RootForum Community

Hallo,

leider bin ich auch nach Jahren noch nicht wirklich begeistert von den derzeit existierenden Spamfiltern und bekomme trotz Spamfilter-Einsatz täglich ca. 30 Spam Mails die nicht herausgefischt wurden. Andererseits verfängt sich pro Woche mind. 1 erwünschte Mail in meinem Spamfilter.

Ich habe mir deshalb schon öfter Gedanken gemacht, ob es nicht andere Wege gäbe, die weg von Filtern gehen.
Dazu ist mir folgender ganz simple Ansatz eingefallen und ich würde gerne mal Eure Meinung dazu hören, ob sowas funktionieren könnte. Denn in der Zeit, die ich für die Optimierung der ganzen Spam Filter bereits verschwendet habe, hätte ich eine solche Lösung bereits 3x programmiert.

Also:
Es sollte ein Minimal-Mailserver entstehen, der verschiedene Nutzeraccounts verwaltet.
Hierbei gibt es für jeden Nutzer eine Whitelist von EMail Adressen, zu denen bereits selbst EMails verschickt wurden. Diese Absender werden ohne weiteres angenommen und zugestellt.

Die Überprüfung ob eine EMail erwünscht ist, erfolgt dabei wirklich NUR über die Absender EMail Adresse.

Erreicht den Mailserver eine EMail von unbekanntem Absender, so wird diese erstmal in eine Warteliste gestellt und noch nicht zugestellt.
Gleichzeitig versendet der Mailserver eine EMail an den Absender, dass die Mail noch nicht zugestellt wurde, und noch eine Verifikation nötig ist. Dazu wird ein Link mit einer eindeutigen Kennung an die EMail angehängt, den der Versender bitte ansurfen soll.
Dieser Link führt zu einer Verfifikationsseite, die der Server selbst bereitstellt (ein Webserver ist also ebenfalls im Mailserver enthalten). Darauf findet sich dann ein Captcha oder ähnliches, um zu bestätigen, dass die Mail wirklich von einem Menschen kam. Dieses muss dann natürlich wirklich "Bot-Safe" sein ;-)

Wird das Captcha erfolgreich eingegeben, wird die ursprüngliche Mail zugestellt und der Versender landet auf der Whitelist.

Bezüglich des Empfangs von erwünschten Newslettern habe ich mir gedacht, dass jeder Nutzer des Mailservers über den integrierten Webserver auf eine Konfigurationsseite kommt, wo er seine Whitelist anpassen/editieren kann.
Die Verifikationsmail sollte auch erst ca. 5 Minuten nach dem Eintreffen der ursprünglichen EMail verschickt werden. Das ermöglicht es mir z.B., dass ich mich auf einer Internetseite anmelde wo ich meine EMail Adresse bestätigen muss.
Hierbei logge ich mich in meiner Konfiguration ein, und sehe in einer separaten Liste alle EMails, die derzeit noch in der Warteschleife hängen. Wenn ich dann die eben erhaltene Bestätigungsmail der Internetseite auf meine Whiteliste ziehe, wird hier keine Verifikationsnachricht versendet.

Die einzige überprüfung ob eine EMail zugestellt wird, hängt also wirklich nur an der Absender-EMail Adresse.
Und kein Spambot weiss, von welchen EMail Adressen ich EMails akzeptiere. Zufällige Treffer durch erratene Absenderadressen schliesse ich mehr oder weniger aus.

Was denkt ihr über diesen eigentlich super simplen Ansatz. Wenn ich keinen Denkfehler habe, sollte das die Spamproblematik doch mit minimalem Aufwand für immer besteitigen. Und ich denke es ist einmalig absolut zumutbar, wenn ich meine "Menschlichkeit" mit der Eingabe eines Captchas bestätigen muss, bevor ich das erste Mail eine EMail an jemanden versende.

Ohne die vorigen Beiträge im Detail gelesen zu haben, möchte ich mal auf http://www.rootforum.org/forum/viewtopi ... 63&t=46194 verweisen.

Kennst du das nette Spam-Formular von /.? Das könnte man für deinen Vorschlag im Prinzip auch schnell ausfüllen.

evilh wrote:Die Überprüfung ob eine EMail erwünscht ist, erfolgt dabei wirklich NUR über die Absender EMail Adresse.

Erstes Problem: Wie ermittelst du sicher den Absender einer E-Mail? Anhand der Header? Die sind leicht fälschbar. Anhand des einliefernden Servers? Was ist, wenn sich das Setup des einliefernden Providers ändert?

evilh wrote:Erreicht den Mailserver eine EMail von unbekanntem Absender, so wird diese erstmal in eine Warteliste gestellt und noch nicht zugestellt.

Zweites Problem: Du hast die E-Mail damit angenommen und bist für deren Zustellung verantwortlich.

evilh wrote:Gleichzeitig versendet der Mailserver eine EMail an den Absender, dass die Mail noch nicht zugestellt wurde, und noch eine Verifikation nötig ist.

Drittes Problem: Ich schicke 2^20 E-Mails mit gefälschtem, aber existierendem Absender an dein System. Du landest damit auf allen Blocklisten, die so gebräuchlich sind.

