Skip to content

Alte Kommentare

Uiuiui. Da klickt man versehentlich mal die Kommentaradministration an und stellt fest, dass neben Spam auch noch ca. 50 richtige Kommentare seit 2005 nicht moderiert wurden. Die habe ich nun mal nachträglich moderiert und bewilligt.

Eigentlich würde ich ja gerne auf die Antispam-Maßnahmen verzichten. Aber dann geht hier gar nichts mehr...

Notice from China wegen Domainregistrierung

Ich habe kürzlich eine E-Mail bekommen, in der man mir folgendes mitteilte:

Dear Sir or Madam,
This email is from Beijing De rui Limited , network solution in Shanghai ,China .A formal application here dated on Sep 2nd from Henshin company requested "inett" as their internet keyword and domain names(.cn/.asia/etc).But after checking it we find this name conflict with your company's registered domain name.We bring this into your attention immediately according to the registration procedure. lt's necessary to send email to you and confirm whether your company have authorized Henshin to register the internet keyword and these domain names or not?

Da ich zunächst nicht wusste was dahinter steckt, habe ich Google befragt. Der Absender/Registrar wirkt eigentlich vertrauenswürdig. Einen Tag später habe ich einfach mal geantwortet und mitgeteilt, daß ich keine Erlaubnis erteilt hätte (ganz davon abgesehen, ob mich überhaupt jemand um Erlaubnis fragen müsste...).

Zwischenzeitlich bekam ich dann von der Firma eine Mail, die den Namen registrieren möchte. Man teilte mir mit, daß sie ihn trotzdem registrieren würden, auch wenn man meine Erlaubnis nicht bekäme.

Dear Sirs,
We are the Henshin Indian company based in China .We will register the inett as internet keyword and Cn/ Asia domain names .We have handed in our application and waiting Mr xxxxxx xxx 's approval. We think this name is important for our products in Chinese and Asian market even though Mr xxxxxx xxx advise us to change another name but we will persist in registering this name.

Heute kam dann eine weitere E-Mail vom ersten Absender, in der man mich nochmals daran erinnerte, daß die "Schutzperiode" ausläuft, und daß ich sie ja vorher registrieren könne.

Dear M. Gabriel,
We have suggested they should choose another name to avoid this conflict but they are persistent in using this name as Cn/Asia domain names and internet keyword on internet.In our opinion, maybe they do the similar business as your company and register it for further development or promote his company.However,the domain names and internet keyword are applied based on the international principle of "first come,frist served" ,that is to say, this registration are open to publics,even though this name is trademark.Because your company haven't registered this name as Cn domains and internet keyword on internet anyone can obtain them by registration.However,in order to avoid this confusion,the original trademark or name owner has priority to make this registration in our aduit/checking period.If your company is the original owner of this name and want to protect your name on internet by registering Cn/Asia domain names and internet keyword,please inform us in our aduit period.

Mittlerweile habe ich auch herausgefunden, daß ich nicht der einzige bin, der solche Post bekommen hat.

Es scheint sich also in der Tat eher um den Versuch zu handeln, .cn oder .asia Domains zu verkaufen. Letztendlich kann ich es noch immer nicht mit Sicherheit sagen, aber da ich auf absehbare Zeit eh keine .cn oder .asia Domain haben möchte, ist mir das ehrlich gesagt auch herzlich egal.

Hat jemand ähnliche Post bekommen und kann mehr darüber sagen?

Serendipity, Trackback-Spam und mod_rewrite

Was soll ich bloß davon halten, wenn ich auf den Monat hochgerechnet etwa 650.000 Trackbacks von Spammern geschickt bekomme? Seit längerem antwortete mein Blog darauf nur noch mit einem HTTP/404, leider jedoch ohne daß es dadurch irgendwie nachgelassen hätte. Die Attacken halten noch immer an, und ich habe das Gefühl es werden stetig mehr.

Bis gestern waren es über 530.000 Spam-Trackbacks, die zusammen 230MB Traffic produziert haben:

Heute habe ich folgende Gegenmaßnahmen ergriffen:

  • Trackbacks werden jetzt mit einem HTTP Status Code 410 (Gone) beantwortet. Wenn auf 404 nicht reagiert wird, versuchen wir's eben mit einem anderen Status Code. An dieser Stelle noch mal ein Dank an Jochen, von dem die Grundlage dafür stammt.
  • Alle Trackback-Referenzen und Links habe ich aus dem Template-Code entfernt. Ein paar gibt es noch, die kommen demnächst dran. Damit sollte mein Blog maschinell nicht mehr so einfach als Blog zu identifizieren sein.
  • Die Rewrite-Rule habe ich ein wenig optimiert, so daß insgesamt weniger Systemresourcen benötigt werden sollten.

