Was ist eurer Meinung nach besser: SA oder DSPAM???
Hallo Liste, Da in letzter Zeit sehr viel spam meinen Filter passiert ohne gekennzeichnet zu werden, sitzte ich mal wieder über den SA-Regeln. Dabei bin ich auf DSPAM gestossen (eine alternative zu SA). Und nun meine Frage: Was halltet Ihr von DSPAM, was für Erfahrungen habt Ihr mit DSPAM gemacht bzw. wer ist eurer Meinung nach besser...? Mit freundlichen Grüßen Andreas Gegner
age@ifak-system.com wrote:
Hallo Liste,
Da in letzter Zeit sehr viel spam meinen Filter passiert ohne gekennzeichnet zu werden, sitzte ich mal wieder über den SA-Regeln. Dabei bin ich auf DSPAM gestossen (eine alternative zu SA). Und nun meine Frage: Was halltet Ihr von DSPAM, was für Erfahrungen habt Ihr mit DSPAM gemacht bzw. wer ist eurer Meinung nach besser...?
Die beste Methode, mit Spam und Viren fertigzuwerden ist immer noch, den Krempel gar nicht erst anzunehmen. Prüfe mal deine Mailserver-Konfiguration, ob da nicht etwas zu machen ist. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Hallo,
ok, ich fang mal von vorne an: also ich betreibe eine Mail-Relay mit
postfix/SA/Amavisd-new und f-secure. Im internen Netz läuft dann der
"richtige" Mailserver für ca 25 Mitarbeiter. Das Ganze läuft so auch sehr
gut. Viren kommen sehr sehr sehr sehr sehr sehr selten durch (nur falls das
DB-Update nicht rechtzeitig zur Verfügung steht). Bloß spam kommt in
letzter Zeit sehr häufig durch.
Zum Thema Absicherung Postfix hab ich (subjektiv gesehen) eine ganze Menge
gemacht. Es ist nicht möglich mit meiner Domain von außen Mails an uns bzw.
an andere zu senden. Desweiteren wird eine Filterung nach existierenden
Mail-Adressen gemacht. Es kommen also keine Mails an ungültige
Mail-Adressen durch. pif,scr und bat-Dateien werden ebenfalls abgelehnt.
Bei headerchecks bin ich vorsichtig, da ich es mir falsepositivs die
abgelehnt werden nicht erlauben kann.
Und (sorry wenn ich das so sage) mal ganz davon abgesehen das meine Frage
war: was ist besser? bin ich natürlich für jeden Vorschlag offen.
Ausschnitt aus meiner main.cf
smtpd_recipient_restrictions = permit_mynetworks, check_sender_access
hash:/etc/postfix/disallow_mydomain, reject_non_fqdn_sender,
reject_non_fqdn_recipient, reject_invalid_hostname,
reject_unauth_destination, reject_rbl_client relays.ordb.org,
permit_auth_destination
Mit freundlichen Grüßen
Andreas Gegner
Sandy Drobic
age@ifak-system.com wrote:
Hallo Liste,
Da in letzter Zeit sehr viel spam meinen Filter passiert ohne gekennzeichnet zu werden, sitzte ich mal wieder über den SA-Regeln. Dabei bin ich auf DSPAM gestossen (eine alternative zu SA). Und nun meine Frage: Was halltet Ihr von DSPAM, was für Erfahrungen habt Ihr mit DSPAM gemacht bzw. wer ist eurer Meinung nach besser...?
Die beste Methode, mit Spam und Viren fertigzuwerden ist immer noch, den Krempel gar nicht erst anzunehmen. Prüfe mal deine Mailserver-Konfiguration, ob da nicht etwas zu machen ist.
Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
age@ifak-system.com wrote: Internal Score: Top-Posting: 1.2; No-Real-Name: 0.7; Returning-Sender: -0.8; Final_Score: 1.1, DESTINATION: D_PASS (barely) Hint, hint...
