Es ist 30 Jahre her, dass die Spam-Mail verschickt wurde. Am 3 Mai 1978 hatte der US-Computer-Händler DEC an 600 User Werbe-Mails für seinen neuen DEC-Computer verschickt.
85% aller Spam kommen aus 6 Bot-Netzen
Laut des Marshal TRACE-Teams verteilt sich die Spam-Mails aktuell auf die Botnetze wie folgt:
Srizbi 39%
Rustock 20%
Mega-D 11% 35.000 Zombies
Hacktool.Spammer 7%
Pushdo 6%
Storm.Worm 2% 85.000 Zombies
Hierbei sei bemerkt, daß Mega-D im Januar noch für ein 1/3 aller Spam verantwortlich war aber wegen Ausfall des zentralen Servers einen deutlichen Rückfall erlitten hat.
Via: SSF
E-Mails auf der Postfix-Queue löschen
Die Mailqueue von Postfix zu leeren ist eine ziemlich aufwendige Arbeit. Aus diesem Grund hat Ralf Hildebrandt, der Autor von “Postfix - Einrichtung, Betrieb und Wartung“, ein Script auf seiner Seite zum Download gestellt. Das Script delete-from-mailq kann wie folgt aufgerufen werden:
delete-from-mailq spammer@spamdomain.org
Natürlich sind auch reguläre Ausdrücke möglich, so dass man ganz schnell seine Queue von unliebsamen Mails befreien kann.
Via: adminlife.net
Blacklists rennen dem Spam hinterher
Nett! Eine Studie in Zusammenarbeit der FH Gelsenkirchen und dem von Heise betriebenen iX-Blacklist-Server zeigt, daß es Spam-Versendern in den meisten Fällen gelingt, IP-Adressen für so kurze Zeit zu nutzen, dass sich ein Eintragen auf Blacklists nach wenigen Stunden oder gar Tagen kaum mehr lohnt.
Quelle: heise Security
SPAMORNOT
Interessant ist der von MSRBL angebotene Service SPAMORNOT. Hier können Besucher Bilder nach dessen Spam-Level bewerten. Die daraus resultierenden Ergebnisse fließen dann in die Signaturen für ClamAV ein, so dass man eine ziemlich genaue Erkennung für diese Bilder erhält.
T5F
Über den Vortrag “Spamfilter” von Charly Kühnast auf dem Ubucon 2007 bin ich auf T5F aka TFFFFF aka TFFFF aufmerksam geworden. Mit diesem freundlichen Folterfragebogen kann man so machen deutschem Spammer richtig schön ans Bein pissen.
Nach PDF nun XLS Spam
Die Lösung von SaneSecurity, also deren Viren-Pattern, die ich gegen PDF-Spam einsetze, hilft auch sehr gut gegen diesen XLS-Spam.
PDF Spam bekämpfen
Nachdem ich vor kurzem Postfix mit ClamAV verheiratet habe, kann man diese Zwangsehe sehr gut zum bekämpfen von PDF Spam benutzen. Leider erkennt SpamAssassin diesen Spam nicht. Doch da ClamAV über eine sehr flexible ScanEngine verfügt, die nicht nur Viren, sondern auch Pishing Mails erkennen kann, nutzen wir diese. Steve Basford pflegt schon seit längeren mit SaneSecurity eigene Datenbanken für ClamAV welche mehr Phishing Mail und Scams filtern als es die originalen Datenbanken tun. Die Installation geht recht einfach. Eines der Skripte downloaden, ich habe mir für das von Gerard Seibert entschieden, die Installationsanleitung im Kopf des Skriptes lesen und das wars dann.
Migrationswoche
Irgendwie ist bei mir derzeit eine Migrationswoche. Am Montag erfolgte die Umstellung des Weblogs von Sunlog nach Wordpress. Gestern war dann der letzte Rootserver mit VHCS an der Reihe. Dort wurde VHCS nach Confixx migriert. Auf dem Server ist derzeit noch Courier POP3/IMAP installiert, was ich aber am Wochenende durch qpopper ersetzen werde. Postfix muss auch noch etwas frisiert werden. Ich will auf dem Server auch eine selektive Envelope-sender Überprüfung einbauen. Bisher habe ich damit sehr gute Erfahrungen gemacht, und in Verbindung mit Greylisting, SPF, Blacklists, ClamAV und SpamAssassin kommt nicht mehr soviel ungewollter Müll im Postfach an.
Angriff auf Anti-Spam-Dienste
Die Anti-Spam-Dienste Spamhaus, SURBL und URIBL, die bekannte Spam-versendende Rechner und zugehörige IP-Adressen auflisten und für die Mailfilterung aufbereiten, sehen sich seit Mitte vergangener Woche einem verteilten Denial-of-Service-Angriff (DDoS) ausgesetzt. Während der Angriffe in der vergangenen Woche konnten die Dienste zwischenzeitlich erfolgreiche Gegenmaßnahmen einleiten und blieben oft verfügbar. Derzeit sind jedoch die Webseiten von Spam URI Realtime Blocklists (SURBL) und Realtime URI Blacklist (URIBL) nicht mehr aufrufbar, auch das Rules Emporium mit aktuellen Regeln für den Spam-Filter SpamAssassin lässt sich nicht erreichen.
In einem Thread in der Newsgroup news.admin.net-abuse.email erläutert Steve Linford vom Spamhaus-Projekt, dass die Server durch eine DDoS-Attacke zeitweise nicht erreichbar waren. Linford äußert dort auch die Vermutung, dass der Angriff von dem Botnet ausginge, das mit dem Sturmwurm Anfang dieses Jahres aufgebaut wurde. Mit DDoS-Attacken hatten Spammer im vergangenen Jahr bereits Erfolg: So hatte das Start-up-Unternehmen Blue Security seinen Anti-Spam-Dienst unter dem Druck durch einen anhaltenden Angriff eingestellt. Eine derartige DDoS-Attacke dürfte eine Verzweifelungstat der Spamversender sein, die auf die Effizienz der Filter hinweist. Es bleibt derzeit nur zu hoffen, dass die Angreifer dieses Mal keinen Erfolg haben.
Quelle: heise online
RFC gegen Spam
Die Internet Engineering Task Force (IETF) hat im RFC 4871 ein Anti-Spam-Protokoll veröffentlicht. Es stützt sich auf eine Technik namens Domainkeys Identified Mail (DKIM), die als Vorschlag seit dem Jahr 2005 von der IETF diskutiert wurde. DKIM entstand aus dem Domainkeys-Vorschlag von Yahoo und dem Entwurf von Cisco zu Internet Identified Messages - an der Entwicklung sind außerdem weitere Firmen wie Sendmail und PGP Corporation, Strongmail, Tumbleweed, VeriSign beteiligt.
Quelle: heise.de
Zahl der Woche
Laut eines Virenspezialisten des Sicherheitssoftware-Unternehmens Ikarus sind weltweit bereits 90 Prozent aller E-Mails Spam - damit hat sich die Zahl der Spam-E-Mails in den vergangenen zwölf Monaten verdoppelt.
Quelle: CRN
Bei mir ist die Quote teilweise noch viel höher. Bei manchen Accounts sind von 100 E-Mails 98 Spam. Trotz Greylisting, SPF, Blacklisting und Spamassassin kommen diese dann auch noch ungefiltert durch.