Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Dramatischer Rückgang von Spams in unseren Filtern

Frage Internet E-Mail

Mitglied: dteam2008

dteam2008 (Level 1) - Jetzt verbinden

04.01.2008, aktualisiert 09.01.2008, 6185 Aufrufe, 7 Kommentare

Wir suchen nach möglichen Ursachen

Wir haben für unsere Spamfilterung eine Lösung mit Postfix+amavis_new+clamav am Laufen.

Seit 22.12.2007 ist der Spam, der noch bei amavis ankommt, dramatisch zurückgegangen. Unser normales tägliches Mailaufkommen (korrekt zugestellte Nachrichten: ca. 300 / Arbeitstag) ist gleich geblieben.


6819f9f0303ae60a441debc2eb4fff20-passed-monthly - Klicke auf das Bild, um es zu vergrößern
Statistiken mit amavis-stats

Bei uns gab es keine Änderung im Filter. Irgendwie habe ich bei so einer Sache ein mulmiges Gefühl. Also beim Provider nachgefragt, dort haben wir unseren sekundären MX laufen und von dem kommt normalerweise der Großteil des Filterfutters (da kein RBL): Auch keine Änderung.

Nicht dass ich mich nach Spam sehne, aber bei solch einer Auffälligkeit möchte ich gerne mehr wissen.

Die Anzahl der Zustellversuche von SMTP-Clients zu unserem Postfix ist ungefähr gleich (tägl. ca. 13.000) geblieben, nur wird das meiste aufgrund von RBLs abgewiesen. Durch unsere Filter werden jetzt täglich nurmehr ca. 25 Spams ausgefiltert. False Negative gibt es quasi nicht.

So eine Welle hatten wir vom 14.12. - 17.12.2007 schon mal, da ist das Aufkommen an gefiltertem Spam für 3 Tage zusammengebrochen. Dann hatten wir kurz wieder die alten Zahlen (ca. 800 Nachrichten im Filter, 300 korrekt, 500 Spam)

Weiß jemand, was da draußen läuft? Hat noch einer eine solche Änderung im Aufkommen? Sind irgendwelche großen Änderungen in der RBL-Szene gelaufen?

Grüße
dteam2008
Mitglied: sansibarius
04.01.2008 um 17:53 Uhr
Bei mir kann ich keine Aenderungen feststellen, Spamtendenz eher leicht steigend, über die Feiertage teilweise 99% und 100%... was natürlich klar ist, da ja ausser den Spammern keiner arbeitet.

Also du hast an deiner Konfig nichts geändert? Keine anderen Filterregeln, Reihenfolgen, Software-Updates, etc etc?
Dann kann die Ursache eigentlich nur vor deinem LAN liegen.
Kommen die Mails auf dem primären MX direkt rein, also ohne vorgeschalteten ISP oder ähnliches?
Dann denke ich mal, dass der ISP des sekundären MX einen SPAM-Filter geschaltet hat. Gut möglich, dass der ISP-Support nicht weiss, was seine Techniker basteln.
Oder die andere Möglichkeit ist natürlich, dass der sekundäre MX down ist und von dorther gar keine Mails reinkommen, hast du das schon mal überprüft?
Ist das ein normaler POP-account, welcher per PopCon oder ähnlichen Tools an den Exchange gefüttert wird?
Ein POP-Konto kannst du ja mit jedem Email-Programm überprüfen oder sogar mit telnet.
Wenn du einen einigermassen guten ISP hat, bietet der sicher auch Webmail. Dort kannst du schauen, ob Mails warten und ob evtl. ein SPAM-Ordner vorhanden ist.
Wenn ihr eure Website beim gleichen ISP hostet, gibts vielleicht auch entsprechende (neue) Einstellungen in der Serververwaltungsoberfläche, Control Panel oder wie das Ding auch immer heisst.

Viel Glück beim Spam suchen.
Bitte warten ..
Mitglied: dreadnik
04.01.2008 um 18:00 Uhr
Hallo dteam2008,

zu deiner Frage:

Weiß jemand, was da draußen
läuft? Hat noch einer eine solche
Änderung im Aufkommen? Sind irgendwelche
großen Änderungen in der RBL-Szene
gelaufen?

kam mir folgende aktuelle Nachricht in den Sinn:

http://www.freep.com/apps/pbcs.dll/article?AID=/20080103/NEWS06/8010304 ...

Tschau Dreadnik
Bitte warten ..
Mitglied: dteam2008
04.01.2008 um 18:03 Uhr
Hallo,

ok, ok, ich hatte natürlich kaum etwas über die Systemgegebenheiten preisgegeben. Der primäre MX wird in unser LAN genattet und weist auf den beschriebenen Postfix MTA. In den haben wir amavis, spamassassin und clamav reingepluggt. Der Postfix filtert schon mal mit RBLs, was passiert, wird an amavis-new, clamav, spamassassin gefüttert und kommt von da zurück. Und was noch durchkommt geht an einen Domino MTA, der dann unsere interne Struktur bildet.

Daran hat sich wirklich nix geändert. Der Provider schwört auch Stein und Bein, dass der MX-Sammler kein RBL benutzt. Jetzt könnte ich mir vorstellen, dass große Botnets die Strategie geändert haben und primäre MXe bevorzugen, anstelle bisher die sekundären. Ich müsste mal die Stats durchsehen, ob sich der Traffic vom 2nd MX so dramatisch geändert hat. Dann würde es daran liegen, dass kaum noch Nachrichten ohne RBL-Filter ankommen.

