Silvio Siefke wrote:
Sandy Drobic schrieb:
Das ist schon ein guter Anfang. Im Allgemeinen sollte die Abweisungsquote etwa bei 90 Prozent gesteigert werden können, ohne dass man zuviele falsch abgewiesene Mails hat.
smtpd_recipient_restrictions = permit_sasl_authenticated permit_mynetworks reject_invalid_hostname reject_non_fqdn_sender reject_non_fqdn_recipient reject_unauth_destination reject_unknown_sender_domain
Bis hierhin brauchbar. Ein sehr wirksamer Check ist auch reject_non_fqdn_helo_hostname (oder reject_non_fqdn_hostname für Postfix bis Version 2.2), dies lehnt Clients ab, welche keinen Domain/Hostnamen verwenden. Dies trifft auf einen guten Teil der Spamzombies zu. Die False politive Rate ist sehr gering. Ein sehr sicherer Check is außerdem, alle Clients abzuweisen, die sich mit deiner IP oder deiner Domain/Hostnamen als HELO melden. check_helo_access hash:/etc/postfix/helo_block_own_name /etc/postfix/helo_block_own_name: 83.151.21.74 554 Own HELO Name rejected [83.151.21.74] 554 Own HELO Name rejected fax.silviosiefke.de 554 Own HELO Name rejected m58s08.vlinux.de 554 Own HELO Name rejected Das machen Spammer (und nur Spammer!) nämlich gerne. (^-^) Prüfe auch mit check_sender_mx_access, ob die Absenderdomain nicht-öffentliche IPs für die MX angegeben hat und somit nicht erreichbar ist. check_sender_mx_access hash:/etc/postfix/sender_mx_blocked /etc/postfix/sender_mx_blocked: 127.0.0.0/8 554 MX IP is not a valid IP for official MX 10.0.0.0/8 554 MX IP is not a valid IP for official MX usw.
reject_unknown_recipient_domain
Aber: hinter reject_unauth_destination kommen nur noch deine eigenen Domains. Du kannst hier also nur noch deinen eigenen Server blockieren, wenn dein DNS mal spinnen sollte. Wirf es raus!
reject_rbl_client dnsbl.ahbl.org
Scheint recht aggressiv zu sein. Wie sieht es mit false positives aus?
reject_rbl_client cbl.abuseat.org reject_rbl_client sbl-xbl.spamhaus.org
Fasse diese beiden zusammen und verwende zen.spamhaus.org.
reject_rbl_client dul.dnsbl.sorbs.net reject_rbl_client bl.spamcop.net
bl.spamcop.net verwende ich nur selektiv (auf unknown clients und hosts mit viele Zahlen im Namen).
check_sender_access hash:/etc/postfix/spam/sender_access
Vor policyd sollte ein "reject_unlisted_recipient" stehen, denn es macht keinen Sinn, die Greylisting-Datenbank mit Einträgen zu füllen, die ohnehin wegen ungültiger Adressen abgewiesen werden.
check_policy_service inet:127.0.0.1:10031
reject_unknown_client warn_if_reject reject_unknown_hostname
Beide, sowohl reject_unknown_client_hostname als auch reject_unknown_helo_hostname würden bei mir false positive erzeugen, zumindest mehr als ich verantworten kann. Hast du dies mal überprüft?
permit
Kann weg, ist ohnehin der Default.
Hm, VServer ist wirklich nicht sehr leistungsstark, aber es sollte ausreichen.
Ja ich habe schon ein Stratoserver gemietet, aber noch keine Lust für den Umzug gehabt.
Ich etwa kann trotz meiner Mailinglisten-Adressen spamfrei leben, weil mein Server Mails an die Mailinglisten-Adressen nur von den Listenservern entgegennimmt. Deshalb steht auch unter jeder Mail die Möglichkeit, wie man mich trotzdem per PM erreichen kann. Das wäre mal ein Tipp, den dort kommt der Scheiß immer rein. Alle Listen Adressen haben am Tag ca. 20 - 50 Emails mit den üblichen Shit. Ich
Wie kann man den ein Mailserver anweisen das er nur von den Listen die Emails annimmt?
Durch eine Restriction class, ähnlich wie ich es mit dem Absender in bei der Faxdomain gemacht hatte. main.cf: smtpd_restriction_classes = suse_only suse_only = check_client_access hash:/etc/postfix/check_recipient_class_suse_only, reject smtpd_recipient_restrictions = permit_sasl_authenticated permit_mynetworks reject_unauth_destination reject_unlisted_recipient check_recipient_access hash:/etc/postfix/recients_listserver_only /etc/postfix/recients_listserver_only suse-linux@japantest.homelinux.com suse_only /etc/postfix/check_recipient_class_suse_only: 195.135.221.135 OK lists4.suse.de OK .suse.de OK suse.de OK Damit nimmt der Server nur noch Mails an suse-linux@japantest.homelinux.com an, wenn die Mail von lists4.suse.de kommt. Ich habe zur Abfederung noch suse.de mit den Unterdomains hineingenommen. Zusätzlich habe ich die IP mit aufgenommen, da sonst im Falle von DNS-Fehlern die Mails abgewiesen werden. Vor dem "OK" der Restriction class muss natürlich sichergestellt werden, dass die Mail zustellbar ist, also einen gültigen Empfänger hat. Dies geschieht durch reject_unlisted_recipient.
Ohne Beispiele kann ich dazu nichts sagen.
Received: from m58s08.vlinux.de ([83.151.21.74]) by localhost (m58s08.vlinux.de [83.151.21.74]) (amavisd-maia, port 10024) with ESMTP id 02673-07 for
; Sat, 3 Nov 2007 09:14:23 +0000 (UTC) X-Greylist: Passed host: 77.122.229.193 Received: from maxim-8236ae277.voliacable.com (mistaking-instant.volia.net [77.122.229.193])
dig 193.229.122.77.zen.spamhaus.org +short 127.0.0.10 ist also in pbl enthalten.
Die CBL kannst du rauslassen, die ist Bestandteil der sbl-xbl. Diese wiederum ist enthalten in zen.spamhaus.org. zen.spamhaus.org = sbl-xbl.spamhaus.org + pbl.spamhaus.org In der PBL wiederum ist die dynablock.njabl.org aufgegangen.
Welche empfiehlst du?
Im Augenblick verwende ich nur zwei RBLs: zen.spamhaus.org lists.dsbl.org Wobei ich letztere wohl bald in Rente schicken werde, da sie nur sehr wenige Treffer bringt. An der Konfig sollte man sich behutsam dem Optimum nähern, sprechende Namen verwenden wegen der Transparenz und immer wieder auch die Checks der Kontrolle unterziehen: a) wie wirkungsvoll ist der Check b) wie viele false positives hat er verursacht Ein wirkungsvoller Check, der einige false Positives erzeugt, kann mit einer Whitelist abgefedert werden. Ein wenig wirkungsvoller Check, der einige false positives erzeugt, sollte abgeschaltet werden. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org