nicht angemeldet
die liebe googlelei
Hallo,
da freut man sich sich die Spamgemeinde mit einer einfache Überprüfung der Angabe im EHLO/HELO-Kommando loszusein, schon stellt sich heraus, daß google zu dämlich ist, seine SMTP-Clients vernünfig einzurichten *rauchwolkenfabrizier*
Gruß aus Berlin!
eddi
-
Moin!
da freut man sich sich die Spamgemeinde mit einer einfache Überprüfung der Angabe im EHLO/HELO-Kommando loszusein, schon stellt sich heraus, daß google zu dämlich ist, seine SMTP-Clients vernünfig einzurichten *rauchwolkenfabrizier*
Bitte mehr Input. Was macht Google denn falsch?
- Sven Rautenberg
--
My sssignature, my preciousssss!-
Hallo,
da freut man sich sich die Spamgemeinde mit einer einfache Überprüfung der Angabe im EHLO/HELO-Kommando loszusein, schon stellt sich heraus, daß google zu dämlich ist, seine SMTP-Clients vernünfig einzurichten *rauchwolkenfabrizier*
Bitte mehr Input. Was macht Google denn falsch?
gut, da0ß Du Dich meldest. Wir beide hatten vor einiger Zeit mal das Thema SMTP (http://forum.de.selfhtml.org/archiv/2006/1/t121179/#m779168). Deine damalige Kritik "Nach so einem EHLO müßte man so einen Client eigentlich direkt wieder aus der Leitung werfen." ist nach einigen Erfahrngen mit taiwanischen und koreanischen Spamern auf äußerst fruchtbaren Boden getroffen. Ich habe also eine Validierung der Angabe, die ein Client nach einem EHLO/HELO-Kommando macht (Hostname des Clients), umgesetzt.
Gaymail hält sich aber nicht daran:
[22-May-2006 08:35:37] [debug 1701] connection on port 25 216.239.56.248 cw-out-0708.google.com
[22-May-2006 08:35:37] [debug 1701] fork child: 5990
[22-May-2006 08:35:37] [debug 5990]
S: 220 ai000.de mit Berlina Charme is' ja da
C: EHLO mproxy.base.google.com
S: 554 5.4.0 ick will keen Spam von Dia!
C: HELO mproxy.base.google.com
S: 503 5.5.0 ej Vojel - wat soll'n dit?
C: QUIT
S: 221 2.0.0 komm jut untern Bus
Memory: 569400 Time: 0.5108790397644
[22-May-2006 08:38:04] [debug 1701] connection on port 25 216.239.56.251 cw-out-0708.google.com
[22-May-2006 08:38:04] [debug 1701] fork child: 5994
[22-May-2006 08:38:05] [debug 5994]
S: 220 ai000.de mit Berlina Charme is' ja da
C: EHLO mproxy.base.google.com
S: 554 5.4.0 ick will keen Spam von Dia!
C: HELO mproxy.base.google.com
S: 503 5.5.0 ej Vojel - wat soll'n dit?
C: QUIT
S: 221 2.0.0 komm jut untern Bus
Memory: 569400 Time: 0.48335409164429
[22-May-2006 08:45:05] [debug 1701] connection on port 25 216.239.56.249 cw-out-0708.google.com
[22-May-2006 08:45:05] [debug 1701] fork child: 5996
[22-May-2006 08:45:05] [debug 5996]
S: 220 ai000.de mit Berlina Charme is' ja da
C: EHLO mproxy.base.google.com
S: 554 5.4.0 ick will keen Spam von Dia!
C: HELO mproxy.base.google.com
S: 503 5.5.0 ej Vojel - wat soll'n dit?
C: QUIT
S: 221 2.0.0 komm jut untern Bus
Memory: 569400 Time: 0.65568208694458Gruß aus Berlin!
eddi-
Moin!
Bitte mehr Input. Was macht Google denn falsch?
Ich habe also eine Validierung der Angabe, die ein Client nach einem EHLO/HELO-Kommando macht (Hostname des Clients), umgesetzt.
Gaymail hält sich aber nicht daran:
Was bedeutet das?
Dieses HELO ist korrekt:
C: EHLO mproxy.base.google.com
Der Hostname existiert (wobei HELO/EHLO keinen existierenden Hostnamen fordert), eigentlich müßte dein Filter die Mail durchlassen. Korrigiere dies - ist ja sowieso die einzige Möglichkeit, die du hast. :)
- Sven Rautenberg
--
My sssignature, my preciousssss!-
Moi moin,
Dieses HELO ist korrekt:
C: EHLO mproxy.base.google.com
Der Hostname existiert (wobei HELO/EHLO keinen existierenden Hostnamen fordert), eigentlich müßte dein Filter die Mail durchlassen. Korrigiere dies - ist ja sowieso die einzige Möglichkeit, die du hast. :)
der host-Name "mproxy.base.google.com" läßt sich nicht zu den einzelnen IP-Adressen auflösen - was die Möglichkeiten angeht, die ich habe angeht, muß ich Dir leider beipflichen... - ägrern tut es mich trotzdem wieder eine weitere Routiene verbauen zu müssen ;(
Gruß aus Berlin!
eddi-
Moin!
der host-Name "mproxy.base.google.com" läßt sich nicht zu den einzelnen IP-Adressen auflösen
Der Hostname läßt sich zu EINER IP-Adresse auflösen. Wo ist da das Problem?
