Welche RBLs verwendet Ihr ?

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
debianfan
Posts: 164
Joined: 2002-08-17 18:40

Welche RBLs verwendet Ihr ?

Post by debianfan » 2004-01-13 10:41

Hallo,

ich habe nachdem ich mit Viren und Spam eingedeckt wurde ein paar RBL's in meine Postfix Konfiguration genommen.

Welche nutzt Ihr ?

reject_rbl_client relays.ordb.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client blacklist.spambag.org,
reject_rbl_client dnsbl.njabl.org

nergal
RSAC
Posts: 82
Joined: 2002-05-24 09:32
Location: Mörfelden-Walldorf

Re: Welche RBLs verwendet Ihr ?

Post by nergal » 2004-01-13 11:01

Hatten wir das nicht schon mal?

Naja ich nutze nur zwei:

Code: Select all

maps_rbl_domains = relays.ordb.org, list.dsbl.org
bl.spamcop.net würde ich nicht verwenden. Sie raten ja sogar selbst davon ab diese Liste im produktiven Betrieb zu verwenden.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Welche RBLs verwendet Ihr ?

Post by dodolin » 2004-01-13 15:44

relays.ordb.org blockt viel zu wenig und außerdem sind die meisten Einträge von dort ebenso in list.dsbl.org (plus noch mehr) enthalten.

bl.spamcop.net hat prinzipbedingt zuviele False Positives, als dass man das zum Rejecten nutzen könnte (für ein paar Spamassassin-Punkte ist es aber ganz gut, IMHO).

blacklist.spamgag.org kenne ich nicht.

dnsbl.njabl.org hat viele Unterlisten, die ich nicht alle verwenden möchte, sondern höchstens ausgewählte.

dimaki
Posts: 66
Joined: 2002-11-07 14:45

Re: Welche RBLs verwendet Ihr ?

Post by dimaki » 2004-01-14 08:31

rblsmtpd -C -r relays.ordb.org -C -r relays.visi.com
-C -r sbl.spamhaus.org -C -r cbl.abuseat.org
-C -r opm.blitzed.org

relays.ordb.org gegen open relays
relays.visi.com gegen open relays
sbl.spamhaus.org gegen spam sources
cbl.abuseat.org gegen spam sources
opm.blitzed.org gegen open proxies

Funktioniert soweit eigentlich ganz gut.

debianfan
Posts: 164
Joined: 2002-08-17 18:40

Re: Welche RBLs verwendet Ihr ?

Post by debianfan » 2004-01-14 13:34

[quote="dodolin"]relays.ordb.org blockt viel zu wenig und außerdem sind die meisten Einträge von dort ebenso in list.dsbl.org (plus noch mehr) enthalten.[/quote]

list.dsbl.org blockt dummerweise Mails von Strato Mailservern - da viele bei Strato gehostet sind, hab ich damit ein Problem.....

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Welche RBLs verwendet Ihr ?

Post by dodolin » 2004-01-14 18:52

list.dsbl.org blockt dummerweise Mails von Strato Mailservern - da viele bei Strato gehostet sind, hab ich damit ein Problem.....
IPs? Wenn sie dort gelistet sind, sind es wohl offene Relays/Proxies. Insofern hätte ich da kein Problem. ;) Aber ok, jeder hat da halt eigene Ansichten dazu, deshalb kann man auch schwer sagen, diese und jene RBL ist die einzig wahre. BTW: Solche Probleme löst man im allgemeinen sowieso durch whitelisting, sofern nötig. Oder indem man den betreffenden Admin anschreibt, dass er sein Problem doch beheben möge...

mathiasr
Posts: 85
Joined: 2003-04-30 08:26
Location: Freiburg

Re: Welche RBLs verwendet Ihr ?

