Spam was macht Sinn ?

  • Guten Morgen,
    Spam macht uns allen das Leben schwer! Jeder hat seine eigenen Strategien um mit der Flut von unerwünschten Mails umzugehen - ich auch! Am Wochenende habe ich einige Erläuterungen gefunden - die ich ganz spannend finde - aber eigentlich widersprechen diese Einlassungen meinem Vorgehen und Denken - reden wir darüber?

    Was wir z.Z. machen.:
    Wir haben einen Spamfilter vor den David geschalten, Ekennungsstufe maximal, schreiben einen Spam Betreff, filtern den Betreff im David via Regel in ein Spam Verzeichnis - schauen dieses Verzeichnis auf positiv/false an - und listen die entsprechenden Absender Adressen white.
    Wir bemühen uns Kunden und Lieferanten bereits im Vorfeld in eine entsprechende Whiteliste zu bekommen.

    Der Rest - sollte nur noch Spam sein - fliegt in den Papierkorb.

    Das folgt dem Motto - um Himmelswillen auf kein Spam Mail antworten - damit nicht noch mehr kommt. (Ich glaube mich zu erinnern - dass man das mal so empfohlen hat - frage mich aber keiner wo ich diese Weisheit her habe)

    Nun finde ich unter diesem Link: folgenden Sätze:
    -----------
    ..... Wenn NoSpamProxy Protection eine Nachricht irrtümlich als Spam erkennt, verweigert das Anti Spam Gateway die Annahme der E-Mail. Im Gegensatz zu anderen Spam-Lösungen erhält der Absender die Nachricht, dass die E-Mail nicht zugestellt wurde, und kann darauf reagieren, indem er den Absender anruft und bittet, ihm eine Mail zuzusenden. Diese spricht die Level of Trust Funktion des Gateways an, so dass Mails dieses Absenders künftig angenommen werden. Einen Spammer interessiert die Empfängeradresse aufgrund des Mehraufwandes erfahrungsgemäß nicht mehr. Das hat als zusätzlichen Vorteil den Effekt, dass nach einiger Zeit das Spam Volumen deutlich zurückgeht, das an NoSpamProxy-geschützte Domains gesendet wird......
    ---------------

    Nun sollte sich soetwas ja auch im David umsetzen lassen. Autoreplay an Absender. Ein wenig Charm hat die Lösung ja. Denn ich will nicht abstreiten, händisches Durchsuchen des Spam Ordners nach false/positiv macht Arbeit, und ab und an werden auch "gute" Mails übersehen.

    Leider widerspricht der Ansatz von naspamproxy meinem Grundverständnis, auf Spam möglichst nicht zu antworten. Inwiewiet diese Technik auch noch das Spam Aufkommen verringern kann ist mir NICHT klar.

    Habt Ihr Erfahrungen - ist das eine Idee? Wer macht so etwas? Wer sendet spam MAils an den Absender zurück?

    Können wir ein wenig darüber sprechen?

    Danke

    Baer

  • 1) Es ist völlig falsch, Spam-Versendern via Autoreply auf ihre "Nachricht" zu antworten. Die Versender erhalten dadurch die Information, dass die Zieladresse so richtig geschrieben ist. Damit haben sie nun zwei Vorteile: Sie können diese Adresse als "verifiziert" an ihre Abnehmer verkaufen, und sie können an die verifizierte Adresse gezielt Schadcode senden. Diese Vorgehensweise ist zum Ausspähen von Betrieben und Behörden sehr beliebt.

    2) Sie treiben einen immensen teuren und störanfälligen Aufwand: Um die Spams und die realen Nachrichten zu empfangen muss der Empfang VOR dem Grabbing Server (in David integriert) mit einem zusätzlichen System erfolgen. Der in David integrierte Spamfilter gehört zu den besten, die für Geld zu bekommen sind. Tobit kauft dazu den Service bei einem darauf spezialisierten Unternehmen ein, die Abrechnung erfolgt pro User. Es ist sinnvoller, den integrierten Dienst zu nutzen.

    Durch Ihre Vorgehensweise müssen Sie zwei Software-Systeme pflegen. Das erhöht den Arbeitsaufwand und sorgt für mehr Störungen.

  • @Arno
    Punkt 1 deckt sich mit dem was ich zu diesem Thema denke.

    Punkt 2 nehme ich einfach so zur Kenntnis.

    Wie aber kommt ein deutsches Softwarehaus zu so einer Aussage (kontrovers zu Punlt 1) - oder gibt es doch einen anderen Ansatz?

    Ich würde eine breite Beteiligung zu diesm Thread sehr begrüßen

    Danke

    Baer

  • @Arno
    Sorry auf der von mir verlinkten Seite steht im Impressum eine Deutsche Adresse.... (Paderborn = Deutschland :)

    Im übrigen glaube ich nicht, dass es zwischen Scheitz un Deutschland unterschiedliche Basis Ansichten zum Thema Spam gibt, die aus einer nicht EU mitgliedschaft resultieren.

