uceprotect - eure Meinung dazu?

[Marco Moock]

Hallo zusammen!

Hintergrund ist dieser Thread:
Message-ID: <1kidnXrlbuw2aGT5...@giganews.com>
Nutzt ihr uceprotect und was meint ihr dazu?
Es geht primär um die dnsbl von denen, nicht um deren SMTP-Appliance.

Da ich aktuell kein Spam-Problem habe (kommt aber sicherlich
irgendwann), ist das erstmal theoretischer Natur.

Auf mich wirkt dieser Dienst gar nicht so schlecht, da für jedermann
klar ist, wie IPs auf diese Liste kommen und wie die wieder
(automatisiert) entfernt werden.

Ebenso gibt es mehrere Level und man kann die Filterung dadurch gezielt
vornehmen und entscheiden, ob man ganze Netzbereiche oder nur die
spammenden IPs selbst filtern will.

In meinen Augen ist das sehr transparent und im Gegensatz zu
"Reputation" bei anderen Anbietern vor allem nachvollziehbar.

Im Internet gibt es aber ganz viel Gepöbel gegen diese Lösung:
https://answers.microsoft.com/en-us/outlook_com/forum/all/why-outlookhotmail-is-supporting-uceprotect-level/172fb227-e068-4d96-84da-afce488e3796
https://community.spiceworks.com/topic/2170592-uceprotect-blacklist-scam
https://administrator.de/forum/uceprotect-und-admins-websecurity-47954.html

Neben Beschwerden über die Listing-Praxis wird da immer wieder
behauptet, es handle sich um ein 1-Mann-Projekt. Was daran ein Problem
sein soll, sollte das stimmen, weiß ich nicht. Behauptet wird auch
öfter mal, dass gar niemand das einsetzt, das passt aber nicht zu den
Beschwerden über uceprotect. Würde es keiner einsetzen, würde sich auch
keiner über ein Listing aufregen.

Ein Streitthema scheint auch das fehlende Impressum zu sein, was ich
aber bei Drohungen und Reallife-Spam in Form von toten Ratten durchaus
nachvollziehen kann.

--
Gruß
Marco

[Andreas Stiasny]

On 15.09.23 15:51, Marco Moock wrote:

> Nutzt ihr uceprotect und was meint ihr dazu?
> Es geht primär um die dnsbl von denen, nicht um deren SMTP-Appliance.

UCEPROTECT nutze ich seit Jahren zum Scoring. Früher über Spamassassin,
seit langem über rspamd. Ich würde nicht hart damit blocken, aber Punkte
sammeln funktioniert gut. Abgelehnt werden Mails nur dann, wenn sie noch
andere Kriterien erfüllen (weitere DNSBLs, spezielle Worte im Content,
Mails von Mailinglisten an Adressen, die ich nicht zum Abonnieren von
Mailinglinsten verwende, viele Empfänger, SPF, DKIM und mehr).

UCEPROTECT_1 bekommt die meisten Punkte im Scoring, UCEPROTECT_2 und
UCEPROTECT_3 sehr viel weniger.


Andreas

[Michael Kallweitt]

Marco Moock <mm+u...@dorfdsl.de> schrieb:

> Nutzt ihr uceprotect und was meint ihr dazu?

Eine meiner ehemaligen Kundinnen – bzw. deren IT-Dienstleister –
nutzt(e) UCEPROTECT. Mails wurden manchmal zugestellt, manchmal durch
deren Blacklist eben nicht.

Mein eigener Provider meinte nur, dass man nicht bereit sei, für die
Löschung aus der Blacklist Geld zu bezahlen. [1]

Neben der Reputation, die sich dieser Laden durch seine Geschäftspoltik
und den Umgang mit Kritik offenbar hart erarbeitet hat:

<https://www.heise.de/forum/c-t/Kommentare-zu-c-t-Artikeln/Spam-Golem/UCEProtect-unserioes-andere-Loesungen-verfuegbar/posting-302221/show/>
<https://www.antispam-ev.de/forum/showthread.php?17067-Offtopic-ASSP-uceprotect>

spricht nicht zuletzt die »professionelle« Gestaltung des Webauftritts
eine deutliche Sprache. Das fehlende Impressum hast du ja bereits
festgestellt.


