hi, habt ihr schon hier geschaut, also bei mir funktioniert das recht zuverlaessig (SEMSIII): http://sdb.suse.de/de/sdb/html/rsimai_imap_content_filter.html ich denke das laesst sich auch gut in eine SuSE 7/8 umgebung portieren laesst ( is ja immer postfix der da werkelt) gruesse david At 10:58 19.07.2002 +0200, you wrote:

Andreas Meyer wrote:

...

Am Wed, 17 Jul 2002 21:34:45 +0200 schrieb Joachim Kieferle:

...

Nun aber meine Frage: wie kann ich diesen Sender in Postfix "blacklisten", damit seine Mails zurückbouncen? Habe in /etc/postfix/main.cf folgendes eingetragen:

header_checks = pcre:/etc/postfix/spam_blacklist

und in die Datei spam_blacklist eine Zeile mit:

/^xxx@attbi.com$/ REJECT

In der access-table: @attbi.com 550 We are fighting against SPAM!

smtp_sender_restriction = check_sender_access hash:/etc/postfix/access

Hallo Andreas,

habe ich genau so probiert: Fehlanzeige, _keine_ Mail geblockt.

Dann habe ich in /etc/postfix/sample-smtpd.cf geschaut, anscheinend muss es

smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/access

^ ^

heissen.

Die access-Datei habe ich mit "postmap /etc/postfix/access" eingespielt + Postfix neu gestartet.

Die Log-Dateien "mail, warn und messages" sagen gar nichts. Liegt es evtl. am Amavis Virenscanner?

Hat jemand noch eine Idee, woran das liegen könnte? Oder sollte ich einen Thread: "Ich benutze neu Postfix und ... bin weiblich ;-)" loslassen, damit ich Antworten der Profis bekomme ? ;-)))

Joachim

-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com

David Surey Accreditiation/EDP-Manager New Address!!! Musik Komm. GmbH Ehrenfeldguertel 82-86 50823 Koeln phone ++49/(0)221/91655-112 / fax -120 mailto:surey@musikkomm.de ---------------------------------------- unsere Projekte / our projects http://www.mecon.de http://www.meconnetwork.com http://www.popkomm.de http://www.komm.de http://www.musikkomm.de http://www.bizkomm.de ---------------------------------------- http://www.newsaktuell.de ---------------------------------------- Abonnieren Sie die Popkomm.News unter http://www.popkomm.de/messe Subscribe Popkomm.News at http://www.popkomm.de/tradeshow

Andreas Meyer wrote:

Hallo!

Am Fri, 19 Jul 2002 10:58:55 +0200 schrieb Joachim Kieferle:

...

smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/access

Hallo Andreas, David und Waldemar, vielen Dank für Eure Tips, langsam nähere ich mich einer Lösung. Also smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/access funktioniert _nicht_, smtpd_sender_restrictions = hash:/etc/postfix/access funktioniert. D.h. ich musste offensichtlich die erste Regel weglassen. Da sind die Manpages teilweise unterschiedlich.

Was sagt: postconf smtpd_sender_restrictions

smtpd_sender_restrictions = hash:/etc/postfix/access

oder besser: postconf smtpd_recipient_restrictions

smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, check_relay_domains Offensichtlich klappt's jetzt bei DIREKTEN Spammern. Wenn ich jedoch einen User habe, der seine Mail z.B. von Strato WEITERLEITET, ist nicht der ursprüngliche Sender, sondern der Strato-Benutzer Absender. D.h. wenn ich es richtig verstanden habe, muss ich mit header_checks = pcre:/etc/postfix/my_spammers body_checks = pcre:/etc/postfix/my_spammers arbeiten. In der Datei "my_spammers" steht dann z.B. /abc@xyz.com/ REJECT Allerdings, und das ist die noch offene Frage: REJECT scheint Mails kommentarlos zu verschlucken, sowohl Absender als auch Empfänger bekommen keine Fehlermeldung. In /var/log/mail steht: Jul 19 19:09:06 plato postfix/cleanup[15741]: B901415F7C6: reject: header X-Original-Return-Path: ; from= to= ... und dann noch ein Disconnect des Mailrelays und das war's dann. Wenn ich statt des REJECT ein "550 PleaseNoSpam" eingebe, wird die Mail nicht abgeblockt. Es gibt auch keine Fehlermeldung in /var/log/mail bzw. warn bzw. messages. Wie kann ich jetzt Postfix überreden, entweder an den Absender oder den Empfänger der Mail eine Fehlermeldung zu schicken? Viele Grüsse + schönen Abend Joachim

Hallo! Am Fri, 19 Jul 2002 20:11:01 +0200 schrieb Joachim Kieferle:

vielen Dank für Eure Tips, langsam nähere ich mich einer Lösung. Also smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/access funktioniert _nicht_,

Sollte aber.

smtpd_sender_restrictions = hash:/etc/postfix/access funktioniert. D.h. ich musste offensichtlich die erste Regel weglassen. Da sind die Manpages teilweise unterschiedlich.

