DSPAM + Dovecot IMAP / Postfix + OpenSUSE 10.3
Hallo, ich setze schon seit einiger Zeit den Mailserver Dovecot ein und muss sagen, dass es wirklich einfach war diesen aufzusetzen. Ein Spamfilter sollte jedenfalls installiert werden, da mein Spamaufkommen ziemlich hoch ist und noch ungefiltert in meine Postfächer hineingestopft wird. Meine Wahl fiel auf DSPAM wg. der IMAP-Unterstützung, Spams in eigene Ordner (Quaratine, Spam, Ham) zu sortieren und einfach per Mailprogramm diesen anzulernen. Diese Vorgehensweise habe ich von einer Anleitung über Sendmail in Verbindung mit Cyrus-IMAP gelesen, aber denke nicht das man es auf Dovecot übertragen kann. (http://www.viegasdelima.com/dspam/sendmail+DSPAM+Cyrus.tar.gz) Kann mir jemand helfen, wie ich DSPAM in Dovecot und Postfix integrieren kann. Hilfreich wäre so eine Anleitung/Beschreibung, was ich leider hierzu nicht gefunden habe. Sebastian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sebastian Siebert schrieb:
Hallo,
ich setze schon seit einiger Zeit den Mailserver Dovecot
dachte, das wäre ein POP/IMAP-Server (der Posfächer bedient)....
ein und muss sagen, dass es wirklich einfach war diesen aufzusetzen. Ein Spamfilter sollte jedenfalls installiert werden, da mein Spamaufkommen ziemlich hoch ist und noch ungefiltert in meine Postfächer hineingestopft wird.
von wo nach wo ?
Meine Wahl fiel auf DSPAM wg. der IMAP-Unterstützung, Spams in eigene Ordner (Quaratine, Spam, Ham) zu sortieren und einfach per Mailprogramm diesen anzulernen. Diese Vorgehensweise habe ich von einer Anleitung über Sendmail in Verbindung mit Cyrus-IMAP gelesen, aber denke nicht das man es auf Dovecot übertragen kann. (http://www.viegasdelima.com/dspam/sendmail+DSPAM+Cyrus.tar.gz)
jein ... Sendmail ist Sendmail....
Kann mir jemand helfen, wie ich DSPAM in Dovecot und Postfix integrieren kann. Hilfreich wäre so eine Anleitung/Beschreibung, was ich leider hierzu nicht gefunden habe.
hmm... böse Falle... Frage: willst Du a) Spam nicht empfangen .... oder b) alles empfangen und danach aussortieren ? im Fall a brauchts vielleicht sogar den DSPAM gar nicht ... mit Greylisting kommen nur noch 5..10 Spams am Tag (vorher war es eine vierstellige Zahl)
Sebastian
Ich tu das mit Postfix/amavis( antivir+ clamav ; spamassassin) Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Fred Ockert schrieb:
Sebastian Siebert schrieb:
Hallo,
ich setze schon seit einiger Zeit den Mailserver Dovecot
dachte, das wäre ein POP/IMAP-Server (der Posfächer bedient).... Jepp, genau. Mehr oder weniger verteilt er die Standard mbox-Dateien auf sein eigenes System.
ein und muss sagen, dass es wirklich einfach war diesen aufzusetzen. Ein Spamfilter sollte jedenfalls installiert werden, da mein Spamaufkommen ziemlich hoch ist und noch ungefiltert in meine Postfächer hineingestopft wird.
von wo nach wo ? ähm, vom außen in die Postfächer meines Servers. Wenn das jetzt die Antwort deiner Frage war.
Meine Wahl fiel auf DSPAM wg. der IMAP-Unterstützung, Spams in eigene Ordner (Quaratine, Spam, Ham) zu sortieren und einfach per Mailprogramm diesen anzulernen. Diese Vorgehensweise habe ich von einer Anleitung über Sendmail in Verbindung mit Cyrus-IMAP gelesen, aber denke nicht das man es auf Dovecot übertragen kann. (http://www.viegasdelima.com/dspam/sendmail+DSPAM+Cyrus.tar.gz)
jein ... Sendmail ist Sendmail.... das dachte ich mir schon.