Post by mathiasr » 2004-03-14 08:14

Hier mal eine kleine Statistik. Ich habe auf beiden Mailservern (mx10 + mx20) folgende Server laufen lassen:

Code: Select all

maps_rbl_domains = relays.ordb.org list.dsbl.org sbl.spamhaus.org cbl.abuseat.org opm.blitzed.org relays.visi.com xbl.spamhaus.org blacklist.spambag.org
Dabei ergaben sich folgende Ergebnisse:
Es sind insgesamt 923 (nicht geblockte) Mails eingegangen, davon 358 SPAM- oder Viren-Mails.
Die Filterung hat 437 Mails zurückgewiesen, davon 324 auf mx10 und 113 auf mx20.
Die einzelnen Listen wurden wie folgt wirksam:
relays.ordb.org - 4
list.dsbl.org - 226
sbl.spamhaus.org - 154
cbl.abuseat.org - 34 (ist auch in xbl.spamhaus.org enthalten)
opm.blitzed.org - 0
relays.visi.com - 3
xbl.spamhaus.org - 14
blacklist.spambag.org - 2
Sinnvolle Mails wurden nicht ausgefiltert. Daraus ergibt sich für mich folgende neue Konfiguration, welche mir 55% der unerwünschten Mails fernhält:

Code: Select all

maps_rbl_domains = sbl-xbl.spamhaus.org list.dsbl.org relays.ordb.org relays.visi.com blacklist.spambag.org

wirsing
RSAC
Posts: 611
Joined: 2002-11-20 21:32
Location: Vaihingen und Karlsruhe

Re: Welche RBLs verwendet Ihr ?

Post by wirsing » 2004-03-14 11:52

Nach deiner Statistik komme ich auf etwa 60% Spamerkennung.
Ich halte das nicht für besonders effektiv, wenn ich bedenke, dass ich mit einem Bayes-Filter (SpamProbe) in den letzten Monaten 100% Erkennung hatte, d.h. jede Spam-Email ging in den dafür bestimmten Ordner auf dem IMAP-Server. False Positives waren nicht zu vermelden.
Und noch ein Wort zu spamcop.net: Demletzt wurden E-Mails von web.de abgelehnt.

mathiasr
Posts: 85
Joined: 2003-04-30 08:26
Location: Freiburg

maps_rbl-domains vs. SpamProbe

Post by mathiasr » 2004-03-16 06:37

Was aus der Statistik nicht hervorgeht ist, dass das gesamte Mailaufkommen nach Eintragung von maps_rbl_domains wesentlich abnimmt. Viele SPAM-Versender geben es nach ein oder zwei Fehlversuchen auf, statt 20 Mails an diverse Empfänger auf diesem Mailserver einzuliefern. Manche versuchen noch auf den zweiten Mailserver auszuweichen und geben es anschließend auf. Somit gehen trotz der Erkennungsrate von nur 60% der Einlieferungsversuche die SPAM- und Viren-Mails um mehr als 90% zurück.

Hinzu kommt ein rechtlicher Aspekt:
Jede erfolgreich angenommene Mail muss auch zugestellt werden, da sie als zugegangen gilt. Somit ist der Nutzer rechtlich verpflichtet, auch den SPAM zu sichten (und teilweise auch noch zu archivieren), um evt. Rechtsnachteile zu vermeiden. Dies kostet unnötige Zeit.

Eine Mail, deren Annahme verweigert wurde, ist auch nicht zugegangen (wie ein Faxgerät, dass nicht empfängt oder ein unzustellbarer Brief). Somit obliegt es dem Absender, die Information in geeigneter Weise neu zu übermitteln.

Ein Einsatz von Spamcop.net ist sicher hierfür dennoch nicht zu empfehlen, wenn schon Spamcop selbst davon abrät.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Welche RBLs verwendet Ihr ?

Post by dodolin » 2004-03-16 10:30

Jede erfolgreich angenommene Mail muss auch zugestellt werden, da sie als zugegangen gilt. Somit ist der Nutzer rechtlich verpflichtet, auch den SPAM zu sichten (und teilweise auch noch zu archivieren), um evt. Rechtsnachteile zu vermeiden.
Wenn sich der User der Risiken bewusst ist und diese in Kauf nimmt, kann der Admin ihm erlauben, bestimmte Mails direkt löschen zu lassen, obwohl diese angenommen wurden.

mathiasr
Posts: 85
Joined: 2003-04-30 08:26
Location: Freiburg

Re: Welche RBLs verwendet Ihr ?

Post by mathiasr » 2004-04-10 19:40

Leider sind bei dsbl.org auch diverse dynamische IP's deutscher Provider seit mehreren Wochen oder Monaten gesperrt. Sinnvoll wäre es ja, wenn diese nach 24 Stunden wieder gelöscht würden, doch dafür zeigt man dort kein Verständnis:
Every ISP in the world will have potentially different recycle times for their dynamic IPs. Many will reallocate addresses at variable times, depending on when users log in and out. It would simply not be possible to keep track of all these variations and de-list them at appropriate times.
Hier sollten sich mal die Internet-Provider selbst um Ihre IP's kümmern und dabei vielleicht auch die Verursacher ermitteln.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Welche RBLs verwendet Ihr ?

