2k3 Erw Warteschlangenmech konnte mail nicht zustellen. Wo ist die Mail nun?

[iDiddi 27]

Mails annehmen und dann löschen ist BS. Dann doch lieber Quarantäne.

Wenn Du das so siehst ;) . Meinst Du nicht, Du übertreibst da ein wenig?

 

Dann brauchst Du aber einen vorgelagerten Spam-Filter (Spam-Proxy), der die Mails schon auf SMTP-Ebene abweist. Und das ist manchen zu aufwändig/ zu teuer.

 

Ich weiß: Da raufst Du Dir wieder Deine Haare :D . Aber das ist nunmal die Realität im KMU-Bereich.

 

Den ME-Directory Harvesting-Filter würde ich allerdings auch nicht nutzen. Das sollte man wirklich vorher über den Exchange-Empfängerfilter ablehnen. Aber dann in Verbindung mit Tar-Pit. Sonst macht man es den Spammern zu leicht, an E-Mail-Adressen zu kommen.

[RobertWi 81]

Moin,

 

Wenn Du das so siehst ;) . Meinst Du nicht, Du übertreibst da ein wenig?

 

Im Gegenteil: Das Annehmen von Mails und anschließendes Löschen ist nach gängiger deutsche Rechtsprechung verboten und könnte von einem strengen Richter als Eingriff in das Postgeheimnis bewertet werden.

 

Dann lieber ablehnen, was ich nicht bekommen habe, kann ich auch nicht eingegriffen haben.

 

Dann brauchst Du aber einen vorgelagerten Spam-Filter (Spam-Proxy), der die Mails schon auf SMTP-Ebene abweist. Und das ist manchen zu aufwändig/ zu teuer.

 

IMHO ist die Hauptursache mangelndes Verständnis. Wenn man den Kunden in Ruhe die Vor- und Nachteile aufgezeigt hat, erkennen die meisten, dass eine Quarantäne sogar noch schädlich ist.

 

 

Ich weiß: Da raufst Du Dir wieder Deine Haare :D . Aber das ist nunmal die Realität im KMU-Bereich.

 

Realität ist, dass die Leute keine Ahnung haben und es unsere Aufgabe ist, ihnen die beste Lösung zu vermitteln (ich sage nicht, verkaufen!).

 

Den ME-Directory Harvesting-Filter würde ich allerdings auch nicht nutzen. Das sollte man wirklich vorher über den Exchange-Empfängerfilter ablehnen. Aber dann in Verbindung mit Tar-Pit. Sonst macht man es den Spammern zu leicht, an E-Mail-Adressen zu kommen.

 

Ich weiß zwar nicht, wie der Harvesting-Filter von ME funktioniert, aber alle anderen, die ich kenne, behindern eher Spammer, an Adressen zu kommen. Und am Ende besser als Exchange es tut.

[NorbertFe 2.045]

Wenn Du das so siehst ;) . Meinst Du nicht, Du übertreibst da ein wenig?

 

Nein, denn dann bin ich wenigstens rechtlich auf der richtigen Seite. Genau wie beim Ablehnen. ;)

 

Dann brauchst Du aber einen vorgelagerten Spam-Filter (Spam-Proxy), der die Mails schon auf SMTP-Ebene abweist. Und das ist manchen zu aufwändig/ zu teuer.

 

Exchange kann das auch alleine. ;)

 

Den ME-Directory Harvesting-Filter würde ich allerdings auch nicht nutzen. Das sollte man wirklich vorher über den Exchange-Empfängerfilter ablehnen. Aber dann in Verbindung mit Tar-Pit. Sonst macht man es den Spammern zu leicht, an E-Mail-Adressen zu kommen.

 

Ja, aber wenn ich eh die Exchange Mittel nutze, kann ich auf Quarantäne auch verzichten. Da gibts echt bessere und wahrscheinlich sogar preiswertere Methoden als ME.

 

Bye

Norbert

[iDiddi 27]

Ich weiß zwar nicht, wie der Harvesting-Filter von ME funktioniert, aber alle anderen, die ich kenne, behindern eher Spammer, an Adressen zu kommen. Und am Ende besser als Exchange es tut.

Wie denn das? Tar-Pit ist eine Funktion des SMTP-Dienstes und nicht vom Spamfilter.

Wenn man existierende Adressen annimmt und nicht existierende abweist, dann kommt der Spammer per Bruteforce schnell an die Adressen ran. Tar-Pit ist dabei das einzige Mittel, das ich kenne, was dies verhindert. Deshalb gab es lange Zeit die Empfehlung, grundsätzlich alle Nachrichten anzunehmen.

 

Im Gegenteil: Das Annehmen von Mails und anschließendes Löschen ist nach gängiger deutsche Rechtsprechung verboten und könnte von einem strengen Richter als Eingriff in das Postgeheimnis bewertet werden.