Hallo,
ok, ich fang mal von vorne an: also ich betreibe eine Mail-Relay mit postfix/SA/Amavisd-new und f-secure. Im internen Netz läuft dann der "richtige" Mailserver für ca 25 Mitarbeiter. Das Ganze läuft so auch sehr gut. Viren kommen sehr sehr sehr sehr sehr sehr selten durch (nur falls das DB-Update nicht rechtzeitig zur Verfügung steht). Bloß spam kommt in letzter Zeit sehr häufig durch. Zum Thema Absicherung Postfix hab ich (subjektiv gesehen) eine ganze Menge gemacht. Es ist nicht möglich mit meiner Domain von außen Mails an uns bzw. an andere zu senden. Desweiteren wird eine Filterung nach existierenden Mail-Adressen gemacht. Es kommen also keine Mails an ungültige Mail-Adressen durch. pif,scr und bat-Dateien werden ebenfalls abgelehnt.
Der wichtigste Teil der Kommunikation läuft bis Stufe 3 der
SMTP-Kommunikation, da dies nur sehr wenig Resourcen verbraucht.
1: Connect: IP-Addresse, Reverse-DNS
-> Blacklists (intern, extern)
-> Reverse-DNS vorhanden, übereinstimmend mit Forward-DNS?
2. HELO: Clientname (RFC 2821: FQND zwingend notwendig)
-> FQND HELO-Name?
-> gültiger HELO-Name?
-> HELO-Name stimmt mit DNS/reverse-DNS überein?
-> HELO ist keine IP-Adresse, nicht eigene Domain von extern?
3. SMTP Envelope: MAIL FROM + RCPT TO:
-> gültige Empfänger-Adressen?
-> Absender gültig
-> Host berechtigt, für Absender zu verschicken (SPF, MX etc.)?
Ich fange den größten Teil des Spams mit dem Prüfen des HELO. Schaue mal
in deine Logs, bei den abgewiesenen Mails steht auch das HELO im Log, bei
angenommenen ist es im Received-header der Mail. Ich bekomme jede Menge
Mails, die mit Zahlen als HELO arbeiten. Vielleicht ordnen die Spammer
danach die Auftraggeber zu... (Achselzuck). Jedenfalls ein 1000%ig
sicheres Erkennungszeichen von Spam:
Jan 23 05:17:51 spamkill postfix/smtpd[26205]: NOQUEUE: reject: RCPT from
S0106000cf1706030.ed.shawcable.net[70.74.72.194]: 504 <-1270566824>: Helo
command rejected: need fully-qualified hostname; from=
Bei headerchecks bin ich vorsichtig, da ich es mir falsepositivs die abgelehnt werden nicht erlauben kann.
Header-/Body-checks laufen in der letzten, der DATA-Stufe, da muss man bereits die komplette Mail entgegennehmen und einen Großteil durch die CPU-intensiven Checks laufen lassen. Davon habe ich nur einige spezifische für Sober-Checks und Spezialfälle eingesetzt.
Und (sorry wenn ich das so sage) mal ganz davon abgesehen das meine Frage war: was ist besser? bin ich natürlich für jeden Vorschlag offen.
