---

Jeg bliver dagligt tæpebombet med spammails og har derfor installeret
spampal. Jeg er dog i tvivl om det ikke er bedre at blokere afsenderne
direkte i outlook express istedet ?
Er det ikke rigtigt forstået, at hvis jeg blokkerer en afsender, så får
vedkommende en besked tilbage om at hans mail er uønsket ?
Hvorfor virker blokeringen ikke ordentligt på domæner ? Eks. @yahoo.de , vil
aligevel lukke mails igennem fra spammer@yahoo.de en gang imellem ?

---

Peter Svendsen skrev:

>Jeg bliver dagligt tæpebombet med spammails og har derfor installeret
>spampal. Jeg er dog i tvivl om det ikke er bedre at blokere afsenderne
>direkte i outlook express istedet ?

Det er hip som hap (skrevet uden kendskab til Spampal).

>Er det ikke rigtigt forstået, at hvis jeg blokkerer en afsender, så får
>vedkommende en besked tilbage om at hans mail er uønsket ?

Hvis det er, så sørg for alt i verden for at pille så der *ikke*
sendes en sådan besked. Det meste spam og virus kører med
forfalskede adresser, så du ville ellers genere en ganske
uvedkommende person med ... spam!

>Hvorfor virker blokeringen ikke ordentligt på domæner ? Eks. @yahoo.de , vil
>aligevel lukke mails igennem fra spammer@yahoo.de en gang imellem ?

Jeg ved det ikke. Det kan ligge i en forkert opsætning, og det
kan ligge i at det ikke er den rigtige afsender selv om det kan
se sådan ud.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

"Bertel Lund Hansen" <nospamius@lundhansen.dk> skrev i en meddelelse
news:ftq7ovouq8edf9ihpdlsi2o7gb2e2klt7c@news.stofanet.dk...


> >Er det ikke rigtigt forstået, at hvis jeg blokkerer en afsender, så får
> >vedkommende en besked tilbage om at hans mail er uønsket ?
>
> Hvis det er, så sørg for alt i verden for at pille så der *ikke*
> sendes en sådan besked. Det meste spam og virus kører med
> forfalskede adresser, så du ville ellers genere en ganske
> uvedkommende person med ... spam!
>

Hej Bertel, tak for dit svar.

Jeg har forstået det sådan, at hvis jeg blokkerer afsenderen, så får
afsenderen besked om at mailen ikke kan afleveres. Derfor gav det mig et
spinkelt håb om at jeg så ville blive slettet fra afsenderens liste. Jeg er
dog klar over at de fleste spamere benytter "open relayes" og proxy servere.

---

Peter Svendsen wrote:
> Jeg har forstået det sådan, at hvis jeg blokkerer afsenderen, så får
> afsenderen besked om at mailen ikke kan afleveres. Derfor gav det mig et
> spinkelt håb om at jeg så ville blive slettet fra afsenderens liste. Jeg er
> dog klar over at de fleste spamere benytter "open relayes" og proxy servere.

Et svar til en spammer er blot at bekræfte din email adresse bliver læst,
også vil du straks modtage ekstra mange gode tilbud.

Dernæst, langt de fleste, for ikke at sige alle afsender adresser i spam
mails er falske, og du risikerer blot at generer en uskyldig person hvis du
sender bounces.

--
Morten!

---

> Et svar til en spammer er blot at bekræfte din email adresse bliver læst,
> også vil du straks modtage ekstra mange gode tilbud.
>
> Dernæst, langt de fleste, for ikke at sige alle afsender adresser i spam
> mails er falske, og du risikerer blot at generer en uskyldig person hvis
du
> sender bounces.


Hej Morten

Er det dog ikke rigtigt at hvis jeg modtager en mail fra spamer@yahoo.de
(læses af headeren), så er mailen afsendt fra yahoo.de's mailserver ?

---

"Peter Svendsen" <Pe_Sv@mail.dk> writes:

> Er det dog ikke rigtigt at hvis jeg modtager en mail fra spamer@yahoo.de
> (læses af headeren), så er mailen afsendt fra yahoo.de's mailserver ?

Nej, det er ikke nødvendigvis rigtigt.

Derfor er det vigtigt at skelne mellem hvilke informationern man får
fra headers, SMTP-envelope eller fra selve forbindelsen.

--
Peter Makholm | Why does the entertainment industry wants us to
peter@makholm.net | believe that a society base on full surveillance
http://hacking.dk | is bad?
| Do they have something to hide?

---

"Peter Makholm" <peter@makholm.net> skrev i en meddelelse
news:87wubght8h.fsf@xyzzy.adsl.dk...
> "Peter Svendsen" <Pe_Sv@mail.dk> writes:
>
> > Er det dog ikke rigtigt at hvis jeg modtager en mail fra spamer@yahoo.de
> > (læses af headeren), så er mailen afsendt fra yahoo.de's mailserver ?
>
> Nej, det er ikke nødvendigvis rigtigt.
>
> Derfor er det vigtigt at skelne mellem hvilke informationern man får
> fra headers, SMTP-envelope eller fra selve forbindelsen.
>
Hej Peter

Hvis det er nemt, vil du så ikke give mig et lynkursus i hvordan jeg læser
den korrekte afsender fra headeren ?