Challenge-Response-Verfahren wie TMDA für den E-Mail-Verkehr sind *Pfui*!

evilh wrote:Dazu wird ein Link mit einer eindeutigen Kennung an die EMail angehängt, den der Versender bitte ansurfen soll.

Viertes Problem: Werden unbedarfte Benutzer nicht dahingehend trainiert, bloß keine Links aus fremden E-Mails anzuklicken? Was machst du, wenn der E-Mail-Server des Absenders gerade defekt ist und keine Mails annimmt? Was machst du, wenn die Bestätigungs-E-Mail defekt ankommt oder verloren geht? Das ist heutzutage selten, aber möglich. Die E-Mail verkümmert dann in deiner Warteschlange bzw. wird gebounced, was spätestens dann zum Schaden der Unbeteiligten geht, deren E-Mail-Adresse als Absender eingetragen wurde.

evilh wrote:Dieser Link führt zu einer Verfifikationsseite, die der Server selbst bereitstellt (ein Webserver ist also ebenfalls im Mailserver enthalten).

Fünftes Problem: Ich (D)DoSse deinen Webserver. Damit erhältst du keine E-Mails mehr.

evilh wrote:Darauf findet sich dann ein Captcha oder ähnliches, um zu bestätigen, dass die Mail wirklich von einem Menschen kam. Dieses muss dann natürlich wirklich "Bot-Safe" sein ;-)

Sechstes Problem: In Dritte-Welt-Ländern und Asien sind Arbeitskräfte erstaunlich günstig und menschlich...

evilh wrote:Hierbei logge ich mich in meiner Konfiguration ein, und sehe in einer separaten Liste alle EMails, die derzeit noch in der Warteschleife hängen.

Das klappt, wenn du genau zu dem Zeitpunkt von genau dem Absender erwartest. Ansonsten übersiehst du potentiell erstmal eine solche Neueintragung in deiner Whitelist.

evilh wrote:Was denkt ihr über diesen eigentlich super simplen Ansatz.

Ich denke der "super simple Ansatz" ist super kaputt.

Hallo,

es gibt nur eine wirklich wirksame Maßnahme gegen Spam:

keiner kauft mehr den per Spam beworbenen Ramsch, keiner installiert mehr den per Spam erhaltenen Trojaner und keiner trägt mehr seine vertraulichen Daten in ein per Spam erhaltenes Formular ein.

Wenn die Spammer ihre Ziele nicht mehr erreichen, dann ist Schuß, nicht früher und nicht später. Gilt natürlich auch für Papier- und Telefonspam.

evilh wrote:Die einzige überprüfung ob eine EMail zugestellt wird, hängt also wirklich nur an der Absender-EMail Adresse.

und die ist bei Spam üblicherweise falsch aber meistens eine real existierende Adresse.

Wer einmal als Absender für Spam mißbraucht wurde und Hunderte bis Tausende der von Dir erfundenen Verifikationsmails erhalten hat, der wird eine echte Verifikationsmail nicht mehr beachten.

In wie vielen Sprachen möchtest Du die Verifikationsmail versenden? Nicht jeder Internetnutzer kann englisch.

Gruß, Wolfgang

Hallo,

matzewe01 wrote:Und schon zahlt die Konkurenz horende Summen dafür deren Produkt per SPAM Mail zu bewerben.

na klar. Wenn dann auch keiner kauft sind auch diese Summen fehlinvestiert. Paar Monate bis die Anbieter kapieren, daß über Spam nix mehr abzusetzen ist und dann ist Ruhe.

Gruß, Wolfgang

Hallo,

matzewe01 wrote:Wenn Deine Idee so klappt, werbe ich halt für meine Konkurenz.

wenn den Spam endlich keiner mehr liest ist es egal, wofür darin geworben wird.

Gruß, Wolfgang

Ich habe auch schon über zig verschiedene Möglichkeiten nachgedacht, doch so eine ultimative Lösung gibt es nicht, aber man kann gut kombinieren. Vorher hatte ich nur Spamassassin eingesetzt und es gingen ca. 400 Spam Emails im Monat durch, jetzt sind nicht mehr als 10.

Meine Lösung:
- Emails von Usern werden nur noch auf Port 587 angenommen
- für Port 25 verwende ich jetzt diese DNSBL (Siehe unten)
- Spamassassin verwenden, gut angelernt fischt der mit der 4 Punkte Einstellung fast alles raus was durchkommt
- Spam an Spamcop melden und immer eine Abuse Mail schreiben wenn der Spamserver in Deutschland steht

zen.spamhaus.org (Darf auch von kleinen Firmen verwendet werden, allerdings immer erst fragen!);
ix.dnsbl.manitu.net;
bl.spamcop.net;
dyna.spamrats.com;
Nur diese Listen von sorbs.net verwenden, auf den anderen Listen landen sehr oft Hosts von denen man Emails annehmen möchte.
dul.dnsbl.sorbs.net;
smtp.dnsbl.sorbs.net;
socks.dnsbl.sorbs.net;
misc.dnsbl.sorbs.net;
http.dnsbl.sorbs.net