Ausschnitt aus meiner main.cf
smtpd_recipient_restrictions = permit_mynetworks, check_sender_access hash:/etc/postfix/disallow_mydomain, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_invalid_hostname, reject_unauth_destination, reject_rbl_client relays.ordb.org, permit_auth_destination
smtpd_helo_restrictions = permit_mynetworks, reject_unauth_destination, hash:/etc/postfix/whitelist_helo reject_invalid_hostname (Postfix 2.3: reject_invalid_helo_hostname) Wenn du es erst testen willst, dann setze einfach warn_if_reject davor: smtpd_helo_restrictions = permit_mynetworks, reject_unauth_destination, check_client_access hash:/etc/postfix/whitelist_helo warn_if reject reject_invalid_hostname Ich hatte vor kurzen einen Geschäftspartner, der seinen Server nicht selber konfigurierte (da outgesourced) und deshalb die falsche Konfiguration nicht korrigieren konnte. Deshalb hier direkt die Position der eventuell notwendigen Whitelist. Bitte denke auch daran, die Whitelist anzulegen und postmap auszuführen. /etc/postfix/whitelist_helo: # Whitelisting für Server mit ungültiger HELO-Meldung # Entweder Hostname oder besser IP-Addresse # Nicht vergessen: "postmap /etc/postfix/whitelist_helo"! # Beispiel: mail.example.com PERMIT # Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Hallo,
das ist eine gute Idee, aber leider wird Sie bei mir nicht funktionieren
(denke ich). Sorry, aber ich hab vergessen zu sagen, das wir einen
Backup-MX beim Provider stehen haben und da kommt natürlich ein sauberes
HELO. Ergo schicken die Spammer (meistens) also einfach ihre Mail an den
Backup-MX und der leitet Sie natürlich sauber an mich weiter.
Mit freundlichen Grüßen
Andreas Gegner
Sandy Drobic
age@ifak-system.com wrote:
Internal Score: Top-Posting: 1.2; No-Real-Name: 0.7; Returning-Sender: -0.8; Final_Score: 1.1, DESTINATION: D_PASS (barely)
Hint, hint...
Hallo,
ok, ich fang mal von vorne an: also ich betreibe eine Mail-Relay mit postfix/SA/Amavisd-new und f-secure. Im internen Netz läuft dann der "richtige" Mailserver für ca 25 Mitarbeiter. Das Ganze läuft so auch sehr gut. Viren kommen sehr sehr sehr sehr sehr sehr selten durch (nur falls das DB-Update nicht rechtzeitig zur Verfügung steht). Bloß spam kommt in letzter Zeit sehr häufig durch. Zum Thema Absicherung Postfix hab ich (subjektiv gesehen) eine ganze Menge gemacht. Es ist nicht möglich mit meiner Domain von außen Mails an uns bzw. an andere zu senden. Desweiteren wird eine Filterung nach existierenden Mail-Adressen gemacht. Es kommen also keine Mails an ungültige Mail-Adressen durch. pif,scr und bat-Dateien werden ebenfalls abgelehnt.
Der wichtigste Teil der Kommunikation läuft bis Stufe 3 der SMTP-Kommunikation, da dies nur sehr wenig Resourcen verbraucht.
1: Connect: IP-Addresse, Reverse-DNS -> Blacklists (intern, extern) -> Reverse-DNS vorhanden, übereinstimmend mit Forward-DNS?
2. HELO: Clientname (RFC 2821: FQND zwingend notwendig) -> FQND HELO-Name? -> gültiger HELO-Name? -> HELO-Name stimmt mit DNS/reverse-DNS überein? -> HELO ist keine IP-Adresse, nicht eigene Domain von extern?
3. SMTP Envelope: MAIL FROM + RCPT TO: -> gültige Empfänger-Adressen? -> Absender gültig -> Host berechtigt, für Absender zu verschicken (SPF, MX etc.)?
Ich fange den größten Teil des Spams mit dem Prüfen des HELO. Schaue mal in deine Logs, bei den abgewiesenen Mails steht auch das HELO im Log, bei
angenommenen ist es im Received-header der Mail. Ich bekomme jede Menge Mails, die mit Zahlen als HELO arbeiten. Vielleicht ordnen die Spammer danach die Auftraggeber zu... (Achselzuck). Jedenfalls ein 1000%ig sicheres Erkennungszeichen von Spam:
Jan 23 05:17:51 spamkill postfix/smtpd[26205]: NOQUEUE: reject: RCPT from
S0106000cf1706030.ed.shawcable.net[70.74.72.194]: 504 <-1270566824>: Helo
command rejected: need fully-qualified hostname; from=
to=
proto=SMTP helo=<-1270566824> Dadurch kommt es nicht einmal mehr zum Überprüfen der Empfängeradresse, die Mail wird direkt mit Tritt in den Hintern abgewiesen.