---

Peter Svendsen wrote:
>
> Hvis det er nemt, vil du så ikke give mig et lynkursus i hvordan jeg læser
> den korrekte afsender fra headeren ?

Hvis vi f.eks. taler om virus så er chanchen tæt på nul for at finde
den korrekte afsender.

Man kan se hvilken IP gutten havde p å tidspunktet, og hvis man er heldig
også det navn han har valgt at give sin maskine, men for de fleste vil

OEM-98776

ikke være til nogen nytte, og det er sjældent de folk der er ramt af en
virus har givet deres maskine et navn,så man kan regne sig frem til hvem de
er.

--
Morten!

---

Bertel Lund Hansen wrote:

>>Jeg bliver dagligt tæpebombet med spammails og har derfor
>>installeret spampal. Jeg er dog i tvivl om det ikke er bedre at
>>blokere afsenderne direkte i outlook express istedet ?
>
> Det er hip som hap (skrevet uden kendskab til Spampal).

Det er bestemt ikke hip som hap. "bloker afsender" i Outlook Express
har ingen effekt på spam overhovedet. Spampal er en antispam proxy der
kan genkende og mærke spam via RBL's, regular expressions, bayesian
filtering og så videre.

Spampal er den bedste antispamløsning til Windows/enkeltbruger jeg
endnu har fundet.

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Anti spam? Bevis det. http://www.spamcon.org/legalfund/

---

> Spampal er den bedste antispamløsning til Windows/enkeltbruger jeg
> endnu har fundet.
>
Men spampal "tagger" kan mailene. Spameren får derfor bekræftet at mailen er
modtaget og det er vel egentlig det han vil vide. Hvis man derimod blokerer
mailene i outlook bliver mailene ikke modtaget og spameren får en meddelese
om at mailen er afvist.

Ret mig venligst hvis jeg tager fejl

---

Peter Svendsen wrote:

>> Spampal er den bedste antispamløsning til Windows/enkeltbruger
>> jeg endnu har fundet.
>>
> Men spampal "tagger" kan mailene. Spameren får derfor bekræftet at
> mailen er modtaget og det er vel egentlig det han vil vide. Hvis
> man derimod blokerer mailene i outlook bliver mailene ikke
> modtaget og spameren får en meddelese om at mailen er afvist.
>
> Ret mig venligst hvis jeg tager fejl

Alright. Du tager fejl. Mailen er under alle omstændigheder modtaget af
din ISP's mailserver, så spammeren ved i princippet at addressen kan
modtage mail. Den eneste måde at undgå det på, er at afvise mailen i
SMTP-dialogen, hvilket du ikke har mulighed for. Du kan forsøge at
"bounce" mailen efterfølgende, men det er en meget dårlig ide[0].

Nu tænker du måske "jamen hov, det er jo det jeg gør".. det kan jeg så
berolige dig med, at det er det ikke. Når du vælger "bloker afsender" i
OE betyder det blot at mail fra den afsender automatisk bliver puttet i
din "slettet post"-mappe. (Hvis du gør det i TDC's webmail ryger posten
direkte ud i ingenting (/dev/null).) Den bouncer i ingen af tilfældene
og det er--som nævnt--en god ting.

Altså: Det du opnår ved at bruge Spampal er grundlæggende det samme som
du ville opnå hvis du havde blokeret alle de addresser du modtager spam
fra i OE (hvilket man ikke kan). Bortset fra at du har bedre muligheder
for at vælge præcis hvad der skal ske med tagget mail, selvfølgelig.


[0]: Lang forklaring. Google i dk.admin.netmisbrug efter "bounce".

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Anti spam? Bevis det. http://www.spamcon.org/legalfund/

---

Niels Callesøe wrote:

> Google i dk.admin.netmisbrug efter "bounce".

Hm, nej, lad være med det. Det kommer der ikke en fornuftigt forklaring
ud af.. ikke en jeg lige kunne finde, anyway. Prøv dog alligevel at
lede lidt, der skulle nok være en forklaring at finde (måske en anden
flittig læser?).

Hvis du ikke kan finde noget, så spørg igen.. så skal jeg nok uddybe
når jeg har tid.

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Anti spam? Bevis det. http://www.spamcon.org/legalfund/

---

Niels Callesøe skrev:

>> Google i dk.admin.netmisbrug efter "bounce".

>Hm, nej, lad være med det. Det kommer der ikke en fornuftigt forklaring
>ud af.. ikke en jeg lige kunne finde, anyway.

