Kampf gegen Spam: Mail Authentification

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Kampf gegen Spam: Mail Authentification

    Ihr kennt sicher das Problem: Trotz Spamfilter landet permanent das Müll von irgendwelchen Untermenschen in eurer Mailbox. Ich habe mir daher mal Gedanken gemacht wie ich das zumindest temporär lösen würde. Temporär in dem Sinne bis sich etwas Einheitliches etabliert hat.

    Mein Problem ist allerdings, ich habe zwar von php und mySQL Ahnung aber an der tiefgreifenderen Konfiguration und dem Scripting vom Rest nicht wirklich.

    Falls sich also jemanden finden sollte der gewillt ist diese Idee umzusetzen hier bitte, haut rein:

    ###############################################################################
    mail authentification system
    ###############################################################################

    Contents
    -------------------------------------------------------------------------------
    1 ........................................................................ Idea
    2 ..................................................................... Concept
    3 ................................................................ Requirements


    1. Idea
    -------------------------------------------------------------------------------
    There's no way to prevent beeing spamed by some assholes, even with a
    spamfilter you will get some spam thats not recognized.

    This document shows a concept that should be save as long theres no AI or OCR
    software that is able to challenge a captcha.

    What is a captcha?
    http://en.wikipedia.org/wiki/Captcha

    Every person that want's to send you mails has to sign up your "friends"-list
    one time and master a captcha.

    The user should be able to add adresses by himself for already known and
    trusted adresses.

    2. Concept
    -------------------------------------------------------------------------------
    Someone sends an email to your server.

    If the server receives this mail it starts the script that checks if the
    sender is in the "friends"-table of the SQL-server.

    If the sender is in the "ignore"-table, delete the mail.

    If it is in the list its ok and the mail passes trought.

    If it is NOT in the list the server starts a script that does the following
    steps:

    Check if the sender is already in the "activation"-table. If yes move his mail
    to the "cache"-table.

    If the sender is not in the "activation"-table continue with the following
    steps:

    Create an entry in the "activation"-table of the SQL-server, including an
    activation code. If this is successfull...

    Move the mail(s) of the senders adress to the "cache"-table of the SQL-server,
    don't let them pass trought.

    Send an authentification mail to the senders adress including the url to the
    authentification page.

    The user has to open the authentification page now, the URL includes the code
    to proof if it was realy send by your server to the user. It could look like
    this for example: authmail.php?code=22ap3l60m2kl12g022

    If the sender is not going to authentificate himself within a time which is
    set by the admin the sender will be moved to the "ignore"-table and the
    cached mails are deleted.

    If the code is the same as the one in the database the script displays a
    captcha that the user has to challenge to authentificate himself. This is the
    critical point of the whole idea. As long as theres no AI or OCR software that
    is able to master the captcha you are save.

    If the captcha is passed the sender will never again confronted with the
    authentification procedure except the SQL-tables are lost.

    The script will now move he senders data to the "friends"-table and send the
    cached mails of the sender back to the MTA. The client can now access the
    mails.

    3. Requirements
    -------------------------------------------------------------------------------
    a *nix system
    sql (mysql only atm)
    mailtransfer agent (independet)
    webserver (must be able to execute php)
    script languages (php only atm)

    The webserver must be able to run one of the (script)languages that handle the
    authentification page.

    The scriptlanguages must be able to connect to the choosen database. Except
    this you are free to use ANY (script)language of your choice.


    Thanks to
    -------------------------------------------------------------------------------
    Vispillo for some technical help

  • #2
    Sonderlich kreativ ist die Idee ja nun wirklich nicht. Und so bzw. so ähnlich auch schon mehrmals realisiert. Ich verstehe auch nicht, warum das unbedingt auf PHP konzipiert wurde?

    Anyway: Ich bin mir auch fast sicher, dass sich das selbe mit jedem halbwegs guten Mail-Client unter zuhilfenahme von Filtern regeln lässt.

    Kommentar


    • #3
      Und so bzw. so ähnlich auch schon mehrmals realisiert.
      Aha, dann nenn mir doch bitte mal so etwas. Am besten so das es direkt auf dem Server läuft oder zumindest als Addon für Outlook 2003.

      Ich benutze übrigens schon Spamihilator und kriege noch immer circa 4-10 Spammails durch, trotz X-Filtern!

      Kommentar


      • #4
        Ich halte auch nicht viel davon.

        Zum einen sind Captchas auch keine unumgängliche Wunderwaffe (und es braucht nicht mal OCR, um sie auszutricksen), und zum anderen besorgen sich Spammer ihre Adressen ja u.a. über Trojaner, die auf befallenen Rechnern die Adressbücher auslesen. Darüber ist es dann auch nicht mehr allzu schwer, das "Netzwerk" deiner Kontakte abzubilden - und schon bekommst du zukünftig vermehrt Spam mit Absenderadressen dir bekannter Personen, weil bei denen ja die Wahrscheinlichkeit hoch ist, dass sie auf deiner Captcha-verifizierten Whitelist stehen ...
        I don't believe in rebirth. Actually, I never did in my whole lives.

        Kommentar


        • #5
          http://www.heise.de/foren/go.shtml?r...&forum_id=7313

          Kennst Du dafür eine Lösung? Das Problem habe ich auch noch...

          Kommentar


          • #6
            Ich finds gut, dass du dir zu dem Thema Gedanken machst.

            Aber der Ansatz, den Sender auf seine Menschlichkeit zu überprüfen, wird das Spamproblem niemals lösen.
            Warum nicht? Weil man kaum verlangen kann, dass sich der Absender für jede Mail erneut dem Captcha stellt. Dann wird mailen zur Qual. Zusätzlich willst du auch noch jedes Mal eine weitere Mail mit dem Captcha-Link versenden. Das steigert das Mailaufkommen noch zusätzlich.
            Ein einmaliges Captcha'n genügt aber nicht, denn wie bereits erwähnt, kann der Host des Senders durch einen Trojaner zur Spamschleuder werden oder der Spamer schlicht die authorisierte Mailadresse spoofen.

            Das einzige, was Ham von Spam unterscheidet, ist Inhalt!

            Statt deine Idee hier in allen Einzelheiten zu durchleuchten, empfehle ich http://dspam.nuclearelephant.com - das Buch für dich und dspam oder einen der anderen Spamfilter aus dem Buch für deine Inbox.


            PS: Wieso kommt eigentlich als OS nur *nix in Frage?
            Zuletzt geändert von onemorenerd; 27.06.2006, 01:24.

            Kommentar


            • #7
              Original geschrieben von burzum
              Ich benutze übrigens schon Spamihilator und kriege noch immer circa 4-10 Spammails durch, trotz X-Filtern!
              Tja, und die Spammails, die von einer nicht eingetragenen Absenderadresse kommen würden in dem da oben beschriebenen Programm ebenfalls erstmal durchkommen und müssten erst auf die Blacklist gesetzt werden. Im einfachsten Falle könnte man sie ignorieren, trotzdem muss man sie sich dafür angesehen haben.

              Dass keine einzige Spammail mehr durchkommt, ist sehr unwahrscheinlich. Von dieser Hoffnung solltest du dich verabschieden.

              Kommentar

              Lädt...
              X