Martin Neitzel @ escape e.V.

pam against spam

Der escape eV moege abstimmen und beschliessen...

... HTML-Mails und aehnliches Gesockse bereits an der Schwelle (vor Zustellung an die sites) in die Tonne zu treten.

Hintergrund

Im Laufe des letzten Jahres (2002/2003) hat der email-Missbrauch fuer spams extrem zugenommen. Beim escape-Admin-Team haeufen sich die Beschwerden seitens ueber die Mengen Spam, die von der oker angenommen und an escape-Mitglieder und -Nutzer weitergereicht werden.

Klitzkleine konkrete Beispiele:

Es gab hingegen bislang keine Aeusserung der Form:

Spam ist toll, ich haette gerne mehr davon!

Besonders traurig: die Kuendigungen kommen leider auch von Leuten, die sich frueher sehr aktiv am escape beteiligt haben -- wenn nicht sogar den escape mit gross gezogen haben. Es sehr schade, dass diese Leute wegen Spams letztendlich "tschuess!" sagen muessen.

``Koennt Ihr nicht was dagegen tun?''

Auf die Bitte seitens von escape-Mitgliedern/Nutzern, ob nicht etwas gegen den Spam unternommen werden koenne, kommen immer wieder die gleichen abwiegelnden Reaktionen, teils aus Richtung der escape-Administration, teils aus Richtung Nutzer:
  1. "Ich als Nutzer moechte nicht, dass jemand anderes fuer mich filtert."
  2. "Ich als Admin fuehle mich nicht berechtigt, in die fremde email-Kommunikation filternd einzugreifen."
  3. "Eine gemeinsame, fuer alle funktionierende Loesung ist utopisch."
  4. "Wir admins koennten wohl ein Spamassissin-Filterframework bereitsstellen, beim dem die Nutzer ihre Filter individuell selbst justieren koennen. Das ist aber (a) ein groesserer Aufriss admin-seitig, als auch (b) ein groesserer Aufriss Nutzer-seitig."
Passieren tut nix. Mitglieder kuendigen also weiterhin, Spam wird weiterhin angenommen und an die Nutzer verteilt.

Nur 28 Mitglieder und kein Konsenz?

Der escape ist ein ueberschaubarer, angenehmer Haufen. Ich wage zu hoffen, dass dieser kleine Haufen trotz aller bisheriger Unkenrufe (a) einen Konsens ueber eine Mail-Policy findet, die Spam-feindlich und Kommunikations-freundlich ist.

  1. Spam nervt, nervt, nervt.
  2. Das in der Vereinssatzung verankerte Ziel "Foerderung der privaten Datenkommunikation" impliziert nicht, Spam zu den Mitgliedern/Nutzern durchzureichen.

Ich persoenlich halte Filterloesungen, die erst nach Durchreichung der Spams an die End-Sites greifen, fuer suboptimal und unnoetig.

Ich persoenlich glaube nicht an die perfekte Loesung. Von den unperfekten bevorzuge ich die, welche

  1. Spam lieber frueher als spaeter entsorgen.
  2. Spam lieber mit eine deutlichen Fehlermeldung zurueckweisen, als annehmen und stillschweigend entsorgen.
  3. lieber auf solche Bequemlichkeits-Features verzichten, die das Durchkommen von Spam erleichtern.

Der escape ist kein Verkaeufer eines transparenten Mail-Dienstes. Wir duerfen uns unsere eigenen Spielregeln definieren. Dafuer sind wir hier. Wir fokussieren uns gemaess zweitem Absatz der Selbstdarstellung auf Privat-Personen als Nutzer. Ich bin optimistisch, dass diese Gruppe homogen genug in ihren Beduerfnissen ist, dass eine zentrale Filterloesung realisitsch ist, ohne dass der Spam auf irgendeine Platte wandert. Das wuerde ich eben gerne mit diesen Vorschlag hinterfragt und beantwortet bekommen.

