Hase und Igel

Es hat ja schon eine gewisse Ähnlichkeit mit Hase und Igel, wenn man sich Despamming-Techniken anschaut. Die Postmaster machen ihren Zug, die Spammer setzen nach und mit der Zeit müssen sich die Guten wieder irgend etwas neues ausdenken.

Seit nun ungefähr zehn Jahren verfolge ich die Entwicklungen auf dem Gebiet des Despamming und bin immer wieder überrascht, wie stark sich die Verteidigungstaktiken ändern - teilweise macht man heute das exakte Gegenteil zu früher.

Ein Beispiel ist die Gefährdungsbewertung in Setups in denen mehr als ein MX existiert. Früher1) lautete die Faustregel, daß der MX mit der geringsten Priorität am gefährdetsten ist, da die Spammer versuchen werden, ihren Müll dort einzuliefern. Rechneten sie doch damit, daß dieser MX unter Umständen alles annahm, da er die real existierenden Nutzer gar nicht kannte und auch weniger RBLs etc. einsetzte.

Heute ist mehr oder weniger das Gegenteil auf Seiten der Spammer zu beobachten, Wolfgang Kueter stellte bereits in de.admin.net-abuse.mail sein Setup und seine dazu führenden Beobachtungen vor: Die heutigen Botnetze der Spammer starten meistens nur noch Einlieferungsversuche beim Primary MX, ist dieser nicht erreichbar, wird der Secondary nicht kontaktiert. Seine Folgerung war nun, auf den Primary MX nur noch wenige zuverlässige Systeme einliefern zu lassen und alle anderen Verbindungsversuche per Paketfilter o.ä. zu filtern, beim Secondary dies jedoch zu unterlassen. Die Reduktion des Spams war mehr als signifikant.

Vor kurzem konnte ich diese Beobachtung bestätigen. Als ich eine neue Technik zum Despamming in Betrieb nahm, testete ich sie zunächst auf dem Secondary MX. Das Mailaufkommen der betroffenen Domains ist nicht gerade gering und die Verbindungsversuche pro Minute liegen bei deutlich mehr als eins. Als ich den Maildienst auf dem Primary MX abschaltete, versuchten aber die wenigsten Hosts, die gerade noch Mail einliefern wollten, den Secondary zu kontaktieren. Über den Daumen gepeilt waren es nur echte Mailserver, die sich an den MX-Einträgen entlanghangelten. Für mich war dieses Verhalten in diesem Moment höchst ärgerlich, da es so Ewigkeiten dauerte, bis mein Test abgeschlossen war.

Schön ist ein solches Setup nicht, aber wenn die Spammenge noch weiter zunimmt, werden diese eher ästhetischen Bedenken recht schnell verschwinden - von der technischen Seite spricht nicht allzu viel dagegen, zumindest nicht laut genug. Gleichzeitig werden wir bis dahin schon wieder ganz andere Probleme und Taktiken haben.

1)
also vor maximal drei Jahren
users/rosenke/blog/20080113-hase_und_igel.txt · Last modified: 2016-01-05 08:40 by strols
CC Attribution-Share Alike 4.0 International
Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0