Jeg ved ikke hvad du tænker på af forklaring, men det kan da
siges kort:

I dag vil en bounce med stor sandsynlighed ramme en uskyldig
person hvis mailadresse er blevet misbrugt. Det er altså spam.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Bertel Lund Hansen wrote:

> Jeg ved ikke hvad du tænker på af forklaring, men det kan da
> siges kort:
>
> I dag vil en bounce med stor sandsynlighed ramme en uskyldig
> person hvis mailadresse er blevet misbrugt. Det er altså spam.

Ja, det er jo kernen i det. Hvilket du så fik udtrykt med færre ord end
jeg spildte på at sige, at jeg ikke havde tid til at forklare det.. øv.

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Anti spam? Bevis det. http://www.spamcon.org/legalfund/

---

> > I dag vil en bounce med stor sandsynlighed ramme en uskyldig
> > person hvis mailadresse er blevet misbrugt. Det er altså spam.
>
> Ja, det er jo kernen i det. Hvilket du så fik udtrykt med færre ord end
> jeg spildte på at sige, at jeg ikke havde tid til at forklare det.. øv.
>
Argggh, crap der burde laves en ny mail protocol

Jeg ved at når man surfer kan man gemme sig bag en proxy, således er det kun
adressen på proxy'en der er synlig fra de sider man besøger. Hvordan
fungerer det når en spamer gemmer sig bag en mail ? Benytter han det der
hedder et open relay eller hvad ? Hvis ja kan jeg så ikke blot "banne" mails
fra dette relay eller denne mailserver ? Jeg mener den sendene server må da
som minimum være synlig. Hele range`s/domæner er fint nok

---

Peter Svendsen wrote :

>
>> > I dag vil en bounce med stor sandsynlighed ramme en uskyldig
>> > person hvis mailadresse er blevet misbrugt. Det er altså spam.
>>
>> Ja, det er jo kernen i det. Hvilket du så fik udtrykt med færre ord
>> end jeg spildte på at sige, at jeg ikke havde tid til at forklare
>> det.. øv.
>>
> Argggh, crap der burde laves en ny mail protocol

Så kører vi igen ...

Nogen er faktisk ved at lave en ny mail-protokol - men regn ikke med at der
går meget mindre en måske 5-10 år, før effekten bliver meget tydelig.
Indtil da vil vi stadig have den nuværendee protokol, der i øvrigt virker
glimrende. Hvis du vil gøre noget, så leg med din server og indstil _den_
til at afvise mails der er "mistænkelige".

> Jeg ved at når man surfer kan man gemme sig bag en proxy, således er
> det kun adressen på proxy'en der er synlig fra de sider man besøger.
> Hvordan fungerer det når en spamer gemmer sig bag en mail ? Benytter
> han det der hedder et open relay eller hvad ? Hvis ja kan jeg så ikke
> blot "banne" mails fra dette relay eller denne mailserver ? Jeg mener
> den sendene server må da som minimum være synlig. Hele range`s/domæner
> er fint nok

De fleste nyere vira har deres egen mailserver med. Derfor vil du ikke
kunne bruge det til andet end at spærre for en masse enkeltbrugere - eller
alternativt spærre for hele deres ISPs IP-range.

Jeg kan ikke se hvad det skulle nytte i det lange løb.

Mht at "gemme sig bag en email", så bruger man bare en mailadresse der
tilfældigvis findes på systemet virussen ligger på.

--
Jesper Stocholm
http://stocholm.dk

Tillykke, Frederik og Mary

---

Jesper Stocholm <j@stocholm.invalid>

> Nogen er faktisk ved at lave en ny mail-protokol

Altid. Det er jo internettet.

> - men regn ikke
> med at der går meget mindre en måske 5-10 år, før effekten bliver

Samtidig med IPv6? (½

/Lars

---

Lars Fischer wrote :

> Jesper Stocholm <j@stocholm.invalid>

>> - men regn ikke
>> med at der går meget mindre en måske 5-10 år, før effekten bliver
>
> Samtidig med IPv6? (½

Det er præcist det jeg tænker på.




--
Jesper Stocholm
http://stocholm.dk

Tillykke, Frederik og Mary

---

Peter Svendsen skrev:

>Jeg ved at når man surfer kan man gemme sig bag en proxy, således er det kun
>adressen på proxy'en der er synlig fra de sider man besøger. Hvordan
>fungerer det når en spamer gemmer sig bag en mail ?

Man kan skrive næsten lige hvad det skal være i headerne til en
mail. Hvis man bruger et standardprogram, bliver det hele skrevet
efter RFC-reglerne - men det gør spammerne ikke.

Telnet er et lillebitte simpelt program der sender kommandoer til
et serversystem, og det er nok til at man kan sammensætte
headerne som man synes det er sjovt. Det er ikke svært at skrive
et program der gør det samme automatisk.

Når mailen så ovenikøbet sendes via et åbent relæ, så er det
besværligt at spore spammeren.