Aber das würde ich eben gerne genauer wissen.

Grüße
Bitte warten ..
Mitglied: Dani
04.01.2008 um 19:53 Uhr
Abend @all,

also wir haben seit 24.12.2007 starken Zuwachs von SPAM! Und zwar um 30% (gemessen an den Tagen vor - täglich ca. 10.000 Mails). Bis zum heutigen Tag hat sich es kaum verändert. An Sylvester ging es mal zurück (auf 8.000 Mails), aber ansonsten keine Veränderungen.

So eine Welle hatten wir vom 14.12. - 17.12.2007 schon mal, da ist das Aufkommen an
gefiltertem Spam für 3 Tage zusammengebrochen.
An diesen Tagen war bei uns alles wie immer...kein Einbruch zu verzeichnen. Leider

Sind irgendwelche großen Änderungen in der RBL-Szene gelaufen?
Nicht das ich wüsste...


Grüße
Dani
Bitte warten ..
Mitglied: dteam2008
07.01.2008 um 09:36 Uhr
Moin,

Dank für den Tip, aber die Geschichte lief doch schon 2005. Könnte natürlich wieder etwas ähnliches passiert sein.

Ich muss noch mal präzisieren:
Wir haben täglich ca. 13.000 Verbindungsversuche. Die sind - statistisch bereinigt - gleich geblieben.

Der Anteil der DNSBL-getriggerten Verbindungsabweisungen hat sich offenbar geringfügig erhöht - und nimmt jetzt das Zeug mit, was früher von unserem Filter als SPAM getagged wurde. Übrig bleiben ca. 20 Nachrichten mit SPAM-Tag.

Bei den korrekt eingelieferten Geschäftsnachrichten hat sich nix geändert. Auch false negative sind nicht bekannt geworden.

Sieht eigentlich nach einer runden Sache aus.

Aber da eben - wie auch in einigen anderen Kommentaren berichtet - der SPAM ja eher zunimmt, stimmt mich das ganze besorgt und ich suche eine Erklärung, wieso ausgerechnet bei uns das perpetuum mobile läuft.

Grüße
dteam2008
Bitte warten ..
Mitglied: dteam2008
08.01.2008 um 09:57 Uhr
Update:
Ich habe nun mal die Statistiken stärker ausgewertet und festgestellt, dass 99.6 % des nicht schon per DNSBL abgelehnten SPAMs von dem MX2 kam (da die ja wahrscheinlich keine Blacklists verwenden)

Von dem kommt seit dem 21.12. gar nix mehr, nur ein Connect-Test alle 1/4h auf unseren MX. Funktionieren tut das Ding aber, da ich mit Telnet eine Nachricht absetzen kann, die auch ankommt.

Also muss ich das Problem weiter bei dem Provider suchen (Vielleicht wissen die in der Hotline nicht, wenn ein Techniker da DNSBL einrichtet - soll ja vorkommen).

Grüße
dteam2008
Bitte warten ..
Mitglied: dteam2008
09.01.2008 um 09:44 Uhr
Ganz großes Kino - Fall gelöst:

Techniker beim Provider hat eine Änderung durchgeführt. In der Hotline wussten die nix davon. Ich habe die Änderung im Log bemerkt, da sie nun (allerdings ganz selten) bei uns zu einem weiteren Problem beim Versand von Nachrichten führt.

Die Änderung:
Der Backup MX bekommt eine Verbindungsanforderung. Nach RCPT TO: schaut er nach, ob der Primäre MX zur Domain da ist (ach daher die nach MAIL FROM: abgebrochenen Verbindungsversuche vom Backup MX zu unserem MTA) und wenn ja, sagt er:
450 <rcpt address>: Recipient address rejected: "MX Record with highest priority is reachable. USE it." (in reply to RCPT TO command)

Genial. Spammer nutzen oft Backup MXe, weil die idR. nicht so streng geschützt sind. So müssen sie wieder auf den Primary mit seinem bösen DNSBL.

Hätte halt bloß die Hotline wissen sollen, damit sie mir nicht dreimal sagen muss, dass sich nix geändert hat und ich doch froh sein soll, dass weniger SPAM kommt.

Nun haben wir bloß noch das Problem, dass einige unserer Kunden mit Postfix und sender address verify (per RCPT TO arbeiten und dabei wieder der Backup MX ins Spiel kommt (sicher aus Lastgründen). Nun werden Nachrichten von uns abgelehnt, weil der Backup MX mit 450 4.1.7 abbricht und daher das sender address verify misslingt.

Nagut, das kriegen wir auch noch hin.

Die Hotline hat jedenfalls um die Logs gebeten, damit sie ihren Technikern das mal zeigen können ... Wenn die linke Hand ...

Das wars.

Grüße
dteam2008
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Batch & Shell
gelöst Get-WmiObject, nach Netzwerkadapter filtern (11)

Frage von Flodsche zum Thema Batch & Shell ...

Windows Server
Ereignisanzeige - Nach verschobenen Dateien filtern (1)

Frage von Stecken zum Thema Windows Server ...

Microsoft Office
EXCEL VBA Termindaten aus Tabelle Filtern

Frage von t3jxbus zum Thema Microsoft Office ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...