[sage] greylisting - lessons learned

[Jochen Topf]

On Mon, May 27, 2013 at 06:00:37AM +0200, Peer Heinlein wrote:
> Ganz im Gegenteil: Die Verifys würden Spammer sogar dazu zwingen wieder
> verstärkt auf FUNKTIONIERENDE Absender-Mailadressen zu setzen. Wir
> würden Spammer dazu erziehen/zwingen valide Mailadressen zu nutzen,
> damit Bounces und alles andere am Ende dann tatsächlich auch noch
> angenommen und zum User transportiert werden müssen. Bis jetzt können
> wir aber eigentlich recht froh sein, daß Spam-Mails i.d.R. kaputte
> Localparts haben, die sich noch vergleichsweise einfach ablehnen lassen,
> wenn doch mal Backscatter-Kram entsteht. Aber sonst würden wir am Ende
> eine für uns wirklich kontraproduktive Entwicklung erreichen, wenn wir
> valide Absender-Adressen bei Spam erzwingen.

Haeh? Wieso spielt es eine Rolle, ob ein Spammer gültige Mailadressen verwendet
oder nicht, wenn wir das nie überprüfen? Weil das überprüfen geht ja nur mit
Sender Callout und den willst Du doch nicht?

Was diese ganzen DOS-Szenarien angeht: Ja, ein größeres Mailsystem sollte kein
Sender Callout machen (und wird es eh nicht tun, weil es zu lange dauert und
damit den ganzen Betrieb aufhält und damit die eigenen Server belastet). Aber
mein kleines Fuzzel-System ist nicht in der Lage mit seinen Sender-Callouts
andere Systeme ernsthaft in Mitleidenschaft zu ziehen. Auf keinen Fall mehr als
jemand, der einfach tausende von Connections aufmacht auf ein System und
zufällige Mails schickt oder sowas. Es mag also sein, dass da *theoretisch*
eine Gefahr besteht, aber als *praktisches* Problem sehe ich das nicht. Sollte
das je in der Praxis zu einem Problem führen, dann muss man schauen, wo genau
das Problem ist und ob man drumrum bauen kann oder halt dann auf diese Maßnahme
verzichtet. Solange das aber nur eine theoretische Gefahr darstellt, sehe ich
nicht ein, warum ich auf eine funktionierende Anti-Spam-Maßnahme verzichten soll.

Jochen
-- 
Jochen Topf  jochen at remote.org  http://www.jochentopf.com/  +49-721-388298