Spam und UCE - Filter: Bounce

Ein Eintrag auf dem Heise Newsticker und eine Frage in der Newsgroup haben mich bewogen, das Thema "Bounce" und entsprechende Filter auf dieser Seite noch einmal separat zu beschreiben, auch wenn einige andere Seiten der MSXFAQ schon auf das Thema "NDR" eingehen. Doch eines nach dem anderen

  • Bounce-Verbot für Bundes-Mailserver
    http://www.heise.de/newsticker/meldung/96350
    Anscheinend haben Sich die IT-Administratoren unserer Behörden dazu entschlossen die RFCs zu missachten und unzustellbare Mails nicht mehr zu melden. Wenn Sie also elektronisch mit der Behörde kommunizieren und sich vielleicht "vertippen", dann können Sie anhand ihres Mailserverlogs zwar nachweisen, dass die Mail "übermittelt" wurde, aber sie muss nicht angekommen sein. Stellen Sie sich vor sie schreiben einen Postbrief und haben einen Einlieferungsbeleg aber der Brief wird intern einfach "verschluckt" und nicht zugestellt (z.B. Buchstabendreher in der Adresse, Empfänger wurde versetzt, hat durch eine Heirat den Namen geändert etc.). Ich denke nicht, dass die "gelbe Post" es sich erlauben könnte den Brief einfach wegzuwerfen sondern wird diesen natürlich als "unzustellbar" an Sie zurück gehen lassen.
    Genau das machen aber nun die Mailserver der Bundesbehörden.
  • Meldung in der Newsgroup
    Folgende Meldung zeigt mir, dass es bereits bei einigen Mailservern Filter gegen "NDR-Spammer" haben

beim Versand von E-Mails an einige Postfächer bekommen wir als Rücklauf folgende Meldung 'Too many bounces', die E-Mail wird abgelehnt. Was soll mir diese Meldung sagen, woran kann dies liegen und wie kann ich dies ändern?

Hintergründe

Auch wenn unzustellbarkeitsquittungen im Prinzip etwas "gutes" sind, da Sie den Absender über ein Problem bei der Übermittlung informieren, so kapitulieren immer mehr Mailserver vor unverlangt zugesandten Quittungen. Da der Absender eine Mail leicht zu fälschen ist (MSXFAQ.DE - Fälschung) versuchen auch Spammer unter Verwendung von vertrauenswürdigen Adressen die Filter zu passieren. Natürlich kommen auch diese Mails nicht immer bei Ziel an, speziell wenn die Empfängeradresse gar nicht existiert. Das Zielsystem hat dann drei Optionen

Option Bewertung

Mail direkt mit einem "550 unknown recipient" abzulehnen

Ideale Lösung, da der Spammer die Mails nicht losbekommt und er eigene Mailserver keine NDR erstellen muss. Das spart Bandbreite, Ressourcen und vor allem erzeugt man keine falschen NDRs.
Allerdinge muss natürlich der erste Mailserver die komplette Liste der gültigen Empfänger können, was aber heute kein Problem ist. Man benötigt nur das "richtige" Produkt.
Sie können  mich ja gerne nach eine für ihre Umgebung passende Lösung fragen.

Mail annehmen und mit einer NDR quittieren

Wenn der Server die schon angenommen hat, dann MUSS der Server eine unzustellbare Mail mit einer Fehlerquittung zurück melden. Leider wird man damit selbst quasi zum "Spammer", da man NDRs an die angeblichen Absender verteilt, die oft gar nichts damit zu tun haben.
Achtung: eine NDR hat nichts mit "Zugestellt"- oder "Gelesen"- Quittungen zu tun.

Mail "verschlucken"

Wenn man eine Mail an ungültige Empfänger nicht beim Empfang (RCPT TO) ablehnen kann auch nicht als NDR-Schleuder gebrandmarkt werden will, kann man diese NDRs einfach unterdrücken. Allerdings verletzt dies nicht nur eine Vorgabe (RFC) sondern zerstört das "Vertrauen" in die Funktion der Mail.

Eigentlich bleibt nur die Filterung direkt beim Empfang, was viele Mailserver schon können. Allerdings muss der Administrator eben womöglich die aktuelle Version installieren, die Konfiguration anpassen und eine komplette Liste der Empfänger aktuell halten. (Dafür gibt es aber auch Lösungen). Nur so genannt "CatchAll" Accounts funktionieren damit natürlich nicht mehr.

Bounce Filter

Da es leider noch sehr viele Mailserver gibt, die ungültige Empfänger nicht gleiche beim Empfang ablehnen, suchen Firmen natürlich nach Hilfsmitteln, um dieser NDR-Flut (Siehe auch NDR Spamming) Herr zu werden.

Eine Möglichkeit ist, die Anzahl der NDRs von einem anderen System auf das eigene System zu "messen" und bei Überschreitung einer gewissen Anzahl dieses System analog zu einer RBL auszublocken. Die Firma, deren Mailserver dann ungültige Empfänger nicht von vorneherein ablehnt und statt dessen lieber die Welt mit NDRs zumüllt, wird ihre Mails dann an diese Empfänger nicht mehr versenden können.

Das ist umso mehr für die großen Provider wie T-Online und AOL möglich, die natürlich sehr viele NDRs von bestimmten Quellen bekommen und damit über besseres Datenmaterial verfügen.

Gegen den Einsatz bei kleinen Firmen spricht natürlich, dass Sie als Empfänger damit einen möglichen Kunden Ausblocken würden. Das würde zum einen ihr Geschäftsführer nicht gerne sehen und zum anderen hat es immer was mit einem "erhobenen Zeigefinger" zu tun, der anderen Seite einen weniger optimal konfigurierten Mailserver vorzuwerfen. Als großer anonymer Provider sind die Machtverhältnisse schon etwas anders verteilt. Welcher kleine Mailserverbetreiber würde einem Großprovider ein "Fehlverhalten" vorwerfen wollen. Und selbst wenn dies zutreffen würde, wäre eine Änderung unwahrscheinlich.

Prinzipiell ist so ein Filter aber durchaus zu überlegen um bestimme IP-Adressen in die Bewertung mit einzubeziehen. Als Absolutfilter ist aber aber eher ein Kandidat für zu viele "False Positives" da es leider immer noch viele Mailserver gibt, die ungültige Empfänger wider besseres Wissen annehmen.

Weitere Links