>Benytter han det der hedder et open relay eller hvad ?

Ja.

>Hvis ja kan jeg så ikke blot "banne" mails
>fra dette relay eller denne mailserver ?

Jo. Der findes mailsoftware som henter den slags oplysninger fra
gratis servere der er lavet til det samme. Disse servere er i
færd med at blive lagt ned af spammerne ved hjælp af DoS-angreb.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

"Niels Callesøe" <pfy@nntp.dk>

> Spampal er den bedste antispamløsning til Windows/enkeltbruger
> jeg endnu har fundet.

Jeg er for kort tid siden gået over til en baysiansk antispam løsning
i stedet for blacklist/whitelist. Og, ih, hvor er det altså meget
nemmere at have med at gøre.

Ud over at vise tingen mine gamle breve (så den har kunne træne sig i
at genkende de ting jeg gerne vil ha') da jeg installerede, og så lige
bekræfte, at den første dags (virus)spam faktisk er spam, så er det
helt minimalt hvad jeg har brugt af tid på det. Det er i mine øjne
langt nemmere og kræver mindre tid end at holde en whitelist/blacklist
løsning ved lige.

Efter to dage med et baysiansk filter så jeg ikke spam mere. Jeg er
endda begyndt at se de få nyhedsbreve jeg har skrevet mig op til igen
- de drukner ikke mere i spam, og jeg behøver ikke huske at whiteliste
adresserne. Tingen finder selv ud af det.

Som et ekstra bonus kan den løsning jeg bruger (SpamBayes) snakke
IMAP, så den kan flytte spam over i min "spam" folder uden at hente
det ned til min egen maskine (virker naturligvis kun, hvis éns ISP
tilbyder IMAP). SpamBayer er open source.

/Lars

---

Jesper Stocholm <j@stocholm.invalid> writes:

>> Argggh, crap der burde laves en ny mail protocol
>
> Så kører vi igen ...
>
> Nogen er faktisk ved at lave en ny mail-protokol -

Det er der i hvert fald hver sjette måned. Altid med lidt forskelligt
mål og forskellige ambitioner.

--
Peter Makholm | Emacs is the only modern general-purpose
peter@makholm.net | operating system that doesn't multitask
http://hacking.dk |

---

"Peter Svendsen" <Pe_Sv@mail.dk> writes:

> Hvorfor virker blokeringen ikke ordentligt på domæner ? Eks. @yahoo.de , vil
> aligevel lukke mails igennem fra spammer@yahoo.de en gang imellem ?

Virker din blokering på hvor smtp-forbindelsen kommer fra,
SMTP-envelope eller selve mailheaderen?

--
Peter Makholm | I congratulate you. Happy goldfish bowl to you, to
peter@makholm.net | me, to everyone, and may each of you fry in hell
http://hacking.dk | forever
| -- The Dead Past

---

"Peter Makholm" <peter@makholm.net> skrev i en meddelelse
news:871xtoj8nq.fsf@xyzzy.adsl.dk...

> Virker din blokering på hvor smtp-forbindelsen kommer fra,
> SMTP-envelope eller selve mailheaderen?
>

Mailheaderen, altså view source

---

"Peter Svendsen" <Pe_Sv@mail.dk> wrote:

>Mailheaderen, altså view source

Kunne du vaere lidt mere specifik? Der er mange headere i en
mail.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

"Allan Olesen" <aolesen@post3.tele.dk> skrev i en meddelelse
news:3f848c77$0$54857$edfadb0f@dread11.news.tele.dk...
> "Peter Svendsen" <Pe_Sv@mail.dk> wrote:
>
> >Mailheaderen, altså view source
>
> Kunne du vaere lidt mere specifik? Der er mange headere i en
> mail.


Jeg kan prøve

Højreklik på mailen -> vælg egenskaber -> Detaljer -> Meddelelseskilde.

Det var den jeg mente. Er der andre mailheadere det er lettere at se det i ?

---

Peter Svendsen skrev:

>Jeg kan prøve

>Højreklik ...

Allan ved godt hvordan man ser headere. Hvilken af dem filtrerer
du på og hvordan?

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

"Bertel Lund Hansen" <nospamius@lundhansen.dk> skrev i en meddelelse
news:8kcaovkufm360pueng1nu2beakbqrd04v3@news.stofanet.dk...
> Peter Svendsen skrev:

> Allan ved godt hvordan man ser headere. Hvilken af dem filtrerer
> du på og hvordan?

Hmm. faktisk filtrerer jeg kun på DNS'en dvs. navnet f.eks @hotmail.com.
Jeg kan godt se at det er uheldigt en filtrering på (den rigtige)
mailservers IP <vil være det rigtige, men er den "rigtige" Afsender på nogle
måde synlig ? Jeg tænker ikke så meget på spameren - ham finder jeg næppe.
Men adressen på den skyldige server er ligeså godt.