Bei headerchecks bin ich vorsichtig, da ich es mir falsepositivs die abgelehnt werden nicht erlauben kann.
Header-/Body-checks laufen in der letzten, der DATA-Stufe, da muss man bereits die komplette Mail entgegennehmen und einen Großteil durch die CPU-intensiven Checks laufen lassen. Davon habe ich nur einige spezifische für Sober-Checks und Spezialfälle eingesetzt.
Und (sorry wenn ich das so sage) mal ganz davon abgesehen das meine Frage war: was ist besser? bin ich natürlich für jeden Vorschlag offen.
Ausschnitt aus meiner main.cf
smtpd_recipient_restrictions = permit_mynetworks, check_sender_access hash:/etc/postfix/disallow_mydomain, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_invalid_hostname, reject_unauth_destination, reject_rbl_client relays.ordb.org, permit_auth_destination
smtpd_helo_restrictions = permit_mynetworks, reject_unauth_destination, hash:/etc/postfix/whitelist_helo reject_invalid_hostname
(Postfix 2.3: reject_invalid_helo_hostname)
Wenn du es erst testen willst, dann setze einfach warn_if_reject davor:
smtpd_helo_restrictions = permit_mynetworks, reject_unauth_destination, check_client_access hash:/etc/postfix/whitelist_helo warn_if reject reject_invalid_hostname
Ich hatte vor kurzen einen Geschäftspartner, der seinen Server nicht selber konfigurierte (da outgesourced) und deshalb die falsche Konfiguration nicht korrigieren konnte. Deshalb hier direkt die Position der eventuell notwendigen Whitelist. Bitte denke auch daran, die Whitelist anzulegen und postmap auszuführen.
/etc/postfix/whitelist_helo: # Whitelisting für Server mit ungültiger HELO-Meldung # Entweder Hostname oder besser IP-Addresse # Nicht vergessen: "postmap /etc/postfix/whitelist_helo"! # Beispiel: mail.example.com PERMIT #
Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
age@ifak-system.com wrote:
Hallo,
das ist eine gute Idee, aber leider wird Sie bei mir nicht funktionieren (denke ich). Sorry, aber ich hab vergessen zu sagen, das wir einen Backup-MX beim Provider stehen haben und da kommt natürlich ein sauberes HELO. Ergo schicken die Spammer (meistens) also einfach ihre Mail an den Backup-MX und der leitet Sie natürlich sauber an mich weiter.
Hatten wir auch, und haben den Backup-MX abgeschaltet. Er hat mehr kaputt gemacht als geholfen, da wir die Konfiguration nicht beeinflussen konnten. Er hatte ja nicht einmal eine Liste der gültigen Adressen und wir konnten auch keine übermitteln. :-((
Mit freundlichen Grüßen
Andreas Gegner
Sandy Drobic
schrieb am 25.01.2006 13:32:51: age@ifak-system.com wrote:
Internal Score: Top-Posting: 1.2; No-Real-Name: 0.7; Returning-Sender: -0.8; Final_Score: 1.1, DESTINATION: D_PASS (barely)
Hint, hint...
Seufz, leichte Hinweise scheinen nicht zu wirken. KEINE WEITEREN HILFEN FÜR TOP-POSTER!!! Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Sandy Drobic
Hatten wir auch, und haben den Backup-MX abgeschaltet. Er hat mehr kaputt
gemacht als geholfen, da wir die Konfiguration nicht beeinflussen konnten.
