Default Deny Policy – Als Spam-Schutz unbrauchbar
11. November 2006 | 
Autor: Ist Email wirklich schon so kaputt durch Spam, das man nicht mehr jede Mail annimmt, sondern nur wenn die Domain in irgendeiner Domain-Whitelist steht? Ich denke nicht, aber Mathias Leisi vertritt in “Default Deny” – A Paradigm Shift for E-Mail genau diese Meinung:
Most spam filtering is usually accompanied by some degree of whitelisting in order to avoid too many false positives. Given the recent increase in spam levels, filtering must become ever more aggressive, and the effort both to maintain the rules and the whitelists to mitigate the increased risk of false positives is increasing as well. [..] And now it is time to get honest. Internet e-mail should switch to a “Default Deny” policy. Everything not whitelisted is rejected with a 5xx error and a hint on how to get yourself whitelisted
Die Überlegung hat seine Verlockungen, keine Frage, aber sie würden nur kurzfristig Linderung bringen, denn es würde eine sehr böse Sache provozieren: Domain-Hijacking. Es würde auch ein harter Weg dorthin werden, denn weder SPF, noch der Reverse-MX oder anderes hat sich bis heute durchgesetzt, um den Absender einer Email zu validieren und letztlich sind auch Protokolle mit ‘Default Deny’-Policy, wie z.B. Messenger nicht vor Spam sicher. Ich glaube also nicht, das sich irgendetwas ändern würde.
Danke für den Hinweis mit den Messengern – daran hatte ich bisher nicht gedacht. Eine “Default Deny” Policy kann auf drei Wegen unterwandert werden: 1) Domain oder Network Hijacking, 2) Fehlentscheide eines Whitelist-Administrators, 3) Unterwanderung eines automatischen Whitelist-Mechanismus.
Solange Whitelisting auf IP-Adressen beruht ist stellt Domain Hijacking kein Problem dar. Wenn ähnliches mit einem ganzen Netzwerk geschieht (etwa über Routing-Manipulationen) dann kann ein Whitelisting-Eintrag relativ schnell entfernt werden. *So* häufig und wahrscheinlich ist dieses Szenario nicht.
Gegen 2) kann man sich bis zu einem gewissen Mass schützen (welchen Administratoren will man vertrauen, organisatorische Massnahmen wie Vier-Augen-Prinzip, …). Gegen 3) hilft nur ein sorgfältiges Design.
Ein “Default Deny”-System ist nicht die silberne Kugel im Kampf gegen Spam. Es ist vielmehr eine Rückkehr zur Ehrlichkeit.
So wie ich das sehe, klingt das alles für mich, was mit Programmen wie TMDA schon da war. Das Problem liegt einfach in der Masse. Wenn ich überlege, mit wievielen Domains ich es zu tun habe, übersteigt der Pflegeaufwand einfach den Nutzen.
Desweiteren, was bringt es mir, wenn ich Mails auf Domainebene blockiere? Ein einziger “fauler Apfel” reicht, um erneut mit dem Müll zu kämpfen. Ich schätze, wir werden noch die nächsten Jahre mit dem Schrott zu kämpfen haben. Solang, bis der letzte Depp aufgehört hat, Spam Produkte zu erwerben.
Ja, sowas kann man schonmal machen, wenn das ganze bekannte Mail-Universum aus dem eigenen Account und dem der Frau auf dem 1&1-Rootserver besteht.
Domain-Whiteliste. Was für ein Unfug – bei alleine über 10 Millionen DE-Domains. Da wünsche ich viel Spass beim Pflegen der Liste… Inbesondere müsste man so etwas zentral Pflegen und schon alleine das wäre ein Problem. 1. Wer soll das machen? 2. Nach welchen Regeln?
Ich habe zur Zeit ganz gute Erfahrungen mit einem Setup, welches über den Hostnamen Dialup-Netzwerke (zumindest die großen) erkennt und die Mails von dort in die Tonne tritt. Sprich sauberer REJECT mit Code 5xx beim Einliefern. Die Liste pflege ich manuell was zwar etwas Arbeit mit sich bringt aber für die Ergebnisse lohnt es sich IMHO.