Post by dodolin » 2004-04-10 23:01

Leider sind bei dsbl.org auch diverse dynamische IP's deutscher Provider seit mehreren Wochen oder Monaten gesperrt.
a) Ã?ber Dialup-IPs kann sowieso nicht zuverlässig Mails verschicken.
b) Derjenige, der momentan die gelistete IP hat, kann sie sofort und problemlos wieder freischalten lassen.

Wo ist also das Problem?
Sinnvoll wäre es ja, wenn diese nach 24 Stunden wieder gelöscht würden, doch dafür zeigt man dort kein Verständnis
Die Antwort darauf hast du im Zitat ja schon bekommen, das geht nicht. Außerdem: Woran soll man überhaupt "Dialup" erkennen können und woher soll man wissen, wie lange man dort dieselbe IP haben darf/kann?

Ich finde, deine Forderungen sind ziemlich unrealistisch. Ich finde es gut, dass dsbl.org auch offene Dialups listet, denn so muss ich nicht komplett auf Grund einer DUL blocken und kann trotzdem sicher sein, dass die meisten offenen Dialup-Rechner sehr schnell dort gelistet werden, sobald sie offen sind und darüber was verschickt wird.

mathiasr
Posts: 85
Joined: 2003-04-30 08:26
Location: Freiburg

Re: Welche RBLs verwendet Ihr ?

Post by mathiasr » 2004-04-10 23:20

a) Man verschickt aber vom DialUp-Host über den Mailserver - und die Mail enthält anschließend auch die DialUp-IP. Dies führt häufig zu einer Kennzeichnung als SPAM oder teilweise sogar zur Ablehnung der Mail.

b) Die Freischaltung dauert 24 Stunden, also wird derjenige eher die IP wechseln, als sich freischalten zu lassen. Nur damit hat der nächste Nutzer das Problem. Im Laufe der Zeit wird ein immer größerer Teil der IP's gesperrt.

Wie? - Wenn ich nur 20 Domains abprüfe habe ich damit über 90% der deutschen dynamischen IP's erfasst.

Warum? - Vermeidung von Problemen für die Nutzer und die Datenbanken der RBL-Server werden entlastet.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Welche RBLs verwendet Ihr ?

Post by dodolin » 2004-04-11 09:55

a) Man verschickt aber vom DialUp-Host über den Mailserver - und die Mail enthält anschließend auch die DialUp-IP. Dies führt häufig zu einer Kennzeichnung als SPAM oder teilweise sogar zur Ablehnung der Mail.
Also dann muss da aber auf Empfänger-Seite was seeeehr kaputt sein. Spamassassin z.B. macht das per Default nicht, und wer eine RBL direkt einbaut, prüft auch keine Received-Header, sondern nur die einliefernde IP. Ich habe bisher noch NIE solche Probleme festgestellt. Kannst du das konkret belegen, welcher MX da Probleme macht und mal Beispiele nennen?

mathiasr
Posts: 85
Joined: 2003-04-30 08:26
Location: Freiburg

Re: Welche RBLs verwendet Ihr ?

Post by mathiasr » 2004-04-11 12:42

SPAM-Checks bei GMX, einige Mailserver (z.B. ESA.int) sowie SpamPal für Windows.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Welche RBLs verwendet Ihr ?

Post by dodolin » 2004-04-11 13:15

SPAM-Checks bei GMX
Ist der dann nur falsch, wenn ein GMX-User über die GMX-Server an einen anderen GMX-User sendet, oder auch, wenn ein externer User über seinen Smarthost (z.b. T-Online, 1&1) was an GMX-User schickt? Gibt das dann nicht nur ein paar Strafpunkte oder wird da direkt was geblockt?

GMX und Co. halte ich in dieser Hinsicht eh für ziemlich merkbefreit. Die meisten Spamchecks lassen sich vom User abschalten, aber leider kapieren wohl 99% der GMX-User nicht, was solche Spamchecks überhaupt genau machen. Wenn ich mit GMX-Usern kommunizieren will, nehme ich darauf ehrlich gesagt keine Rücksicht, wenn mein Setup "in Ordnung" ist. Sollen die User selbst sehen, wie sie an meine Mails kommen, wenn sie z.B. im Spamverdacht landen...