Er hatte ja nicht einmal eine Liste der gültigen Adressen und wir konnten
auch keine übermitteln. :-((
Eine liste mit gültigen Adressen ist zum Glück beim Provider. Liegt ja auch in seinem Interesse (in Bezug auf den Netzwerkverkehr). Eine Anfrage wegen dem Helo habe ich zum Provider geschickt.
age@ifak-system.com wrote:
Internal Score: Top-Posting: 1.2; No-Real-Name: 0.7; Returning-Sender: -0.8; Final_Score: 1.1, DESTINATION: D_PASS (barely)
Hint, hint...
Seufz, leichte Hinweise scheinen nicht zu wirken.
KEINE WEITEREN HILFEN FÜR TOP-POSTER!!!
Den Wink mit dem Laternenpfeiler versteh ich jetzt nicht?! Für mich sieht das wie ein Logeintrag von amavis aus. Also denke ich mal das Mails an dich, sofern sie durch die Postfix-Rules durch sind, einfach weitergeleitet werden(AV mal außer Betracht gelassen). Aber was willst Du mir damit sagen?! Das ich SA auch gleich deinstallieren kann?
Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
--
Mit freundlichen Grüßen Andreas Gegner
age@ifak-system.com wrote:
Sandy Drobic
schrieb am 25.01.2006 16:13:10: Hatten wir auch, und haben den Backup-MX abgeschaltet. Er hat mehr kaputt gemacht als geholfen, da wir die Konfiguration nicht beeinflussen konnten.
Er hatte ja nicht einmal eine Liste der gültigen Adressen und wir konnten auch keine übermitteln. :-((
Eine liste mit gültigen Adressen ist zum Glück beim Provider. Liegt ja auch in seinem Interesse (in Bezug auf den Netzwerkverkehr). Eine Anfrage wegen dem Helo habe ich zum Provider geschickt.
Bei Postfix und amavis kann man Restriktionen über Datenbanken auch benutzer- bzw. domainspezifisch regeln. Ich wäre als Kunde jedenfalls begeistert, wenn ich bestimmte Restriktionen ein-/ausschalten könnte und eine Black-/Whitelist für die eigene Domäne festlegen könnte. Technisch ist das nicht so aufwendig, aber es muss tatsächlich erst einmal ein Frontend selbst erstellt werden, mit dem dies verwaltet werden kann. Ich würde aber ernsthaft darüber nachdenken, ob der Backup-MX wirklich Sinn macht. Die meisten Mailserver versuchen mehrere Tage lang, die Mail zuzustellen. Wenn eure Leitung nicht länger als 3-4 Tage tot ist, solltet ich auch ohne Backup-MX alle Mails bekommen und die Absender wissen wenigstens, dass die Mail noch nicht bei euch ist. Andernfalls kommen die ungeduldigen Anrufe "Ihr habt doch die Mail schon seit gestern, warum gibt es keine Antwort?". Frage doch mal wenigstens nach, wie lange denn die Mails bei eurem Backup-MX lagern, bevor sie auch als unzustellbar gebounced werden. Wenn das nicht länger als 5 Tage ist, gewinnt ihr eigentlich nichts. Bei Postfix ist das der Parameter maximal_queue_lifetime (default 5 Tage).
age@ifak-system.com wrote:
Internal Score: Top-Posting: 1.2; No-Real-Name: 0.7; Returning-Sender: -0.8; Final_Score: 1.1, DESTINATION: D_PASS (barely)
Hint, hint...
Seufz, leichte Hinweise scheinen nicht zu wirken.
KEINE WEITEREN HILFEN FÜR TOP-POSTER!!!
Den Wink mit dem Laternenpfeiler versteh ich jetzt nicht?! Für mich sieht das wie ein Logeintrag von amavis aus. Also denke ich mal das Mails an dich, sofern sie durch die Postfix-Rules durch sind, einfach weitergeleitet werden(AV mal außer Betracht gelassen). Aber was willst Du mir damit sagen?! Das ich SA auch gleich deinstallieren kann?
