Austausch, Spam Bekämpfung

[Domi]

Hallo Leute, nach längerer Zeit und ein wenig suchen durch das Netz wollte ich mal von euch wissen wie viel SPAM ihr noch so pro Tag in eure Postfächer bekommt und welche Methoden ihr zur Bekämpfung eingeführt habt.

Bei mir handelt es sich um einen Server den ich mit ISPconfig betreibe, weil drei Bekannte von mir dort auch ihre Homepages liegen haben und so eigene FTP User, MySQL Datenbanken etc. hinterlegen und bearbeiten können.

Bei mir ist Postfix im Einsatz und der behandelt die eingehenden E-Mails wie folgt,

smtpd_recipient_restrictions =
 permit_mynetworks,
 permit_sasl_authenticated,
 reject_invalid_hostname,
 reject_non_fqdn_hostname,
 reject_non_fqdn_sender,
 reject_non_fqdn_recipient,
 reject_unauth_destination,
 reject_unauth_pipelining,
 reject_unknown_sender_domain,
 reject_unknown_reverse_client_hostname,
 reject_unknown_helo_hostname,
 check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf,
 check_policy_service inet:127.0.0.1:10023

content_filter = amavis:[127.0.0.1]:10024

Auf dem Post 10023 habe ich 'postgrey' laufen der schon mal einiges weg filtert, sonst würde ich wohl bombardiert werden. Mit 'sa-learn' lasse ich das Junk Verzeichnis (SPAM) sowie den Posteingang (HAM) überprüfen, bin mir aber nicht so sicher ob das schon ausreichend ist oder ob da noch eine Einstellung fehlt.

Nun wollte ich mal horchen wie ihr da so voran geht und ob es eine Möglichkeit gibt die Filterung noch weiter zu verbessern ohne das mir meine bekannten böse sind und Mails nicht mehr ankommen.

Gruß, Domi

 

[chris4000]

- Verwendest du keine Blacklists?
- Wieviel Prozent der eingehenden Mails wird aussortiert?
- Wieviel Spam kommt noch durch?

 

[Joe User]

Siehe https://serversupportforum.de/threads/postscreen-und-blocklisten.57830/

 

[Domi]

Nach gefühlt 500 Jahren wollte ich mich auch noch mal dazu äußern, weil ich hier im Forum noch mal gesucht hatte was man noch so tun könnte und dann ist mir eingefallen das ich hier nie wieder etwas geschrieben hatte.

Joe User hatte ja den Link zu dem anderen Thread genannt wo ich auch meinen Senf dazu gab. Mittlerweile habe ich die postscreen Settings auf einem meiner Server wie folgt laufen...

# postscreen settings
postscreen_access_list =
  permit_mynetworks,
  cidr:/etc/postfix/postscreen_access.cidr

postscreen_blacklist_action = ignore

postscreen_greet_banner = $smtpd_banner
postscreen_greet_ttl = 1d
postscreen_greet_wait = ${stress?2}${stress:6}s
postscreen_greet_action = enforce

# default: postscreen_dnsbl_threshold = 1
postscreen_dnsbl_threshold = 3
postscreen_dnsbl_sites =
  zen.spamhaus.org*3
  bl.mailspike.net*3
  b.barracudacentral.org*2
  bl.spameatingmonkey.net
  bl.spamcop.net
  spamtrap.trblspam.com
  dnsbl.sorbs.net=127.0.0.[2;3;6;7;10]
  ix.dnsbl.manitu.net
  bl.blocklist.de
  #whitelist
  list.dnswl.org=127.0.[0..255].0*-1
  list.dnswl.org=127.0.[0..255].1*-2
  list.dnswl.org=127.0.[0..255].[2..3]*-3
  iadb.isipp.com=127.0.[0..255].[0..255]*-2
  iadb.isipp.com=127.3.100.[6..200]*-2
  wl.mailspike.net=127.0.0.[17;18]*-1
  wl.mailspike.net=127.0.0.[19;20]*-2
postscreen_dnsbl_reply_map = texthash:/etc/postfix/dnsbl_reply
postscreen_dnsbl_action = enforce
postscreen_dnsbl_ttl = 1h