Frage an meine Vereinsgenoss/innen

Faenden Sie es OK, wenn die oker Spam zentral zurueckgewiesen werden wuerde, auch wenn es dabei false-positives sowie false-negatives geben wuerde?

Frage an den Vorstand

Ist das eine Angelegenheit, bei der Escape-Nutzer, die nicht Mitglied sind, ein Mitbestimmungsrecht haben? Ein Kuendigungsrecht?

Nicht, dass ich Kuendigungen befuerchte. Im Gegenteil. Wir erleben ja die Kuendigungen jetzt, und zwar wegen Nichtstuns.

Effektives, einfaches Filtern: Nuke HTML-Mails

Ich habe im letzten Jahr diverse Ansaetze ausprobiert: SpamAssassin, spamblock, procmail-Eigenkram, handermittelte IP-Blocks (vor allem gegen Korea-Spam). Am weitaus besten gefaellt mir soweit aber ein Check, der bei mir im sendmail sitzt und Content-Types, die ich nicht mag, an der Schwelle abweist. Pauschal fuer alle Benutzer, die auch damit leben muessen. Und das sehr gerne tun.

Ermuntert wurde ich dazu auch durch Piet Berteema. Das ist der Mensch, der damals zu Prae-Internet-Usenetzeiten in Amsterdam "mcvax" betreut hat und damit das Tor ueber den Teich. Er verweigert HTML-Mails und ist damit sehr gluecklich.

Ich bin gleich noch ein bisschen weiter gegangen. Ich weise HTML-mails und Attachments pauschal zurueck, ebenso emails mit koreanischem oder russischem character set (kann ich nicht). Bereits im SMTP-Dialog wird den Absendern gemeldet: 

Oct 22 16:00:56 6C:sco sendmail[2148]: h9ME0twJ002148:
to=<neitzel@sco.gaertner.de>, delay=00:00:00, pri=60597,
reject=553 5.0.0 HTML please,for details see
http://www.gaertner.de/~neitzel/mail-policy.html

Und? Funktioniert's?

Ganz praechtig sogar. Gelegentlich(!) kommen Spams in text/plain durch. Das Verfahren ist CPU-freundlich und Traffic-Kosten-sparend. Und es spart Zeit, weil kein Spam-folder mehr nach False-Positives abgegrast werden muss.

Vielleicht besonders anzumerken ist, dass es auch fuer zwei meiner Bekannten, die es mit der EDV nicht so am Hut haben, ein gern genommer Mailhost fuer Ihre Mail ist. Sie sind bei mir nicht nur Spam- sondern auch virenmaessig wesentlich geschuetzter untergebracht.

Ich arbeite gerade an einer Erweiterung meines Regelsatzes, der es erlaubt, die Checks durch eine Extra-Header-Zeile mit quasi einem Passwort zu deaktivieren. Damit kann man dann bspw. Attachments auf Absprache hin (aber eben nur dann) doch wieder machen.

Oh - ist das sozial?

Valide Absender koennen, wenn sie des Lesens maechtig sind, bei dem genannten URL nachsehen, wie man erfolgreich mit mir via email kommunizieren kann.

Ich finde nicht, dass ich mich schaemen muss, wenn ich HTMLs oder Attachments nicht annehmen mag; oder dass es zu ruede ist, andere Leute in dieser massiven Form darauf hinzuweisen, fuer Dateitransfers ihrer Party-Fotos verdammt noch mal FTP oder einen Webserver zu verwenden.

Ich finde vielmehr, dass diese Einschraenkungen "best practice" reflektieren und der privaten Datenkommunikation foerderlich sind.

Eine generelle Uebernahme eines solchen Praxis beim escape wuerde ich befuerworten.

[ pam-home ]
[ escape-home ]
 
Copyright: © Martin Neitzel
Author:    Martin Neitzel <neitzel@escape.de>
Generator: WML 2.0.8 (30-Oct-2001)
Modified:  2003-10-23 10:51:33
Created:   <neitzel@escape.de>