Kann mir jemand helfen, wie ich DSPAM in Dovecot und Postfix integrieren kann. Hilfreich wäre so eine Anleitung/Beschreibung, was ich leider hierzu nicht gefunden habe.
hmm... böse Falle... Frage: willst Du a) Spam nicht empfangen .... oder b) alles empfangen und danach aussortieren ?
Einfach ausgedrückt, wäre es von Vorteil die Mails, die man eindeutig als Spam erkennt abzuweisen. Nur müssen halt andere Mails, die *Ham* sind auch durchlassen.
im Fall a brauchts vielleicht sogar den DSPAM gar nicht ... mit Greylisting kommen nur noch 5..10 Spams am Tag (vorher war es eine vierstellige Zahl) Habe mich eben in Greylisting eingelesen. Also, heißt es auf deutsch, die Mails werden zuerst temporär abgewiesen und beim 2. Zustellversuch angenommen. Hört sich auch interessant an. Stellt es irgendein Nachteil dar?
Sebastian
Ich tu das mit Postfix/amavis( antivir+ clamav ; spamassassin) Hm, wie zuverlässig ist Spamassassin? Wenn die Mail von Spamassassin falschlicherweise als Spam erkannt wird, was passiert damit?
Fred
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sebastian Siebert wrote:
Hallo,
ich setze schon seit einiger Zeit den Mailserver Dovecot ein und muss sagen, dass es wirklich einfach war diesen aufzusetzen. Ein Spamfilter sollte jedenfalls installiert werden, da mein Spamaufkommen ziemlich hoch ist und noch ungefiltert in meine Postfächer hineingestopft wird.
Das Grundprinzip bei der Spambekämpfung ist immer, den Spam erst gar nicht anzunehmen. Dies setzt voraus, dass man den MX der eigenen Domain selbst verwaltet und so dafür sorgen kann, dass nur die Mails angenommen werden, welche tatsächlich erwünscht sind. Dazu zählt, dass der eigene Server imstande ist, direkt bei dem Einlieferversuch ungültige Empfängeradressen abzuweisen. Ein Catch-All Account verhindert dies genau. Heute etwa hatte ich eine kleine Backscatter-Welle, wo innerhalb von wenigen Stunden tausende von Mails an ungültige Adressen auf meinen Server strömten. Sie wurden alle direkt abgewiesen, ohne dass ein Spamfilter überhaupt ansprang. Danach kommen einige grundsätzliche Checks, die jeder halbwegs normale Mailserver erfüllen sollte. Damit sind schon bereits 80-90 Prozent des Spams abgewiesen. Danach kann man dann noch Policyserver einsetzen zum Greylisten oder HELO/IP Plausibilität. Danach kommen nur noch wenige Spams durch. Dies alles kann jedoch nur eingesetzt werden, wenn nicht der Provider schon in deinem Auftrag die Mails angenommen hat und dein Server die Mails nur von dem ISP wiederum pollt. Auch der gern konfigurierte Backup-MX des Providers unterläuft die eigenen Checks und sollte unbedingt abgestellt werden, wenn der eigene Server gut läuft. Erst danach kommt dann der eigentliche Content_filter ins Spiel, der den Inhalt der Mail analysiert. Selbst ohne besondere Fütterung der Bayesdatenbank beginnt Spamassassin nach ein paar hundert Mails, die Bayesdatenbank mit einzubeziehen. Zusätzliche Muster wie etwa vom Rules Emporium sollte man vorsichtig testen. Der Ärger über falsch als Spam erkannte Mails ist erheblich höher als der über nicht erkannte Spams. Ab und zu kann man bei einer besonders heftigen und neuen Welle dann mal ein eigenes Muster in SA einbauen, aber selbst das ist meistens unnötig. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sandy Drobic schrieb:
Sebastian Siebert wrote:
Hallo,
ich setze schon seit einiger Zeit den Mailserver Dovecot ein und muss sagen, dass es wirklich einfach war diesen aufzusetzen. Ein Spamfilter sollte jedenfalls installiert werden, da mein Spamaufkommen ziemlich hoch ist und noch ungefiltert in meine Postfächer hineingestopft wird.
