Recipient Address Verification

Der natürlich beliebig fälschbare Envelope-Sender ist immer der gleiche, nämlich »<>«, also der Null-Sender. Diese Absenderadresse hat für Spammer den Vorteil, dass jeder RFC-konform konfigurierte Mailserver diese Adresse akzeptiert. Außerdem ist eine Reihe von Antispam-Maßnahmen, die auf der Prüfung der Absenderadresse basieren, etwa SAV (Sender Address Verification), beim Null-Sender nutzlos.

Beinahe noch interessanter sind die Empfängeradressen der verteilten Spam-Mails: Sie existieren nämlich nicht, sondern stammen aus dem Vokabular eines ausgestorbenen koptischen Dialekts oder, geringfügig wahrscheinlicher, eines Zufallsgenerators. Hier liegt der Grund, warum der Spamfilter die Mails bereits in den Orkus jagt, noch bevor der SMTP-Dialog beim »DATA«-Kommando angekommen ist. Er führt nämlich eine Empfängerprüfung durch (Recipient Address Verification), das Gegenstück zur erwähnten SAV.

Das Prinzip dieser Empfängerprüfung ist einfach: Wenn der einliefernde Server die Empfängeradresse im »RCPT TO:« preisgibt, schaut der Spamfilter zunächst nach, wohin die Mail zugestellt werden soll, nämlich auf meinen Mailserver (»mail.kuehnast.com« in Zeile 5 von Listing 1). Er baut dorthin einen SMTP-Dialog auf und checkt, welche Antwort er nach dem »RCPT TO:« erhält. Bei meinen Bot-Spielkameraden ist es »user unknown«. Daraufhin lehnt der Spamfilter den weiteren Dialog mit dem Spammer ab (Zeile 7) - das sind die massenhaften Rejects, die ich im Mailgraphen gesehen habe.

01 May 12 04:16:07 spamfilter2 postfix/smtpd[32629]: connect from hcm-ms-185.vnn.vn[203.162.4.185]
02 ...
03 May 12 04:16:07 spamfilter2 policyd: rcpt=598727, greylist=update, host=203.162.4.185 (hcm-ms-185.vnn.vn), from=<>, to=shaynsimo@kuehnast.com, size=5228
04 ...
05 May 12 04:16:07 spamfilter2 postfix/smtpd[29010]: NOQUEUE: reject: RCPT from hcm-ms-185.vnn.vn[203.162.4.185]: 550 <shaynsimo@kuehnast.com>: Recipient address rejected: unverified address: host mail.kuehnast.com[80.190.243.62] said: 550 <shaynsimo@kuehnast.com>:no such user (in reply to RCPT TO command);  from=<> to=<shaynsimo@kuehnast.com> proto=ESMTP helo=<HCM-MS-185.vnn.vn>
06 ...
07 May 12 04:16:07 spamfilter2 postfix/smtpd[32629]: disconnect from hcm-ms-185.vnn.vn[203.162.4.185]

Jetzt wird mir auch klar, warum der Spamfilter noch relativ entspannt ist, obwohl er nach wie vor deutlich über 500 SMTP-Prozesse verkraften muss: Fast keiner dieser Prozesse liefert tatsächlich eine Mail ein, die Empfängerprüfung blockt sie alle schon weit vorher ab. Würde ich, wie noch vor einem Jahr, alle Mails ohne Empfängerprüfung direkt durch Spamassassin pumpen, hätte der Spamfilter heute angesichts der schieren Menge eingehender Mails mit Sicherheit schon Pupillenstillstand. Daher mein Rat an Mailserver-Admins: Recipient Address Verification macht das Leben ereignisärmer.

Abfangjäger von Format

Ich fange ein paar der eingehenden Spam-Mails ab, weil ich jetzt endlich wissen will, was mir da seit Stunden mit solcher Vehemenz in den Spamfilter drückt. Erwartet hatte ich ein wenig Blabla nebst angehängtem Trojaner, vielleicht als Gif oder PDF getarnt. Oder die übliche Werbung für Erektionshilfen, Partydrogen oder Brustvergrößerungen (Bierbauchverkleinerungen waren zu meiner Enttäuschung nie dabei). Was ich finde, ist aber nur Ascii-Schrott.

Das lässt zwei Schlüsse zu: Entweder der Spammer will mich einfach nur ärgern oder er hat Mime nicht verstanden. Ich tippe auf Letzteres und spiele mit dem Gedanken, die Buchstabensuppe durch einen Base64-Decoder zu drehen. Aber so genau will ich gar nicht wissen, was Viagra diese Woche kostet. Ich wende mich lieber wieder dem Log zu und schaue mir an, wie die Mails am Spamfilter abtropfen. Das Manuskript kann ich ja abends fertig schreiben. (jk)