Gut, wenn das der Gesetzgeber verbietet, ist das natürlich schwierig. Wobei ich da gerne eine Quellenangabe hätte.

[NorbertFe 2.045]

Wie denn das? Tar-Pit ist eine Funktion des SMTP-Dienstes und nicht vom Spamfilter.

 

Also bei mir ist das eine Funktion des Spamfilters. ;)

 

Wenn man existierende Adressen annimmt und nicht existierende abweist, dann kommt der Spammer per Bruteforce schnell an die Adressen ran. Tar-Pit ist dabei das einzige Mittel, das ich kenne, was dies verhindert.

 

Wieviele DHA hattest du nachweislich? Ich hab in den letzten Jahren in vielen Installationen keine nennenswerten Versuche diesbezüglich gesehen.

 

Deshalb gab es lange Zeit die Empfehlung, grundsätzlich alle Nachrichten anzunehmen.

 

Genau, eh der Spammer die richtigen Adressen hat, nehm ich ihm einfach alles ab. ;) Total logisch. :) Früher gabs sogar mal open Relays und niemanden hat es gestört.

 

 

Gut, wenn das der Gesetzgeber verbietet, ist das natürlich schwierig. Wobei ich da gerne eine Quellenangabe hätte.

Spamfilter und das Verbot der Datenunterdrückung « 09 « 2004 « Ausgaben « Heft & Abo « Linux-Magazin Online ;) Wäre jetzt zwar nur die Verlinkung und ohne rechtliche Garantie von irgendwo, aber das sagte Robert bereits. Wer gar nicht soweit geht, hat die Auslegungsprobleme gar nicht erst.

 

Bye

Norbert

[RobertWi 81]

Wie denn das? Tar-Pit ist eine Funktion des SMTP-Dienstes und nicht vom Spamfilter.

Wenn man existierende Adressen annimmt und nicht existierende abweist, dann kommt der Spammer per Bruteforce schnell an die Adressen ran. Tar-Pit ist dabei das einzige Mittel, das ich kenne, was dies verhindert. Deshalb gab es lange Zeit die Empfehlung, grundsätzlich alle Nachrichten anzunehmen.

 

Eben. Exchange kann NUR Tar-Pit, nichts anderes. Der Spammer kann es "endlos" weiterprobieren, er muss nur nach jedem Versucht 5 Sekunden warten.

 

Ein guter Spam-Filter erkennt das Harvesting-Versuche und sperrt daraufhin die IP-Adresse des Spammers - er kann eine kleine Anzahl (einstellbar) Adressen überprüfen und bekommt dann 30 Minuten lange gar keine Verbindung mehr zum Server ausgebaut.

 

Tar-Pits benutzen gute Spam-Filter trotzdem noch, eventuell sogar noch in Verbindung mit Honey-Pots: Eine Adresse wird als "Trigger" definiert, die nur Spammern bekannt ist, aber von sonst niemanden verwendet wird. Kommt darauf eine Mail an, Verbindung trennen, IP-Adresse x Minuten sperren.

 

 

Gut, wenn das der Gesetzgeber verbietet, ist das natürlich schwierig. Wobei ich da gerne eine Quellenangabe hätte.

 

Der formhalber muss man sagen, es gibt noch Unterschiede, ob die private Nutzung erlaubt oder nicht erlaubt ist.

 

Aber zum Beispiel:

Internet-Filter - Das Briefgeheimnis gilt - auch für E-Mail - Digital - sueddeutsche.de

[iDiddi 27]

OK, ihr Beiden habt mich überzeugt. Bin ja lernfähig ;)

 

Habe mir NoSpamProxy mal genauer angesehen. Das mit dem dedizierten Server hatte mich bisher immer abgeschreckt. Das bekomme ich bei unseren Kunden nun mal nicht durch. Was ich nicht wusste ist, dass man den Proxy auch auf dem Mailserver betreiben kann. Man muss halt nur Port 25 umlegen. So wird es natürlich zumindest eine Option :)

 

Was setzt Ihr denn jetzt genau ein? Beim Norbert ist es glaub ich ORF. Allerdings arbeitet dieses Produkt ja auch nicht auf SMTP-Ebene, wo wir ja bei dem gleichen Dilemma wären wie bei ME. Oder habt Ihr generell einen Smtp-Proxy davor geschaltet?

 

Wer hat Erfahrungen mit NO-Spam-Proxy oder der OpenSource-Alternative "Anti-Spam SMTP Proxy", kurz: ASSP?

[NorbertFe 2.045]

Was setzt Ihr denn jetzt genau ein? Beim Norbert ist es glaub ich ORF. Allerdings arbeitet dieses Produkt ja auch nicht auf SMTP-Ebene

 

Ich weiß nicht, wie du auf die Idee kommst. Das Teil arbeitet nur darauf. ;) Schaus dir an. Läßt sich als 30 Tage Trial auf Exchange 2000, 2003, 2007 und 2010 installieren.