[1] vgl. <https://www.uceprotect.net/de/index.php?m=7&s=6>



--
michael.kallweitt.art
»Meine Stücke wachsen nicht von vorne nach hinten, sondern von innen nach
außen.« Pina Bausch https://de.wikipedia.org/wiki/Pina_Bausch#Inszenierung

[Marco Moock]

Am 18.09.2023 um 13:07:40 Uhr schrieb Michael Kallweitt:

> Marco Moock <mm+u...@dorfdsl.de> schrieb:
>
> > Nutzt ihr uceprotect und was meint ihr dazu?
>
> Eine meiner ehemaligen Kundinnen – bzw. deren IT-Dienstleister –
> nutzt(e) UCEPROTECT. Mails wurden manchmal zugestellt, manchmal durch
> deren Blacklist eben nicht.

Level 1 oder andere Level?

> Mein eigener Provider meinte nur, dass man nicht bereit sei, für die
> Löschung aus der Blacklist Geld zu bezahlen. [1]

Kann ich verstehen. Würden die das Spam-Problem angehen wären die aber
vermutlich nicht in Level 2 oder 3 gelandet. :-)

> Neben der Reputation, die sich dieser Laden durch seine
> Geschäftspoltik und den Umgang mit Kritik offenbar hart erarbeitet
> hat:
>
> <https://www.heise.de/forum/c-t/Kommentare-zu-c-t-Artikeln/Spam-Golem/UCEProtect-unserioes-andere-Loesungen-verfuegbar/posting-302221/show/>

Die Autoresponder können halt wunderbar für Relection-Attacken genutzt
werden, von daher kann ich da nur dazu raten, die auf eigene Domains
zu beschränken, sodass eben nicht Dritte damit belästigt werden können.
Das kostenfreie Entfernen nach 7 Tagen wird im heise-Forum leider nicht
erwähnt.

> <https://www.antispam-ev.de/forum/showthread.php?17067-Offtopic-ASSP-uceprotect>

Ich kenne den Thread, aber a) kann ich nicht prüfen, ob das wirklich
die Leute von uceprotect geschrieben haben und b) sehe ich da keine
sachliche Auseinandersetzung. Das sind eigentlich nur Gestänker und
fragwürdige Vorwürfe vorzufinden, wie "Störung des Geschäftsbetriebs".

> spricht nicht zuletzt die »professionelle« Gestaltung des Webauftritts
> eine deutliche Sprache.

Ich halte diese Website für professionell gestaltet, denn die Autoren
haben es geschafft, eine einfache, übersichtliche und schnelle Website
zu bauen, ohne massenhaft Javascript, irgendwelche einfliegenden
Elemente oder anderen Kram, der eigentlich nur stört.
Es waren halt keine Webdesigner am Werk, sondern Leute, die die Website
später auch mal nutzen wollen/müssen und daher auf die Spielereien von
Designern gut verzichten können.

> Das fehlende Impressum hast du ja bereits festgestellt.

Richtig, wobei ich da a) die Rechtslage nicht kenne und b) der
Betreiber laut eigener Aussage schon bedroht wurde.

[Karl-Josef Ziegler]

Am 18.09.2023 um 14:02 schrieb Marco Moock:

> Richtig, wobei ich da a) die Rechtslage nicht kenne und b) der
> Betreiber laut eigener Aussage schon bedroht wurde.

Auch die Hinterleute von Spamhaus sind teilweise anonym. Schlicht weil
die Spammerei ein Multimillionengeschäft ist und die Gauner sich dies
nicht kaputtmachen lassen möchten. Da werden dann auch schon mal härtere
Bandagen gegen Antispammer aufgelegt.