Das Grundprinzip bei der Spambekämpfung ist immer, den Spam erst gar nicht anzunehmen. Dies setzt voraus, dass man den MX der eigenen Domain selbst verwaltet und so dafür sorgen kann, dass nur die Mails angenommen werden, welche tatsächlich erwünscht sind.
Dazu zählt, dass der eigene Server imstande ist, direkt bei dem Einlieferversuch ungültige Empfängeradressen abzuweisen. Ein Catch-All Account verhindert dies genau. Heute etwa hatte ich eine kleine Backscatter-Welle, wo innerhalb von wenigen Stunden tausende von Mails an ungültige Adressen auf meinen Server strömten. Sie wurden alle direkt abgewiesen, ohne dass ein Spamfilter überhaupt ansprang.
Hierzu kann ich sagen, dass ich keinerlei Catch-All verwende, genau aus deinem geschilderten Prinzip. Um die Möglichkeiten des Spammers stark einzuschränken. Ich verwende für Postfix die Standardkonfiguration von OpenSUSE 10.3. Obwohl ich selber an meine Sicherheit gedacht habe, wie die Möglichkeit eines Open Relay zu unterbinden.
Danach kommen einige grundsätzliche Checks, die jeder halbwegs normale Mailserver erfüllen sollte.
Damit sind schon bereits 80-90 Prozent des Spams abgewiesen. Danach kann man dann noch Policyserver einsetzen zum Greylisten oder HELO/IP Plausibilität. Danach kommen nur noch wenige Spams durch.
Dies alles kann jedoch nur eingesetzt werden, wenn nicht der Provider schon in deinem Auftrag die Mails angenommen hat und dein Server die Mails nur von dem ISP wiederum pollt.
Nein, die Mails richtet sich direkt an meinen Server. Dort wird nichts gepollt bzw. umgeleitet.
Auch der gern konfigurierte Backup-MX des Providers unterläuft die eigenen Checks und sollte unbedingt abgestellt werden, wenn der eigene Server gut läuft.
Gut zu wissen, dann sollte ich die Backup-MX-Einträge von den jeweiligen Domains löschen. Da mein Server die ganze Zeit lief wie am Schnürchen und Postfix & Co. nicht abgestürzt sind, halte ich es für angebracht.
Erst danach kommt dann der eigentliche Content_filter ins Spiel, der den Inhalt der Mail analysiert. Selbst ohne besondere Fütterung der Bayesdatenbank beginnt Spamassassin nach ein paar hundert Mails, die Bayesdatenbank mit einzubeziehen. Zusätzliche Muster wie etwa vom Rules Emporium sollte man vorsichtig testen. Der Ärger über falsch als Spam erkannte Mails ist erheblich höher als der über nicht erkannte Spams.
Genau, beim Spamassassin bin ich total unsicher. Weil ich nicht weiß, ob die Mails die fälschlicherweise von ihm als Spam eingestuft wurden, irgendwo abgelegt werden und wie man da wieder dran kommt.
Ab und zu kann man bei einer besonders heftigen und neuen Welle dann mal ein eigenes Muster in SA einbauen, aber selbst das ist meistens unnötig.
Hm, wenn man mir jetzt meine Unsicherheit gegenüber Spamassassin abbauen könnte, dann würde ich es mir ja doch anders überlegen. Gruß Sebastian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sebastian Siebert wrote:
anzunehmen. Dies setzt voraus, dass man den MX der eigenen Domain selbst verwaltet und so dafür sorgen kann, dass nur die Mails angenommen werden, welche tatsächlich erwünscht sind.
Dazu zählt, dass der eigene Server imstande ist, direkt bei dem Einlieferversuch ungültige Empfängeradressen abzuweisen. Ein Catch-All Account verhindert dies genau. Heute etwa hatte ich eine kleine Backscatter-Welle, wo innerhalb von wenigen Stunden tausende von Mails an ungültige Adressen auf meinen Server strömten. Sie wurden alle direkt abgewiesen, ohne dass ein Spamfilter überhaupt ansprang.
