Was der Spamhaus-Graph zeigt — und warum SpamAssassin zunehmend versagt
Von: ICT Support / Mailserver Administration
Datum: 05. März 2026
Sechs Monate unter Dauerbeschuss!
Der Spamhaus DQS-Auswertungsgraph für den Mailserver zeigt den Zeitraum von September 2025 bis März 2026.
Drei Linien erzählen eine klare Geschichte:
| Linie | Bedeutung |
|---|---|
| 🟡 DQS Total | Gesamtvolumen aller eingehenden Mails |
| 🔵 DQS Listed | Von Spamhaus als Spam-Quelle erkannt |
| 🟢 DQS Unlisted | Nicht erkannt – zugestellt |
Die gestrichelte Linie markiert den Durchschnitt von etwa 450 Abfragen pro Tag.
Auf den ersten Blick wirkt der Verlauf stabil.
Im letzten Abschnitt des Graphen zeigt sich jedoch eine kritische Verschiebung.
Der kritische Trend: Februar – März 2026
Ab Ende Februar 2026 steigt das Gesamtvolumen deutlich.
Am 06. März 2026 erreicht der Graph einen neuen Höchstwert nahe der 1000er-Marke – vergleichbar nur mit dem Ausreisser im Dezember 2025.
Auffällig dabei:
- die blaue Linie (Listed) bleibt nahezu unverändert
- die türkise Linie (Unlisted) steigt parallel zum Gesamtvolumen
Das Verhältnis:
| Kategorie | Anteil |
|---|---|
| Listed | 13 % |
| Unlisted | 87 % |
Mit anderen Worten:
Von 10 Spam-Mails erkennt Spamhaus aktuell nur etwa 1 bis 2.
Die restlichen 8 bis 9 Mails passieren die erste Verteidigungslinie.
Was die Analyse zeigt
Die manuelle Analyse von über 100 Spam-Mails aus diesem Zeitraum zeigt die Ursache.
Die Angreifer haben ihre Strategie deutlich weiterentwickelt.
1. Google als Schutzschild
Nahezu alle Spam-Mails werden über Google Mail Server versendet.
Typische IP-Ranges:
209.85.x.x
Verwendete Relay-Domains (Beispiele):
chuanmei528.com
wjqinghe.com
sedioliniauto.com
nasentc.com
Diese Domains nutzen:
- Google Workspace
- Google Groups
- Gmail SMTP Infrastruktur
Der entscheidende Vorteil für Spammer:
- Google-IP-Adressen stehen auf keiner Blacklist
- SPF validiert
- DKIM validiert
Für SpamAssassin und Spamhaus sieht die Mail daher technisch vollständig legitim aus.
2. Scores knapp unter dem SpamAssassin-Threshold
SpamAssassin erkennt viele dieser Mails grundsätzlich korrekt.
Typische Treffer:
BAYES_99
BAYES_999
URIBL_RED
Trotzdem bleiben die Scores knapp unter dem Spam-Threshold.
| Kampagne | SpamAssassin Score | Threshold | Ergebnis |
|---|---|---|---|
| Lions Spray / Mounjaslim | 3.9 | 5.0 | durchgelassen |
| Schwarzschimmel | 4.4 – 6.2 | 5.0 – 7.0 | teilweise durch |
| Flixy TV | 4.0 – 5.9 | 5.0 – 7.0 | durch |
| Cannabis Lieferung | 2.9 | 7.0 | durch |
Die Spammer testen offensichtlich aktiv gegen SpamAssassin-Konfigurationen.
Sie optimieren ihre Inhalte so lange, bis sie knapp unter dem Schwellenwert bleiben.
3. Backscatter als Nebeneffekt
Eine Folge der Spam-Welle sind zahlreiche Backscatter-Mails.
Betroffene Absender:
- trainingcreatively.com
- headsforbrands.ch
- dastn.com
- tickster.zendesk.com
Diese Systeme senden automatische Antworten an gefälschte Absenderadressen, die auf Kunden-Domains des Mailservers zeigen.
Die Mails sind technisch korrekt, aber sie
- verstopfen Postfächer
- verwirren Benutzer
- erhöhen zusätzlich die Mailmenge.
Warum klassische Spamabwehr hier versagt
Die aktuelle Situation zeigt ein strukturelles Problem moderner Spamabwehr.
Reputationsbasierte Systeme
Beispiele:
- Spamhaus
- klassische RBLs
Diese Systeme funktionieren gut bei:
- Botnetzen
- bekannten Spam-IP-Netzen
Sie funktionieren schlecht bei:
- Cloud-Infrastruktur
- Microsoft
- Mailchimp / Brevo
Die Reputation gehört der Infrastruktur, nicht dem Spammer.
Content-Filter
SpamAssassin erkennt viele Inhalte korrekt.
Aber:
Wenn der Score 0.1 Punkte unter dem Threshold liegt, wird die Mail zugestellt.
Das nutzen Angreifer gezielt aus.
Empfohlene Massnahmen
Kurzfristig
- SpamAssassin Threshold auf 4.0 senken
- lokale SA-Regeln für bekannte Relay-Domains erstellen
- Plesk-Blockliste erweitern
Beispiele:
chuanmei528.com
wjqinghe.com
sedioliniauto.com
nasentc.com
Mittelfristig
Zusätzliche Filter aktivieren:
- URIBL
- SURBL
- ivmSIP
Kollaborative Spam-Erkennung:
- Razor
- Pyzor
Technische Massnahmen:
- Greylisting für unbekannte Absender
Viele Spam-Relay-Systeme versuchen keinen zweiten Zustellversuch.
Strategisch
Prüfen:
- zusätzliche Inhaltsprüfung für Google-Mail-Zustellungen
- kontinuierliche EML-Sampling-Analyse
- schnelle Identifikation neuer Spam-Domains
Derzeit ist manuelle Analyse oft besser als automatisierte Filter.
Fazit
Der Spamhaus-Graph vom 06. März 2026 ist ein klares Warnsignal.
Die 87 % Unlisted-Rate bedeutet nicht, dass Spamhaus versagt.
Sie zeigt:
Spammer kennen die Grenzen reputationsbasierter Systeme – und nutzen sie gezielt aus.
Die Kombination aus
- Cloud-Relay-Infrastruktur
- präzisem SpamAssassin-Tuning
- ständig wechselnden Domains
macht diese Spam-Welle besonders schwer zu blockieren.
Die wirksamste Verteidigung bleibt ein mehrschichtiger Ansatz:
- Domain-Sperren
- Content-Scoring
- kollaborative Filter
- manuelle Analyse.
Analyse basierend auf
- 100+ EML-Samples
- Dovecot-Logs
- Spamhaus DQS Daten
Mailserveanalyse: ictsupport.ch