Spam und UCE - 1und1 Schizo

Gerade die  großen Provider haben ein Problem mit Spam und dort lohnt es sich auch am schnellsten, einige Manntage Entwicklung aufzuwenden und bestimmte Verhaltensmuster zu erkennen.

So funktioniert es

Mitte 2004 wurde ich von einem Kunden darauf aufmerksam gemacht,  dass er keine Mails mehr an Domänen bei 1und1 senden kann. Ein kurzer TELNET erbrachte dann auch das Ergebnis, dass 1und1 die statische IP-Adresse des Kunden blockiert hat. nach einigem nachforschen sind wir dann auch http://schizo-bl.kundenserver.de/ gelandet, wo das Verfahren beschrieben wird.

Wenn der Mailserver eine Verbindung aufbaut, meldet er sich mit seinem Rechnernamen. In der Regel ändert sich der Rechnername nicht bzw. hinter einer IP-Adresse sollte sich der Name nicht in kurzer Zeit mehrfach ändern. Ansonsten ist davon auszugehen, dass es eine sehr dynamische Adresse ist und sehr oft andere Rechner diese IP-Adresse nutzen, oder ein Spammer einfach den Namen willkürlich wählt oder dass hinter einem Router mit NAT sehr viele Mailserver aktiv sind.

1und1 analysiert den HELO-String und merkt sich diesen zusammen mit der IP-Adresse in einer Datenbank. ändert sich nun der Namen des Hosts hinter einer einzelnen IP-Adresse zu häufig, dann ist das für 1und1 ein nicht sonderlich vertrauenswürdiger Host und die IP-Adresse wird für eine bestimmte Zeit gesperrt.

Ob ihr System in dieser Datenbank geführt wird, erhalten Sie einfach durch die Eingabe ihrer IP-Adresse in der URL http://schizo-bl.kundenserver.de/?ip=xxx.xxx.xxx.xxx.

Probleme

Ich gehe davon aus, dass der Name "Schizo" von "Schizophrenie" stammt. 1und1 hat es damit sicherlich geschafft, die Anzahl der Verbindungen und Mails von Viren zu reduzieren, die mit immer wechselnden Namen von gekaperten PCs aus Mails versenden (Spambots)

Durch die Möglichkeit, diese Information über HTTP zu erhalten, ist es natürlich auch möglich, dass wir selbst auf dieses Know-How aufbauen und diese Daten in einem eigenen Spamfilter nutzen. Vielleicht bietet 1und1 diesen "Service" irgendwann ja auch mal kostenpflichtig an, wie dies einige RBL-Listen schon machen.

Weitere Links