Hierzu kann ich sagen, dass ich keinerlei Catch-All verwende, genau aus deinem geschilderten Prinzip. Um die Möglichkeiten des Spammers stark einzuschränken. Ich verwende für Postfix die Standardkonfiguration von OpenSUSE 10.3. Obwohl ich selber an meine Sicherheit gedacht habe, wie die Möglichkeit eines Open Relay zu unterbinden.
Sehr schön, dann können wir ja anfangen, den Server etwas dichter zu ziehen. Postfix ist in der Standardkonfiguration kein Open Relay. Wenn du einen Router mit NAT verwendest und Port 25 forwardest, sollte das alles kein Thema sein.
Dies alles kann jedoch nur eingesetzt werden, wenn nicht der Provider schon in deinem Auftrag die Mails angenommen hat und dein Server die Mails nur von dem ISP wiederum pollt.
Nein, die Mails richtet sich direkt an meinen Server. Dort wird nichts gepollt bzw. umgeleitet.
Gut.
Auch der gern konfigurierte Backup-MX des Providers unterläuft die eigenen Checks und sollte unbedingt abgestellt werden, wenn der eigene Server gut läuft.
Gut zu wissen, dann sollte ich die Backup-MX-Einträge von den jeweiligen Domains löschen. Da mein Server die ganze Zeit lief wie am Schnürchen
Du tust damit dir und auch deinem Provider einen Gefallen. Problem ist, dass der Provider auf seinem Backup MX keine Liste der gültigen Adressen hat und auch seine Checks vermutlich sehr großzügig ausgelegt sind. Schließlich wollen die Kunden ja den Backup MX, um ja keine Mail zu verlieren. Das Problem ist nur, das in den Mengen an Spam die wenigen Perlen häufiger untergehen und mit gelöscht werden, als man denkt. :-(( DIESE Gefahr sehen die wenigsten, die einen Backup MX beantragen. Im Augenblick ist die "Best Practice", dass man nur dann einen Backup MX verwendet, wenn dieser die gleichen Checks verwendet wie der Primary MX. Der Backup MX kann zwar so konfiguriert werden, dass er nachfragt, ob der Primary die Adresse kennt. Aber wozu soll das gut sein, wenn der Primary ohnehin online sein muss dafür?!? Nebeneffekt für den Provider ist, dass er nicht mehr die ganzen Bounces von Spam und Viren an die gefälschten Absender zurückschickt und womöglich selbst auf einer Blacklist landet. Eigentlich sollte der Provider ein Abkommen treffen, dass Mails, die der Backup MX annimmt, auch von dem Kunden abgenommen werden. Ob dieser die Mails löscht, ist dann sein Problem. Leider lassen viele nachlässige Provider zu, dass deren Backup MX die ganzen Bounces in die Gegend schiesst.
und Postfix & Co. nicht abgestürzt sind, halte ich es für angebracht.
Erst danach kommt dann der eigentliche Content_filter ins Spiel, der den Inhalt der Mail analysiert. Selbst ohne besondere Fütterung der Bayesdatenbank beginnt Spamassassin nach ein paar hundert Mails, die Bayesdatenbank mit einzubeziehen. Zusätzliche Muster wie etwa vom Rules Emporium sollte man vorsichtig testen. Der Ärger über falsch als Spam erkannte Mails ist erheblich höher als der über nicht erkannte Spams.
Genau, beim Spamassassin bin ich total unsicher. Weil ich nicht weiß, ob die Mails die fälschlicherweise von ihm als Spam eingestuft wurden, irgendwo abgelegt werden und wie man da wieder dran kommt.
Ab und zu kann man bei einer besonders heftigen und neuen Welle dann mal ein eigenes Muster in SA einbauen, aber selbst das ist meistens unnötig.
Hm, wenn man mir jetzt meine Unsicherheit gegenüber Spamassassin abbauen könnte, dann würde ich es mir ja doch anders überlegen.