[Michael Kallweitt]

Marco Moock <mm+use...@dorfdsl.de> schrieb:

> Am 18.09.2023 um 13:07:40 Uhr schrieb Michael Kallweitt:
>
>> Eine meiner ehemaligen Kundinnen – bzw. deren IT-Dienstleister –
>> nutzt(e) UCEPROTECT. Mails wurden manchmal zugestellt, manchmal durch
>> deren Blacklist eben nicht.
>
> Level 1 oder andere Level?

Level 2:
| <xxxxxx...@xxxxxxxxxxxxxxxx.de>: host xxxxxxxxxxxxxxx.de[xx.xxx.xxx.xx]
| said: 554 5.7.1 Service unavailable; Client host [37.17.224.247] blocked
| using dnsbl-2.uceprotect.net; NET 37.17.224.0/24 is UCEPROTECT-Level2
| listed because 12 impacts are seen from DE-WEBGO www.webgo.de, DE/AS48324
| there. See: http://www.uceprotect.net/rblcheck.php?ipr=37.17.224.247 (in
| reply to RCPT TO command)

>> Mein eigener Provider meinte nur, dass man nicht bereit sei, für die
>> Löschung aus der Blacklist Geld zu bezahlen. [1]
>
> Kann ich verstehen. Würden die das Spam-Problem angehen wären die aber
> vermutlich nicht in Level 2 oder 3 gelandet. :-)

Welche Kriterien UCEPROTECT da auch immer zugunde gelegt haben will. Bei
anderen Empfängern gab es bislang keine Probleme.

>> <https://www.heise.de/forum/c-t/Kommentare-zu-c-t-Artikeln/Spam-Golem/UCEProtect-unserioes-andere-Loesungen-verfuegbar/posting-302221/show/>
>
> Die Autoresponder können halt wunderbar für Relection-Attacken genutzt
> werden, von daher kann ich da nur dazu raten, die auf eigene Domains
> zu beschränken, sodass eben nicht Dritte damit belästigt werden können.

Je nach Anwendungsfall (Abonnieren einer Mailingliste,
Newsletter-Bestellung etc.) bleibt immer ein Restrisiko, Unbeteiligte zu
behelligen. Als Reaktion gleich einen ganzen IP-Range auf die Blacklist
zu setzen, halte ich für übertrieben. IMHO sollten Spamfilter ihre
Arbeit leise und präzise erledigen und gerade bei geschäftlicher Nutzung
lieber eine Spamnachricht zu viel durchlassen als vermeidbaren Stress
mit Geschäftspartnern zu verursachen.

[Marco Moock]

https://www.uceprotect.net/de/index.php?m=2&s=0
Spam ist wohl wirklich ein mafiaähnliches Konstrukt, wenn man sich
überlegt, dass Leute da extra Pakete ins Ausland schicken und Leute
bedrohen.

Mich wundert, wer dafür zahlen will. Ich kann mir irgendwie nicht
vorstellen, dass sich sowas für einen Shop oder so lohnt.

[Marco Moock]

Am 18.09.2023 um 21:36:12 Uhr schrieb Michael Kallweitt:

> Marco Moock <mm+use...@dorfdsl.de> schrieb:
>
> > Am 18.09.2023 um 13:07:40 Uhr schrieb Michael Kallweitt:
> >
> >> Eine meiner ehemaligen Kundinnen – bzw. deren IT-Dienstleister –
> >> nutzt(e) UCEPROTECT. Mails wurden manchmal zugestellt, manchmal
> >> durch deren Blacklist eben nicht.
> >
> > Level 1 oder andere Level?
>
> Level 2:
> | <xxxxxx...@xxxxxxxxxxxxxxxx.de>: host
> xxxxxxxxxxxxxxx.de[xx.xxx.xxx.xx] | said: 554 5.7.1 Service
> unavailable; Client host [37.17.224.247] blocked | using
> dnsbl-2.uceprotect.net; NET 37.17.224.0/24 is UCEPROTECT-Level2 |
> listed because 12 impacts are seen from DE-WEBGO www.webgo.de,
> DE/AS48324 | there. See:
> http://www.uceprotect.net/rblcheck.php?ipr=37.17.224.247 (in |
> reply to RCPT TO command)

