Hallo Patrick, hallo Leute,
Am Dienstag, 19. Mai 2009 schrieb Patrick Ben Koetter:
Ralf und ich sehen seit ca. 2 Wochen auch mehr SPAM auf Server zukommen. Heute verzeichnen wir keinen Anstieg.
Naja, kommt drauf an[tm] ;-)
Ich finde es in den letzten Tagen besonders lustig, wie mein Faulpelz-MX [1] bombardiert wird. Ich hatte schon Tage, wo von einer einzelnen IP 40.000 Einlieferungsversuche (mit identischem Absender und Empfänger) probiert wurden. Zu blöd, dass er immer nur mit '451 I'm a Faulpelz' antwortet ;-)
Interessant finde ich, dass es Premium Spam ist - handoptimiert und fast immer haarscharf unterm Schwellwert hindurch.
Was ich schon längere Zeit interessant finde: Der Spam, der bei mir durchkommt, geht großteils an die Adresse in meinem GPG-Key. Ob da jemand einen Keyserver abgegrast hat und nun diese Adressen mit "optimiertem" Spam versorgt?
Spam an meine anderen Adressen gibt es natürlich auch, aber der wird von Blacklisten und Spamassassin deutlich erfolgreicher rausgefiltert.
sourceforge.net scheint mißbraucht zu werden. Habe ich mir aber noch nicht näher angesehen.
Oh ja. Man schickt Spam an benutzername@users.sourceforge.net und der Sourceforge-Server leitet ihn brav an den jeweiligen User weiter, auch wenn die Mails eindeutig Spam sind (>15 Punkte laut Sourceforge-Spamheader).
Die Methode hat für den Spammer gleich noch den Vorteil, dass die Blacklisten-Checks auf meinem Server nicht mehr anschlagen - mx.sourceforge.net steht sogar auf einer Whitelist und kommt bei meinem Spamassassin mit 3 oder 4 Punkten durch.
Ich hab das Problem auch mal bei Sourceforge gemeldet. Die Details könnt Ihr unter http://apps.sourceforge.net/trac/sourceforge/ticket/724 nachlesen, jedenfalls ist Sourceforge unfähig und/oder unwillig, Spam zu REJECTen :-(
Daher war ich die letzten Tage etwas am Basteln, um das Problem auf meiner Seite zu lösen.
Blöderweise kann Spamassassin nicht auf externe X-Spam-* Header filtern (warum auch immer, jedenfalls werden diese Header im Code ausdrücklich ignoriert). Letztenendes habe ich doch noch einen "funktionierenden" Header gefunden, den der Sourceforge-Server setzt: X-VA-Spam-Flag
Derzeit habe ich folgende Einträge in meiner local.cf (meine "echte" Sourceforge-Mailadresse habe ich hier durch USERNAME ersetzt):
# Hilfsregel, um die folgenden Regeln weitgehend auf meine Sourceforge-Adresse zu beschränken header CB_TO_CBOLTZ_SOURCEFORGE To =~ /USERNAME.users.sourceforge.net/i describe CB_TO_CBOLTZ_SOURCEFORGE Sent to USERNAME@users.sourceforge.net score CB_TO_CBOLTZ_SOURCEFORGE 0.001
# X-Spam-Score und einige andere X-Spam-Header werden grundsaetzlich ignoriert. # daher funktioniert die folgende Regel nicht :-/ #header CB_COMES_WITH_SPAMSCORE X-Spam-Score =~ /^[0-9][0-9]/i #describe CB_COMES_WITH_SPAMSCORE Contains X-Spam-Score header with at least 10 points #score CB_COMES_WITH_SPAMSCORE 0.001
# X-VA-Spam-Flag wird nicht ignoriert ;-) header CB_COMES_WITH_VA_SPAM_FLAG X-VA-Spam-Flag =~ /YES/i describe CB_COMES_WITH_VA_SPAM_FLAG Contains X-VA-Spam-Flag: YES header score CB_COMES_WITH_VA_SPAM_FLAG 1
# die folgende body-Regel (für Bounces) funktioniert leider nicht - warum? body CB_BODY_COMES_WITH_SPAMSCORE /X-VA-Spam-Flag:[ ]*YES/i describe CB_BODY_COMES_WITH_SPAMSCORE Contains X-VA-Spam-Flag: YES in body (bounce?) score CB_BODY_COMES_WITH_SPAMSCORE 0.001
# <Marktschreier>Punkte! Braucht jemand Punkte?</Marktschreier> ;-) meta CB_SPAM_RELAYED_BY_SOURCEFORGE (CB_TO_CBOLTZ_SOURCEFORGE && CB_COMES_WITH_VA_SPAM_FLAG) describe CB_SPAM_RELAYED_BY_SOURCEFORGE Spam sent to USERNAME@users.sourceforge.net score CB_SPAM_RELAYED_BY_SOURCEFORGE 3
meta CB_SPAM_BOUNCED_BY_SOURCEFORGE (CB_TO_CBOLTZ_SOURCEFORGE && CB_BODY_COMES_WITH_SPAMSCORE) describe CB_SPAM_BOUNCED_BY_SOURCEFORGE Spam sent to USERNAME@users.sourceforge.net score CB_SPAM_BOUNCED_BY_SOURCEFORGE 0.1
Damit blocke ich den via Sourceforge eingehenden Spam recht zuverlässig. Als Nebeneffekt mache ich Sourceforge zum Backscatterer - aber das ist mir nach ihrer Reaktion auf meine Anfrage ehrlich gesagt ziemlich egal *g*
Verbleibendes Problem ist dann aber ironischerweise doch Sourceforge- Backscatter - einige Spammer setzen die @users.sourceforge.net-Adresse nämlich auch als Absender ein. Ich bekomme dann lustige Bounces mit dem Hinweis, dass mein Server die Mail als Spam abgelehnt hat.
Hat jemand eine Idee, warum meine body-Regel nicht greift? (Nein, es liegt nicht an der geringen Punktzahl - die Regel trifft wirklich nicht.)
Auf anderen, ausländischen Server sehe ich aber keine Anstieg - zumindest auf denen auf die ich meine Finger legen darf. ;)
Mit Ausnahme derer, die meinen Faulpelz quälen, und des über @users.sourceforge.net verschickten Spams ist das Spamlevel IMHO normal. Das ist allerdings u. a. der ix.dnsbl.manitu.net und dem DynIP-Teil von Spamhaus zu verdanken (hat ein Kunde unfreiwillig ausprobiert, bei dem diese Blacklisten noch nicht eingetragen waren ;-)
Gruß
Christian Boltz
[1] http://blog.cboltz.de/archives/45-Faulpelz-MX.html