Seite 1 von 1

wie stellt m-net (nachträglich) spam fest ...

Verfasst: 17.06.2010, 21:18
von s.tyx
Sven hat geschrieben:Dein Anschluss ist soweit i.O., da seh ich nichts auffälliges.
Dem Logfile nach lief der Anschluss die letzten Tage ohne Unterbrechungen (absgesehen vom 24 h Disconnect), nur gestern Abend sind mehrere Unterbrechungen aber da geh ich mal davon aus das du da irgendwas getestet hast.
Überprüf mal bitte deinen PC auf Viren bzw. schädliche Software, von deinem Anschluss aus wurde in den letzten Tagen viel Spam verschickt was darauf hindeutet das sich dein PC irgendwas eingefangen hat.


Zitat des zweiten Beitrages in folgendem Thread:
http://forum.m-net.de/viewtopic.php?t=5802

... ich hoffe mal dies ist eine reine vermutung, daß das was da gesendet wurde "spam" ist. meiner ansicht nach müsste zur klassifizierung der inhalt der mails bekannt sein. wenn ich davon ausgehen muss, daß der inhalt meiner mails oder allgemein meines traffics vom provider gelesen wird, kommt mir das kotzen (sry), insbesondere wenn dies auch noch nachträglich ("in den letzten tagen") möglich sein sollte.

by s.tyx (hoffend, daß das ganze nur unglücklich ausgedrückt war)

Verfasst: 17.06.2010, 22:29
von sceto
wie stellt m-net (nachträglich) spam fest ...


vermutlich durch logfiles des spamfilters der anhand von definierten regeln mails als spam markiert.

Verfasst: 18.06.2010, 07:26
von s.tyx
vermutlich durch logfiles des spamfilters der anhand von definierten regeln mails als spam markiert.


da ein ordentlicher spambot aber seinen eigenen mailausgangsserver verwenden dürfte, würde dies bedeuten, daß der ganz normale traffic gescant und ausgewertet wird.
der einzige ort, an dem ein m-net spamfilter meiner meinung nach überhaupt greifen darf, sollte wenn denn verwendet, der bei m-net gehostete mailaccount sein, wobei es eine gewisse logik hätte, wenn auch dort nur der maileingang gescannt wird.

by s.tyx

Verfasst: 18.06.2010, 07:27
von EXtes
Hallo

Es ist durchaus üblich, das große Provider die ausgehenden Mails durch ihre regulären Spam-Filter schicken. Insb. z.B. um Malware oder Würmer zu erkennen/protokollieren. Ist jetzt natürlich nicht gesagt, dass m-net das macht.

Eine weitere Möglichkeit wäre einfach die Überwachung der Ports. Wenn von einem privaten Account konstant X Mbyte über die SMTP Ports abgeliefert werden könnte das ebenfalls ein Zeichen sein.

Das nachträglich bezieht sich ziemlich sicher auf die Statistik über Dauer, Häufigkeit und Volumen. Nachträglich passiert da nichts und der Content wird wohl auch nicht gespeichert.

EXtes

Verfasst: 18.06.2010, 07:46
von s.tyx
EXtes hat geschrieben:Hallo

Es ist durchaus üblich, das große Provider die ausgehenden Mails durch ihre regulären Spam-Filter schicken. Insb. z.B. um Malware oder Würmer zu erkennen/protokollieren. Ist jetzt natürlich nicht gesagt, dass m-net das macht.

Eine weitere Möglichkeit wäre einfach die Überwachung der Ports. Wenn von einem privaten Account konstant X Mbyte über die SMTP Ports abgeliefert werden könnte das ebenfalls ein Zeichen sein.

Das nachträglich bezieht sich ziemlich sicher auf die Statistik über Dauer, Häufigkeit und Volumen. Nachträglich passiert da nichts und der Content wird wohl auch nicht gespeichert.

EXtes


ein scannen des traffics würde aber nur sinn ergeben, wenn denn auch der derjenige informiert werden würde, daß da etwas über seinen anschluß läuft was eventuell nicht so sein soll, und dies nicht nur als nebenbemerkung in einem "mein anschluß spinnt"-thread erwähnt.
desweiteren handelt es sich bei m-net nicht um einen freien mailhoster bei dem man sich anonym anmeldet, sondern um einen isp, der mailaccounts nur in zusammenhang mit einem internetzugang und entsprechender persönlicher "identifizierung" des kunden anbietet.

by s.tyx

Verfasst: 18.06.2010, 08:23
von NetWraith
@alle Paranoika:
Nur mal am Rande: Um zu sehen, von welcher IP (und damit ISP) viel SPAM versendet wird, muß NICHT der Mailtraffic dieser IP gescannt werden.