    Gruß

    Bär

  • Hallo,

    das ist anscheinend nichts Anderes, als das, was im David von Tobit eingesetzt wird. CYREN ist nämlich seit einigen Jahren Besitzer von Eleven und deren Dienste werden auch in Anspruch genommen.

    Gruss

    Klaus

    David.fx12 Certified Professional
    David.fx12 Certified System Engineer
    David.fx12 Certified Developer

    Homepage

  • @'hueb
    Danke .
    Ich möchte aber verhindern dass der Diskurs sich zusehr ins technische verflacht.

    Mein Grundansatz ist eigentlich die Frage :

    Macht es Sinn von dem (ich unterstelle das mal anhand von Arnos Antwort) alle so kennen abzuweichen: antworte den Spammern nicht!

    In dem von mir verlinkten und zitiertem Artikle steht genau das Gegenteil.

    Sinnvoll ? Neuer Standpunkt - wenn ja warum bzw. warum nicht.

    Gruß

    Baer

  • Also wir setzen auch den noSpam Proxy ein und sind sehr zufrieden, wir hatten vorher ein eigenes Gateway davor mit Spamassassin und einem exim der die Mails zuerst entgegen genommen hat, dann durch den Spamassassin geschickt hat und alles was ok war, wurde weitergeleitet an David.
    Zusätzlich hatten wir noch eine Whitelist und Blacklist Datenbank in mySQL die auch ein Greylisting gemacht hat.

    Jetzt wird das alles vom noSpam Proxy gemacht.
    Das sinnvollste Konzept ist eigentlich das Greylisting, dabei wird die Mail nicht direkt angenommen, sondern es wird zunächst vom Gateway eine "Mail is greylistet" Antwort geschickt (auf SMTP Ebene) und erst wenn die Gegenstelle in vorgeschriebener Zeit die Mail "nochmal" verschickt wird sie durchgelassen. Das verhindert effektiv Spambots. Wichtig sind auch die spf Einträge im MX Record um die Absenderdomain zu verifizieren.

    Der Wartungsaufwand ist durch den noSpam Proxy erheblich gesunken, weil so gut wie keine Spammails mehr in den Postfächern landen. Ob sich durch den Einsatz des noSpam Proxies allerdings der Traffic erhöht hat, weil er eine Antwortmail generiert, wenn die Mail nicht zugestellt werden konnte, und damit noch mehr Spammer auf den Plan ruft, habe ich jetzt allerdings nicht kontrolliert.

    Einmal editiert, zuletzt von Basti (20. Juni 2017 um 12:35) aus folgendem Grund: Gestern war wohl zu warm, bei so vielen Rechtschreibfehler

  • Danke Basti,
    das ist hilfreich!
    Vom Prinzip habt Ihr das genau so gemacht wie wir das z.Z. auch machen.

    Ist das Greylist Verfahren, die Vorgehensweise, wie sie in meinem Link beworben wird? Dort ist von telefonischer Rückmeldung die Rede?

    Wie wird der noSpam Proxy abgerechnet? Ein wenig mehr Traffic scheut mich nicht - kostet nix bis nicht viel

    Danke

    Bär

  • @Basti
    kann der noSpam Proxy auch Anhänge entfernen? Wir lassen praktisch nur noch pdf durch - alles andere wird zwangsweise entfernt.

    Ich finde auch im Netz z.B.

    ----------
    Stuft der Filter eine E-Mail als Spam ein, wird diese nicht angenommen – und der Absender wird umgehend darüber informiert, dass die Annahme verweigert wurde. Einen “Spamverdachtsordner” gibt es bei Posteo nicht.
    Unser Spamfilter ist sehr gut und stuft extrem selten eine E-Mail fälschlicherweise als Spam ein. Sollte dies dennoch einmal vorkommen, wird der Absender (von seinem Server) umgehend darüber informiert, dass unser Server die Annahme seiner E-Mail verweigert hat. Er kann nun versuchen, die Gründe für die Spameinstufung abzustellen oder den Empfänger ggf. auf einem anderen Weg kontaktieren.

    ------
    Posteo.de über Umgang mit Spam.

    Ich gehe davon aus, dass auch das unter dem Schlagwort greylisting läuft?


