Und es gibt auch kein wirklich probates Mittel dagegen
Ich dachte eigentlich auch so, bisher....
Durch eine tiefere Analyse von mehreren Servern bin ich darauf gestoßen das es wohl tatsächlich nur ein Botnet ist das bei mir Logspamm und realen Spam betreibt.
Ich habe jedenfalls ein wenig gescriptet und 4 Server "zusammen geschaltet", sie tauschen nun alle Hosts aus die obige Meldung uä. bringen und sperren sie permanent.
Der Erfolg ist überwältigend! Die Produktivserver werden entsprechend mit dieser Liste gefüttert. Die rbl-rejects liegen jetzt bei max. 3/Tag und Server(vorher ~50) und dass Spamvolumen ist von 20% auf 4% gesunken. Ich hoffe es bleibt so.
Die Liste selber enthält noch keine 200 Einträge. Was mich aber am meisten gewundert hat; es sind relativ wenige dynamische Adressen die mit geblockt wurden. Die meisten dynamischen stammen aus Italien und sind (laut nmap) XP Systeme.
Ich werde auf jeden Fall Empfehlen noch zwei oder drei 2€-V-Server zu Mieten und diese als Honeypot zu missbrauchen.
Mein persönliches Fazit:
Die Vogel-Strauß-Taktik schadet mehr als sie nutzt.
Edit:
Ich liebe Statistiken.
Wußtest ihr das eine ipv4 Adresse im Durchschnit 14,2 Zeichen enthält.
(Zumindest bei meinen ~200 gesammelten)