---

Peter Svendsen skrev:

>Hmm. faktisk filtrerer jeg kun på DNS'en dvs. navnet f.eks @hotmail.com.

DNS = Domain Name Server/Service

Efternavnet i en mailadresse kan kaldes "domænet".

>Jeg kan godt se at det er uheldigt

Det rammer tilfældigt - både spam og rigtig mail i flæng.

>en filtrering på (den rigtige) mailservers IP <vil være det rigtige, men er den "rigtige" Afsender på nogle
>måde synlig ?

Jeg tror at du skal spørge i dk.admin.netmisbrug. Den handler
bl.a. om spam og filtrering. Jeg bruger ikke filtre, så jeg kan
ikke hjælpe dig ret godt.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

On 2003-10-08,
Peter Svendsen <Pe_Sv@mail.dk> wrote:
> Jeg bliver dagligt tæpebombet med spammails og har derfor installeret
> spampal. Jeg er dog i tvivl om det ikke er bedre at blokere afsenderne
> direkte i outlook express istedet ?
> Er det ikke rigtigt forstået, at hvis jeg blokkerer en afsender, så får
> vedkommende en besked tilbage om at hans mail er uønsket ?
> Hvorfor virker blokeringen ikke ordentligt på domæner ? Eks. @yahoo.de , vil
> aligevel lukke mails igennem fra spammer@yahoo.de en gang imellem ?

Der findes en metode der er rigtigt god, og det er at installere
egen mailserver med noget whitelisting.

Dvs alle der skriver til dig får en mail tilbage som de skal
bekræfte inden de kan komme i din whitelist, altså listen af
personer du kan modtage fra.

Spammere med falsk afsender kan så aldrig skrive til dig.

Nu med den store mængde MS virus, hvoraf noget slipper
igennem mit anti-spam software, Spam-Assassin, så overvejer
jeg ovenstående metode.

---

Den Thu, 9 Oct 2003 20:26:12 +0000 (UTC) skrev Povl H. Pedersen:
>On 2003-10-08,
>Peter Svendsen <Pe_Sv@mail.dk> wrote:
>> Jeg bliver dagligt tæpebombet med spammails og har derfor installeret
>> spampal. Jeg er dog i tvivl om det ikke er bedre at blokere afsenderne
>> direkte i outlook express istedet ?
>> Er det ikke rigtigt forstået, at hvis jeg blokkerer en afsender, så får
>> vedkommende en besked tilbage om at hans mail er uønsket ?
>> Hvorfor virker blokeringen ikke ordentligt på domæner ? Eks. @yahoo.de , vil
>> aligevel lukke mails igennem fra spammer@yahoo.de en gang imellem ?
>
>Der findes en metode der er rigtigt god, og det er at installere
>egen mailserver med noget whitelisting.
>
>Dvs alle der skriver til dig får en mail tilbage som de skal
>bekræfte inden de kan komme i din whitelist, altså listen af
>personer du kan modtage fra.
>
>Spammere med falsk afsender kan så aldrig skrive til dig.
>
>Nu med den store mængde MS virus, hvoraf noget slipper
>igennem mit anti-spam software, Spam-Assassin, så overvejer
>jeg ovenstående metode.

Det største problem med de virus'er er IMHO ikke de 10 mails om dagen
med virus i, men derimod de 90 mails om dagen om "din mail blev ikke
leveret, da den indeholdt virus", man får fordi ens e-mail adresse
tilfældigvis stod i adressebogen hos afsenderen.

Lad være med at sende *noget som helst" tilbage til "afsenderen" af
den slags mails, please.

Mvh
Kent
--
"A computer is a state machine.
Threads are for people who can't program state machines."
- Alan Cox

---

Kent Friis wrote:
>
> Den Thu, 9 Oct 2003 20:26:12 +0000 (UTC) skrev Povl H. Pedersen:
> >On 2003-10-08,
> >Peter Svendsen <Pe_Sv@mail.dk> wrote:
> >> Jeg bliver dagligt tæpebombet med spammails og har derfor installeret
> >> spampal. Jeg er dog i tvivl om det ikke er bedre at blokere afsenderne
> >> direkte i outlook express istedet ?
> >> Er det ikke rigtigt forstået, at hvis jeg blokkerer en afsender, så får
> >> vedkommende en besked tilbage om at hans mail er uønsket ?
> >> Hvorfor virker blokeringen ikke ordentligt på domæner ? Eks. @yahoo.de , vil
> >> aligevel lukke mails igennem fra spammer@yahoo.de en gang imellem ?
> >
> >Der findes en metode der er rigtigt god, og det er at installere
> >egen mailserver med noget whitelisting.
> >
> >Dvs alle der skriver til dig får en mail tilbage som de skal
> >bekræfte inden de kan komme i din whitelist, altså listen af
> >personer du kan modtage fra.
> >
> >Spammere med falsk afsender kan så aldrig skrive til dig.
> >
> >Nu med den store mængde MS virus, hvoraf noget slipper
> >igennem mit anti-spam software, Spam-Assassin, så overvejer
> >jeg ovenstående metode.
>
> Det største problem med de virus'er er IMHO ikke de 10 mails om dagen
> med virus i, men derimod de 90 mails om dagen om "din mail blev ikke
> leveret, da den indeholdt virus", man får fordi ens e-mail adresse
> tilfældigvis stod i adressebogen hos afsenderen.
>
> Lad være med at sende *noget som helst" tilbage til "afsenderen" af
> den slags mails, please.