Wem es ähnlich ergeht, kann sich vielleicht mit folgenden Einträgen in der .htaccess seiner Serendipity-Installation behelfen:

# BEGIN s9y
DirectoryIndex /blog/index.php

RewriteEngine On
RewriteBase /blog/

# trackbacks verweigern
RewriteCond %{QUERY_STRING} type=trackback
RewriteCond %{REQUEST_FILENAME} comment\.php
RewriteRule ^(.*)$ $1 [G,L]

# ab hier folgen die eigentlichen rewrite-rules für serendipity

Ich frage mich ja, wie das andere Blogs machen, bei denen Trackbacks nach wie vor aktiviert sind. Tipps bitte in die Kommentare. Danke.


Trackback Spam Gegenmaßnahmen

PHP

Da der Spammer es noch immer nicht aufgegeben hat und munter weiterspammt, habe ich zu Gegenmaßnahmen gegriffen. Alleine in den letzten 15 Stunden waren es über 120.000 Versuche, einen Kommentar im Blog zu hinterlassen.

Daraufhin habe ich getestet ob das verwendete Botnetz auf Redirects reagiert oder sie ignoriert. Und wie schön, es folgt 302er Redirects. Aus diesen Grunde läuft ein kleines PHP-Script anstelle meiner comment.php:

  1. <?php
  2. header("Location: ".$_POST["url"]);
  3. ?>

Dadurch werden die Requests des Botnetzes auf die beworbene Seite umgeleitet.

policyd-weight

...läuft jetzt auch endlich mal. Lag allerdings nicht an policyd-weight, sondern an meinem Zeitmangel. Ich bin gespannt, um wieviel der Mailtraffic in den nächsten Tagen laut Statistik zurückgeht :-).

Policyd-weight ist eine Software, die eine eingehende Mail bereits bei der Annahme prüft. Somit werden ein großer Teil Spam bereits abgelehnt bevor sie überhaupt durch einen Virenscanner oder Mailfilter müssen.

Als nächstes wäre es fein, wenn man Mailregeln als User bereits auf dem Server definieren könnte, so daß Mails schon vom Server in die richtigen IMAP-Ordner einsortiert werden. Allerdings scheint das nicht ganz trivial zu sein.

Spamm0rz

Gestern Abend unterhielt ich mich mit jemandem über Spam und wirksame Gegenmaßnahmen. Dank guten Antispam-Maßnahmen habe ich das Problem bei mir selbst eingedämmt, obwohl die Spammer es wirklich tapfer versuchen. In meinen Spam-Ordnern werden jeweils die Mails der letzten zwei Wochen gehalten, nur für den Fall daß es doch mal eine Mail fälschlicherweise in den Spam-Ordner schafft.

Auf dem Bild sind übrigens "nur" drei meiner Mail-Accounts zu sehen und die bringen es schon zusammen auf etwa 5500 Spam-Mails. Kaum auszudenken, wenn ich diese E-Mails alle von Hand aus meinen Mail-Ordnern fischen müsste.

Greylisting

Gerade diese Woche zum ersten mal von Greylisting gehört und jetzt redet plötzlich jeder drüber. Hab ich einfach die ganze Zeit nur nicht drauf geachtet oder ist das ein Hype, der genauso schnell wieder verschwindet wie er aufgetaucht ist?

Und kaum habe ich darüber gelesen, schon habe ich auch eine eigene Meinung dazu: Einerseits halte ich es für den falschen Ansatz, andererseits reduziert es den eingehenden Spam gleich mal um ca. 80%.

Greylisting verhindert letztendlich nur, daß Spam durch Botnetze, Virenschleudern und Dial-In-Clients verbreitet wird, weil diese oft keinen zweiten Sendeversuch durchführen. Besser wäre, Mail nur noch von Mailservern anzunehmen, deren mx-Record mit der einliefernden IP übereinstimmt. Damit hätte man das Problem auch gelöst und das sogar sauber. Möchte man zusätzliche Maßnahmen ergreifen, würde ich eher zu policyd-weight als zu Greylisting greifen.

Registrar gewechselt

Echt blöd, wenn man einen Registrar in den USA hat, dessen Erinnerungsmails aufgrund des Wortlauts und der Sprache im Spamfilter landen, daraufhin die Domainregistrierung verfällt und man es nicht mal merkt. Ein Verlängern war bei diesem Registrar kurzfristig nicht möglich, da gerade meine IP für Verlängerungen geblockt war. Auch andere IPs mit denen ich es versucht habe, führten hier nicht zum Erfolg.

So habe ich gelernt, daß ein Registrar-Wechsel auch bei .com domains mittlerweile in unter 5 Minuten durchzuführen ist. Jetzt hab ich auch diese Domain dort hin transferiert, wo die meisten anderen meiner Domains auch registriert sind.

tweetbackcheck cronjob