Die einfachste Methode ist es, Spamassassin innerhalb von Amavisd-new zu verwenden. Dazu wird Amavisd-new als sogenannter content_filter verwendet. Dieser bekommt die Mails, nachdem Postfix sie vollständig angenommen hat. Da die Mail jetzt schon von deinem Server angenommen wurde und die Verantwortung damit auf dich übergegangen ist, kannst du die Mails eigentlich nur noch zustellen oder löschen. In Deutschland ist es rechtlich (und auch verfahrenstechnisch) in den meisten Fällen nur zulässig, die Mails zuzustellen (und im Fall von Spam) zu markieren. Der User kann sie dann anhand der Markierung sortieren. Wenn eine Mail als Virus identifiziert wird, kann man sie auch löschen bzw in Quarantäne schieben. Deshalb sollte man darauf achten, dass bei Amavisd-new die entsprechenden Einstellungen korrekt gesetzt sind: $final_spam_destiny = D_PASS; $final_virus_destiny = D_DISCARD; $final_banned_destiny = D_DISCARD; $final_bad_header_destiny = D_PASS; Unabhängig davon kann eine Quarantäne eingerichtet werden. In dieses Verzeichnis oder auch Mailbox werden dann die Viren/Spams in Quarantäne gesteckt. Ich mache es so, das Viren/banned in Quarantäne kommen, ich aber eine Mail bekomme über den Vorfall, und die Mail selbst gelöscht wird. Die Benachrichtigung kann man auf seine eigenen Gegebenheiten anpassen. Aber zurück zu Postfix. Hier eine Konfiguration, die schon einiges an Spam abweist, aber keine normalen Mailserver abweisen sollte: smtpd_recipient_restrictions = # alle Emailsadressen müssen aus localpart + "@" + domain bestehen reject_non_fqdn_sender reject_non_fqdn_recipient # IPs in mynetworks dürfen relayen permit_mynetworks # Authentifizierte Benutzer ebenfalls permit_sasl_authenticated # alle anderen dürfen nur an die eigenen Domains einliefern. reject_unauth_destination # und auch nur an gültige Adressen reject_unlisted_recipient # da jetzt die Mails zustellbar sind (alle an gültige Adressen) # kommt die Whitelist für wichtige Server # check_client_access hash:/etc/postfix/client_whitelist # weise Mails ab, die eine ungültige absenderdomain haben # (können nicht beantwortet werden) reject_unknown_sender_domain # nimm Mails an postmaster und abuse jetzt an: # check_recipient_access hash:/etc/postfix/recipient_role_account # weise Mails von extern ab, die als mx localhost etc. eintragen: # check_sender_mx_access pcre:/etc/postfix/client_mx_forbidden # weise mails ab, die die eigen IP/Hostnamen als HELO senden: # check_helo_access pcre:/etc/postfix/helo_forbidden # weise Mails ab, die ungültige Hostnamen als HELO senden: reject_invalid_helo_hostname # weise Mails ab, die keine komplette Domain/Hostnamen als HELO # senden: reject_non_fqdn_helo_hostname # weise Mails ab, die auf der spamhaus.org Blacklist stehen reject_rbl_client zen.spamhaus.org Bereits mit dieser Konfig solltest du einen Großteil des Spams loswerden, ohne normalen Mailservern auf die Füße zu treten. Ich habe die Konfigbefehle auskommentiert, die noch weitere Arbeit benötigen (wie das anlegen von Dateien mit Angaben. Die auskommentierten Befehle können bei Bedarf konfigiert werden (und sollten es auch!). In die client_whitelist kommen die Server von den wichtigen Kunden/Partnern, die auf keinen Fall abgewiesen werden sollen. Nähere dich deiner optimalen Konfig an. Überprüfe auch das Log anhand von Logberichten wie PFLogsumm, die einen schnellen Überblick über die abgewiesenen Mails geben. Die Checks in Postfix können auch anhand von warn_if_reject vor dem Check nur Warnen und nicht ablehnen. Dann kann man vorher prüfen, ob auch wirklich nicht die wichtigen Server abgewiesen werden. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Sandy, deine Tipps hierzu waren echt gold wert. ;-) Habe nun Amavisd-new (Spamassassin) und Clamav installiert. Ich war schon recht erstaunt, wie das Spamaufkommen von 150 Mails pro Tag nun auf 10 Mails pro Tag geschrumpft ist. Wenn ich die Beschreibung von Amavisd-new richtig verstanden habe, müsste er doch Spamassassin als Modul mitlaufen haben, oder? Sandy Drobic schrieb:
Sehr schön, dann können wir ja anfangen, den Server etwas dichter zu ziehen. Postfix ist in der Standardkonfiguration kein Open Relay. Wenn du einen Router mit NAT verwendest und Port 25 forwardest, sollte das alles kein Thema sein.
