[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Seit ein paar Stunden werden Mails vom eigenen Mailserver an GMail Adressen als SPAM bewertet

Am Samstag, 2. Juli 2016, 12:54:06 CEST schrieb Sebastian Suchanek:
> Am 02.07.2016 um 12:37 schrieb Martin Steigerwald:
> > Am Samstag, 2. Juli 2016, 12:29:39 CEST schrieb Ingo Jürgensmann:
> >> Am 02.07.2016 um 11:59 schrieb Marc Haber <mh+debian-user-
> > 
> > german@zugschlus.de>:
> >> > On Sat, 02 Jul 2016 10:50:37 +0200, Martin Steigerwald
> > 
> >> > <martin@lichtvoll.de> wrote:
> > […]
> > 
> >> > Mail stirbt. Und es sind nicht die Spammer dran schuld.
> >> 
> >> Wenn man Google damit durchkommen laesst, dann vielleicht. Aber man muss
> >> sich ja nicht immer alles bieten lassen, was die Grossen einen aufs Auge
> >> druecken.
> > 
> > Ganz ehrlich:
> > 
> > Wenn jemand mit einem Google-Mail-Konto meine Mail nicht empfangen kann,
> > dann ist das in erster Linie *sein* Problem, nicht *Meines*.
> > 
> > Wobei ich in Bezug auf die Google-Mail-Konten von Verwandten dann einfach
> > nahelegen würde, auf einen anderen Provider zu wechseln.
> 
> Grundsätzlich sehe ich das ähnlich, allerdings drehen in letzter Zeit
> viele größere Mailprovider unisono am Rad. United Internet (1&1, GMX,
> Web.de...) zum Beispiel hat kürzlich auch wieder ihre Regeln verschärft.
> Das führte dann dazu, dass ich mir eine eigene Domain für meinen
> Mailserver zulegen musste, da für GMX der FQDN
> "euve78534.serverprofi24.de" - der wohlgemerkt "vorwärts wie rückwärts"
> korrekt auflöst(e) - auf einmal nicht mehr gut genug war. >:-(
> 
> Aktuell rutschen wir IMHO wirklich in eine Situation, wo Mailversand de
> facto nur von $Riesenprovider zu $Riesenprovider möglich ist, Betreiber
> von Klein(st)mailservern schauen zunehmend in die Röhre bzw. müssen
> immer mehr Aufwand treiben.

Ja. Und ja, ich bin da mit meiner Server-VM privilegiert.

Allerdings: Wenn wir Betreiber von Klein(st)-Mailservern immer um die 
Restriktionen der größeren Mailprovider drum herum werkeln, dann bekomme diese 
keine Motivation etwas zu ändern.

Andererseits: Wenn ich schaue, wieviele Spams ich von irgendwelchen VMs bei 
irgendwelchem Massen-VM-Betreibern bekomme, dann frage ich mich schon, was da 
los ist. Und sehe auch die Herausforderung für große Mail-Provider, die von 
Spam-Versendern nur so zugeballert werden und dann noch mit Kunden zu tun 
haben, die selbst Spam versenden oder geknackten Konten, von denen Spam 
ausgeht.

Es ist selbst für mich mit einem Kleinserver nicht mehr ganz trivial, so gut 
wie alle Spams auf SMTP-Ebene wegzublocken.

Einerseits sind es wohl VMs von Leuten, die ihren Server nicht passend 
absichern. Andererseits bin ich mir gerade in Bezug auf die kürzliche Spam-
Flut von

mondschein:~> cat /etc/postfix/sender_checks 
/klicken.*\.xyz/ DISCARD S2016-06/01: Spam discarded.

/mailing.*\.xyz/ DISCARD S2016-06/02: Spam discarded.

/server.*\.xyz/ DISCARD S2016-06/03: Spam discarded.

/weiter.*\.top/ DISCARD S2016-06/04: Spam discarded.

/aufmachen.*\.party/ DISCARD S2016-06/05: Spam discarded.

/eine-IP/ DISCARD S2016-06/06: Spam discarded.

nicht mehr ganz sicher, ob das alles nur gekaperte Linux-Server und Windows-
PCs sind, oder ob es irgendwelche Mikro-Instanzen von geknackten Cloud-
Provider-Kunden-Zugängen sind. Ich hab das nicht jede IP-Adresse von der Spams 
kamen näher recherchiert, sondern einfach angefangen, zu blocken, und das 
zugegebenermaßen ziemlich pauschal – es waren Domains aka name<nummer>.tld die 
Nummer habe ich hier aber pauschal als ".*" abgehandelt. Außerdem würde er mit 
obigen Regeln wohl auch profiserver.xyz und Ähnliches blockieren. Ist mir 
jedoch zur Zeit noch egal. Ich hab bislang keine einzige legitime Mail von 
*.top, *.xyz usw. wahrgenommen, geschweige denn von einer Domain, die dann 
einen der obigen Begriffe im Namen hatte. Aber ja, ich werde das wohl nochmal 
etwas genauer formulieren.

Ich war jedoch auch bereits versucht, ganze TLDs zu blocken, als nach den 
ersten REJECT-Regeln, die Spams dann einfach von einer anderen Domain kamen – 
das wäre dann aber wohl schon mit einem REJECT sinnvoll, da von .xyz 
vielleicht doch mal was Legitimes kommen könnte. Für die Regeln für einzelne 
Domains nutze ich jetzt DISCARD, um die Betreiber des Botnetze nicht zu 
informieren, dass ich blocke.

Wohlgemerkt, das sind Regeln, die ich einfügte, weil weder Policyd-weight noch 
Spamassassin mit Zusatzregeln wie die von Heinlein und sa.zmi.at diese Spams 
erwischten.

Für die IP habe ich einen Abuse Report abgesetzt, den der Provider Digital 
Ocean prompt beantwortete. Das klappt aber nicht immer. Von keine Antwort über 
"wir sind nicht zuständig dafür, was unsere Kunden machen" bis hin zur einer 
vorbildlichen sofortigen Blockade des Spamversands an meine Adresse habe ich 
da schon alles erlebt.

Da hätte ich gerne was Halbautomatisches, was ich in KMail einbinden kann, was 
die Mail-Header analysiert, die entsprechenden Whois-Abfragen absetzt und 
auswerten und dann ermittelt, inwiefern ein Abuse Report Sinn machen könnte – 
allerdings grenzt das an fortgeschrittene künstliche Intelligenz. Ist ja auch 
für mich manchmal herausfordernd, einzuschätzen, inwiefern es Sinn mach wo 
einen Abuse Report einzukippen.

Ciao,
-- 
Martin
Reply to: