7
Dramatischer Rückgang von Spams in unseren Filtern
Wir suchen nach möglichen Ursachen
Wir haben für unsere Spamfilterung eine Lösung mit Postfix+amavis_new+clamav am Laufen.
Seit 22.12.2007 ist der Spam, der noch bei amavis ankommt, dramatisch zurückgegangen. Unser normales tägliches Mailaufkommen (korrekt zugestellte Nachrichten: ca. 300 / Arbeitstag) ist gleich geblieben.
Statistiken mit amavis-stats
Bei uns gab es keine Änderung im Filter. Irgendwie habe ich bei so einer Sache ein mulmiges Gefühl. Also beim Provider nachgefragt, dort haben wir unseren sekundären MX laufen und von dem kommt normalerweise der Großteil des Filterfutters (da kein RBL): Auch keine Änderung.
Nicht dass ich mich nach Spam sehne, aber bei solch einer Auffälligkeit möchte ich gerne mehr wissen.
Die Anzahl der Zustellversuche von SMTP-Clients zu unserem Postfix ist ungefähr gleich (tägl. ca. 13.000) geblieben, nur wird das meiste aufgrund von RBLs abgewiesen. Durch unsere Filter werden jetzt täglich nurmehr ca. 25 Spams ausgefiltert. False Negative gibt es quasi nicht.
So eine Welle hatten wir vom 14.12. - 17.12.2007 schon mal, da ist das Aufkommen an gefiltertem Spam für 3 Tage zusammengebrochen. Dann hatten wir kurz wieder die alten Zahlen (ca. 800 Nachrichten im Filter, 300 korrekt, 500 Spam)
Weiß jemand, was da draußen läuft? Hat noch einer eine solche Änderung im Aufkommen? Sind irgendwelche großen Änderungen in der RBL-Szene gelaufen?
Grüße
dteam2008
Wir haben für unsere Spamfilterung eine Lösung mit Postfix+amavis_new+clamav am Laufen.
Seit 22.12.2007 ist der Spam, der noch bei amavis ankommt, dramatisch zurückgegangen. Unser normales tägliches Mailaufkommen (korrekt zugestellte Nachrichten: ca. 300 / Arbeitstag) ist gleich geblieben.
Bei uns gab es keine Änderung im Filter. Irgendwie habe ich bei so einer Sache ein mulmiges Gefühl. Also beim Provider nachgefragt, dort haben wir unseren sekundären MX laufen und von dem kommt normalerweise der Großteil des Filterfutters (da kein RBL): Auch keine Änderung.
Nicht dass ich mich nach Spam sehne, aber bei solch einer Auffälligkeit möchte ich gerne mehr wissen.
Die Anzahl der Zustellversuche von SMTP-Clients zu unserem Postfix ist ungefähr gleich (tägl. ca. 13.000) geblieben, nur wird das meiste aufgrund von RBLs abgewiesen. Durch unsere Filter werden jetzt täglich nurmehr ca. 25 Spams ausgefiltert. False Negative gibt es quasi nicht.
So eine Welle hatten wir vom 14.12. - 17.12.2007 schon mal, da ist das Aufkommen an gefiltertem Spam für 3 Tage zusammengebrochen. Dann hatten wir kurz wieder die alten Zahlen (ca. 800 Nachrichten im Filter, 300 korrekt, 500 Spam)
Weiß jemand, was da draußen läuft? Hat noch einer eine solche Änderung im Aufkommen? Sind irgendwelche großen Änderungen in der RBL-Szene gelaufen?
Grüße
dteam2008
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 77243
Url: https://administrator.de/contentid/77243
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
7 Kommentare
Neuester Kommentar
Bei mir kann ich keine Aenderungen feststellen, Spamtendenz eher leicht steigend, über die Feiertage teilweise 99% und 100%...
was natürlich klar ist, da ja ausser den Spammern keiner arbeitet.
Also du hast an deiner Konfig nichts geändert? Keine anderen Filterregeln, Reihenfolgen, Software-Updates, etc etc?
Dann kann die Ursache eigentlich nur vor deinem LAN liegen.
Kommen die Mails auf dem primären MX direkt rein, also ohne vorgeschalteten ISP oder ähnliches?
Dann denke ich mal, dass der ISP des sekundären MX einen SPAM-Filter geschaltet hat. Gut möglich, dass der ISP-Support nicht weiss, was seine Techniker basteln.
Oder die andere Möglichkeit ist natürlich, dass der sekundäre MX down ist und von dorther gar keine Mails reinkommen, hast du das schon mal überprüft?
Ist das ein normaler POP-account, welcher per PopCon oder ähnlichen Tools an den Exchange gefüttert wird?
Ein POP-Konto kannst du ja mit jedem Email-Programm überprüfen oder sogar mit telnet.
Wenn du einen einigermassen guten ISP hat, bietet der sicher auch Webmail. Dort kannst du schauen, ob Mails warten und ob evtl. ein SPAM-Ordner vorhanden ist.
Wenn ihr eure Website beim gleichen ISP hostet, gibts vielleicht auch entsprechende (neue) Einstellungen in der Serververwaltungsoberfläche, Control Panel oder wie das Ding auch immer heisst.
Viel Glück beim Spam suchen.
was natürlich klar ist, da ja ausser den Spammern keiner arbeitet.Also du hast an deiner Konfig nichts geändert? Keine anderen Filterregeln, Reihenfolgen, Software-Updates, etc etc?
Dann kann die Ursache eigentlich nur vor deinem LAN liegen.
Kommen die Mails auf dem primären MX direkt rein, also ohne vorgeschalteten ISP oder ähnliches?
Dann denke ich mal, dass der ISP des sekundären MX einen SPAM-Filter geschaltet hat. Gut möglich, dass der ISP-Support nicht weiss, was seine Techniker basteln.
Oder die andere Möglichkeit ist natürlich, dass der sekundäre MX down ist und von dorther gar keine Mails reinkommen, hast du das schon mal überprüft?
Ist das ein normaler POP-account, welcher per PopCon oder ähnlichen Tools an den Exchange gefüttert wird?
Ein POP-Konto kannst du ja mit jedem Email-Programm überprüfen oder sogar mit telnet.
Wenn du einen einigermassen guten ISP hat, bietet der sicher auch Webmail. Dort kannst du schauen, ob Mails warten und ob evtl. ein SPAM-Ordner vorhanden ist.
Wenn ihr eure Website beim gleichen ISP hostet, gibts vielleicht auch entsprechende (neue) Einstellungen in der Serververwaltungsoberfläche, Control Panel oder wie das Ding auch immer heisst.
Viel Glück beim Spam suchen.
Hallo dteam2008,
zu deiner Frage:
kam mir folgende aktuelle Nachricht in den Sinn:
http://www.freep.com/apps/pbcs.dll/article?AID=/20080103/NEWS06/8010304 ...
Tschau Dreadnik
zu deiner Frage:
Weiß jemand, was da draußen
läuft? Hat noch einer eine solche
Änderung im Aufkommen? Sind irgendwelche
großen Änderungen in der RBL-Szene
gelaufen?
läuft? Hat noch einer eine solche
Änderung im Aufkommen? Sind irgendwelche
großen Änderungen in der RBL-Szene
gelaufen?
kam mir folgende aktuelle Nachricht in den Sinn:
http://www.freep.com/apps/pbcs.dll/article?AID=/20080103/NEWS06/8010304 ...
Tschau Dreadnik
Hallo,
ok, ok, ich hatte natürlich kaum etwas über die Systemgegebenheiten preisgegeben. Der primäre MX wird in unser LAN genattet und weist auf den beschriebenen Postfix MTA. In den haben wir amavis, spamassassin und clamav reingepluggt. Der Postfix filtert schon mal mit RBLs, was passiert, wird an amavis-new, clamav, spamassassin gefüttert und kommt von da zurück. Und was noch durchkommt geht an einen Domino MTA, der dann unsere interne Struktur bildet.
Daran hat sich wirklich nix geändert. Der Provider schwört auch Stein und Bein, dass der MX-Sammler kein RBL benutzt. Jetzt könnte ich mir vorstellen, dass große Botnets die Strategie geändert haben und primäre MXe bevorzugen, anstelle bisher die sekundären. Ich müsste mal die Stats durchsehen, ob sich der Traffic vom 2nd MX so dramatisch geändert hat. Dann würde es daran liegen, dass kaum noch Nachrichten ohne RBL-Filter ankommen.
Aber das würde ich eben gerne genauer wissen.
Grüße
ok, ok, ich hatte natürlich kaum etwas über die Systemgegebenheiten preisgegeben. Der primäre MX wird in unser LAN genattet und weist auf den beschriebenen Postfix MTA. In den haben wir amavis, spamassassin und clamav reingepluggt. Der Postfix filtert schon mal mit RBLs, was passiert, wird an amavis-new, clamav, spamassassin gefüttert und kommt von da zurück. Und was noch durchkommt geht an einen Domino MTA, der dann unsere interne Struktur bildet.