Jupp, so ist es.
Gut zu wissen, dann sollte ich die Backup-MX-Einträge von den jeweiligen Domains löschen. Da mein Server die ganze Zeit lief wie am Schnürchen
Du tust damit dir und auch deinem Provider einen Gefallen. Problem ist, dass der Provider auf seinem Backup MX keine Liste der gültigen Adressen hat und auch seine Checks vermutlich sehr großzügig ausgelegt sind. Schließlich wollen die Kunden ja den Backup MX, um ja keine Mail zu verlieren. Das Problem ist nur, das in den Mengen an Spam die wenigen Perlen häufiger untergehen und mit gelöscht werden, als man denkt. :-((
Ja, das ist etwas, was ich leider nicht bedacht habe.
DIESE Gefahr sehen die wenigsten, die einen Backup MX beantragen. Im Augenblick ist die "Best Practice", dass man nur dann einen Backup MX verwendet, wenn dieser die gleichen Checks verwendet wie der Primary MX.
Genau, dass ist in den meisten Fällen leider nicht der Fall. Woher soll der Provider dies wissen?
Nebeneffekt für den Provider ist, dass er nicht mehr die ganzen Bounces von Spam und Viren an die gefälschten Absender zurückschickt und womöglich selbst auf einer Blacklist landet. Eigentlich sollte der Provider ein Abkommen treffen, dass Mails, die der Backup MX annimmt, auch von dem Kunden abgenommen werden. Ob dieser die Mails löscht, ist dann sein Problem. Leider lassen viele nachlässige Provider zu, dass deren Backup MX die ganzen Bounces in die Gegend schiesst.
Hm, das könnte echt unglücklich enden.
Die einfachste Methode ist es, Spamassassin innerhalb von Amavisd-new zu verwenden. Dazu wird Amavisd-new als sogenannter content_filter verwendet. Dieser bekommt die Mails, nachdem Postfix sie vollständig angenommen hat.
Da die Mail jetzt schon von deinem Server angenommen wurde und die Verantwortung damit auf dich übergegangen ist, kannst du die Mails eigentlich nur noch zustellen oder löschen. In Deutschland ist es rechtlich (und auch verfahrenstechnisch) in den meisten Fällen nur zulässig, die Mails zuzustellen (und im Fall von Spam) zu markieren. Der User kann sie dann anhand der Markierung sortieren.
Wenn eine Mail als Virus identifiziert wird, kann man sie auch löschen bzw in Quarantäne schieben.
Deshalb sollte man darauf achten, dass bei Amavisd-new die entsprechenden Einstellungen korrekt gesetzt sind:
$final_spam_destiny = D_PASS; $final_virus_destiny = D_DISCARD; $final_banned_destiny = D_DISCARD; $final_bad_header_destiny = D_PASS;
Diese Einstellung habe ich mal übernommen.
Unabhängig davon kann eine Quarantäne eingerichtet werden. In dieses Verzeichnis oder auch Mailbox werden dann die Viren/Spams in Quarantäne gesteckt.
Ich mache es so, das Viren/banned in Quarantäne kommen, ich aber eine Mail bekomme über den Vorfall, und die Mail selbst gelöscht wird.
Die Benachrichtigung kann man auf seine eigenen Gegebenheiten anpassen.
Wenn ich in der Konfiguration richtig gesehen habe, wird man standardmässig über virusalert@irgendeinedomain.de benachrichtigt, richtig?
