Spam und was man dagegen tun kann, Teil2…

Nachdem ich in meinem ersten Beitrag die Holzhammermethode und die Methode des nicht startens des entsprechenden Serverdaemons aufgezeigt habe, möchte ich nun etwas genauer auf die ursprünglich geplante Variante eingehen. Der Ansatz baut darauf, „nichts“ am produktiven (aber eigentlich über das Limit belasteten) System zu ändern und den von Spammern gerne gewählten Weg (nutzen des MX-Backup-Servers) ein bischen einzuschränken. Ein weiteres Problem, ich bin nicht wirklich von Greylisting überzeugt und so kommt es auf dem eigentlichen Server auch nicht zum Einsatz. Ein erster Versuch könnte sein, man trägt brav für alle seine Domains einfach einen zweiten, nicht existenten Mailserver mit niedrigerer Priorität ein. Erstaunlicherweise funktioniert es sogar, der Spam beim Hauptserver nimmt deutlich ab.

Wirklich sauber ist diese Methode natürlich nicht, aber der Ansatz lässt sich natürlich erweitern. Ein zweiter, echter Mailserver (auch als Backup-MX tauglich) ist entweder sehr aufwendig zu konfigurieren (alle User in beiden Servern, Spam/Virusfilerterung etc, kostet auch wieder jede Menge CPU-Power und verlagert das Problem nur) oder aber er nimmt alles für die eingetragenen Domains an und wäre damit das von den Spammern gewünschte Opfer. Was also könnte helfen? Ein Proxy, restriktiv konfiguriert und mit allen gewünschten Filtermethoden. Ein einfacher Kandidat ist der vollständig im Speicher arbeitende Solido Smtp Proxy. Er nimmt alle eingehenden Mails transparent an und leitet Sie an den eigentlichen Mailserver weiter, sofern nicht das Greylisting oder die eingesetzten RBL’s anschlagen (letztere funktionieren bei mir leider nicht, hier bricht der Proxy mit einer Exception ab). Ferner lässt sich die Antwortzeit bei als spamversendenden Servern entsprechenden erhöhen. Das Ergebnis kann sich sehen lassen. Der Spam beim Mainserver hat sich damit auf ein Drittel reduziert, entsprechend ist die CPU-Auslastung gesunken und der Resourcenverbrauch des Backup-MX ist „verschwindend“ gering. Ein Problem hatte ich dann allerdings doch, der Maildurchsatz (bzw. die Anzahl der eingehenden Verbindungen) hat sich dadurch massiv erhöht und die Firewall hatte daran auch fast verstolpert. Das Greylisting nur auf dem „Backup“-MX hat den Vorteil, das normale E-Mails (sie sollten ja stets beim ersten Mailserver ankommen) werden ohne Verzögerung zugestellt… Zu evaluieren wäre sicherlich noch, inwieweit sich die Spammer das Verhalten des Backup-MX-Servers merken und diesen in Zukunft meiden. Ein weiterer kleiner Vorteil, man kann dieses Verfahren auch nur für einzelne Domains nutzen (oder deren Verkehr komplett über den Proxy umlenken).

Weitere Kandidaten für einen ähnlichen Ansatz sind z.B. Spey und Hermes.