Die Reihenfolge der Regeln sind wichtig.

...

Was sagt: postconf smtpd_sender_restrictions

smtpd_sender_restrictions = hash:/etc/postfix/access

Klappt doch.

...

oder besser: postconf smtpd_recipient_restrictions

smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, check_relay_domains

Auch hier.

Offensichtlich klappt's jetzt bei DIREKTEN Spammern. Wenn ich jedoch einen User habe, der seine Mail z.B. von Strato WEITERLEITET, ist nicht der ursprüngliche Sender, sondern der Strato-Benutzer Absender. D.h. wenn ich es richtig verstanden habe, muss ich mit

header_checks = pcre:/etc/postfix/my_spammers body_checks = pcre:/etc/postfix/my_spammers

arbeiten. In der Datei "my_spammers" steht dann z.B.

/abc@xyz.com/ REJECT

Ob das so funktioniert? pcre sind reichlich kompliziert. Da mußt Du Dich einarbeiten. /^(subject|from)\s*:.*[^\x00-\x7f]{5,}/ REJECT oder /^(To|From|Cc|Reply-To|Sender):.*invalid\.domain/ REJECT oder /^Subject: Re: Your password/ REJECT oder /^from: *indesiderato@dominio\.anche_no\.it$/ REJECT als Beispiele. Beachte das ^ am Anfang. Beschäftige Dich mal mit "Restriction Classes" http://www.stahl.bau.tu-bs.de/~hildeb/postfix

Allerdings, und das ist die noch offene Frage: REJECT scheint Mails kommentarlos zu verschlucken, sowohl Absender als auch Empfänger bekommen keine Fehlermeldung.

# Bekannter Virus-Absender wird kommetarlos geblockt sexyfun@hahaha.net REJECT # Bekannter Spamer wird kommentiert geblockt @ksjel.ru 550 We are fighting against SPAM!

In /var/log/mail steht: Jul 19 19:09:06 plato postfix/cleanup[15741]: B901415F7C6: reject: header X-Original-Return-Path: ; from= to=

... und dann noch ein Disconnect des Mailrelays und das war's dann.

hm, sonst nicht? Debuglevel hochschrauben?

Wenn ich statt des REJECT ein "550 PleaseNoSpam" eingebe, wird die Mail nicht abgeblockt. Es gibt auch keine Fehlermeldung in /var/log/mail bzw. warn bzw. messages.

debuggen... müßte gehen.

Wie kann ich jetzt Postfix überreden, entweder an den Absender oder den Empfänger der Mail eine Fehlermeldung zu schicken?

Das sollte in der access-table funktionieren. Gruß -- Andreas Meyer http://home.wtal.de/MeineHomepage

Hallo! Am Sat, 20 Jul 2002 14:57:03 +0200 schrieb Joachim Kieferle:

...

hm, sonst nicht? Debuglevel hochschrauben?

... hmmm, wie kann ich das machen?

In der main.cf: debug_peer_level= 2 # debug_peer_list= 127.0.0.1

Wo es nur teilweise funktioniert ist die /etc/postfix/my_spammers Das geht: /abc@xyz.com/ REJECT Das geht NICHT: /abc@xyz.com/ REJECT Keep your spam

In pcre-tables geht nur REJECT oder OK. Anderenfalls mit access-tables arbeiten.

Nur das REJECT wäre ausreichend, wenn Postfix dann dem Sender (oder Empfänger) eine Mail schicken würde, aber die ankommende Mail verschwindet einfach im Nirvana.

Gibt es irgendeinen Schalter, wie mit REJECTED Mails umgegangen werden soll?

So ganz verstehe ich Dein Anliegen nicht. Du willst doch nicht etwa den Spamer darüber informieren, daß sein Angriff erfolgreich war und sein Konzept zieht? Oder die Empfänger Deines Mailsystems über jede geblockte Spammail informieren? hm, das käme dem geblockten Spam gleich. Und andererseits willst Du den Spam abwehren und beklagst Dich, daß er im Nirvana verschwindet? Wenn Du Spam dennoch sammeln willst, solltest Du vielleicht nicht blocken? Überdenke mal das Konzept. Gruß -- Andreas Meyer http://home.wtal.de/MeineHomepage

Hallo! Am Sat, 20 Jul 2002 16:32:16 +0200 schrieb Joachim Kieferle:

Nun möchte ich, wenn ich als postmaster 2-3 Virenmails vom gleichen Absender mitbekomme, diesen "Blacklisten". Allerdings soll er dennoch informiert werden, dass er blackgelistet ist oder alternativ mein Kollege, dass - sollte es doch ein Bekannter von ihm sein - er zumindest automatisiert mitbekommt, dass der Absender blackgelistet ist bzw. dass er wieder versucht hat eine Mail zu schicken.

Wie erwähnt kann ich, wenn die Mails direkt reinkommen einwandfrei über /etc/postfix/access bestimmen, ob die Mail einfach verschwindet oder ob der Absender eine Mail bekommt. Wenn die Mail aber über eine Weiterleitung (STRATO) reinkommt, geht das nicht mehr, weil jetzt mein Kollege Absender ist.

