Raketenwilli: eMail Greylisting

Beitrag lesen

Da aber die Dummmailer heute auch immer alles mehrfach schicken, hatte ich angenommen, das man das Verfahren nicht mehr nutzt.

Keine Ahnung, ich „stecke nicht in dem Thema“.

Aber ganz generell sind Spamfilter ziemlich komplexe Geschichten und es gibt aberdutzende Mechanismen, welche Mails anhand einer ganzen Menge von Merkmalen sortieren. Dafür kommt quasi ALLES in Betracht. Und wenn der auch nur von 10% Dummmailern versendete Spam so einfach auszusortieren ist weil deren, für smart gehaltene „Smarthost“ auf den 450er („delivery temporarily denied“) nicht korrekt zu reagieren weiß, spart man eine Menge Rechenleistung...

Zum Teil hat das übrigens damit zu tun, das die Spamversender oft kleine, gehackte Webserver missbrauchen. Wenn deren Programme/Skripte jetzt anfangen sollen, die 450er Nachrichte zu beachten, dann könnte deren Verbrauch an Speicher und Rechenleistung zu einem unerwünscht schnellem Auffallen des Umstandes führen, dass da irgenwie „ein paar Benutzer zu viel aktiv“ sind. (Auf dem ausgefallenem, mal von mir untersuchten Server waren es rund 1000 PHP-Webshells(¹), die mindestens teilweise auch aktiv benutzt wurden, also „verkauft“ waren.


¹) Die hatten alle das Merkmal, dass STOP_$ im Quelltext vorkam, der wurde nur umgedreht hat den Benutzer authentifiziert und und dann den eigentlich „verschlüsselten“ Code (Der Schlüssel war im Skript enthalten) per eval() ausgeführt um sodann die ebenfalls per $_POST übermittelten Befehle der Benutzer der Webshells auszuführen. Leicht zu finden mit

grep -Rn 'STOP_$' *