Dann sollte sich der ISP mal etwas flotter um Spam-Probleme bei seinen
Kunden kümmern. :-)

> >> Mein eigener Provider meinte nur, dass man nicht bereit sei, für
> >> die Löschung aus der Blacklist Geld zu bezahlen. [1]
> >
> > Kann ich verstehen. Würden die das Spam-Problem angehen wären die
> > aber vermutlich nicht in Level 2 oder 3 gelandet. :-)

> Welche Kriterien UCEPROTECT da auch immer zugunde gelegt haben will.

Da ist es erklärt:
https://www.uceprotect.net/de/index.php?m=3&s=4

> Bei anderen Empfängern gab es bislang keine Probleme.

Weil die halt nicht uceprotect Level 2 einsetzen oder nicht alles, was
da gelistet ist, blockieren.

> >> <https://www.heise.de/forum/c-t/Kommentare-zu-c-t-Artikeln/Spam-Golem/UCEProtect-unserioes-andere-Loesungen-verfuegbar/posting-302221/show/>
> >>
> >
> > Die Autoresponder können halt wunderbar für Relection-Attacken
> > genutzt werden, von daher kann ich da nur dazu raten, die auf
> > eigene Domains zu beschränken, sodass eben nicht Dritte damit
> > belästigt werden können.
>
> Je nach Anwendungsfall (Abonnieren einer Mailingliste,
> Newsletter-Bestellung etc.) bleibt immer ein Restrisiko, Unbeteiligte
> zu behelligen.

Natürlich, aber sowas kann man mit einem Rate-Limit versehen. Beispiel:
Pro Empfänger max. 2 Subscription-Mails pro Tag.
Pro IP max. 2 Subscriptions, bis die bestätigt wurden. So können
legitime Nutze weiterhin Listen abonnieren, aber ein Spammer kann das
Teil nicht dazu nutzen, Zehntausende Mails rauszujagen.

> Als Reaktion gleich einen ganzen IP-Range auf die Blacklist zu
> setzen, halte ich für übertrieben.

Ich auch, aber wenn du damit mal attackiert wurdest, siehst du das ggf.
anders.

> IMHO sollten Spamfilter ihre Arbeit leise und präzise erledigen und gerade bei
> geschäftlicher Nutzung lieber eine Spamnachricht zu viel durchlassen
> als vermeidbaren Stress mit Geschäftspartnern zu verursachen.

Spamfilter können aber halt nur ganz schlecht erkenne, ob das jetzt
Müll ist oder nicht. Zudem gibt es keine Korrelation: Ein Spam-Server
wird selten legitime Mails verschicken.

Ein Spam-freundlicher ISP wird viele Spammer in seinem Adressbereich
haben und die auch rotieren, damit die von den Blacklists verschwinden.
Das dürfte der Grund sein, warum Level 2 und 3 bei uceprotect
existieren.
So kann man Provider, die Spam erstmal zulassen, recht gut ausfiltern.
Ggf. könnte man das mit einem Greylisting kombinieren, sodass erstmal
mit 4xx abgelehnt wird und beim 2. Versuch die Mail angenommen wird.

Spammer werden das vielleicht nicht machen, weil sie genügend andere
haben, die die direkt annehmen.

Ich kann das aber alles nicht prüfen, mir schickt keiner Spam, nur ein
paar IPs versuchen ohne Berechtigung zu relayen. Gibt halt dann nen
Logeintrag, mehr ned.

Bei vertrauenswürdigen Server kann man ja eine Whitelist einrichten.