Mit Restriction Classes kannst Du individuell für jeden Benutzer eigene Filterregeln über spezielle access-tables festlegen. Postfix richtet sich nach diesen speziellen Regeln. Das heist, Du kannst in diesen speziellen tables auch schreiben: kollege@strato.de 550 Es wurde geblockt Beispiele (ohne Garantie): smtpd_restriction_classes = permit_outside_email permit_outside_email = permit_mynetworks reject_unauth_destination smtpd_recipient_restrictions = check_sender_access = hash:/etc/postfix/outside_email reject_unauth_destination ... (other anti-uce restrictions per your local policy go here) permit und /etc/postfix/outside_email username permit_outside_email oder: smtpd_restriction_classes = full_access, local_only smtpd_recipient_restrictions = check_sender_access hash:/etc/postfix/policy, permit_mynetworks, reject_unauth_destination, permit full_access = permit local_only = check_recipient_access hash:/etc/postfix/allowed_recipients, reject [/etc/postfix/policy] rngo@ full_access domain1.com local_only domain2.com local_only [/etc/postfix/allowed_recipients] doman1.com OK domain2.com OK ---------------------------------------- Für die Allgemeinheit gelten nach wie vor die global definierten Spam-Regeln.

Kennst Du ggf. eine Möglichkeit, für "header_checks" oder "body_checks" eine access-Table einzubinden? Oder kann ich "REJECT" entsprechend einstellen, dass mein Kollege informiert wird: "Der und der hat versucht, Dir eine Mail zu schicken aber die wurde ins Nirvana geleitet"?

In header- und body_checks kannst Du meines Wissens nur per REJECT oder OK arbeiten, dafür aber sehr fein granuliert. Über envelope_checks auf tables verweisen.

Ist meine Absicht so etwas verständlicher?

Was Du vorhast ist nicht ganz einfach zuverwirklichen, da es ein gutes Verständnis der vielfältigen Filtermöglichkeiten von Postfix vorraussetzt. Ich empfehle Dir das Postfix-Buch von Peer Heinlein SuSE-Press. Dieses Buch ist einfach zu lesen, sehr gut strukturiert und es bietet ein großes Potential an Wissen. Es wird alles rund um Mailserver behandelt. IMAP, Auth, SSL/TLS, Firewall, LAN-WAN, Bastion Hosts, Filtertechniken-Spam, Viren usw. Gruß -- Andreas Meyer http://home.wtal.de/MeineHomepage

Michael Raab wrote:

Hallo Andreas,

at Fri, 19 Jul 2002 12:03:54 +0200 Andreas Meyer wrote:

...

Am Fri, 19 Jul 2002 10:58:55 +0200 schrieb Joachim Kieferle:

...

smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/access

^ ^ heissen.

Sorry, Du hast Recht, aber ich habe die smtpd_sender_restrictions eh nicht aktiviert, da ich alles in smtpd_recipient_restrictions erlege.

Das klappt ganz gut. Der erste ist schon in die Falle getappt. ;))

<------ Transcript of session follows.

Out: 220 eletter-deaf.macbyte.info ESMTP from MacByte-Computing In: HELO escom-vaio Out: 250 eletter-deaf.macbyte.info In: MAIL FROM:<0post@hotmail.com> Out: 250 Ok In: RCPT TO: Out: 550 <0post@hotmail.com>: Sender address rejected: We do not accept eMails from spammers !

Session aborted, reason: lost connection ------>

Hallo Michael, der access-File funktioniert bei mir auch zwischenzeitlich, ich habe aber das check_sender_access einfach weggelassen und verweise nur auf "hash:/....". Hat auch damit zu tun, dass wir über TLS/SSL bzw. Cyrus SASL authentifizieren. Da es bei mir im Wesentlichen um "geforwardete Mail" geht, greift dieser Mechanismus leider _nicht_, da als Absender stehts der Forwarder genannt wird und nicht der eigentliche "Spamer". Deshalb filtere ich jetzt mit header_checks = pcre:/etc/postfix/my_blacklist und trage in die Datei my_blacklist /absendera@spam1.com/ REJECT /absenderb@spam2.com/ REJECT ein. D.h. die Mail verschwindet irgendwo im Datennirvana, weder Absender noch Empfänger noch Postmaster bekommen etwas mit. Ist irgendwie ein beruhigendes Gefühl, als Postmaster nicht dauernd mit Spam-Meldungen belästigt zu werden ;-)). Ggf. ist es aber ganz sinnvoll die User von den gesperrten Adressen in der my_blacklist zu informieren, ggf.sollten doch nicht alle Absender gesperrt werden. Das mache ich halbautomatisch bei jeder Änderung der my_blacklist-Datei. Viele Grüsse und viele spams > /dev/null wünscht Joachim Was ich anfangs auch wir da wir über TLS/SSL authentifizieren, kommt's bei uns gar nie so weit ;-)).