Backscatter erkennen
In den letzten knapp 24 Stunden wurden Domains meiner Primamail-Kunden massiv als Spam-Absenderadresse genutzt. Das sorgt heute noch fuer eine grosse Menge an Backscatter.
Eine Menge davon wurde als Spam erkannt (rot in der Grafik), Tausende von E-Mails jedoch nicht. Auf meiner Suche bin ich auf das VBounceRuleset gestossen, welches seit Spamassassin-Version 3.2 mit dabei ist. Ich wunderte mich, warum den offensichtlichen Backscatters kein deutlich hoeherer Score als 2x0.1 gegeben wurde. Schliesslich kannte spamassassin den Hostnamen meines Mailservers (whitelist_bounce_relays in der local.cf) und konnte so feststellen, dass dieser Bounce nicht von ihm stammen kann.
Dann erst habe ich verstanden: Die Rule dient nicht dazu, diese Art von Mails als Spam zu deklarieren, sondern um sie einfach als Backscatter zu taggen. Mit einer einfachen procmail-Rule kann man sie wegfiltern, ob vor oder nach dem spam bleibt dem eigenen Geschmack ueberlassen:
:0: * ^X-Spam-Status: .*ANY_BOUNCE_MESSAGE $INBOX/bounce.$MONTH
Hach, warum habe ich das nicht schon viel frueher herausgefunden.
Update: Dieser Artikel wird interessanterweise als einziger massiv mit Kommentarspam belegt. Daher kommen die hohen Zugriffszahlen auf den Artikel. Freut mich, dass er so populaer ist.