[Marc Haber]

Michael Kallweitt <michael....@posteo.de> wrote:
>IMHO sollten Spamfilter ihre
>Arbeit leise und präzise erledigen und gerade bei geschäftlicher Nutzung
>lieber eine Spamnachricht zu viel durchlassen als vermeidbaren Stress
>mit Geschäftspartnern zu verursachen.

Das haben Google und Microsoft inzwischen gründlich geändert. Lieber
hundert legitime Nachrichten kommentarlos im Nirvana verschwinden
lassen als einen Spam fälschlicherweise zuzustellen ist die Devise.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

[Marco Moock]

Am 20.09.2023 um 22:41:03 Uhr schrieb Marc Haber:

> Das haben Google und Microsoft inzwischen gründlich geändert. Lieber
> hundert legitime Nachrichten kommentarlos im Nirvana verschwinden
> lassen als einen Spam fälschlicherweise zuzustellen ist die Devise.

Im Nirvana verschwinden lassen ist halt richtig Scheiße.
Ablehnung in der SMTP-Verbindung, weil gelistet in Level 2/3 auf
uceprotect ist dagegen ja schon traumhaft für den Absender.

[Marc Haber]

Scheiße genug. Das macht Mail nachhaltiger kaputt als Spam es je
konnte.

[Marco Moock]

Am 21.09.2023 um 17:35:03 Uhr schrieb Marc Haber:

> Marco Moock <mm+use...@dorfdsl.de> wrote:
> >Am 20.09.2023 um 22:41:03 Uhr schrieb Marc Haber:
> >
> >> Das haben Google und Microsoft inzwischen gründlich geändert.
> >> Lieber hundert legitime Nachrichten kommentarlos im Nirvana
> >> verschwinden lassen als einen Spam fälschlicherweise zuzustellen
> >> ist die Devise.
> >
> >Im Nirvana verschwinden lassen ist halt richtig Scheiße.
> >Ablehnung in der SMTP-Verbindung, weil gelistet in Level 2/3 auf
> >uceprotect ist dagegen ja schon traumhaft für den Absender.
>
> Scheiße genug. Das macht Mail nachhaltiger kaputt als Spam es je
> konnte.

Nur leider wollen die Leute das so. Guck dir einfach nur an, was Unis
gemacht haben, die Jahrzehnte lang ihre Mailinfrastruktur auf freier
Software teilweise selbst programmiert haben (CMU mit Cyrus, Berkeley
mit sendmail) und die heute zu GMail oder Exchange gewechselt sind.

Exchange hat ja laut der Gerüchteküche auch die Gabe, zu große Mails
einfach zu verschlucken statt direkt abzulehnen.

Wie man sowas einsetzen kann ist mir auch echt schleierhaft.

[Marco Moock]

Am 22.09.2023 schrieb Karl-Josef Ziegler <plprxo...@spammotel.com>:

> Am 20.09.2023 um 22:41 schrieb Marc Haber:
> > Michael Kallweitt <michael....@posteo.de> wrote:
> >>IMHO sollten Spamfilter ihre
> >>Arbeit leise und präzise erledigen und gerade bei geschäftlicher
> >>Nutzung lieber eine Spamnachricht zu viel durchlassen als
> >>vermeidbaren Stress mit Geschäftspartnern zu verursachen.
> >
> > Das haben Google und Microsoft inzwischen gründlich geändert. Lieber
> > hundert legitime Nachrichten kommentarlos im Nirvana verschwinden
> > lassen als einen Spam fälschlicherweise zuzustellen ist die Devise.
> >
>

> Wenn die beiden nur mal genau so konsequent wären bei dem Spammist,
> der aus deren Netzen herausgeblasen wird und mal ein vernünftiges
> Abuse-Management aufsetzen würden...

Die gehen da nach dem Prinzip "too big".
Man kann nicht sinnvoll diese blockieren (auch wenn die schon auf
Blacklists waren), ohne zu viele legitime Mails zu blockieren.

Ergo werden die dann wieder entsperrt.