Stichwort z.B. IronPort und deren interne Vernetzung

vy 73 ...
NetWraith

Verfasst: 18.06.2010, 08:30
von EXtes
Hallo
s.tyx hat geschrieben:ein scannen des traffics würde aber nur sinn ergeben, wenn denn auch der derjenige informiert werden würde, daß da etwas über seinen anschluß läuft was eventuell nicht so sein soll,

Zumindest im Forum habe ich so ein Hinweis an einen Nutzer schon mehrmals gelesen. Da aber nicht alle im Forum sind, wird das wohl per Mail/Brief/Telefon erfolgen. Dazu müsste sich aber ein Admin äußern.

Warum es im Thread nur im Nebensatz erwähnt wurde weis ich natürlich auch nicht. Vermutlich war das Aufkommen noch nicht "so hoch", dass es eine Benachrichtigung geben würde. Sven wird die Statistik einfach nur hinzugezogen haben.

Worauf Dein letzter Satz abzielt erschließt sich mir leider nicht. Es muss hier nicht zwangsläufig um den mailaccount bei m-net gehen. Die ursprüngliche Aussage war ja nur, dass viel SPAM von seinem Anschluss verschickt worden ist.

EXtes

Verfasst: 18.06.2010, 09:31
von s.tyx
NetWraith hat geschrieben:@alle Paranoika:
Nur mal am Rande: Um zu sehen, von welcher IP (und damit ISP) viel SPAM versendet wird, muß NICHT der Mailtraffic dieser IP gescannt werden.

Stichwort z.B. IronPort und deren interne Vernetzung


stimmt es ist nicht speziell diese ip, sondern eine gesamttrafficanalyse inklusive dieser ip - sozusagen ne rasterfahndung ;)

Worauf Dein letzter Satz abzielt erschließt sich mir leider nicht. Es muss hier nicht zwangsläufig um den mailaccount bei m-net gehen. Die ursprüngliche Aussage war ja nur, dass viel SPAM von seinem Anschluss verschickt worden ist.


bezog sich darauf das anonyme accounts eher als spamschleuder missbraucht werden können (und wurden). da aber ein ordentlicher spambot so oder so keinen gehosteten mailaccount braucht dürfte dies egal sein.

p.s.

ich habe einfach etwas gegen überwachung und datenerfassung - ist aber wohl in einer zeit in der man die zahl seiner ****haare bei facebook und co präsentiert ein etwas überholtes denken.

Verfasst: 18.06.2010, 10:04
von Sven
/Ironie/ Natürlich lesen wir jede mail unserer Kunden und entscheiden dann ob es Spam ist oder nicht .. /Ironie Ende/

Viele Provider filtern Spammails und informieren anschliessend den Absenderprovider (hierfür hat fast jeder Provider eine eigene Abuse@... Adresse) über das Spamaufkommen.
Anhand der Beschwerdemails (mit den original verschickten mails im Anhang) die wir zurückbekommen und der IP Adresse von der diese kamen können wir den Anschluss feststellen und ggf. auch den SMTP Port sperren.
Vor einer SMTP Sperre wird der Kd. i.d.R. schriftlich informiert mit dem Hinweis das von seinem Anschluss aus SPAM verschickt wird und kann so eine PCs prüfen.

Verfasst: 18.06.2010, 13:09
von s.tyx
Sven hat geschrieben:Natürlich lesen wir jede mail unserer Kunden und entscheiden dann ob es Spam ist oder nicht ..


ich habs doch gewust ...

Sven hat geschrieben:Viele Provider filtern Spammails und informieren anschliessend den Absenderprovider (hierfür hat fast jeder Provider eine eigene Abuse@... Adresse) über das Spamaufkommen.
Anhand der Beschwerdemails (mit den original verschickten mails im Anhang) die wir zurückbekommen und der IP Adresse von der diese kamen können wir den Anschluss feststellen und ggf. auch den SMTP Port sperren.


scan am posteingang durch den jeweiligen provider (insofern vom kunden gewünscht) und darauffolgende abuse-mitteilung an den isp des absenders ist der richtige weg - daher akzeptiert ;)