Jeg overvejer selv at anvende metoden. Men en forudæstning for
at jeg vil gøre alvor af det er, at jeg kan sikre mig, at mailen
afvises allerede ved afslutning af data og altså ikke først
bagefter resulterer i et bounce.

Og ja, det kan godt være, det alligevel betyder, der kommer et
bounce til en forfalsket afsender i nogle tilfælde. Det er en
pris jeg er villig til at betale. Det vil ikke være mig, der
sender bounce beskeden til det uskyldige offer, men derimod
afsenderen, der i første omgang sendte den uønskede besked til
mig. Og bemærk, at jeg aldrig kan øge den totale mængde uønskede
beskeder ved at gøre sådan. Det betyder blot, at det nogle gange
vil være en anden, der får beskeden.

Læg mærke til, at hvis jeg indfører systemet på min egen adresse,
så vil jeg også slippe for bounces. Bounces har ikke nogen
afsender og kan altså ikke selv resultere i et bounce, og der er
derfor heller ikke nogen afsender adresse, der kan blive
whitelistet. Man vil selvfølgelig gerne stadig have de ægte
bounces, men de burde være nemme at genkende, da de indeholder
strenge fra den mail, man selv sendte.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

---

On 2003-10-09,
Kasper Dupont <kasperd@daimi.au.dk> wrote:
>> >Der findes en metode der er rigtigt god, og det er at installere
>> >egen mailserver med noget whitelisting.
>> >
>> >Dvs alle der skriver til dig får en mail tilbage som de skal
>> >bekræfte inden de kan komme i din whitelist, altså listen af
....
> Jeg overvejer selv at anvende metoden. Men en forudæstning for
> at jeg vil gøre alvor af det er, at jeg kan sikre mig, at mailen
> afvises allerede ved afslutning af data og altså ikke først
> bagefter resulterer i et bounce.

Jeg ville gerne lave lidt af det samme. Har du nogen forslag
til hvorledes man kunne lave det ?

Jeg bruger qmail, og en del af de mails jeg modtager
er krypterede over linien (implicit TLS), så i dette
tilfælde kan jeg ikke bare sniffe på datastrommen med min
egen daemon.

Jeg kan lave min egen SMTP server stub foran qmail, og
så sende kommandoer videre til qmail, og sorge for der
ikke negotieres kryptering. Når der så kommer DATA -> .
så smider jeg det i en fil, virusscanner denne, finder
ud af om qmail skal have . eller HUP.

Hvis jeg ikke vil modtage beskeden, så sender jeg bare en
fejl 451 til afsender med en besked om virus.

Jeg ved ikke om en fejl af denne type kan være lang (over
512 + CRLF), og indeholde instrukser på 2 sprog, samt
URL eller subject ting.

> Og ja, det kan godt være, det alligevel betyder, der kommer et
> bounce til en forfalsket afsender i nogle tilfælde. Det er en
> pris jeg er villig til at betale. Det vil ikke være mig, der
> sender bounce beskeden til det uskyldige offer, men derimod
> afsenderen, der i første omgang sendte den uønskede besked til
> mig. Og bemærk, at jeg aldrig kan øge den totale mængde uønskede
> beskeder ved at gøre sådan. Det betyder blot, at det nogle gange
> vil være en anden, der får beskeden.

Men du vil oge trafikmængden da du modtager dele af eller hele mailen,
inden du bestemmer dig for ikke at tage imod den.

Så afsenderens ISP får muligvis et problem med en overloadet
mailserver.

> Læg mærke til, at hvis jeg indfører systemet på min egen adresse,
> så vil jeg også slippe for bounces. Bounces har ikke nogen
> afsender og kan altså ikke selv resultere i et bounce, og der er
> derfor heller ikke nogen afsender adresse, der kan blive
> whitelistet. Man vil selvfølgelig gerne stadig have de ægte
> bounces, men de burde være nemme at genkende, da de indeholder
> strenge fra den mail, man selv sendte.
>

---

"Povl H. Pedersen" wrote:
>
> Jeg kan lave min egen SMTP server stub foran qmail, og
> så sende kommandoer videre til qmail, og sorge for der
> ikke negotieres kryptering. Når der så kommer DATA -> .
> så smider jeg det i en fil, virusscanner denne, finder
> ud af om qmail skal have . eller HUP.

