Spam Bekämpfung
So. Ich denke, so langsam habe ich’s im Griff.
Vor 2 Monaten erhielt ich an meine private Mailadresse noch ca. 15000 Mails am Tag. Thunderbird filterte schon kräftig aus, was meinen PC für ca. ne halbe Stunde unbenutzbar machte. Ich habe noch ein Postfach für mein Business und da sah es ähnlich aus. Privat bekomme ich nicht mehr als 5 sinnvolle Mails am Tag - bei der geschäftlichen sieht’s anders aus: da sind es schon ca. 100 - hauptsächlich Werbemails meiner Lieferanten, aber dennoch interessant.
Ich hatte schon oft von DNSBLs oder RBLs gehört. Dabei handelt es sich um Datenbanken, in denen IP Adressen gespeichert sind, von denen man weiß, dass Spam verschickt wird. Mit Hilfe einer solchen Datenbank kann ein Mailserver schon beim Verbindungsaufbau checken, ob die Mail überhaupt erwünscht ist. Somit braucht man sich die Mail an sich erst garnicht auf den Server speichern.
Auf meinem ersten Rootserver läuft sendmail als Mailempfänger und ich hatte so einige Mühe diese DNSBL einzurichten. Also gab ich entnervt wieder auf.
Vor einiger Zeit war dann ein Artikel in der ix, in dem beschrieben wurde, wie man DNSBLs unter Postfix einrichtet. Auf meinen neueren Rootservern hab ich Postfix im Einsatz und so probierte ich es gleich mal aus. Siehe da - nur noch 100 Spam Mails am Tag. Dabei hatte ich nur Spamcop als DNSBL eingerichtet.
Die Konfiguration sieht so aus:
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_unknown_sender_domain, reject_rbl_client bl.spamcop.net, permit
Mit der Zeit wuchs die Zahl 100 aber wieder und so schaute ich mir stichprobenartig die Mails mal an. Insbesondere die Absender-IP. Die checkte ich mit www.dnsbl.com. Dort kann man eine IP Adresse auf ca. 50 Blacklisten abprüfen lassen. Nach einigen Stichproben hatte ich dann meine Liste der sinnvollen DNSBLs zusammen:
- Spamcop
- Spamhaus
- Uceprotect
- Sorbs
- No-more-fun (aus Dänemark)
Es stellte sich dann aber heraus, dass Spamhaus von meinem Server aus nicht funktionierte. In den FAQs dort heißt es, man würde zu viele Anfragen am Tag schicken. Ich kann es nicht mehr nachvollziehen, ob ich deren Grenze überschritten habe oder nicht. Ich kann eh nichts mehr dagegen tun. Also nutze ich nur die anderen.
Bei Uceprotect gibt es 3 Level und ich hatte eine zeitlang auch Level 3 aktiv. Mit dieser Liste sank das Spamaufkommen auf 0-5 Mails pro Tag. Leider war es damit aber auch nicht mehr möglich als Absender einer Arcor Adresse Mails zu schicken. Damit war diese Liste unbrauchbar und ich habe sie wieder aus der Konfiguration entfernt. Jetzt landen etwa 20 Spammails am Tag im Postfach. Ich denke, damit kann ich leben.
Da bei der Verwendung von DNSBLs der Empfänger nicht mitbekommt, dass etwas geblockt wurde, habe ich noch ein kleines Auswertungsscript geschrieben, das mir jeden Tag eine Mail mit den geblockten Verbindungen anzeigt.
Zusätzlich noch eine kleine Statistik. Gestern hatte ich z.B. folgende Zahlen:
Accepted Mails 182 0.54% Relay denied 48 0.14% Unknown recipient 616 1.82% Unknown sender 38 0.11% bl.spamcop.net 10820 31.99% dnsbl-1.uceprotect.net 12128 35.86% dnsbl-2.uceprotect.net 8906 26.33% dnsbl.sorbs.net 236 0.70% no-more-funn.moensted.dk 846 2.50%
Also 99,46% Spammails schon vor der Annahme verweigert. Ich bin wirklich begeistert.
Als nächstes schreibe ich noch ein Script, das mir die knapp 200 akzeptierten Mails genauer untersucht. Z.b. auf wie viel DNSBLs steht die IP, wie sieht der whois Eintrag aus, usw.