- Sven Rautenberg
--
My sssignature, my preciousssss!-
Hallo,
Der Hostname läßt sich zu EINER IP-Adresse auflösen. Wo ist da das Problem?
Spamer sind durchaus nicht so dumm, wie ich es gerne hätte. Das Kriterium, daß sich der angegebene host zu einer IP-Adresse auflösen läßt, erfüllen derzeit mehr als 50% - da liegt das Problem.
Was also nun tun? Ich werde mir eine Routine basteln, daß ein angegebener host zumindest im nächsten IP-Adressbereich liegt. Das aber ist auch keine wirkliche Lösung. Es wäre eine wirkliche Löung, wenn jeder konfigurierte host sich tatsächlich zu der IP-Adresse auflösen lassen würde, die angegeben wurde. Dabei zeigt google ja recht deutlich, daß mehrere hosts den gleichen Namen haben können (log-Auszug) - nur warum machen sie es dann nicht bitteschön ganz richtig und bennenen alle Maschinen von "cw-out-0708.google.com" in "mproxy.base.google.com" um?
Gruß aus Berlin!
eddi-
Moin!
Der Hostname läßt sich zu EINER IP-Adresse auflösen. Wo ist da das Problem?
Spamer sind durchaus nicht so dumm, wie ich es gerne hätte. Das Kriterium, daß sich der angegebene host zu einer IP-Adresse auflösen läßt, erfüllen derzeit mehr als 50% - da liegt das Problem.
Das ist aber nichts besonderes, schon lange nicht mehr. Spamsoftware stellt die eigene IP-Adresse fest, löst die rückwärts auf, und verwendet das Ergebnis als HELO-Angabe. Und genau dasselbe (im Ergebnis) tun auch legitime SMTP-Server.
Die Prüfung auf Existenz und Auflösbarkeit der HELO-Angabe eignet sich nicht als ausschließliches Spamfilter-Kriterium. Es ist EINES der Kriterien, um Spam abzuhalten, sofern der Spammer so freundlich war, und dort eine falsch eingerahmte IP-Adresse oder offensichlichen Blödsinn wie den eigenen Servernamen oder die eigene IP anzugeben - oder eventuell eben auch einen nicht existierenden fremden DNS-Namen.
Aber damit kriegt man nach meiner Erfahrung nur einen kleinen Bruchteil des Spams abgewehrt.
Was also nun tun? Ich werde mir eine Routine basteln, daß ein angegebener host zumindest im nächsten IP-Adressbereich liegt. Das aber ist auch keine wirkliche Lösung. Es wäre eine wirkliche Löung, wenn jeder konfigurierte host sich tatsächlich zu der IP-Adresse auflösen lassen würde, die angegeben wurde. Dabei zeigt google ja recht deutlich, daß mehrere hosts den gleichen Namen haben können (log-Auszug) - nur warum machen sie es dann nicht bitteschön ganz richtig und bennenen alle Maschinen von "cw-out-0708.google.com" in "mproxy.base.google.com" um?
Du versuchst der HELO-Angabe eine Bedeutung zuzumessen und für das Filtern zu verwenden, die diese Angabe nicht hat.
Anzugeben ist ein Hostname. Der Hostname hat laut Standard aber nicht zwingend irgendetwas mit dem in angebenden Server zu tun zu haben, es ist lediglich ein Bezeichner - der im weiteren Verlauf des SMTP-Dialogs nicht mehr weiter auftaucht. Dass dort typischerweise bei regulärer SMTP-Software der EIGENE Hostname angegeben wird, ist nett von der Software, und hilft etwas beim Filtern - aber nicht viel.
Ich würde an deiner Stelle nicht zu streng nach HELO filtern, sondern viel eher nachfolgende Angaben ebenfalls hinzunehmen. Fakt ist: Am meisten filtert man mit IP-Blacklisten raus. Man muß nur die richtigen finden oder sich selbst zusammenstellen.
- Sven Rautenberg
--
My sssignature, my preciousssss!-
Hallo,
nun stehe ich vor dem nächsten Rätsel. Nachdem ich den Filter angepaßt habe, wurden dennoch alle eingehenden Mails verworfen. Alle Verbindungen wurden durch timeout beendet. gmail sendet nach den Messagedaten erst nach 30 sec ein QUIT ;(
Derweil wurde jetzt auch die 8BITMIME seitens google wieder eingestellt. Die scheinen wirklich noch am entwickeln zu sein.
Gruß aus Berlin!
eddi
-
-
-
-
-
-
-