Um dem Aufkommen von SPAM endlich machtvoll gegenüber zu treten hatte ich Greylisting als Heiligen Gral eingeordnet, hatte es mich doch in den letzten Monaten unglaublich gut vor den ganzen Spam – äh – Verbraucherinformationsmails geschützt.
Die Idee dabei ist ziemlich simpel: Die meisten Spammer verwenden Botnetze um ihren Müll abzukippen. Klappt die Zustellung einer Mail nicht, so wird in der Regel auch abgebrochen.
Und wenn es nochmal versucht wird, dann von einem anderen gehackten Rechner des Botnet, aber in der Regel nicht nochmal von dem selben Spam-Droid, da dafür eine Menge Daten gespeichert und verwaltet werden müssen, was die mögliche Spam-Menge doch stark eingrenzt.
Doch seit einigen Tagen läuft bei mir relativ viel Pump-and-Dump Aktienspam bzw. Stockspam auf. Ein Blick in die Header sieht dann meistens so aus:

Delivered-To: [email protected]
X-Greylist: delayed 600 seconds by postgrey-1.27 at keltix; Thu, 31 May 2007 12:59:23 CEST
Received: from mail.detalita.lt (mail.detalita.lt [195.14.166.35])
	by keltix.sforce.org (Postfix) with SMTP id 8D65FA30A1
	for <[email protected]>; Thu, 31 May 2007 12:59:23 +0200 (CEST)
Received: from [159.119.156.127] (helo=vpczo)
	by mail.detalita.lt with smtp (Exim 4.62 (FreeBSD))
	id 1IiQ6-H9; Thu, 31 May 2007 14:02:18 +0300
Message-ID: <002f0$7f9c779f@vpczo>

Auffällig dabei ist, dass das delay in der Regel bei 600 Sekunden liegt – mindestens ein Botnet ist also mit einem anti-greylisting ausgestattet.
Offenbar haben viele 10 Minuten eingestellt und am default Wert auch nichts geändert, und das macht sich so ein Spammer zu Nutze.
Jetzt könnte ich natürlich anfangen mit dem delay zu experimentieren – jedoch wird dann die Erstzustellung einer E-Mail ganz schön verzögert, 10 Minuten als Minimum finde ich ja noch tragbar. Darüber hinaus… puh.

Die Monokultur ist weiterhin der beste Angriffsvektor für Parasiten und Schädlinge.