Edit: Da ich keinen GMX-Account habe: Hättest du mal nen Beispiel-Header dafür? Würde mich interessieren, was die da wieder für nen Mist verzapfen... ;)

mathiasr
Posts: 85
Joined: 2003-04-30 08:26
Location: Freiburg

Re: Welche RBLs verwendet Ihr ?

Post by mathiasr » 2004-04-11 14:27

Es geht um Mails, die über einen meiner Server an einen GMX-User verschickt wurden und dort im Spamverdacht landeten. GMX prüft wohl sämtliche IP's aus dem Header ab, nicht nur den Einlieferer. Dafür verweisen sie darauf, dass die Kunden schließlich auch den SPAM-Verdachts-Ordner prüfen müssten.
Den Vorgang haben wir inzwischen gelöscht, da es Kundenmails waren (Datenschutz).
Um das künftig zu vermeiden läuft jetzt auch auf dem Postausgangsserver ein maps_rbl_domains. Somit gehen die Mails erst gar nicht beim Kunden raus und er wählt neu ein.
Statt an den Wirkungen zu doktorn wäre es doch sinnvoller sich den Ursachen zu widmen. Einfach nach 24 Stunden oder mindestens monatlich sämtliche dynamischen IP's löschen mindert das Problem und entlastet gleichzeitig die RBL-Server.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Welche RBLs verwendet Ihr ?

Post by dodolin » 2004-04-11 14:47

Statt an den Wirkungen zu doktorn wäre es doch sinnvoller sich den Ursachen zu widmen
Dann verwechsle mal nicht Wirkung und Ursache. Ich halte die Merkbefreitheit von GMX für die Ursache, falls das so stimmt, wie du den Sachverhalt darstellst. Und ich finde die Einstellung von dsbl.org sehr gut. Ich hatte mit den Jungens auch mal kurzen Kontakt im IRC, die sind echt ok und versuchen sich wirklich streng an ihre Policy zu halten und jegliche FP (im Sinne ihrer Policy) zu vermeiden. So sollte eine RBL geführt werden, strikt nach Policy! Wem diese nicht passt, der muss die DNSBL ja nicht verwenden...

Aber ich sehe schon, wie werden hier nicht auf ne gemeinsame Meinung kommen, ist ok. :)

kasi4u
Posts: 116
Joined: 2002-08-12 22:34
Location: Leipzig

mein RBL

Post by kasi4u » 2004-04-11 15:26

Hallo,

also ich habe mit meinen RBL-Einstellungen nur einen sehr sehr mäßigen Erolg:

maps_rbl_domains =
sbl.spamhaus.org,
sbl-xbl.spamhaus.org,
relays.ordb.org,
relays.visi.com,
unconfirmed.dsbl.org,
bl.dodolin.de,
list.dsbl.org,
opm.blitzed.org,
blacklist.spambag.org

Vielleicht könnt ihr mir ja ein wenig helfen,
danke,
Karsten

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Welche RBLs verwendet Ihr ?

Post by dodolin » 2004-04-11 17:23

sbl.spamhaus.org,
sbl-xbl.spamhaus.org
Das ist redundant und damit überflüssig.
relays.ordb.org
Die bringt heutzutage IMHO eh nicht viel.
relays.visi.com
Lebt die noch/wieder?
unconfirmed.dsbl.org
Würde ich nicht zum harten blocken nehmen, FP-Gefahr.
bl.dodolin.de
Die kann eh nicht öffentlich abgefragt werden und ist damit ebenso sinnfrei. Nebenbei enthält sie nur ganz wenige Testeinträge, als ich mit sowas mal rumgespielt habe.
opm.blitzed.org
Die ist ziemlich deckungsgleich mit list.dsbl.org und damit IMHO auch fast überflüssig.
blacklist.spambag.org
Kenn ich nicht. Taugt die wirklich was?

Wenn du wirklich viel vom heutigen Spam- und Wurmschrott per DNSBL erschlagen willst, denke über eine DUL nach, wäge aber gut ab, ob du das wirklich haben willst. Ansonsten rate ich zu inhaltsbasierten Filtern wie Spamassassin, denn alleine mit DNSBLs kann man wohl prinzipbedingt nicht alles erschlagen, außer man hat ne DNSBL, die 0.0.0.0 listet. ;)

mathiasr
Posts: 85
Joined: 2003-04-30 08:26
Location: Freiburg

Re: Welche RBLs verwendet Ihr ?