Es war keine Meldung von SA, auch wenn sie in der Art so aussieht. Aber die Beurteilungskriterien sind die, welche ich persönlich verwende. Top-Posting macht es für mich mühsehliger, die Mail zu beantworten, deshalb der Abschlag. Internal Score: Top-Posting: 1.2; Macht es mir schwerer zu antworten No-Real-Name: 0.7; Da unpersönlich, für mich weniger Anreiz zu helfen Returning-Sender: -0.8; Kenne ich bereits aus der Liste, also positiv Final_Score: 1.1, DESTINATION: D_PASS (barely) Stelle dir einfach vor, dass der, welcher die Antwort auf dein Problem kennt, vielleicht noch weniger Zeit hat als du und entsprechend die Schwelle, eine Mail zu ignorieren, entsprechend schnell erreicht ist. (^-^) Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Sandy Drobic
Bei Postfix und amavis kann man Restriktionen über Datenbanken auch benutzer- bzw. domainspezifisch regeln. Ich wäre als Kunde jedenfalls begeistert, wenn ich bestimmte Restriktionen ein-/ausschalten könnte und eine Black-/Whitelist für die eigene Domäne festlegen könnte.
Technisch ist das nicht so aufwendig, aber es muss tatsächlich erst
einmal
ein Frontend selbst erstellt werden, mit dem dies verwaltet werden kann.
Ich würde aber ernsthaft darüber nachdenken, ob der Backup-MX wirklich Sinn macht. Die meisten Mailserver versuchen mehrere Tage lang, die Mail zuzustellen. Wenn eure Leitung nicht länger als 3-4 Tage tot ist, solltet
ich auch ohne Backup-MX alle Mails bekommen und die Absender wissen wenigstens, dass die Mail noch nicht bei euch ist. Andernfalls kommen die
ungeduldigen Anrufe "Ihr habt doch die Mail schon seit gestern, warum gibt es keine Antwort?". Frage doch mal wenigstens nach, wie lange denn die Mails bei eurem Backup-MX lagern, bevor sie auch als unzustellbar gebounced werden. Wenn das nicht länger als 5 Tage ist, gewinnt ihr eigentlich nichts. Bei Postfix ist das der Parameter maximal_queue_lifetime (default 5 Tage).
Also zum Thema Helo kann mein Provider nix machen, da über den Backup-MX mehrere Kunden laufen. Aber die Idee mit dem Frontend findet er gut. Mal schaun ob sich da was bewegt. Wobei dann darüber "nur" gültige Empfänger-Adressen eingetragen werden können. Mal sehen, vielleicht schalte ich den Backup-MX ab.........
Es war keine Meldung von SA, auch wenn sie in der Art so aussieht. Aber die Beurteilungskriterien sind die, welche ich persönlich verwende. Top-Posting macht es für mich mühsehliger, die Mail zu beantworten, deshalb der Abschlag.
Internal Score: Top-Posting: 1.2; Macht es mir schwerer zu antworten
No-Real-Name: 0.7; Da unpersönlich, für mich weniger Anreiz zu helfen hm, die Names-Konvention für unsere Mail-Adressen hab ich nicht gemacht, aber dran halten muß ich mich. Wenn der SPAM-Filter anständig läuft kann ich mich ja mal daran setzen das über ein rewrite umzuschreiben.
Returning-Sender: -0.8; Kenne ich bereits aus der Liste, also positiv
Final_Score: 1.1, DESTINATION: D_PASS (barely)
Stelle dir einfach vor, dass der, welcher die Antwort auf dein Problem kennt, vielleicht noch weniger Zeit hat als du und entsprechend die Schwelle, eine Mail zu ignorieren, entsprechend schnell erreicht ist. (^-^)
also ein SPAM-Filter fürs Gehirn :-) Wink verstanden ;-) Danke übrigens für die guten Tips.
Sandy --
Mit freundlichen Grüßen Andreas Gegner
participants (2)
-
age@ifak-system.com
-
Sandy Drobic