[sage] greylisting - lessons learned
Peer Heinlein
p.heinlein at heinlein-support.de
Mon May 27 06:00:37 CEST 2013
Am 24.05.2013 14:58, schrieb Florian Streibelt:
Moin,
> Verbreitet ist das Verständnis von Backscatter als ein Bounce meines
Systems an einen gefälschten Absender, der dessen Mailsystem mit
Nutzdaten belastet und den User nervt.
Aus kurzfristiger Sicht eines Users wird er nur betroffen sein, wenn er
Bounce-Mails bekommt. Mag oberflächlich gesehen sein.
In Wirklichkeit sind aber schon die Connects eine Belastung für alle
Systeme (und das könnte natürlich auch zu Beeinträchtigungen führen, die
der User spürt).
Wenn ein Spammer für 10 Millionen Mails eine fremde Domain mißbraucht
ist es dem betroffenen System recht egal, ob er 10 Millionen Connects
erhält, wo gebouncte Mails eingeliefert werden sollen, die dann im RCPT
TO: wegen eines falschen Localparts abgelehnt werden -- ODER -- ob das
betroffene System 10 Millionen Connects erhält, weil ein anderes System
per Verify-Connect im RCPT TO: versucht zu prüfen, ob der Absender
gleich ist.
In beiden Fällen ist das ein echter (d)DoS gegen den jeweiligen
Mailserver mit scherwiegenden Auswirkungen (=stundenlanger/tagelanger
Ausfall).
Ganz im Gegenteil: Die Verifys würden Spammer sogar dazu zwingen wieder
verstärkt auf FUNKTIONIERENDE Absender-Mailadressen zu setzen. Wir
würden Spammer dazu erziehen/zwingen valide Mailadressen zu nutzen,
damit Bounces und alles andere am Ende dann tatsächlich auch noch
angenommen und zum User transportiert werden müssen. Bis jetzt können
wir aber eigentlich recht froh sein, daß Spam-Mails i.d.R. kaputte
Localparts haben, die sich noch vergleichsweise einfach ablehnen lassen,
wenn doch mal Backscatter-Kram entsteht. Aber sonst würden wir am Ende
eine für uns wirklich kontraproduktive Entwicklung erreichen, wenn wir
valide Absender-Adressen bei Spam erzwingen.
> Natürlich kann ich $Victim mit einem dDos überziehen, wenn ich viele
Systeme finde die diesen Callout machen und sie alle gegen eine domain
laufen lassen, aber dann kann ich auch einfacher ein paarmal die 42.zip
hinschicken oder direkt spammen.
Der Unterschied ist, ob Du ABSICHTLICH einen dDOs mit 42.zip machst,
oder ob das der tägliche Wahnsinn und Kollateralschaden ist, obwohl
keiner einen dDoS wollte.
Hey, wir haben 120 Milliarden Spam-Mails pro Tag! Das sind 120
Milliarden Connects an die Mailserver der mißbrauchten Domains! Pro Tag!
Was würde der Mailserver von Martin Schulte sagen, wenn er JETZT "mal
eben" 5 Millionen Verify-Connects aus aller Welt zurückbekommt?
Peer
-- Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin
http://www.heinlein-support.de
Tel: 030 / 405051-42
Fax: 030 / 405051-19
Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
More information about the SAGE
mailing list