Viele Fragen zu Spamassassin

[herbert007]

Hi Leute,

ich habe mal einige Fragen zum Thema Spamfilterung, und hoffe daß Ihr mir helfen könnt.

Ich habe Postfix mit amavisd-new an Spamassassin angebunden laut
dem Howto de:howtos:sargeostfix2_antispam_virenschutz [Debianhowto.de].

Nun kommt allerdings noch MEGA viel SPAM durch, was Spamassassin nicht als SPAM erkennt. Eigentlich das meiste.

Ich wollte nun die Moduke DCC, Razor, Pyzor einbinden.

Frage1:
Da ich für eMail Accounts für Kunden hoste, darf ich natürlich nicht die gesamten mails an diese Dienste weiterleiten. Wird hierbei nur der Hash-Wert der mail gesendet, oder die ganze mail?


Frage2:
Die Optionen für Spamassassin scheinen ausschliesslich durch " /etc/amavis/amavisd.conf" konfigurierbar zu sein???
Die Datei "/etc/spamassassin/local.cf" ist leer.
Wenn ich allerdings weitere Optionen von Spamassassin nutzen möchte, wie z.b. die oben genannten, geht das über die amavisd.conf nicht.

Frage3:
Ich überlege statt der Einbindung über Postfix, Spamassassin von maildrop aus aufzurufen, damit ich userspezifische Optionen nutzen kann. Hat diese Methode Nachteile?? Performance, etc?

Frage4:
Was haltet Ihr von diesen DNS Blacklists? Habt Ihr n paar vernünftige kostenlose Dienste für mich? spamcop is ja nicht mehr kostenlos.

Wäre super wenn Ihr mir dazu ein Paar Antworten geben könntet, da ich mich schon zu tode gesucht hab.

 

[Freel@ncer14]

Hallo herbert007,

Ich wollte nun die Moduke DCC, Razor, Pyzor einbinden.

Dies musst du in der SA Config machen.

Die Optionen für Spamassassin scheinen ausschliesslich durch " /etc/amavis/amavisd.conf" konfigurierbar zu sein???
Die Datei "/etc/spamassassin/local.cf" ist leer.

Welches OS verwendest du?
Debian ist hier zunächst ein wenig speziell, SuSe sollte den angegeben Pfad allerdings 'von Haus aus' annehmen und Debian tw. auch, oder man konfiguriert es sich eben dort hin.

Da ich für eMail Accounts für Kunden hoste, darf ich natürlich nicht die gesamten mails an diese Dienste weiterleiten. Wird hierbei nur der Hash-Wert der mail gesendet, oder die ganze mail?

Die Mails werden bei einem Scan komplett durch SA geparsed, allerdings werden diese nicht auch so abgespeichert, was also ein Filtern von Kundenmail möglich machen sollte.

Ich überlege statt der Einbindung über Postfix, Spamassassin von maildrop aus aufzurufen, damit ich userspezifische Optionen nutzen kann. Hat diese Methode Nachteile?? Performance, etc?

Ich habe SA direkt in der Mailqueue ein und habe dadurch keinerlei Performance Probleme eher im Gegenteil.

Was haltet Ihr von diesen DNS Blacklists?

Also ich finde es relativ sinnvoll die Server, die einliefern, zurück zu tracen und wenn diese nicht antworten die Mails nicht zu akzeptieren, oder mit globalen DNS Listen zu arbeiten, das heisst allerdings nicht, dass es auch unbedingt 'gut' sein muss, da ein Server ja auch mal was gesendet haben kann und danach ausfällt, aber normalerweise werden die Server ja sofort nach dem einliefern auf deinem Server 'überprüft'.

Nun kommt allerdings noch MEGA viel SPAM durch, was Spamassassin nicht als SPAM erkennt. Eigentlich das meiste.

Und noch etwas hierzu:
Du musst SA trainieren, sowohl mit Spam als auch mit Ham(=non-spam)

D.h. du musst um die 400 Mails füttern (sowohl Spam als auch Ham) und diese somit anlernen.

Hoffe ich konnte ein wenig Klarheit schaffen, wenn du noch Fragen hast, dann frag einfach!

Lieben Gruß
Free

 

[herbert007]

Hi Freel@ncer14,

danke erstmal für Deine Antworten.
Ich nutzte Debian 3.1.

Mit den Kundenmails meinte ich das folgendermaßen:
Diese externen Dienstleister führen ja Listen von Spam, in denen sie Hashwerte speichern. Meine Frage ist, ob mein lokales Spamassassin einfach einen Hashwert bildet und nur diesen an den externen Dienstleister zum vergleichen schickt, oder die gesamte Mail.

Ich habe SA direkt in der Mailqueue ein und habe dadurch keinerlei Performance Probleme eher im Gegenteil.

Du meinst wohl von Postfix aus? Ich meine erst an maildrop ausliefern, und dann von dort aus, also wenn Postfix fertig ist an Spamassassin schicken.