 

Bye

Norbert

[RobertWi 81]

Moin,

 

genau "anders rum".

 

ORFEE ist ein echter SMTP-Spamfilter. Er klingt sich in den IIS-SMTP oder den Exchange-SMTP ein und filtert eigenständig SMTP.

 

NoSpamProxy dagegen ist kein echter SMTP-Filter. Er ist ein Proxy, der die Anfragen nach innen weiterleitet und die Antworten nach außen. Ist auch interessant, aber ein anderes Konzept (siehe auch den Abschnitt "Proxy statt Relay" auf Frank Carius Homepage).

[iDiddi 27]

Ich weiß nicht, wie du auf die Idee kommst. Das Teil arbeitet nur darauf.

Na ja. Zumindest bei der Inhaltsfilterung wird er die Mails erst annehmen müssen, bevor er sie prüfen kann, oder?

 

NoSpamProxy dagegen ist kein echter SMTP-Filter. Er ist ein Proxy, der die Anfragen nach innen weiterleitet und die Antworten nach außen

Aber da die Prüfungen vom Proxy durchgeführt werden, sehe ich da keinen großen Unterschied. Aber vielleicht hab ich heute ja auch einfach ein Brett vor dem Kopf.

 

Jedenfalls vielen Dank für Eure Infos :)

 

Übrigens: Das BSI hat einen echt informativen Leitfaden raus gebracht, der alles genau erklärt und Eure Aussagen zum größten Teil bestätigt:

 

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/Antispam/antispam_pdf.pdf?__blob=publicationFile

[RobertWi 81]

Übrigens: Das BSI hat einen echt informativen Leitfaden raus gebracht, der alles genau erklärt und Eure Aussagen zum größten Teil bestätigt:

 

Abschnitt 6.5 untermauert noch mal, dass Ablehnungen weniger problematisch ist, als Löschen.

 

Ansonsten ist das Dokument erstaunlich gut - wenn ich überlege, dass im Grundschutzhandbuch noch von Exchange und Outlook 2000 gesprochen wird

[NorbertFe 2.045]

Na ja. Zumindest bei der Inhaltsfilterung wird er die Mails erst annehmen müssen, bevor er sie prüfen kann, oder?

 

Jain.

1. es gibt zwei Filterpunkte (before oder on arrival). Manche Tests können logischerweise nur on arrival getestet werden. Trotzdem gilt die Mail auch zu diesem Zeitpunkt als noch nicht zugestellt.

2. Contentfiltering überlasse ich dem Exchange. Der kann das besser, bzw. kommt eh nicht viel an, wovon man content filtern könnte.

 

Bye

Norbert

[iDiddi 27]

Eine kleine Ergänzung zu GFI MailEssentials hab ich dann doch noch:

 

Directory Harvesting kann so konfiguriert werden, dass es auf SMTP-Ebene filtert und so Spams direkt ablehnt.

 

Greylisting arbeitet ja sowieso ausschließlich auf SMTP-Ebene.

 

http://kbase.gfi.com/showarticle.asp?id=KBID002019

 

 

Alle anderen Filter bestätigen leider erst einmal den Empfang. Deshalb werde ich mir auf jeden Fall auch andere Produkte (ORF, Anti-Spam-Proxy) ansehen.

 

Jain.

1. es gibt zwei Filterpunkte (before oder on arrival). Manche Tests können logischerweise nur on arrival getestet werden. Trotzdem gilt die Mail auch zu diesem Zeitpunkt als noch nicht zugestellt.

Gilt das auch für DNS-Blacklists? Das ist bei unseren Kunden immer noch der Filter mit den meisten Treffern.

 

Eben. Exchange kann NUR Tar-Pit, nichts anderes. Der Spammer kann es "endlos" weiterprobieren, er muss nur nach jedem Versucht 5 Sekunden warten.

OK, da muss ich Dir zustimmen. Allerdings geht es bei Spammern um Zeit, die sie sicherlich nicht mit weiter probieren vergeuden werden. Außerdem muss man ja nicht 5 Sekunden einstellen. Das ist ja nur ein Vorschlag von MS.

 

SMTP-Tar Pit-Feature für Microsoft Windows Server 2003

 

 

@TO: Entschuldige, dass ich Deinen Beitrag ein bisschen zweckentfremde :o

[NorbertFe 2.045]

Gilt das auch für DNS-Blacklists? Das ist bei unseren Kunden immer noch der Filter mit den meisten Treffern.

 

Ja, aber wenn du auf EHLO filterst, brauchst du die meisten DNS Blacklists gar nicht so stark belasten. ;)

 

@TO: Entschuldige, dass ich Deinen Beitrag ein bisschen zweckentfremde :o

 

Er wirds verkraften. ;)

 

Bye

Norbert

[iDiddi 27]

@NorbertFe: Danke und schönen Feierabend, falls Du so was kennst ;)