© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Timo Schoeler <timo.schoeler(at)riscworks.net> wrote:
> insgesamt hast du natuerlich recht; allein, als ich ziemlich am anfang,
> als greylisting anfing, aktuell zu werden, mich mit der materie
> beschaeftigte, war da auch einiges an stimmen zu hoeren, dass die sache
> positiver gesehen wird, als sie ist.
Da könntest Du recht haben. Es gibt immer Leute, die in
ihrem Enthusiasmus übersehen, daß es auch Nachteile gibt.
Und umgekehrt gibt es immer Schwarzseher und Nörgler, die
einer neuen Idee immer gleich den Todesstoß versetzen wol-
len und nur die Nachteile anprangern, ohne sie korrekt zu
bewerten oder Lösungsmöglichkeiten eine Chance zu geben.
Daß Greylisting auch Nachteile hat, steht außer Zweifel
(ich habe ja ein paar aufgezählt). Wie schwerwiegend diese
sind und ob der positive Effekt -- der auch zweifellos
existiert -- sie aufwiegt, muß jeder Admin selbst entschei-
den. Man kann nur versuchen, den Mechanismus und die Aus-
wirkungen möglichst genau zu beschreiben.
> sicherlich hat ein kleiner oder mittlerer ISP keine probleme mit
> temporaer volleren queues. nicht mit den heutigen ressourcen. mag sein,
> dass damals davon ausgegangen ist, dass alle welt auf einen schlag
> anfaengt, greylisting in grossem stil einzusetzen und mancher admin von
> wirklich grossen ISPs schon in panik verfielen.
Selbst in so einem Fall wären die Auswirkungen gering ge-
wesen. Die weitaus meisten E-Mails erhalte ich von Leuten,
die ich kenne und mit denen ich schon vorher per E-Mail
kommuniziert habe, und die daher in der Whitelist sind.
Der Anteil legitimer E-Mails von »neuen« Leuten dürfte
nicht größer als 1 Prozent sein. Ich nehme an, daß das
bei den meisten anderen E-Mal-Nutzer ähnlich aussieht.
Wenn diese 1 Prozent nun eine zeitlang (typischerweise eine
halbe Stunde) in der Queue der absendenden Mail-Server
liegen, dürfte das vollkommen vernachlässigbar sein. Wenn
ein größerer Mailserver ausfällt, dürften die Auswirkungen
auf die Queues weitaus extremer sein, denn dann müssen
_alle_ Mails (100%) für jenen Mailserver gequeuet werden,
und zwar für die Dauer des Ausfalls, was deutlich mehr als
eine halbe Stunde sein kann.
> insgesamt ist es eine (weitere) abkehr vom KISS-prinzip.
Das gesamte Thema E-Mail ist heutzutage _weit_ von KISS
entfernt. Da ist Greylisting eine lächerlich simple Maß-
name. Schau Dir z.B. mal an, was SpamAssassin mit seinen
zahlreichen Check-Modulen für einen wahnsinnigen Aufwand
treibt, um Spam zu erkennen. Das kostet _wirklich_ Resour-
cen (vor allem CPU) und ist auf größeren Mailservern ein
echtes Problem. Darüberhinaus erfordert es, daß die E-Mail
erstmal akzeptiert werden muß (sonst kann der Body nicht
untersucht werden), was dazu führt, daß eine Ablehnung im
(E)SMTP-Protokoll nicht mehr möglich ist, was bedeutet, daß
der eigene Mail-Server die Verantwortung für die Zustellung
der E-Mail übernimmt, ggf. Bounces generieren und verschik-
ken muß, die wiederum gequeuet werden müssen usw. Das ist
ein Faß ohne Boden.
Wenn man nun Greylisting davorschaltet (das nur sehr wenig
CPU benötigt!), und es hält auch nur 50 Prozent des Spams
ab (nach meiner Erfahrung ist die Rate deutlich höher),
dann bedeutet das, daß die Last auf dem nachgeschalteten
SpamAssassin um 50 Prozent sinkt. Das macht einen enormen
Unterschied und kann z.B. einen grossen ISP davor bewahren,
noch fünf- oder sechsstellige Summen in zusätzliche Nodes
für den Mail-Cluster investieren zu müssen.
> um nochmal auf deine ausfuehrungen zu SMTP-engines in botnets zu kommen:
> in der tat hat sich da einiges getan; im vergleich zu den anfaengen sind
> das in vielen faellen eben keine sehr simpel gestrickten engines mehr,
> sondern RFC-feste geschichten.
Hast Du da konkrete Hinweise? Ich kann das anhand meiner
Statistiken nicht nachvollziehen, da sich da an der Ver-
teilung etwas Nennenswertes geändert hätte.
> m.e. ist das auch nachvollziehbar
> insofern, dass das 'Return of Investment' viel hoeher ist -- mehr spam
> versenden bei nicht viel groesserem risiko, entdeckt zu werden. da
> werden einige leute ihre rechnung eben mit dem normalen windows-user
> gemacht haben und mit der voraussicht, dass breitband zum quasistandard
> wurde/wird.
Das glaube ich nicht. Sie würden durch solche Investitio-
nen nicht nennenswert mehr Spam versenden, denn Greylisting
ist noch nicht so weit verbreitet (darüberhinaus merken
viele Spammer überhaupt nicht, daß sie gegreylistet wer-
den). Das Entdeckungsrisiko würde ich auch nicht so sehr
an der Bandbreitennutzung festmachen, sondern an der Nut-
zung der lokalen Festplatte. Die mir bekannten Botnet-
Programme laufen vollständig aus dem Hauptspeicher, ohne
irgendwelche Daten auf der Festplatte zu speichern.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. "The last good thing written in C was Franz Schubert's Symphony number 9." -- Erwin Dieterich To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Tue 11 Jul 2006 - 14:32:38 CEST