Kommentare zu: Default Deny Policy – Als Spam-Schutz unbrauchbar http://www.ende-der-vernunft.org/2006/11/11/default-deny-policy-als-spam-schutz-unbrauchbar/ Wir ertrinken in Information, aber hungern nach Wissen [John Naisbitt] Thu, 25 Feb 2010 09:47:45 +0000 http://wordpress.org/?v=2.9.2 hourly 1 Von: Jan Theofel http://www.ende-der-vernunft.org/2006/11/11/default-deny-policy-als-spam-schutz-unbrauchbar/comment-page-1/#comment-5197 Jan Theofel Mon, 20 Nov 2006 23:39:51 +0000 http://www.ende-der-vernunft.org/2006/11/11/default-deny-policy-als-spam-schutz-unbrauchbar/#comment-5197 Domain-Whiteliste. Was für ein Unfug - bei alleine über 10 Millionen DE-Domains. Da wünsche ich viel Spass beim Pflegen der Liste... Inbesondere müsste man so etwas zentral Pflegen und schon alleine das wäre ein Problem. 1. Wer soll das machen? 2. Nach welchen Regeln? Ich habe zur Zeit ganz gute Erfahrungen mit einem Setup, welches über den Hostnamen Dialup-Netzwerke (zumindest die großen) erkennt und die Mails von dort in die Tonne tritt. Sprich sauberer REJECT mit Code 5xx beim Einliefern. Die Liste pflege ich manuell was zwar etwas Arbeit mit sich bringt aber für die Ergebnisse lohnt es sich IMHO. Domain-Whiteliste. Was für ein Unfug – bei alleine über 10 Millionen DE-Domains. Da wünsche ich viel Spass beim Pflegen der Liste… Inbesondere müsste man so etwas zentral Pflegen und schon alleine das wäre ein Problem. 1. Wer soll das machen? 2. Nach welchen Regeln?

Ich habe zur Zeit ganz gute Erfahrungen mit einem Setup, welches über den Hostnamen Dialup-Netzwerke (zumindest die großen) erkennt und die Mails von dort in die Tonne tritt. Sprich sauberer REJECT mit Code 5xx beim Einliefern. Die Liste pflege ich manuell was zwar etwas Arbeit mit sich bringt aber für die Ergebnisse lohnt es sich IMHO.

]]> Von: Martin http://www.ende-der-vernunft.org/2006/11/11/default-deny-policy-als-spam-schutz-unbrauchbar/comment-page-1/#comment-5119 Martin Sun, 12 Nov 2006 20:54:19 +0000 http://www.ende-der-vernunft.org/2006/11/11/default-deny-policy-als-spam-schutz-unbrauchbar/#comment-5119 Ja, sowas kann man schonmal machen, wenn das ganze bekannte Mail-Universum aus dem eigenen Account und dem der Frau auf dem 1&1-Rootserver besteht. Ja, sowas kann man schonmal machen, wenn das ganze bekannte Mail-Universum aus dem eigenen Account und dem der Frau auf dem 1&1-Rootserver besteht.

]]> Von: Denny http://www.ende-der-vernunft.org/2006/11/11/default-deny-policy-als-spam-schutz-unbrauchbar/comment-page-1/#comment-5109 Denny Sat, 11 Nov 2006 23:08:27 +0000 http://www.ende-der-vernunft.org/2006/11/11/default-deny-policy-als-spam-schutz-unbrauchbar/#comment-5109 So wie ich das sehe, klingt das alles für mich, was mit Programmen wie TMDA schon da war. Das Problem liegt einfach in der Masse. Wenn ich überlege, mit wievielen Domains ich es zu tun habe, übersteigt der Pflegeaufwand einfach den Nutzen. Desweiteren, was bringt es mir, wenn ich Mails auf Domainebene blockiere? Ein einziger "fauler Apfel" reicht, um erneut mit dem Müll zu kämpfen. Ich schätze, wir werden noch die nächsten Jahre mit dem Schrott zu kämpfen haben. Solang, bis der letzte Depp aufgehört hat, Spam Produkte zu erwerben. So wie ich das sehe, klingt das alles für mich, was mit Programmen wie TMDA schon da war. Das Problem liegt einfach in der Masse. Wenn ich überlege, mit wievielen Domains ich es zu tun habe, übersteigt der Pflegeaufwand einfach den Nutzen.

Desweiteren, was bringt es mir, wenn ich Mails auf Domainebene blockiere? Ein einziger “fauler Apfel” reicht, um erneut mit dem Müll zu kämpfen. Ich schätze, wir werden noch die nächsten Jahre mit dem Schrott zu kämpfen haben. Solang, bis der letzte Depp aufgehört hat, Spam Produkte zu erwerben.

]]> Von: Matthias Leisi http://www.ende-der-vernunft.org/2006/11/11/default-deny-policy-als-spam-schutz-unbrauchbar/comment-page-1/#comment-5108 Matthias Leisi Sat, 11 Nov 2006 20:36:51 +0000 http://www.ende-der-vernunft.org/2006/11/11/default-deny-policy-als-spam-schutz-unbrauchbar/#comment-5108 Danke für den Hinweis mit den Messengern - daran hatte ich bisher nicht gedacht. Eine "Default Deny" Policy kann auf drei Wegen unterwandert werden: 1) Domain oder Network Hijacking, 2) Fehlentscheide eines Whitelist-Administrators, 3) Unterwanderung eines automatischen Whitelist-Mechanismus. Solange Whitelisting auf IP-Adressen beruht ist stellt Domain Hijacking kein Problem dar. Wenn ähnliches mit einem ganzen Netzwerk geschieht (etwa über Routing-Manipulationen) dann kann ein Whitelisting-Eintrag relativ schnell entfernt werden. *So* häufig und wahrscheinlich ist dieses Szenario nicht. Gegen 2) kann man sich bis zu einem gewissen Mass schützen (welchen Administratoren will man vertrauen, organisatorische Massnahmen wie Vier-Augen-Prinzip, ...). Gegen 3) hilft nur ein sorgfältiges Design. Ein "Default Deny"-System ist nicht die silberne Kugel im Kampf gegen Spam. Es ist vielmehr eine Rückkehr zur Ehrlichkeit. Danke für den Hinweis mit den Messengern – daran hatte ich bisher nicht gedacht. Eine “Default Deny” Policy kann auf drei Wegen unterwandert werden: 1) Domain oder Network Hijacking, 2) Fehlentscheide eines Whitelist-Administrators, 3) Unterwanderung eines automatischen Whitelist-Mechanismus.

Solange Whitelisting auf IP-Adressen beruht ist stellt Domain Hijacking kein Problem dar. Wenn ähnliches mit einem ganzen Netzwerk geschieht (etwa über Routing-Manipulationen) dann kann ein Whitelisting-Eintrag relativ schnell entfernt werden. *So* häufig und wahrscheinlich ist dieses Szenario nicht.

Gegen 2) kann man sich bis zu einem gewissen Mass schützen (welchen Administratoren will man vertrauen, organisatorische Massnahmen wie Vier-Augen-Prinzip, …). Gegen 3) hilft nur ein sorgfältiges Design.

Ein “Default Deny”-System ist nicht die silberne Kugel im Kampf gegen Spam. Es ist vielmehr eine Rückkehr zur Ehrlichkeit.

]]>