RackBlogger

Die Spam-Statistik des Mailservers spricht mal wieder für sich:

Blau sind die gesamten Zustellversuche, grün die tatsächlich akzeptierten Mails.
Aktuell wird nur noch etwa jede hunderste Mail durchgelassen.

Gelobt seien Blacklists und Greylisting.

Das scheint ja lustig zu werden. In den letzten 24 Stunden hatte ich rund 100 Mails mit PDF-Spam in meinem Postfach - trotz Greylisting und anderer Filter.

Heute Nachmittag werden wir wohl oder übel SpamAssassin-Regeln für den neuen Spam bauen müssen… *gähn*

Nun ist es da - RFC4871 beschreibt die “DomainKeys Identified Mail Signatures”, kurz DKIM. Es handelt sich dabei um einen weiteren Ansatz um den Absenderserver einer Mail verifizieren zu können.

Da DKIM im Gegensatz zu SPF nun den quasi offiziellen Status eines Internet-Standards erreicht hat, werden wir diesen wohl in Kürze auch implementieren.

Dennoch gibt es nach wie vor zwei entscheidende Probleme, die DKIM alleine nicht lösen wird:

1. DKIM macht nur Sinn, wenn möglichst alle Provider diesen Standard auch tatsächlich einsetzen (ok, wir arbeiten daran )
2. Spammer sind ja auch nicht (immer) blöd - die können sich dutzende “Wegwerf-Domains” (entweder quasi kostenlose .info-Domains o.ä., oder sogar völlig kostenfreie Third-Level-Domains) registrieren und mit den entsprechenden DKIM-Einträgen “verifizierten” Spam in die Welt pusten.

Naja, mal schauen wie sich das alles so entwickeln wird…

Aufgrund der noch nie dagewesenen Spam-Flut der letzten Tage haben wir das bisher nur experimentell betriebene Greylisting für alle Postfächer aktiviert. Seit einer knappen Stunde verfolge ich die Greylisting-Datenbank, die Mailserver-Logs und die Testsysteme (gut daß ich hier drei TFTs habe )

Jedenfalls ist es der absolute Wahnsinn, wie viel Müll so hereinkommt. Ãœber 90% (!) aller Mailserver-Aktivitäten haben mit Spam zu tun. Wenn man sich mal überlegt, was ein Mailserver heutzutage so macht bis er eine Mail überhaupt annimmt: Realtime-Blacklist-Check, diverse Protokoll-Tests, Greylisting, MIME-Check, Virenscanner, Spamfilter, … - früher wurde eine Mail einfach angenommen und als Datei abgespeichert.

Kleiner Ausschlag im Monitoring gestern Abend:

Ãœber einen “eigentlich” vertrauenswürdigen Kanal kamen ein paar (~200.000) Mails an viele offenbar geratenen Adressen @yahoo.com.tw bei uns an. Das neue System zur zurückhaltung verdächtiger Mailfluten hat sich jedenfalls als hilfreich erwiesen.

Oder eher wieder die Ruhe vor dem Sturm?

Jedenfalls ist die Zahl der durchschnittlichen Spam-Mails pro Minute gegenüber letzter Woche auf etwa 30% gesunken.

Entweder hat denen endlich jemand die Server abgeklemmt, oder der aktuelle Auftrag wurde einfach nur abgearbeitet und der nächste ist in Vorbereitung…

Wie schon öfters erwähnt ist Spam ein zunehmendes Problem. Wir greifen ja schon seit Längerem auf externe DNS-Blacklists und Spamfilter-Regelwerke zurück. Die Erfahrungen hierbei zeigen jedoch, dass sich Spammer sehr schnell auch die frei verfügbaren Filterregeln anschauen und ihre Mails entsprechend modifizieren. Auf der anderen Seite besteht eine akute Spamwelle, die einige Tage lang anhält, zu schätzungsweise 80% aus identischen Mails.

Aus diesem Grunde haben wir nun einen neuen Prozess bei uns eingeführt: die manuelle Pflege eines spezialisierten Spamfilters. Das neue Spamassassin-Regelwerk ist auf spezifische Werbemails exakt zugeschnitten, und bewertet diese dann auch jeweils mit pauschal 30 Spam-Punkten.

Bei jeder gehäuft auftretenden Spam-Mail wird dieser Filter ab sofort zeitnah angepasst. Ich bin mal gespannt, wie mein eigenes Postfach morgen früh so ausschauen wird.

Viele E-Mail-Nutzer werden es schon gemerkt haben: im Moment ist die Spam-Welle extrem hoch. Und zwar so hoch, wie ich es selber bisher noch nie erlebt habe.

In der aktuellen Ausgabe der ix (S. 103) ist ein interessanter Artikel eines Mitarbeiters des E-Mail-Anbieters GMX, in welchem über die zunehmenden Spam-Wellen berichtet wird. Kurz gesagt: da Spam-Mails dank kollaborativer Spam-Netzwerke und Echtzeit-Blacklists wie beispielsweise Spamhaus, URIBL oder auch NiX-SPAM immer schneller erkannt und gefiltert wird, versuchen die Absender wiederum in immer kürzeren Intervallen möglichst viele Mails gleichzeitig in’s Netz zu pumpen.

Ganz konkret heißt das beispielsweise, dass sich die Last unseres Mailservers in den letzten Tagen bei diesen “Peaks” verhundertfacht (!!) hat. Selbst im “normalen” Betrieb werden vier von fünf E-Mails (bzw. deren SMTP-Verbindungen) bereits abgelehnt, noch bevor der Mailserver sich überhaupt erst die E-Mail an sich anschaut.

Ich habe heute mal unsere interne Mailstatistik etwas modifiziert, um Peaks zukünftig automatisch erkennen zu können. In extremen Lastsituationen könnten wir den Mailserver dann so “umschalten”, dass nur noch Mails eigener Kunden zum Versand akzeptiert werden, hingegen alle “fremden” Mails einer Art Mini-Greylisting unterzogen werden. Große Mailserver (web.de, gmx.de, …) machen auch nichts anderes - man erkennt das an den Meldungen im Logfile, wenn versucht wird während Peaks Mails dorthin zuzustellen.

Es wird jedenfalls dringend Zeit für ein neuartiges asynchrones und manipulationssicheres elektronisches Kommunikationsmedium.