Jeg kender ikke ret meget til konkrette SMTP implementationer,
men jeg kender protokollen, og det lyder som noget, der kan
lade sig gøre. At bevidst afbryde forbindelsen før slutning
af DATA er ikke pænt, men da det kun er til din egen server
du gør det ser jeg ikke noget problem i det. Alternativet
ville være at gemme hele beskeden i en buffer indtil du har
besluttet dig for, om du vil acceptere beskeden. Og lige
netop i det her tilfælde synes jeg det er OK at springe over
hvor gærdet er lavest. Du skal huske, at din qmail nok vil
se beskeden som kommende fra localhost, så din egen stub
skal altså sætte headere ind, der fortæller, hvilken IP den
virkelig kommer fra. Det vil sige, at når du har fået et
positivt svar på en DATA kommando skal du sende en Received
header til qmail. Det er ligegyldigt, om du gør det før
eller efter du sender svaret tilbage til klienten. Received
headeren vil normalt indeholde klientens IP adresse,
reverse opslag af denne (hvis muligt) og strengen opgivet
i HELO (eller EHLO) kommandoen og et tidspunkt. Almindeligvis
vil man også angive oplysninger fra RCPT to og evt. MAIL from
kommandoerne.

Altså hvis en session fra 4.5.6.7 har set sådan ud:
220 yourdomain.dk SMTP proxy
HELO spammer.com
250 OK
MAIL From:<somebody@somewhere.com>
250 OK
RCPT To:<you@yourdomain.dk>
250 OK

ville du indsætte en Received header, der ser ud i retning af

Recived: from spammer.com (wbar1.sea1-4-5-006-007.sea1.dsl-verizon.net [4.5.6.7])
   by yourdomain.dk (8.12.10/8.12.10) with SMTP id T7A0dEdo2lKy3s
   for <you@yourdomain.dk>; Fri, 10 Oct 2003 11:52:45 +0200

>
> Hvis jeg ikke vil modtage beskeden, så sender jeg bare en
> fejl 451 til afsender med en besked om virus.
>
> Jeg ved ikke om en fejl af denne type kan være lang (over
> 512 + CRLF), og indeholde instrukser på 2 sprog, samt
> URL eller subject ting.

Hvis jeg husker SMTP rigtigt, så er der en øvre grænse for,
hvor lange linierne må være. Men du må gerne lave en
fejlmelding, der fylder flere linier. Der skal på hver linie
stå fejlkoden efterfulgt af en bindestreg og så en linie af
fejlmeldingen. Bortset fra den sidste linie, hvor der står
et mellemrum i stedet for bindestreg. F.eks.:

451-Because of large amounts of spam and viruses I need to
451-block every mail not sent by a person on my whitelist.
451-to get on my whitelist.....
451-.....
451-Your mail has been blocked and will be delivered only
451 if you add your name to my whitelist.

>
> Men du vil oge trafikmængden da du modtager dele af eller hele mailen,
> inden du bestemmer dig for ikke at tage imod den.

Ja. Men jeg synes stadig den tid, personer skal bruge på
at behandle beskederne, er en langt vigtigere resource end
båndbredden.

>
> Så afsenderens ISP får muligvis et problem med en overloadet
> mailserver.

Det problem kan jeg ikke løse, og jeg kan intet gøre for
at forhindre det. Men den ISP som står med et problem har
selv mulighed for at løse det.

Jeg kunne have gjort ting, der kunne give den pågældende
ISP et langt større problem. Hvis jeg f.eks. midt i DATA
besluttede mig for, at jeg vil kassere hele mailen og
give en fejlmelding ved afslutningen af DATA kan jeg
lade som om jeg har en uendelig stor båndbredde og lade
afsenderen sende resten af DATA langt hurtigere end der er
båndbredde til og dermed hurtigt få transmisionen overstået
hvor de fleste pakker dog vil gå tabt. Det kræver naturligivs
en lille ændring i min egen TCP implementation, men så har
afsenderen til gengæld stort set ingen måde at opdage det på.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.

---

Povl H. Pedersen wrote:

> Hvis jeg ikke vil modtage beskeden, så sender jeg bare en
> fejl 451 til afsender med en besked om virus.

Hvorfor 451? Er det rent midlertidigt du ikke vil have virus?

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Anti spam? Bevis det. http://www.spamcon.org/legalfund/

---

Kasper Dupont skrev:

>Og ja, det kan godt være, det alligevel betyder, der kommer et
>bounce til en forfalsket afsender i nogle tilfælde. Det er en
>pris jeg er villig til at betale.

*Hvem* skal betale?

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

On 2003-10-09,
Bertel Lund Hansen <nospamius@lundhansen.dk> wrote:
> Kasper Dupont skrev:
>
>>Og ja, det kan godt være, det alligevel betyder, der kommer et
>>bounce til en forfalsket afsender i nogle tilfælde. Det er en
>>pris jeg er villig til at betale.
>
> *Hvem* skal betale?