Daran hat sich wirklich nix geändert. Der Provider schwört auch Stein und Bein, dass der MX-Sammler kein RBL benutzt. Jetzt könnte ich mir vorstellen, dass große Botnets die Strategie geändert haben und primäre MXe bevorzugen, anstelle bisher die sekundären. Ich müsste mal die Stats durchsehen, ob sich der Traffic vom 2nd MX so dramatisch geändert hat. Dann würde es daran liegen, dass kaum noch Nachrichten ohne RBL-Filter ankommen.
Aber das würde ich eben gerne genauer wissen.
Grüße
Abend @all,
also wir haben seit 24.12.2007 starken Zuwachs von SPAM! Und zwar um 30% (gemessen an den Tagen vor - täglich ca. 10.000 Mails). Bis zum heutigen Tag hat sich es kaum verändert. An Sylvester ging es mal zurück (auf 8.000 Mails), aber ansonsten keine Veränderungen.
Grüße
Dani
also wir haben seit 24.12.2007 starken Zuwachs von SPAM! Und zwar um 30% (gemessen an den Tagen vor - täglich ca. 10.000 Mails). Bis zum heutigen Tag hat sich es kaum verändert. An Sylvester ging es mal zurück (auf 8.000 Mails), aber ansonsten keine Veränderungen.
So eine Welle hatten wir vom 14.12. - 17.12.2007 schon mal, da ist das Aufkommen an
gefiltertem Spam für 3 Tage zusammengebrochen.
An diesen Tagen war bei uns alles wie immer...kein Einbruch zu verzeichnen. Leider gefiltertem Spam für 3 Tage zusammengebrochen.
Sind irgendwelche großen Änderungen in der RBL-Szene gelaufen?
Nicht das ich wüsste...Grüße
Dani
Moin,
Dank für den Tip, aber die Geschichte lief doch schon 2005. Könnte natürlich wieder etwas ähnliches passiert sein.
Ich muss noch mal präzisieren:
Wir haben täglich ca. 13.000 Verbindungsversuche. Die sind - statistisch bereinigt - gleich geblieben.
Der Anteil der DNSBL-getriggerten Verbindungsabweisungen hat sich offenbar geringfügig erhöht - und nimmt jetzt das Zeug mit, was früher von unserem Filter als SPAM getagged wurde. Übrig bleiben ca. 20 Nachrichten mit SPAM-Tag.
Bei den korrekt eingelieferten Geschäftsnachrichten hat sich nix geändert. Auch false negative sind nicht bekannt geworden.
Sieht eigentlich nach einer runden Sache aus.
Aber da eben - wie auch in einigen anderen Kommentaren berichtet - der SPAM ja eher zunimmt, stimmt mich das ganze besorgt und ich suche eine Erklärung, wieso ausgerechnet bei uns das perpetuum mobile läuft.
Grüße
dteam2008
Dank für den Tip, aber die Geschichte lief doch schon 2005. Könnte natürlich wieder etwas ähnliches passiert sein.
Ich muss noch mal präzisieren:
Wir haben täglich ca. 13.000 Verbindungsversuche. Die sind - statistisch bereinigt - gleich geblieben.
Der Anteil der DNSBL-getriggerten Verbindungsabweisungen hat sich offenbar geringfügig erhöht - und nimmt jetzt das Zeug mit, was früher von unserem Filter als SPAM getagged wurde. Übrig bleiben ca. 20 Nachrichten mit SPAM-Tag.
Bei den korrekt eingelieferten Geschäftsnachrichten hat sich nix geändert. Auch false negative sind nicht bekannt geworden.
Sieht eigentlich nach einer runden Sache aus.
Aber da eben - wie auch in einigen anderen Kommentaren berichtet - der SPAM ja eher zunimmt, stimmt mich das ganze besorgt und ich suche eine Erklärung, wieso ausgerechnet bei uns das perpetuum mobile läuft.
Grüße
dteam2008
Update:
Ich habe nun mal die Statistiken stärker ausgewertet und festgestellt, dass 99.6 % des nicht schon per DNSBL abgelehnten SPAMs von dem MX2 kam (da die ja wahrscheinlich keine Blacklists verwenden)
Von dem kommt seit dem 21.12. gar nix mehr, nur ein Connect-Test alle 1/4h auf unseren MX. Funktionieren tut das Ding aber, da ich mit Telnet eine Nachricht absetzen kann, die auch ankommt.
