon auf Fachsimpelei bestehst, ist es ein Deamon.


Wenn schon, dann _Daemon_; kommt nämlich von 'disk and execution monitor'. Daemons (hilfreiche Geister) gibt es nur in der UNIX/LINUX basierten Welt. Mailsysteme, die nicht unter UNIX/LINUX basierten Systemen laufen, haben keine MTA-Daemons. Erzähl mal MS, der Exchange Server hätte einen MTA-Daemon. MS definiert den MTA so: 'A component that transfers messages between servers using the X400 protocol' und hat ihn als Service implementiert. Steinhardt nennt ihn in seinem Notes/Domino Kompendium schlicht 'Serverprozess' (korrekte Bezeichnung im Englischen 'Domino-SMTP-MTA-Server-Task'), der die Schnittstelle zu anderen Mailsystemen ist. Ein Task ist ein Prozess, der eine spezielle Serverfunktion realisiert. Lotus definiert es so: 'MTA (message transfer agent):  A program that translates messages between mail formats. Also called a gateway.'





			
				disciple schrieb:
			
		

> Und nochmal: eine Authentifizierung beim Einliefern würde bedeuten, dass nur die bekannte MTAs Mails an dich schicken könnten.


Und nochmal: Ein kleines Unternehmen hat einen SMTP Gateway. Diesen nutzt es, um sich mit dem Gateway seines Mailproviders zu verbinden, um dort hin über SMTP Mails zu senden und über POP3 zu empfangen. Warum sollte dem Unternehmen ein fremder völlig unbekannter MTA was zuschicken können? Es reicht doch, wenn alle Mails beim Provider eingehen und von dort abgerufen werden können, oder nicht? 





			
				disciple schrieb:
			
		

> Das natürlich auch ne Methode Spam (und eMails ganz allgemein) zu vermeiden.


Wieso sollte mir jemand anders als mein angestammter Provider eine Mail zusenden dürfen? Es reicht doch, wenn die Leute meine Mails zu meinem Provider senden?





			
				disciple schrieb:
			
		

> Gut dass sich MTAs nur identifizieren.


Nein, sehr schlecht. Neue Übertragungsmethoden von Mail, die eine Authentifizierung der beteiligten Mailserver erlauben, sollen das bisherige System (SMTP) ablösen. Rein unternehmensinterne MTAs identifizieren sich mit einem X.509 Zertifikat. Ein HELO reicht da nicht.





			
				disciple schrieb:
			
		

> Counselor schrieb:
> 
> 
> 
> ...


Oh, ich hatte vergessen, daß die Angestellten auch Mails schreiben, und über den Sammelaccount des Unternehmens beim Mailprovider versenden. Da reicht kein einfacher HELO. 





			
				disciple schrieb:
			
		

> Counselor schrieb:
> 
> 
> 
> ...


Sagt zwar was aus, wem ein IP Segement gehört. Sagt aber nichts darüber aus, ob die Adressen in dem Segment dynamisch vergeben werden. Ein Kunde unserer Firma ist auch mit einem Segment an IP Adressen bei RIPE eingetragen. Er hütet sich, alle IPs dynamisch zuzuweisen. Und noch mehr hütet er sich, die Art und weise der IP Adresszuweisung öffentlich zu machen.
http://www.ripe.net/ripencc/faq/database/qa2.html#1


			
				disciple schrieb:
			
		

> Wenn nach deiner Aussage relevant wäre, welche IP dahinter steckt, wäre DHCP sehr wohl relevant.


Falsch. Einfach einzusetzende und verbreitete Reputationssysteme wie DNS-basierte Black- und Whitelists (entweder für IP-Adressen oder für Domains) reichen.





			
				disciple schrieb:
			
		

> Aber, glück gehabt, interessiert den MTA nicht.


Der Kandidat hat 100 Punkte! Glückwunsch! Wenn die E-Mail Authentifizierung (zB SPF) kommt, dann wird sich die Frage dem MTA ganz schnell stellen. Wenn der MTA eine Nachricht ohne Prüfung der Zuordnung Absender A/IP-Adresse X annimmt, setzt er den MDA der Gefahr aus, dass dieser eine Fehlermeldung für ein nicht wirklich von Adresse A stammendes Mail an Adresse A sendet, oder ich setze den Benutzer der Gefahr aus, dass er ein angeblich von Absender A stammendes Mail für echt hält. Literaturtipp: http://spf.pobox.com/howworks.html


			
				disciple schrieb:
			
		

> Deshalb kann man ja auch domain-ranges sperren, die ja mal mit IP-Adressen (abgesehen von dns) garnix zu tun haben.