Bei DNS Blacklist hab ich mich wohl falsch ausgedrückt
Ich meinte Dienstleister wie Spamhouse, die Blacklists mit IP Adressen führen, die viel SPAM versenden und nicht das direkte Gegenprüfen auf Existenz der IP.

Unter welchem User führst Du sa-learn aus?
Ich habe Angst, daß er das Lernen dann nur für diesen User durchführt, der diesen Befehl ausführt und nicht systemweit.

 

[Sinepp]

Hallo,

meines Wissens nach werden lediglich die Hashwerte verglichen.

Auf was hast Du Deine Score stehen, ab der eine Mail als Spam erkannt wird?

Hast Du schonmal über Greylisting nachgedacht? Wirkt gegen Spammer wie Gummibärsaft gegen Trolle...

Grüße
Sinepp

 

[herbert007]

Hi,

ja also das Greylisting hab ich mir noch vorgenommen.
Ich wollte erstmal SPAMassassin an sich etwas tunen,
und dann per Postfix das Greylisting rausholen.

Meine Konfig

$sa_tag_level_deflt = -1000;
$sa_tag2_level_deflt = 5.0;
$sa_kill_level_deflt = 10;

aber 90% der mails werden nur mit 2.0 punkten bewertet

 

[Huschi]

Schritt für Schritt den Spam-Schutz aufzubauen und jedesmal zu hoffen einen "großen Schritt" weiter zu kommen ist leider falsch.
Fang mit Greylisting an. Dann mach das Finetuning des SA.
Kläre wie SA im Amavisd aufgerufen wird: Wird das Perl-Modul geladen oder spamc/spamd genutzt? (std. ist Perl-Modul)
Bilde eine globale Bayes-Datenbank und lerne die mit Spams an. Stelle autolearn=on ein. Wenn Du dann noch willst nutzte Razor oder Pyzor.
Hab keine Angst vor einer leeren local.cf. Die wartet nur darauf gefüllt zu werden.

Den größten Erfolg wirst Du übrigends mit Greylisting über Postgrey erziehlen.

huschi.

 

[onkel-geordi]

Hallo Herbert,

ich nutze ASSP

Welcome - ASSP Wiki

Der gefällt mir sehr gut und vereint viele Antispam möglichkeiten wie bayes delaying, Validate sender, etc.

Greets LaForge

:::::: www.judith-music.de :::::: Judith Lefeber Fanpage

 

[Sinepp]

Gegen eine leere local.cf hilft:
SpamAssassin Configuration Generator

Grüße
Sinepp

 

[herbert007]

Ohh, vielen Dank für die vielen Tipps.
Werde mir das Greylisting nachher mal vornehmen.
@huschi: Deine Seite is echt cool! Hab darüber viel gelernt!!!

Ich habe noch ein Problem.
Razor funktioniert wunderbar.
Nur mit Pyzor und DCC hab ich noch ein Problem:

spamassassin -D liefert:

debug: Pyzor is available: /usr/bin/pyzor
debug: entering helper-app run mode
debug: setuid: helper proc 17902: ruid=0 euid=0
debug: Pyzor: got response: 66.250.40.33:24441  TimeoutError:
debug: leaving helper-app run mode
debug: Pyzor: couldn't grok response "66.250.40.33:24441        TimeoutError: "
debug: DCCifd is not available: no r/w dccifd socket found.
debug: DCC is available: /usr/bin/dccproc
debug: entering helper-app run mode
debug: setuid: helper proc 17903: ruid=0 euid=0
debug: DCC: got response: X-DCC-EATSERVER-Metrics: mein-server 1166; Body=2 Fuz1=95
debug: leaving helper-app run mode
debug: Running tests for priority: 500
debug: RBL: success for 17 of 17 queries

Scheint als ob der Pyzor Server nicht antwortet auf diesem Port, obwohl er pingbar ist.
Habe auch schon mit "pyzor discover" die Server neu geladen!
->Gleiches Prob. Selbst wenn ich von zuhause telnet auf diesen Server mache ist er tot. Habe das Problem in vielen Foren gelesen. Einige meinen jedoch daß es geht. Hmmm. und DCC soll ja laut local.cf auch einen eigenen Header reinschreiben. Das passiert nicht.

"/etc/spamassassin/local.cf"

# Pyzor verwenden
use_pyzor 1
pyzor_path /usr/bin/pyzor
pyzor_options --homedir /etc/spamassassin
# soll ein X Eintrag im E-Mail Header vorgenommen werden?
pyzor_add_header 1


# DCC einbinden
use_dcc 1
dcc_path /usr/bin/dccproc
dcc_add_header 1

Allerdings kommt in ner SPAM mail, also scheint DCC doch zu gehen??

X-Virus-Scanned: by amavisd-new-20030616-p10 (Debian) at localhost
X-Spam-Status: Yes, hits=9.9 tagged_above=-1000.0 required=5.0
tests=DCC_CHECK, HTML_30_40, HTML_FONT_BIG, HTML_MESSAGE,
MIME_HTML_ONLY, RCVD_IN_XBL, URIBL_AB_SURBL, URIBL_OB_SURBL,
URIBL_WS_SURBL

Danke soweit