[Postfixbuch-users] spam erkennungsraten verbessern

spamvoll at googlemail.com spamvoll at googlemail.com
Mo Sep 6 14:37:54 CEST 2010 

Also bei mir sieht das bislang so aus:
smtpd_recipient_restrictions =
# postmaster, abuse und andere Role-Accounts whitelisten:
	check_recipient_access btree:/etc/postfix/access_recipient-rfc,

# White- und Blacklisting:
	check_client_access cidr:/etc/postfix/access_client,
	check_helo_access btree:/etc/postfix/access_helo,
	check_sender_access btree:/etc/postfix/access_sender,
	check_recipient_access btree:/etc/postfix/access_recipient,

# eigene Domains von aussen sperren
	check_sender_access btree:/etc/postfix/block_my_domain

# Keine unsauberen/nichtexistierenden Mails annehmen:
 	reject_non_fqdn_sender,
 	reject_non_fqdn_recipient,
 	reject_unknown_sender_domain,
 	reject_unknown_recipient_domain,
# fakecheck
	reject_sender_login_mismatch,
# Unsere Nutzer erlauben:
 	permit_sasl_authenticated,
 	permit_mynetworks,
	reject_unverified_recipient,
# RBLs checken:
 	reject_rbl_client zen.spamhaus.org,
 	reject_rbl_client ix.dnsbl.manitu.net,
 	reject_rbl_client bl.spamcop.net,
# Greylisting:
	check_policy_service inet:127.0.0.1:10023,
# Alles andere Relaying verbieten:
 	reject_unauth_destination,
# Was jetzt noch da ist, darf endlich durch:
 	permit

body_checks = pcre:/etc/postfix/body_checks
header_checks = pcre:/etc/postfix/header_checks

Als SPAM Ordner habe ich bislang eine shared mailbox im dovecot wo
alle ihre SPAM reinschieben können, wollte das die Tage aber mal zu
ner public machen..
So kann ich selber checken was spam ist und dann den sa.-learn damit fürttern..

Aber das mit dem HAM is ne berechtigte Frage.. das is mir auch nicht
klar.. ich benutzt bislang auch nur meine eigene mailbox dafür.
Erkennt der sa-lern eigendlich wenn er eine mail schonmal gelernt hat,
also wenn ich ihm als HAM mehrfach meine Mailbox gebe ?

