Es ist 30 Jahre her, dass die Spam-Mail verschickt wurde. Am 3 Mai 1978 hatte der US-Computer-Händler DEC an 600 User Werbe-Mails für seinen neuen DEC-Computer verschickt.
85% aller Spam kommen aus 6 Bot-Netzen
Laut des Marshal TRACE-Teams verteilt sich die Spam-Mails aktuell auf die Botnetze wie folgt:
Srizbi 39%
Rustock 20%
Mega-D 11% 35.000 Zombies
Hacktool.Spammer 7%
Pushdo 6%
Storm.Worm 2% 85.000 Zombies
Hierbei sei bemerkt, daß Mega-D im Januar noch für ein 1/3 aller Spam verantwortlich war aber wegen Ausfall des zentralen Servers einen deutlichen Rückfall erlitten hat.
Via: SSF
Neue Regeln für SpamAssassin
Die mitgelieferten Regelsätze von Spamassassin sind schon recht gut, aber kann diese noch verbessern, in dem man externe Regelwerke einpflegt.
Zu erst installieren wir die benötigten Paket für Netzwerkbasierte Tests:
apt-get install libnet-dns-perl razor pyzor dcc-client dcc-common
Damit SpamAssassin in Zukunft die neuen Regeln verwendet, müssen die externen Regelwerke als Channels eingetragen werden.
Zuerst die GPG-Keys herunterladen und installieren:
wget http://daryl.dostech.ca/sa-update/sare/GPG.KEY
gpg –import GPG.KEY
sa-update –import GPG.KEY
rm GPG.KEY
wget http://spamassassin.apache.org/updates/GPG.KEY
gpg –import GPG.KEY
sa-update –import GPG.KEY
rm GPG.KEY
wget http://yerp.org/rules/GPG.KEY
gpg –import GPG.KEY
sa-update –import GPG.KEY
Nun legt man eine Datei an, in der die Channels hinterlegt werden:
touch /etc/spamassassin/sare-sa-update-channels.txt
In diese Datei packt man die Quellen der externen Regelwerke:
updates.spamassassin.org
70_sare_stocks.cf.sare.sa-update.dostech.net
70_sare_adult.cf.sare.sa-update.dostech.net
70_sare_spoof.cf.sare.sa-update.dostech.net
70_sare_bayes_poison_nxm.cf.sare.sa-update.dostech.net
70_sare_genlsubj_x30.cf.sare.sa-update.dostech.net
70_sare_oem.cf.sare.sa-update.dostech.net
70_sare_random.cf.sare.sa-update.dostech.net
70_sare_specific.cf.sare.sa-update.dostech.net
70_zmi_german.cf.zmi.sa-update.dostech.net
88_FVGT_Bayes_Poison.cf.sare.sa-update.dostech.net
88_FVGT_Tripwire.cf.sare.sa-update.dostech.net
88_FVGT_rawbody.cf.sare.sa-update.dostech.net
88_FVGT_subject.cf.sare.sa-update.dostech.net
chickenpox.cf.sare.sa-update.dostech.net
sought.rules.yerp.org
Um die Channels gleichzeitig updaten zu können braucht es nun noch ein Key-File:
touch /etc/spamassassin/keys
in dem die Keys stehen:
echo 856AA88A >> /etc/spamassassin/keys
echo 5244EC45 >> /etc/spamassassin/keys
echo 6C6191E3 >> /etc/spamassassin/keys
Nun kann man mit
sa-update -D –channelfile /etc/spamassassin/sare-sa-update-channels.txt –gpgkeyfile /etc/spamassassin/keys
die Regelsätze herunterladen und im späteren mit dem selben Befehl auf Stand halten. Vor dem Neustart von Spamassasin ist dringenden ein
spammassassin -D –lint
angesagt um Fehler im Regelwerk rechtzeitig zu erkennen.
Das ganze sollte man aber mit etwas Vorsicht genießen, sonst wird SpamAssassin zu einem RAM fressenden Monster.
Dieses Howto basiert auf der Anleitung von Jörn Seemann.
