Nachdem wir bereits in Jahr 2005 einige Auswertungen zum Spamverkehr gemacht haben, folgt hier eine Auswertung von August 2006 bis Juni2007, also über 11 Monate. Es wird erläutert, welche Maßnahmen in dieser Periode wesentlich zur Reduzierung des Spamaufkommens beigetragen haben.

	Emails	Anteil	SPF	Erläuterung
connection loss	10.072	2,0%		Verbindung durch die Gegenseite unerwartet beendet. Zum Beispiel nur ein Portscan.
hostname verify	63.442	12,4%		Der "Reverse DNS Lookup" ordnete der IP einen Namen zu. Beim normalen Lookup wurde zu diesem Namen aber keine IP geliefert. Das deutet auf eine dynamische IP-Adresse.
HELO without FQDN (504)	100.513	19,6%		Beim Aufnehmen der Verbindung mit dem HELO-Kommando gab die Gegenstelle keinen vollen eigenen Domainnamen an, sondern zum Beispiel nur etwas wie "localhost".
HELO host verify (550)	108.339	21,1%		Beim Helo-Kommando wurde ein nicht im DNS registrierter Domainname angegeben. Achtung: Es gibt einige wenige "gute" Mailserver, die so etwas tun. Diese muß man in die Weiße Liste aufnehmen.
failed with protocol errors	282.366	55,0%		Fehler gesamt bis zur Verbindungsaufnahme
no mailbox (554)	191.993	37,4%		Die Email wurde an eine nicht bekannte Adresse geschickt, zum Beispiel weil Adressen nach Wörterbuch durchprobiert wurden.
SPF softfail	2.399	0,5%	6%	Laut SPF-Eintrag ist die Absenderadresse nicht zulässig.
SPF hardfail	1.830	0,4%	4%	Laut SPF-Eintrag ist die Absenderadresse nicht zulässig.
failed before greylisting	478.588	93,2%		Fehler gesamt bis zur Adreßprüfung
SPF none	34.145	6,6%	78%	Kein SPF-Eintrag.
SPF neutral	1.862	0,4%	4%	Keine verwertbare Information aus SPF.
SPF pass	3.346	0,7%	8%	SPF hat ausdrücklich "gut" zurückgemeldet.
greylisted (450)	34.961	6,8%		Gesamtzahl von Nachrichten, die zuerst auf der Grauen Liste gelandet sind.
no repeat	22.510	4,4%		Der gegnerische Server hat nach dem ersten Abweisen durch die Greylist nicht erneut gesendet.
spamfilter	7.164	1,4%		Durch Spamassassin abgewiesen.
failed total	508.262	99,0%		Fehler gesamt
incoming	513.549	100,0%		eingegangene Nachrichten
pass	5.287	1,0%		gute Nachrichten

Mehr als die Hälfte allen Spams werden wir schon dadurch los, daß wir nach einigen strengen Prüfungen gar nicht erst mit dem Gegner sprechen.

smtpd_helo_restrictions = permit_tls_clientcerts
permit_sasl_authenticated
permit_mynetworks
check_helo_access hash:/etc/postfix/map_helo_access_white
reject_invalid_hostname
reject_non_fqdn_hostname
reject_unknown_hostname
check_helo_access hash:/etc/postfix/map_helo_access_black

Fast noch einmal die Hälfte wird abgewiesen, weil die Empfängeradresse gefälscht ist.

SPF (Sender Policy Framework) bewirkt fast nichts, weil gerade einmal ein Fünftel des Verkehrs (was nicht notwendig einem Füntel der Domains entspricht) davon erfaßt wird. Es ist zu vermuten, daß wir die meisten der durch SPF entdeckten Spamnachrichten auch mit Greylisting eliminiert hätten.

Die verbleibenden 7% der eingehenden Nachrichten werden noch einmal sehr wirkungsvoll mit Greylisting gefiltert. Der Spamfilter (Spamassassin) eliminiert zwar auch noch einmal jede zweite der verbleibenden Nachrichten - in der Absolutzahl etwa so viel, wie SPF schafft. Man sollte seinen Beitrag in der gesamten Filterkette aber nicht überbewerten.

smtpd_recipient_restrictions = permit_tls_clientcerts
permit_sasl_authenticated
reject_non_fqdn_recipient
reject_unknown_recipient_domain
reject_unauth_destination
check_recipient_access hash:/etc/postfix/map_recipient_access_grey
check_policy_service inet:127.0.0.1:60000
check_policy_service unix:private/spf
check_recipient_access hash:/etc/postfix/map_distribution_lists
check_recipient_access hash:/etc/postfix/map_recipient_access_white
reject

Ein Prozent der Nachrichten kommt schließlich durch, wobei unter diesen Nachrichten der Spamanteil nur noch zwischen 10% und 20% liegt.

Oder immerhin noch 10 bis 20 Prozent verbleibender Spam; wie man es sehen will. Der technische Aufwand, diesen auch noch herauszufiltern, wäre aber immens.