Falsch. Deine Domain-Range ist eine Teilmenge eines DNS Namensraums. Oder anders: ohne DNS gäbe es deine Domain-Range nicht. Der Rechnername eines MTAs ist eines von mehreren DNS Objekten einer Domäne. Seine IP Adresse wird in der Zonendatei in einem Resource Record gehalten. Der Typ des Ressource Records ist entweder A bei IPv4 oder AAAA bei IPv6. Willst du deinem MTA die Kommunikation mit Rechnern bestimmter Domänen verbieten, dann mußt du kucken, ob die IP des Senders in der Zonendatei der verbotenen Domänen geführt wird.





			
				disciple schrieb:
			
		

> Richtig ist: man stellt mehrere Conditions fest.


Falsch: Wenn auch nur eine Condition zutrifft, dann wird der entsprechende Mail Service ausgelöst. Beispiel: Du willst weder Mails mit Anhängen > 25 MB (Condition: Size Limit25 löst MailDeny aus), noch virenverseuchte Anhänge (Condition: MailHasAttachement löst Mail Service AttachementAnalyzer aus, welcher bei positivem Befund Mail Deny auslöst). Es kommt eine virenverseuchte Mail mit Anhang, Größe wenige kByte. Willst du die etwa durchlassen? Literaturtipp: http://www.inform.de/C1256C9F00704EC6/vwContentByKey/N25N9EQB931ABENDE


			
				disciple schrieb:
			
		

> Falsch ist: man guckt nicht nur auf den Content sondern ebenso auf den Header.


Richtig ist: Es gibt die Condition SPAM Mail Content mit der Rule 'MailContent', die den Body untersucht, und es gibt für diverse Header-Felder eigene Conditions, aber auch für Envelope-Felder (zB. die Condition 'Incoming Bad Domains' mit zB einer Rule 'FromBadExtDomain', die das Feld 'SenderDomains' untersucht). Erstere Condition filtert - contentbasiert -ausschließlich SPAM, zweitere Condition filtert díe Mail unabhängig davon, ob der Content SPAM ist oder nicht, wenn die Mail von bestimmten Senderdomains kommt.





			
				disciple schrieb:
			
		

> Noch richtiger ist: es wird kein Mail-Deny Service aufgerufen


Erzähle das mal Notesdev. Im ND.Cerberus löst die SPAM Condition den Mail Deny Service aus. Das bedeutet: Man kann einstellen, ob sie ganz abgewiesen wird, oder nur geblockt. Im ersteren Fall erhält der Absender wahlweise eine NDR oder die abgelehnte Mail. Im zweiteren Fall gar keine Benachrichtigung. Auf jeden Fall wird die Mail aus dem Mailrouter gelöscht. Optional werden Administratoren per Mail von diesem Vorgang benachrichtigt. Die abgelehnte Mail wird optional in einer Mail-In-Datenbank archiviert.


			
				disciple schrieb:
			
		

> Spamassassin


Besser: Notes/Domino + ND.Cerberus mit ISS/Cobion Orange Spam Technologie. Das ISS/Cobion Rechenzentrum in Kassel hat eine Topaktuelle SPAM-Signaturdatenbank. Darüber hinaus können in E-Mails vorhandene URLs gegen eine ebenso aktuelle SPAM-URL Datenbank abgeglichen werden. Ferner: Blackholelists, Interne Blacklist, Textanalyse mittels Text-Histogrammen, Schlüsselwort- und Bildanalyse. Und integrierte Scan-Engines der führenden Hersteller von Virenscannern. Und vieles, vieles mehr ...


----------



## disciple (20 September 2004)

Die ganzen Zitate nerven.

Ich beschränke mich auf einige wesentlichen Punkte:
Deamon->Daemon ... wie auch immer. Natürlic hat M$ keinen Daemon, weil sie keine MTA haben. Bei M$ bildet MTA, MUA un MDA einen monolithischen Block. Ergo entfällt jedes Geseier zu dem Thema.

Desweiteren hast zu keinem Zeitpunkt von Mailservern, sondern von Satelite-Systemen gesprochen. Da der original Punkt hier aber das Mailsystem von 1&1 ist, sagt mir irgendeine doofe Vorahnung, dass die nicht nur über POP3 ihre Mails von ihrem T-Online Anschluss abhören.

Die von dir beschriebenen Routinen zur Identifikation, werden vom SMTP Protokoll nicht unterstützt. SMTP kennt den Befehl AUTH nicht, es ist ein Mod für ESMTP und nicht zwingend in der Mailspezifikation vorgeschrieben.

And for the personal flavour: Postfix mit Spamassassin und abgleich mit der Sorbs Datenbank. - Ist mir lieber als ein Mailsystem, das so heißt wie ein Online-Rollenspiel


----------