Blacklists rennen dem Spam hinterher
Nett! Eine Studie in Zusammenarbeit der FH Gelsenkirchen und dem von Heise betriebenen iX-Blacklist-Server zeigt, daß es Spam-Versendern in den meisten Fällen gelingt, IP-Adressen für so kurze Zeit zu nutzen, dass sich ein Eintragen auf Blacklists nach wenigen Stunden oder gar Tagen kaum mehr lohnt.
Quelle: heise Security
SPAMORNOT
Interessant ist der von MSRBL angebotene Service SPAMORNOT. Hier können Besucher Bilder nach dessen Spam-Level bewerten. Die daraus resultierenden Ergebnisse fließen dann in die Signaturen für ClamAV ein, so dass man eine ziemlich genaue Erkennung für diese Bilder erhält.
IP-Blacklisting kann rechtswidrig sein
Dem Betreiber eines gewerblich genutzten Mailservers steht es nur in sehr begrenzten Ausnahmefällen zu, die Annahme fremder E-Mails - etwa mittels einer DNS-Blacklist - zu unterbinden.
Quelle: heise online
T5F
Über den Vortrag “Spamfilter” von Charly Kühnast auf dem Ubucon 2007 bin ich auf T5F aka TFFFFF aka TFFFF aufmerksam geworden. Mit diesem freundlichen Folterfragebogen kann man so machen deutschem Spammer richtig schön ans Bein pissen.
Nach PDF nun XLS Spam
Die Lösung von SaneSecurity, also deren Viren-Pattern, die ich gegen PDF-Spam einsetze, hilft auch sehr gut gegen diesen XLS-Spam.
PDF Spam bekämpfen
Nachdem ich vor kurzem Postfix mit ClamAV verheiratet habe, kann man diese Zwangsehe sehr gut zum bekämpfen von PDF Spam benutzen. Leider erkennt SpamAssassin diesen Spam nicht. Doch da ClamAV über eine sehr flexible ScanEngine verfügt, die nicht nur Viren, sondern auch Pishing Mails erkennen kann, nutzen wir diese. Steve Basford pflegt schon seit längeren mit SaneSecurity eigene Datenbanken für ClamAV welche mehr Phishing Mail und Scams filtern als es die originalen Datenbanken tun. Die Installation geht recht einfach. Eines der Skripte downloaden, ich habe mir für das von Gerard Seibert entschieden, die Installationsanleitung im Kopf des Skriptes lesen und das wars dann.
Migrationswoche
Irgendwie ist bei mir derzeit eine Migrationswoche. Am Montag erfolgte die Umstellung des Weblogs von Sunlog nach Wordpress. Gestern war dann der letzte Rootserver mit VHCS an der Reihe. Dort wurde VHCS nach Confixx migriert. Auf dem Server ist derzeit noch Courier POP3/IMAP installiert, was ich aber am Wochenende durch qpopper ersetzen werde. Postfix muss auch noch etwas frisiert werden. Ich will auf dem Server auch eine selektive Envelope-sender Überprüfung einbauen. Bisher habe ich damit sehr gute Erfahrungen gemacht, und in Verbindung mit Greylisting, SPF, Blacklists, ClamAV und SpamAssassin kommt nicht mehr soviel ungewollter Müll im Postfach an.
RFC gegen Spam
Die Internet Engineering Task Force (IETF) hat im RFC 4871 ein Anti-Spam-Protokoll veröffentlicht. Es stützt sich auf eine Technik namens Domainkeys Identified Mail (DKIM), die als Vorschlag seit dem Jahr 2005 von der IETF diskutiert wurde. DKIM entstand aus dem Domainkeys-Vorschlag von Yahoo und dem Entwurf von Cisco zu Internet Identified Messages - an der Entwicklung sind außerdem weitere Firmen wie Sendmail und PGP Corporation, Strongmail, Tumbleweed, VeriSign beteiligt.
Quelle: heise.de
Anti-Spam-Datenbank ORDB streicht die Segel
Mit einer kurzen Meldung hat die Open Relay Database ihren Anti-Spam-Dienst abgeschaltet. Über fünf Jahre lang haben zahlreiche Mailserver-Betreiber die ORDB dafür eingesetzt, E-Mails aus dubiosen Quellen gar nicht erst anzunehmen oder zumindest als verdächtig zu markieren. Schade eigentlich, ich habe diesen Dienst auch sehr ausgiebig benutzt.