postscreen_bare_newline_action = enforce
postscreen_bare_newline_enable = no
postscreen_bare_newline_ttl = 30d

postscreen_cache_cleanup_interval = 12h
postscreen_cache_map = btree:$data_directory/postscreen_cache
postscreen_cache_retention_time = 7d
postscreen_client_connection_count_limit = $smtpd_client_connection_count_limit

postscreen_command_count_limit = 20
postscreen_command_filter =
postscreen_command_time_limit = ${stress?10}${stress:300}s

postscreen_disable_vrfy_command = $disable_vrfy_command
postscreen_discard_ehlo_keyword_address_maps = $smtpd_discard_ehlo_keyword_address_maps
postscreen_discard_ehlo_keywords = $smtpd_discard_ehlo_keywords

postscreen_enforce_tls = $smtpd_enforce_tls
postscreen_use_tls = $smtpd_use_tls

postscreen_expansion_filter = $smtpd_expansion_filter
postscreen_forbidden_commands = $smtpd_forbidden_commands

postscreen_helo_required = $smtpd_helo_required
postscreen_non_smtp_command_action = drop
postscreen_non_smtp_command_enable = no
postscreen_non_smtp_command_ttl = 30d

postscreen_pipelining_action = enforce
postscreen_pipelining_enable = no
postscreen_pipelining_ttl = 30d

postscreen_post_queue_limit = $default_process_limit
postscreen_pre_queue_limit = $default_process_limit
postscreen_reject_footer = $smtpd_reject_footer
postscreen_tls_security_level = $smtpd_tls_security_level
postscreen_watchdog_timeout = 10s

soft_bounce = no
compatibility_level = 2

Ich habe eine kürzere RBL Liste verwendet die ich gefunden hatte und das Limit auf 3 geschaltet (ich glaube Joe User hatte 5) und damit scheint es schon ruhiger geworden zu sein.

Da meine Server als Basis auf diese Artikel aufbauen, ist Postfix, Dovecot, Postgrey, Amavis und SpamAssassin bei mir am werkeln. Über Sieve werden E-Mails mit dem SPAM-FLAG in die Junk Ordner verschoben, was auch gut funktioniert.

Anschließend habe ich mich dann informiert, wie man das mit dem lernen für SpamAssassin machen könnte und habe eine Variante via Dovecot gefunden die allerdings (Leistungs-bedingt) nicht so toll ist. Daher habe ich mich für die Variante entschieden, ein cron.daily Skript zu haben welches wie folgt aussieht.

su amavis -c 'sa-learn --spam /var/vmail/*/*/Maildir/.Junk'
su amavis -c 'sa-learn --ham /var/vmail/*/*/Maildir/cur'
sa-update -D

Das Skript arbeitet auch, allerdings kann ich bis dato nicht sagen ob es auch einen Effekt bringt. Da ich selbst an meinen PCs den Thunderbird benutze, verschiebt dieser relativ oft die E-Mails. Vermutlich scheint das lernen vom 'ham' und 'spam' nicht so gut zu funktionieren, wie ich erhofft habe.

Ich weiß auch, dass es mal einen Befehl gab um zu schauen wie viel SpamAssassin wirklich erkennt oder durch lässt, da ich diesen aber nur ein oder zwei mal verwendet hatte, weiß ich ihn nicht mehr und finde diesen auch nicht im Netz.

Vielleicht konnte ich dem einen oder anderen Suchenden (der via Google etc.) mal auf dieses Thema aufmerksam wird, mit meinen Erfahrungen der letzten 15 Monate etwas weiter helfen. Dafür hatte ich das Thema ja einmal angefangen.

Gruß, Domi

p.s. Ich teste die Settings in der Regel auf meinem Server auf dem nur meine E-Mails und die von einem guten Kumpel aufschlagen. Hinterher wird die Einstellung dann auf einen anderen Server übertragen wo noch mehr los ist und horche was die Bekannten sagen die dort drauf sind. Falls das jemanden Interessiert