Also muss ich das Problem weiter bei dem Provider suchen (Vielleicht wissen die in der Hotline nicht, wenn ein Techniker da DNSBL einrichtet - soll ja vorkommen).
Grüße
dteam2008
Ich habe nun mal die Statistiken stärker ausgewertet und festgestellt, dass 99.6 % des nicht schon per DNSBL abgelehnten SPAMs von dem MX2 kam (da die ja wahrscheinlich keine Blacklists verwenden)
Von dem kommt seit dem 21.12. gar nix mehr, nur ein Connect-Test alle 1/4h auf unseren MX. Funktionieren tut das Ding aber, da ich mit Telnet eine Nachricht absetzen kann, die auch ankommt.
Also muss ich das Problem weiter bei dem Provider suchen (Vielleicht wissen die in der Hotline nicht, wenn ein Techniker da DNSBL einrichtet - soll ja vorkommen).
Grüße
dteam2008
Ganz großes Kino - Fall gelöst:
Techniker beim Provider hat eine Änderung durchgeführt. In der Hotline wussten die nix davon. Ich habe die Änderung im Log bemerkt, da sie nun (allerdings ganz selten) bei uns zu einem weiteren Problem beim Versand von Nachrichten führt.
Die Änderung:
Der Backup MX bekommt eine Verbindungsanforderung. Nach RCPT TO: schaut er nach, ob der Primäre MX zur Domain da ist (ach daher die nach MAIL FROM: abgebrochenen Verbindungsversuche vom Backup MX zu unserem MTA) und wenn ja, sagt er:
450 <rcpt address>: Recipient address rejected: "MX Record with highest priority is reachable. USE it." (in reply to RCPT TO command)
Genial. Spammer nutzen oft Backup MXe, weil die idR. nicht so streng geschützt sind. So müssen sie wieder auf den Primary mit seinem bösen DNSBL.
Hätte halt bloß die Hotline wissen sollen, damit sie mir nicht dreimal sagen muss, dass sich nix geändert hat und ich doch froh sein soll, dass weniger SPAM kommt.
Nun haben wir bloß noch das Problem, dass einige unserer Kunden mit Postfix und sender address verify (per RCPT TO
arbeiten und dabei wieder der Backup MX ins Spiel kommt (sicher aus Lastgründen). Nun werden Nachrichten von uns abgelehnt, weil der Backup MX mit 450 4.1.7 abbricht und daher das sender address verify misslingt.
Nagut, das kriegen wir auch noch hin.
Die Hotline hat jedenfalls um die Logs gebeten, damit sie ihren Technikern das mal zeigen können ... Wenn die linke Hand ...
Das wars.
Grüße
dteam2008
Techniker beim Provider hat eine Änderung durchgeführt. In der Hotline wussten die nix davon. Ich habe die Änderung im Log bemerkt, da sie nun (allerdings ganz selten) bei uns zu einem weiteren Problem beim Versand von Nachrichten führt.
Die Änderung:
Der Backup MX bekommt eine Verbindungsanforderung. Nach RCPT TO: schaut er nach, ob der Primäre MX zur Domain da ist (ach daher die nach MAIL FROM: abgebrochenen Verbindungsversuche vom Backup MX zu unserem MTA) und wenn ja, sagt er:
450 <rcpt address>: Recipient address rejected: "MX Record with highest priority is reachable. USE it." (in reply to RCPT TO command)
Genial. Spammer nutzen oft Backup MXe, weil die idR. nicht so streng geschützt sind. So müssen sie wieder auf den Primary mit seinem bösen DNSBL.
Hätte halt bloß die Hotline wissen sollen, damit sie mir nicht dreimal sagen muss, dass sich nix geändert hat und ich doch froh sein soll, dass weniger SPAM kommt.
Nun haben wir bloß noch das Problem, dass einige unserer Kunden mit Postfix und sender address verify (per RCPT TO
arbeiten und dabei wieder der Backup MX ins Spiel kommt (sicher aus Lastgründen). Nun werden Nachrichten von uns abgelehnt, weil der Backup MX mit 450 4.1.7 abbricht und daher das sender address verify misslingt.Nagut, das kriegen wir auch noch hin.
Die Hotline hat jedenfalls um die Logs gebeten, damit sie ihren Technikern das mal zeigen können ... Wenn die linke Hand ...
Das wars.
Grüße
dteam2008