Post by mathiasr » 2004-04-11 17:24

@Dodolin
Es sollte ein gemeinsames Interesse vorhanden sein, das umzustellen. Es nützt sicher auch DNSBL wenig, wenn Sie die Datenbank mit dynamischen IP's zumüllen, zumal moderne Spammer die IP alle paar Minuten wechseln. Da wir hier die 24-Stunden-Zwangstrennung haben erscheint es doch sinnvoll, diesen Datenmüll per Script in regelmäßigen Abständen zu entfernen - es entlastet die Datenbanken und erspart unseren Kunden Ã?rger.
Andererseits ist es natürlich auch möglich, die jeweiligen Teilnehmer zu ermitteln. Hier befinden sich die ISPs aber sicher im Interessenkonflikt - schließlich verkaufen sie auch Volumentarife.

@Kasi4u
Schau mal auf die erste Seite, da habe ich eine kleine Statistik über die Server gemacht.

@all
Btw. - neuerdings habe ich vielfach Mails an Adressen der Form
<POP3-Benutzername>@<POP3-Mailservername>
z.B. "kunde-1@pop.meinmailserver.de".
Woher haben Spammer diese Angaben? Gibt es möglicherweise Trojaner, die diese Angaben übermitteln?

kasi4u
Posts: 116
Joined: 2002-08-12 22:34
Location: Leipzig

Re: Welche RBLs verwendet Ihr ?

Post by kasi4u » 2004-04-11 18:45

Hallo,

vielen Dank für eure Hilfe.

Mein RBL's sind nun auf allen Servern:

Code: Select all

maps_rbl_domains = sbl-xbl.spamhaus.org list.dsbl.org relays.ordb.org relays.visi.com blacklist.spambag.org
so gestaltet, sodass ich ein klein wenig mehr Hoffnung habe, weniger Müll zu erhalten. Es ist wirklich eine Plage dieser SPAM - jedoch gebe ich nicht auf. Irgendwann habe ich das "non-plus-ultra" als Lösung gegen SPAM und kann mich wieder wichtigeren Dingen widmen.

Wer mir einen guten Tipp geben kann, wie ich postfix und SA zur glücklichen Ehe überreden kann, dem bin ich sehr sehr dankbar... hier im Forum habe ich viele Ansätze gelesen, aber bei mir funktioniert leider keiner :x

Gruß,
Karsten

ffl
Userprojekt
Userprojekt
Posts: 269
Joined: 2002-10-23 08:28
Location: Karlsruhe

Re: Welche RBLs verwendet Ihr ?

Post by ffl » 2004-04-12 12:35

http://www.advosys.ca/papers/postfix-filtering.html

Sehr gutes Howto, auch mit dem Anomy Sanitizer drin. Läuft bei mir seit gestern produktiv, nachdem ich in einer Nacht und Nebel-Aktion mein Mailsystem von Sendmail auf Postfix mit Maildir, Courier-IMAP inkl. SSL und eben diesem Filterskript umgestellt habe.

SA läuft genauso problemlos wie vorher unter Sendmail und das tolle ist, es werden nur Mails gefiltert, die auf meinen Server eingeliefert werden, ausgehende Mails bleiben verschont. Macht ja auch keinen Sinn :)

Ganz nette Statistik: http://www.ff-newmedia.net/cgi-bin/mailgraph.cgi

Viel Spaß damit :)

Gruß
ff

User avatar
nyxus
RSAC
Posts: 697
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Welche RBLs verwendet Ihr ?

Post by nyxus » 2004-04-15 00:32

Um mal eine weitere Blacklist ins Spiel zu bringen:

http://www.heise.de/ix/foren/go.shtml?r ... m_id=48292

Habe ich selbst zwar noch nicht drin, werde ich mir aber in nächster Zeit genauer anschauen.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Welche RBLs verwendet Ihr ?

Post by dodolin » 2004-04-15 02:57

@Nyxus: Gibts dazu auch ne offizielle Seite? Weil ohne Listing- bzw. Delisting-Policy kommt mir keine DNSBL ins Haus! Und nein, "gefällt den iX-Redakteuren" ist keine Policy, die ich verwenden würde. ;)