Det skal den person der modtager bouncen, altså en der forhåbentlig
kender den person med en virusinficeret maskine.

Så hvis man modtager en bounce må man få sine venner væk fra Outlook
Express.

Jeg har lige smidt MessageWall (http://ww.messagewall.org) foran
min qmail. Den rejecter Worm.Gibe.F/Swen i stor stil.

Så jeg sender fejl 552 til afsenders mailserver = permanent
error, så afsenders mailserver burde sende den direkte videre til
den såkaldte afsender. Hvis dennes mailbox er fuld er der et problem
også for ISP'en.

Så ISP'ens andre kunder rammes i et eller andet omfang som
det der på udendansk hedder "colatteral damage", de bliver ramt
uden at være målet.

---

Til info er her statistik på fordelingen af domain name
på de mails jeg har bouncet de seneste ca. 8 timer pga af virus,
så det er ikke danskere jeg generer ret meget.

Jeg har i perioden rejectet 1460 vira = over 180 vira/time
hvilket er ca. 3 minuttet.

antal   landekode på From:
1 dk
....
19 nz
22 de
23 my
23 org
24 cn
25 fr
26 sg
30 us
31 gr
39 mx
43 se
48 br
48 fi
51 cz
61 pt
105 jp
144 au
236 net
266 it
351 com

---

On Thu, 9 Oct 2003 20:29:17 +0000 (UTC), leeloo@phreaker.net (Kent
Friis) wrote:

>Det største problem med de virus'er er IMHO ikke de 10 mails om dagen
>med virus i, men derimod de 90 mails om dagen om "din mail blev ikke
>leveret, da den indeholdt virus", man får fordi ens e-mail adresse
>tilfældigvis stod i adressebogen hos afsenderen.

Eller mere præcist: "Vi har rent faktisk været i stand til at
identificere den virus/orm, vi modtog. Vi kender navnet på den, og
ved, den udsendes med falsk afsender-adresse. Her har du en advarsel
omkring det."

I de bounces, jeg har modtaget (ca. 12.000, gudskelov langt de fleste
på min usenet-adresse), har der som ofte stået ormens/virussens navn
i, i modsætning til hvis det fx blot var et generisk
..exe/.pif/iframe-sikkerhedshack-filter.

--
- Peter Brodersen

Ugens sprogtip: hierarki (og ikke hieraki)

---

Povl H. Pedersen wrote:
> Der findes en metode der er rigtigt god, og det er at installere
> egen mailserver med noget whitelisting.
>
> Dvs alle der skriver til dig får en mail tilbage som de skal
> bekræfte inden de kan komme i din whitelist, altså listen af
> personer du kan modtage fra.

Lyder fikst.. kan du evt. remse et par mailservere op som understøtter
dette? :)

mvh
Anders Lorentzen

---

On 2003-10-09,
Anders Lorentzen <al@it.dk> wrote:
> Povl H. Pedersen wrote:
>> Der findes en metode der er rigtigt god, og det er at installere
>> egen mailserver med noget whitelisting.
>>
>> Dvs alle der skriver til dig får en mail tilbage som de skal
>> bekræfte inden de kan komme i din whitelist, altså listen af
>> personer du kan modtage fra.
>
> Lyder fikst.. kan du evt. remse et par mailservere op som understøtter
> dette? :)

Se andet indlæg. Enhver mailing list manager med lukkede
mailing lists supporterer dette. Du skal bare selv være
moderator.

---

"Povl H. Pedersen" <pope@home.terminal.dk> writes:

> Det skal den person der modtager bouncen, altså en der forhåbentlig
> kender den person med en virusinficeret maskine.

Hvorfor tror du at den forfalskede afsnederadresse er tættere på den
virusbefængte end modtageren?

--
Peter Makholm | Have you ever felt trapped inside a Klein bottle?
peter@makholm.net |
http://hacking.dk |

---

Fandt lige en artikel om hvordan du bliver næsten spam-fri.
Denne: http://www.whitelist.com/MLMArticle.html

beskriver hvorledes du bruger en mailing-liste til at modtage
mail på (med instruktioner om hvordan du sætter en sådan gratis
op på yahoo ).

Fidusen er, at du siger at kun folk der er med på mailinglisten/gruppen
må sende mails til gruppen. Du skal godkende alle medlemsskaber, og
ting sendt til listen skal godkendes af dig.

Det betyder i praksis, at folk skal tilmeldes mailinglisten for
at sende til dig, og alle mails kommer til din postkasse "til godkendelse".
Hvis du ikke godkender dem, men bare læser dem, så kommer de ikke ud
på listen.

Jeg er fluks gået i gang med at teste.

Jeg har nemlig fået over 27500 kopier af Swen/A virus de 3 uger
den har været aktiv. Det er lidt mange mails til en privatperson.