Hans


Am 6. September 2010 12:44 schrieb Marcel Hartmann (privat)
<mail at marcel-hartmann.com>:
> Am 05.09.2010 12:33, schrieb Florian Pritz:
>
> On 05.09.2010 12:29, spamvoll at googlemail.com wrote:
>
> X-Spam-Status: No, score=5.617 tagged_above=2 required=6.2
> 	tests=[BAYES_00=-1.9
>
> Bayes besser trainieren (da muss man aufpassen also bisschen einlesen
> bitte) und required auf die empfohlenen 5 setzen.
>
> Außerdem könntest du fehlende rDNS gleich von postfix ablehnen lassen.
> Wenn du da einen FcrDNS check machst bist du unglaublich viel los.
>
> Also den rDNS checken halte ich für sehr sinnvoll ebenso nur FQDN erlauben,
> dann spamhaus und dialup dns blacklists, header checks von russen, japanern
> und kroaten etc. blocken was man eh net will generell ablehnen und das bayes
> trainieren. sa-learn --spam/--ham
>
> nur wie filtert man am besten --spam --ham btw. trainiert den --ham ???
>
> Bisher habe ich ein postfach spam at domain.tld. Alle SPAMs schicke ich da per
> imap rein (Natürlicn ur die die bei meinen postfächern ankommen!) und die
> lasse ich nachts mit sa-learn --spam in bayes als spam trainieren. Das macht
> er auch. Aber den ham aller virtuellen domain postfächer die mir nicht
> gehören, wie mache ich das denn mal am besten.
>
> Das autolearn in bayes würde ja alle Mails, die SPAM sind aber eine geringe
> Score haben (Siehe Beispiel am Ende dieser Mail!) als --HAM trainieren und
> immer wieder durchlassen. Das ist genau das Problem das ich habe.
>
> Ich sollte sicher noch die header/body checks von peer nutzen wo Wörter wie
> viagra und konsorten, also alles was sowiso verdächtig ist private
> krankenversicherung usw. usf. blocken. Was auch sinn macht denke ich, je
> nachdem was man da alles so rein bekommt.
>
> Ich suche auch seit längerem nach einer "guten" Lösung das Problem in den
> Griff zu bekommen, ich habe glücklicherweise eine SPAM Adresse (Meine
> private leider) wo jede Menge neuer SPAM generell ankommt, aber autolearn in
> bayes/amavisd und mein spam postfach das sa-learn --spam * abends macht,
> reicht da einfach nicht aus, und meine mails die kein SPAM sind als --ham zu
> lernen, da weiss ich nicht ob das recht und guten einfluss auf die anderen
> virtuellen domains und deren Postfächer hat die mir nicht gehören.
>
> Ich habe das greylisting eingebunden, das DKIM gedöhns vom amavisd-new,
> bayes Filtering in SPAMASSASSIN mit autolearn, und natürlich auch die beiden
> anderen namens: rayzor2, DCC und phyzor. Dazu nutze ich noch das DNSRBL
> Krams wie z.B.: -> smtpd_helo_required = yes,  reject_non_fqdn_recipient,
> reject_non_fqdn_sender,  reject_unknown_sender_domain,
> reject_unknown_recipient_domain, reject_unauth_destination,
> reject_multi_recipient_bounce,  reject_non_fqdn_hostname und
> reject_invalid_hostname. Dazu verbiete ich absender die meine ip oder domain
> als absender verwenden sowie apostroph Adressen aus Ralf seiner Website
> Tutorials und das FcrDNS bastele ich jetzt mal ein nach Florian Pritz seinem
> Vorschlag.
>
> Wenn Ihr mir dann noch einen Tipp geben könnt wie ich das mit dem sa-learn
> --ham in den Griff bekomme, wäre ich sehr dankbar.
> Ich habe in der besagten Mailbox täglich an die 50 SPAM Mails liegen die ich
> als [SPAM] markiert haben will. Die sehen etwa so aus:
>
> Return-Path: <info at schnellerduenn.com>
> Delivered-To: mail at marcel-hartmann.com
>
> X-Amavis-Alert: BAD HEADER SECTION, Non-encoded 8-bit data (char E4 hex):
> 	Subject: So bek\344mpfen Sie Ihre [...]
> X-Spam-Flag: NO
> X-Spam-Score: 0.96
> X-Spam-Level:
> X-Spam-Status: No, score=0.96 required=3.5 tests=[BAYES_20=-0.001,
> 	RAZOR2_CHECK=0.922, SUBJECT_NEEDS_ENCODING=0.049,
> 	T_RP_MATCHES_RCVD=-0.01] autolearn=no
> Received: from mail.schnellerduenn.com (schnellerduenn.com [91.184.55.153])
> 	by mx02.insentic.de (Postfix) with ESMTP id 525FFDCDFC
> 	for <mail at marcel-hartmann.com>; Sun,  5 Sep 2010 20:38:52 +0200 (CEST)
> Date: Sun, 5 Sep 2010 20:38:52 +0200
> From: "Information" <info at schnellerduenn.com>
> To: mail at marcel-hartmann.com
> Subject: So bekämpfen Sie Ihre Fettleibigkeit
> MIME-Version: 1.0
> Content-Type: text/plain; charset="iso-8859-1"
> Content-Transfer-Encoding: 7bit
> Message-Id: <20100905183852.E4D15C47871 at mail.schnellerduenn.com>
>
> Damit gehen Sie den einfachsten Weg http://www.schnellerduenn.com
>
> Ein Score von 0.96 das ich nicht lache! :-( Da habe ich sicher was falsch
> konfiguriert, hat da jemand einen Rat für mich zur Hand? Docus lesen kann
> ich selber ich brauche nur Stichwörter von Euch wenn Ihr Zeit habt mir diese
> Infos zu schreib0rn! :-)
>
> Danke allen im Voraus!
>
> Gruss,
> Marcel
>
> --
> Marcel Hartmann // Frontend- und Webdeveloper
> E-Mail:            mail at marcel-hartmann.com
>
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>

Mehr Informationen über die Mailingliste Postfixbuch-users