Aber zurück zu Postfix.
Hier eine Konfiguration, die schon einiges an Spam abweist, aber keine normalen Mailserver abweisen sollte:
smtpd_recipient_restrictions =
# alle Emailsadressen müssen aus localpart + "@" + domain bestehen reject_non_fqdn_sender reject_non_fqdn_recipient
# IPs in mynetworks dürfen relayen permit_mynetworks
# Authentifizierte Benutzer ebenfalls permit_sasl_authenticated
# alle anderen dürfen nur an die eigenen Domains einliefern. reject_unauth_destination
# und auch nur an gültige Adressen reject_unlisted_recipient
Folgende Einstellung verwende ich zur Zeit bei Postfix: smtpd_recipient_restrictions = reject_unknown_recipient_domain, permit_sasl_authenticated, reject_unauth_destination Was ist eigentlich mit dem Parameter permit_mynetworks? Bisher funktioniert es auch ohne dieses Parameter einwandfrei.
# da jetzt die Mails zustellbar sind (alle an gültige Adressen) # kommt die Whitelist für wichtige Server # check_client_access hash:/etc/postfix/client_whitelist
# weise Mails ab, die eine ungültige absenderdomain haben # (können nicht beantwortet werden) reject_unknown_sender_domain
# nimm Mails an postmaster und abuse jetzt an: # check_recipient_access hash:/etc/postfix/recipient_role_account
# weise Mails von extern ab, die als mx localhost etc. eintragen: # check_sender_mx_access pcre:/etc/postfix/client_mx_forbidden
# weise mails ab, die die eigen IP/Hostnamen als HELO senden: # check_helo_access pcre:/etc/postfix/helo_forbidden
# weise Mails ab, die ungültige Hostnamen als HELO senden: reject_invalid_helo_hostname
# weise Mails ab, die keine komplette Domain/Hostnamen als HELO # senden: reject_non_fqdn_helo_hostname
# weise Mails ab, die auf der spamhaus.org Blacklist stehen reject_rbl_client zen.spamhaus.org
Bereits mit dieser Konfig solltest du einen Großteil des Spams loswerden, ohne normalen Mailservern auf die Füße zu treten. Ich habe die Konfigbefehle auskommentiert, die noch weitere Arbeit benötigen (wie das anlegen von Dateien mit Angaben.
Die auskommentierten Befehle können bei Bedarf konfigiert werden (und sollten es auch!). In die client_whitelist kommen die Server von den wichtigen Kunden/Partnern, die auf keinen Fall abgewiesen werden sollen.
Nähere dich deiner optimalen Konfig an. Überprüfe auch das Log anhand von Logberichten wie PFLogsumm, die einen schnellen Überblick über die abgewiesenen Mails geben.
Die Checks in Postfix können auch anhand von warn_if_reject vor dem Check nur Warnen und nicht ablehnen. Dann kann man vorher prüfen, ob auch wirklich nicht die wichtigen Server abgewiesen werden.
Nun, eine Whitelist im Mailverkehr habe ich grundsätzlich was dagegen. Ausser wenn es eine geschlossene Gruppe ist. In meinem Fall, können Sie ja von überall herkommen. Viele Grüße Sebastian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sebastian Siebert wrote:
Hallo Sandy,
deine Tipps hierzu waren echt gold wert. ;-) Habe nun Amavisd-new (Spamassassin) und Clamav installiert. Ich war schon recht erstaunt, wie das Spamaufkommen von 150 Mails pro Tag nun auf 10 Mails pro Tag geschrumpft ist.
Amavisd-new und Clamav reduzieren eigentlich nicht die Zahl der spams/Viren, das ist Aufgabe von Postfix, diesen Müll soweit wie möglich vorher zu reduzieren.
Wenn ich die Beschreibung von Amavisd-new richtig verstanden habe, müsste er doch Spamassassin als Modul mitlaufen haben, oder?
Die Funktionen von SA werden von Amavisd-new direkt aufgerufen, ja. Nachteil ist, dass nicht alle Konfigurationsoptionen von SA innerhalb von Amavisd-new zur Verfügung stehen.
