Das Spam-Problem hat in den letzten Monaten bei mir etwas überhand genommen. Der Großteil der Mails, die an eine meiner Domains gesendet werden, landen auf einem gemeinsamen Server und wurden bisher ausschließlich SpamAssassin vorgeworfen.
Der Assassine leistet hervorragende Arbeit. Um Spam (= unerwünschte Mail) von Ham (= erwünschte Mail) zu unterscheiden, führt er eine Reihe von Tests durch:
Das Problem: Die Durchführung dieser Tests ist ressourcen-intensiv. Neben einer Menge Hauptspeicher belegt die Spam-Filterung zusätzlich CPU-Arbeitszeit und die Abfragen an netzbasierte Dienste summieren sich auch.
Schaut man sich einmal das Aufkommen von meiner Mail der letzten Monate an…
…so sieht man, dass die Situation wohl eher nicht besser wird.
Neben dem Problem der Ressourcen-Auslastung (das z.B. dazu führt, dass die Webseiten auf dem Server – unter anderem Wikipedistik – langsamer ausgeliefert werden) kommt noch dazu, dass die Anzahl der false negatives steigt. Unter “false negative” versteht man Mails, die Spam sind, aber nicht als solcher erkannt werden. Diese Nachrichten verstopfen die Inbox und verursachen Aufwand, da sie von Hand gelöscht werden müssen.
SpamAssassin ist gut – aber kein Spamfilter hat eine Erkennungsrate von 100 Prozent. Daraus folgt: Je mehr Mails durch den Filter gehen, desto mehr Problemfälle treten auf. Dank sinnvoller Einstellung gibt es bei mir jedoch so gut wie keine false positives, also Mails, die erwünschte Mails darstellen, aber als Spam erkannt wurden. Der Preis für eine geringere Wahrscheinlichkeit an “false positives” ist jedoch eine höhere Wahrscheinlichkeit für “false negatives”.
Die einfachste Lösung um die Anzahl an Fehleinordnungen wieder zu senken ist einleuchtend: Die Anzahl der von SpamAssassin zu bearbeitenden Mails muss gesenkt werden. Dies führt dann zusätzlich zu einem weniger ausgelasteten, performanteren System.
Greylisting
Aus diesem Grund habe ich am Karfreitag um 7:00 Uhr auf meinem Mailserver Greylisting aktiviert.
Whitelisting bedeutet, dass Mail nach bestimmten Kriterien immer angenommen wird, während beim Blacklisting die Mail immer abgelehnt wird. Greylisting nutzt hingegen eine Besonderheit des SMTP-Protokolls: Kann eine Mail nicht zugestellt werden, so versucht es der entsprechende Server nach einer gewissen Zeitspanne erneut.
Während diese Funktionalität in jedem vernünftigem Mailsystem umgesetzt ist, so gilt dies nicht für eine Vielzahl von Spam-Software, die wesentlich einfacher gestrickt ist und in der Regel nur einen Zustellversuch macht.
Kontaktiert ein einlieferndes System meinen Mailserver, so gibt es folgende Daten an:
Wurde noch nie Mail empfangen, auf die dieses Trippel zutrifft, so wird die Maileinlieferung mit einem temporären Fehler quittiert. Ein herkömmliches Mailsystem versucht dann nach einer kurzen Zeitspanne eine erneute Einlieferung, die dann akzeptiert wird. Bei der Vielzahl von einmaligen Zustellversuchen von Spam führt dies dazu, dass die betreffende Mail gar nicht erst in meinem System landet und demnach auch nicht von SpamAssassin untersucht werden muss.
Systeme, die in der Greylist gelandet sind und danach eine erfolgreiche Zustellung durchführen, werden automatisch in die Whiltelist aufgenommen. So tritt der Nachteil der nicht unmittelbar ankommenden Mail nur beim ersten Kontakt mit einem bisher unbekannten Trippel auf. Trotzdem muss natürlich dieser Nachteil mit einem möglichen Vorteil abgewogen werden.
Wie meine Abwägung ausfällt?
Das muss ich glaube ich nicht extra in Worten beschreiben.
Die folgenden Graphen sprechen für sich:
25. März 2008 um 13:22 Uhr
Hi Tim,
so sehr es mich für Dich freut, dass Du nun weniger Spam bekommst, so sehr fürchte ich den Tag, an dem Spammer der Meinung sind, dass zuviele Mails durch Greylisting vernichtet werden und ihre Bots um die Funktion des erneuten Sendens erweitern.
Grüße
Stefan
25. März 2008 um 14:17 Uhr
Ja, mich wundert selbst, dass Greylisting bislang so gut funktioniert. In anderen Postings habe ich gelesen, dass die Wirkung zurückgeht – in meinem Fall finde ich, dass die Zahlen für sich sprechen. Vielleicht bekomme ich auch einfach “anderen” Spam, als diejenigen.
Solange das “einfache Schießen mit der Schrotflinte” gut funktioniert, müssen Spammer ihre Tools nicht nachrüsten – ist ja auch Arbeit. Problematisch ist es natürlich tatsächlich, wenn sehr viele Menschen plötzlich anfangen Greylisting zu betreiben.
27. März 2008 um 16:31 Uhr
bisher gehen doch alle techniken nur dahin, die vorhandenen protokollmerkmale zu nutzen… greylisting ist da schon recht gut erdacht und spart immerhin rechenzeit.
hat überhaupt schonmal jemand eine antispam-taktik erfunden, die auf etwas anderes als wettrüsten hinausläuft?
28. März 2008 um 18:35 Uhr
Hallo Tim,
gestern kamen die ersten Spammer bei mir trotz Greylisting durch.
War zwar kein Beinbruch, da ja der Server nun wieder genug Power hatte diese abzuarbeiten, trotzdem wird man dann auch ein wenig vorsichtiger und passt wieder auf. :)
Gruß,
[marcel]
17. April 2008 um 02:32 Uhr
Hallo Tim,
kurze Info, da ich ja nicht weiss, wie es nun bei Dir so funzt.
Bei uns ist die Gesamtzahl der zu verarbeitenden Mails stark gesunken.
Doch derzeitig sind knapp 10-15% der eingehenden Mails immer noch Spam. Anscheinend versuchen es nun einige Mail-Server bzw. Spammer mehrmals.
Aber ich denke, dies sind die “gehackten” PCs von armen Usern, die einfach über die Mail-API die Spams versenden. Da die dann über einen regulären Mail-Server gehen, versuchen sie es halt immer und immer wieder.
Ich habe auch 2 aktuelle Grafiken erstellt.
Diese findest Du, falls es Dich interessiert, hier –>
http://blog.klausenerplat...rprobleme__und_was_daraus
Viel Erfolg weiterhin beim Spamblockieren! :)
Gruß aus Berlin
[marcel]
17. April 2008 um 09:58 Uhr
Vielen Dank für die Info. Sobald ich Zeit finde (und die anderen Sachen in meiner Queue abgearbeitet habe…) schreibe ich auch noch mal ein Update.
16. Juli 2008 um 09:27 Uhr
Ich nutze Greylisting in Kombination mit dem Spamfilter Spamihilator und bin sehr zufrieden.
Hatte ich vor circa 2 Monaten noch rund 1000 Spammails pro Tag, sind es heute nur Mails im zweistelligen Bereich.