    Bäer

    Einmal editiert, zuletzt von baer (19. Juni 2017 um 17:05)

  • 20.6.2017:
    Heute veröffentlichte T-Online eine Warnung der Polizei vor Rechnungen und Mahnungen, in denen die KORREKTE ANSCHRIFT verwendet wird.
    Für das Thema des hier angesprochenen Postings ergibt sich damit eine neue Qualität:

    Erhalten Spamversender eine Antwort auf eine eMail, dann wird diese eMAil-Adresse in den Programmen der Spammer automatisch als gültig gekennzeichnet.
    Das schränkt dann deren Aufwand enorm ein, vor allem Verschlüsselungsviren zu verbreiten.
    Es braucht nach Eingang der Auto-Replys nur noch ein oder zwei "Ein-Euro"-Mitarbeiter, um die damit erhaltenen vollständigen Adressen in einer Datenbank oder Adressenliste einzutragen. Die ist dann beliebig oft wiederverwendbar.

    Denn auch für Auto-Replays gilt:
    Wenn die eMail von einer Firma verschickt wird, dann muss sie den vollständigen Namen und die Anschrift des Absenders tragen.
    siehe dazu:

    Sämtliche automatisch erstellten Auto-Replys sind somit nichts mehr anderes als eine Einladung zum Hacken oder Lahmlegen des eMail-Servers.

  • Ich glaube hier haben einige die Arbeitsweise des NoSpam Proxy nicht richtig verstanden, ich verstehe gar nicht warum hier ständig von Auto-Replys die Rede ist.

    Der TE hat in seinem ersten Post doch von der Webseite vom NoSpam Proxy zitiert:

    ..... Wenn NoSpamProxy Protection eine Nachricht irrtümlich als Spam erkennt, verweigert das Anti Spam Gateway die Annahme der E-Mail.

    Jetzt erklärt mir mal wie man ein Auto Reply machen will für eine Mail die abgelehnt wurde.
    Es geht hier um die "Reject" Funktion des Mailserverts, also es wird eine Bounce Mail generiert an den Absender.
    Ein Spammer wird Aufgrund der Bounce Mail die Mailadresse des Empfängers ggf. irgendwann "vergessen"
    Steht doch auch so im Zitat von NoSpamProxy:

    Einen Spammer interessiert die Empfängeradresse aufgrund des Mehraufwandes erfahrungsgemäß nicht mehr. Das hat als zusätzlichen Vorteil den Effekt, dass nach einiger Zeit das Spam Volumen deutlich zurückgeht, das an NoSpamProxy-geschützte Domains gesendet wird......


    Und kommt es zu einem false positiv weiß der Absender bescheid, vorrausgesetzt er ist in der Lage die Bounce Mail richtig zu interpretieren.


    Das ist so eine einwandfreie Methode gegen SPAM, vorrausgesetzt der SPAM Filter ist so gut das false positves nahezu ausgeschlossen sind, das kann ich bei NoSPAM Proxy

    nicht beurteilen da ich das nicht kenne, aber wenn man z.B. zu Cyren geht (worauf ja auch der MIS vom David beruht) hat man mit false positives kein Problem.

    Gruß,
    Martaeng

  • @baer:
    Zu den Kosten kann ich nichts sagen, darum kümmern sich andere. Wir haben das hier in-house auf einer VM installiert und haben einmal die Lizenz + jährliche Wartung erworben.
    Es gibt ihn auch in mehreren Ausbaustufen - wir haben z.B. auch ein Modul mit dem alle unsere Mails automatisch digital signiert werden.

    Es wurde von @martaeng richtig erklärt, die Bounce Mail bekommt der Empfänger und kann dann telefonisch reagieren, per Mail geht ja nicht, weil die Mails blockiert werden. Es muss also aktiv darum bitten freigeschaltet zu werden. Passierte bei uns ganz am Anfang auch, aber der noSpam lernt auch. Es werden aber alle auf eine Whitelist gesetzt denen wir eine Mail schicken.

    Was die Dateianhänge angeht: Da kannst du diverse Filterregeln einstellen, angefangen vom Typ bis zur Größe ist so ziemlich alles einstellbar. Seit der aktuellen Version gibt es auch noch ein nettes Feature mit dem Office Dateien automatisch vom noSpam Proxy in PDF umgewandelt werden. Der originale z.B. Word E-Mail Anhang wird also automatisch in PDF konvertiert und gegen den original Anhang ausgetauscht. Es taucht im Mail Client also nur ein PDF Anhang auf - mit einer zusätzlichen Seite auf der hingewiesen wird, dass der ursprüngliche Anhang automatisch umgewandelt wurde, über einen Link kann man dann das original Dokument vom noSpam Proxy herunterladen.

  • Hallo,
    also zum Spam da kümmert sich hier meine Firewall drum.
    Sophos mit Aktiven SMTP Proxy und POP Proxy.

    Nachricht wird abgerufen, Firewall ist dazwischen und schaut und ist Mail ok, gib weiter.
    ist Mail Spam oder Virus blockiere und behalte.
    2 mal am Tag kommt eine Info mit dem was in Quarantäne ist, SPAM kann Freigegeben werden wenn irrtümlich falsch ist,
    Virus hingehen nur der Admin.