DIESE Gefahr sehen die wenigsten, die einen Backup MX beantragen. Im Augenblick ist die "Best Practice", dass man nur dann einen Backup MX verwendet, wenn dieser die gleichen Checks verwendet wie der Primary MX.
Genau, dass ist in den meisten Fällen leider nicht der Fall. Woher soll der Provider dies wissen?
Entwender, indem der Kunde über ein Webinterface eine Liste hinterlegen kann, oder indem der Provider über reject_unverified_recipient erst nachfragt, ob die Adresse vom Kundenserver akzeptiert wird. Postini z.B. macht dies so, mit dem Effekt, dass Mails temporär abgewiesen werden, wenn der Kundenserver offline ist. Dann kann Postini nämlich nicht nachfragen, ob die Adresse bekannt ist.
Deshalb sollte man darauf achten, dass bei Amavisd-new die entsprechenden Einstellungen korrekt gesetzt sind:
$final_spam_destiny = D_PASS; $final_virus_destiny = D_DISCARD; $final_banned_destiny = D_DISCARD; $final_bad_header_destiny = D_PASS;
Diese Einstellung habe ich mal übernommen.
Unabhängig davon kann eine Quarantäne eingerichtet werden. In dieses Verzeichnis oder auch Mailbox werden dann die Viren/Spams in Quarantäne gesteckt.
Genau gesagt hätte es heisen müssen "...MUSS eine Quarantäne eingerichtet werden", wenn man "final_*_destiny = D_DISCARD" setzt. Schließlich löscht man hier ungesehen Mails, und in Deutschland kann dies heftig Ärger geben. Auch sollte man die Policy bekannt machen und eventuell dem Empfänger noch eine Mitteilung schicken.
Ich mache es so, das Viren/banned in Quarantäne kommen, ich aber eine Mail bekomme über den Vorfall, und die Mail selbst gelöscht wird.
Die Benachrichtigung kann man auf seine eigenen Gegebenheiten anpassen.
Wenn ich in der Konfiguration richtig gesehen habe, wird man standardmässig über virusalert@irgendeinedomain.de benachrichtigt, richtig?
Ja, in meinem Fall wird sie dann auf "postmaster@..." umgebogen.
Folgende Einstellung verwende ich zur Zeit bei Postfix: smtpd_recipient_restrictions = reject_unknown_recipient_domain, permit_sasl_authenticated, reject_unauth_destination
Wie werden denn damit Spams abgewiesen?!? reject_unknown_recipient_domain würde ich nicht verwenden. Im Falle eines DNS-Fehlers würden sogar deine eigenen Domains abgewiesen!
Was ist eigentlich mit dem Parameter permit_mynetworks? Bisher funktioniert es auch ohne dieses Parameter einwandfrei.
permit_mynetworks prüft, ob Client-IP/Hostname in $mynetworks enthalten ist. Der Parameter mynetworks enthält eine Liste von IPs bzw. Netzen. Im allgemeinen steht dann permit_mynetworks vor reject_unauth_destination und erlaubt Clients mit diesen IPs das Relayen von Mails. Wenn alle Clients im Netzwerk sich authentifizieren, sollte in mynetworks nur 127.0.0.1 enthalten sein. Mit etwas Pech werden sonst Mails, die von Amavisd-new zurück nach Postfix (an 127.0.0.1:10025) geschickt werden werden, sonst abgewiesen.
Nun, eine Whitelist im Mailverkehr habe ich grundsätzlich was dagegen. Ausser wenn es eine geschlossene Gruppe ist. In meinem Fall, können Sie ja von überall herkommen.
Die Whitelist ist eher eine Liste von IPs, deren Server deine Checks nicht überstehen, von denen du aber trotzdem Mails empfangen möchtest. Ich habe zum Beispiel einige chinesische Server, die entweder keinen Admin haben oder deren Admins es einfach nicht schaffen, einen Reverse DNS Eintrag einzurichten. Auch einige spanische Server kommen etwas quer daher. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Fred Ockert
-
Sandy Drobic
-
Sebastian Siebert