    Habe ich bei mir und einem kunden so am laufen,
    ich bin zu frieden und der Kunde auch.

    gruß

    Tobit FX12 auf W2016 an VMWare vSphere 8 Essentials,
    ActiveSync über Sophos XGS / Reverse Proxy(WAF) - NoSpamProxy Mail Security

  • Ich seh solche Konfigurationen des öfteren und wenn ich dir einen Rat geben darf, das funktioniert vielleicht ist aber (nicht nur meiner Meinugn nach) gemurkst.

    P.S. ich habe nichts mit "Heinlein" zu tun und das soll auch keine Werbung für die sein, aber in dem pdf stehen meiner Meinung nach entscheidende Punkte drin über die
    man sich als Mail-Admin mal Gedanken machen sollte.

    Gruß,
    Martaeng

  • Ich prüf meine Quarantäne immer sobald die Mail der Quarantäne kommen.
    Diese kommt, wird geprüft ... es ist wirklich sehr selten, dass hier etwas drin landet was nicht hinein gehört.

    Konnte hier bisher noch nichts negatives erkennen.Selbst beim Kunden nicht, die u.a. nicht nur Tobit haben sondern kerio oder Exchange

    Tobit FX12 auf W2016 an VMWare vSphere 8 Essentials,
    ActiveSync über Sophos XGS / Reverse Proxy(WAF) - NoSpamProxy Mail Security

  • @ alle
    Danke für Eure rege Beteiligung - bitte noch ein wenig weiter so....

    Ich hatte das zum Start meines Threats auch falsch verstanden. Mittlerweile ist mir klar, dass das kein Autoresponder ist sondern via Greylisting funktioniert.
    Trotzdem stellt sich für mich noch eine Frage: Wie "gescheit" muss der Empfänger einer Bounce MAil sein, um zu verstehen, dass sein Mail nicht zugestellt wird. Versteht das "Otto normal User"?

    @Basti
    Die neue Funktion - word Dokumente in PDFs zu verwandeln finde ich ja schick. Ist da gewährleistet, dass das ohne öffnen des Docs funktioniert bzw. es nur bei echten Docs ausgeführt wird? Wir hatten im vergangenen jahr einen Crypto Trojaner hier im Haus - das brauche ich nicht nochmal. (Wenn Lehrlinge nicht tun was man Ihnen sagt)

    Ich freue mich über weitere Beiträge - insbesonders wenn es noch etwas mit Open Source gibt?

    Gruß

    Baer


  • Mittlerweile ist mir klar, dass das kein Autoresponder ist sondern via Greylisting funktioniert.

    Mit Graylisting hat das Verfahren nichts zu tun. Btw, diese ganzen Pseudo Verfahen SPAM zu bekämpfen wie graylisting, SPF, Real Time Blacklisten und was es nicht noch alles gibt braucht eh keiner der ein vernünftiges Anti-Spam Konzept betreibt, aber das sehen viele sicher anders...

    Und zum Thema Quarantäne und Tagging, warum sollte ich mir diese zusätzliche Arbeit überhaupt machen ? Wenn ich eine Anti Spam Lösung einsetze, sollte dann nicht das Ziel sein
    das die SPAM Problematik einfach erledigt ist ?
    Das ganze Problem am SPAM ist doch abgesehen das es nervt, es kostet Zeit und damit Geld.
    Wenn ich also mit so Dingen wie Quarantäne und Taggen und Filterregeln und SPAM Ordner, Pflege von Black und Whiteliten arbeite wo hab ich dann die Zeit gespart ? Dann kann ich es auch lassen. Mal ganz abgesehen von den Dingen die in dem pdf zu dem Thema angesprochen werden das ich oben verlinkt hab...

    Gruß,
    Martaeng

  • @martaeng
    Wenn es nicht mit Greylisting funktioniert - wie funktioniert es dann

    ich habe mir das pdf zu Gemüte geführt - nun finde ich es ganz nett - leider enthällt es aber nichts wirklich neues - schildert die Probleme - aber ich vermisse die Lösungen.
    Das Thema Spam /Archivierung habe ich in diesem Forum schon mal angeschnitten :erfahrungen revisionssichere Archivierung GoBD

    ebenso das "Privat Mail Thema".

    Ganz so negativ wie in dem PDF muss man das Thema aber nicht abhandeln.

    1) Es kann sichergestellt werden, dass SPAM Ordner manuell durchsucht werden
    2) Niemand kann sicherstellen, dass dabei keine Fehler gemacht werden, und "gute" Mails im SPAM hängen bleiben.
    3) Das macht Arbeit...
    4) Anhänge sind brandgefährlich

    5) einfach nichts machen halte ich in einer Geschäftsumgebung für unvernünftig - auch wenn der Zeitaufwand ähnlich hoch ist.
    Gruß

    Baer

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!