[Postfixbuch-users] spammer direkt blocken
Ralf Petry
ralf.petry at cityweb.de
Mo Mai 29 12:18:56 CEST 2006
Am Montag, den 29.05.2006, 12:04 +0200 schrieb Thomas Krieger:
> Am Montag, 29. Mai 2006 11:59 schrieb Ralf Petry:
> > Am Montag, den 29.05.2006, 10:45 +0200 schrieb Ralf Petry:
> > > Am Montag, den 29.05.2006, 10:18 +0200 schrieb Thomas Krieger:
> > > > Am Montag, 29. Mai 2006 10:07 schrieb Sandy Drobic:
> > > > > Ralf Petry wrote:
> > > > > > Am Montag, den 29.05.2006, 08:54 +0200 schrieb Matthias Haegele:
> > > > > >> Ralf Petry schrieb:
> > > > > >>> hy,
> > > > > >>> ich habe immer mal wieder einen spammer (bei jedem überfall ein
> > > > > >>> anderer), der einzelne postfächer zumüllt. gibt es nicht eine
> > > > > >>> möglichkeit, den direkt abzuschmettern?
> > > > > >>> es laufen postfix, amavisd-new und spamassassin.
> > > > > >>> danke für hilfreiche hinweise im voraus.
> > > > > >>
> > > > > >> Hmm. Wenn du eindeutige Merkmale hast die den Spammer
> > > > > >> identifizieren, ja (z.B. regex die auf die Nachricht zutrifft
> > > > > >> etc.).
> > > > > >> Dazu müssten wir aber schon mehr wissen ...
> > > > > >
> > > > > > das ding läuft in unregelmässigen abständen überfallartig ab, es
> > > > > > ist von überfall zu überfall ein anderes mailkonto, das zugespammt
> > > > > > wird und es ist ein anderer absender (naja - wen wunderts).
> > > > > > diesmal ist in der from-zeile (im pine auf dem server, auf den ich
> > > > > > gerade konnektiert bin) zu lesen: UEAGEOMPKB at source-one.com
> > > > > > Mein Anliegen: genau diesen Absender angeben und Postfix sagen zu
> > > > > > können, dass es die Mail von dem Absender direkt in die Tonne
> > > > > > schmeisst. Ich weiss, dass man Spam nicht einfach löschen darf,
> > > > > > aber meine User stöhnen schon, wenn sie an einem Tag 600 solcher
> > > > > > Mails erhalten. schöne grüsse, und danke, ralf.
> > > > >
> > > > > Ralf, du musst schon etwas detaillierter nachschauen. (^-^)
> > > > > Kommen die Mails alle vom gleichen Client,
> > >
> > > ja
> > >
> > > > dnyamische ip/statische ip, mit
> > > >
> > > > > gleichem Absender, nur innerhalb einer kurzen Zeitspanne/verteilt
> > > > > über einen größeren Zeitraum?
> > > > > Mit welchem HELO/EHLO melden die sich?
> > > > >
> > > > > Ziel sollte es auf jeden Fall sein, die Mails gar nicht erst
> > > > > anzunehmen, sondern direkt abzuweisen mit einer entsprechenden
> > > > > Restriktion.
> > >
> > > genauhau.
> > >
> > > > > Eine Abwehr kann nur funktionieren, wenn du weisst, wo der Hebel
> > > > > anzusetzen ist. Know thy enemy!
> > >
> > > in abwandlung: nicht nur: kenne deinen feind, sondern auch: besiege
> > > deinen feind.
> > >
> > > > Würde nicht schon folgendes reichen?
> > > >
> > > > smtpd_sender_restrictions = hash:/etc/postfix/access
> > > >
> > > > /etc/postfix/access:
> > > > UEAGEOMPKB at source-one.com 554 Your IP address was blocked
> > > > because it was origin of spam. Please contact <your at email.tld> if you
> > > > think this behaviour is not justified!
> > >
> > > na, genau so was habe ich doch gesucht.
> > > ich probiere es gleich aus.
> >
> > sodele, ausprobiert. tut. tut gut. eine frage hätte ich aber doch noch:
> > mit dieser massnahme wird eine mail an den absender geschickt. das ist
> > m.e. eigentlich banane. ich will sie einfach nur nicht haben. gibts
> > nicht etwas wie bsw. discard?
> > in /etc/postfix/access:
> > UEAGEOMPKB at source-one.com Discard
> >
> > danke, mfg, ralf.
> >
> > > anschliessend lasse ich mir von meinem chef viel bildungsurlaub geben
> > > und mache noch mal die postfixdoku durch. (obwohl, bildungsurlaub gibts
> > > ja eh nicht. schon gar nicht bezahlt...).
> > > danke und gruss, ralf.
>
> Mir ist hier nur REJECT und OK geläufig.
>
ich habe noch mal recherchiert: man 5 access kennt auch DISCARD - mit
dem o.g. Reject code habe ich mir ein Eigentor geschossen: der
mailerdämon wollte dem bösen absender antworten, die mail war aber gar
nicht zustellbar... höhö (bei spam ist das ja auch kein wunder). discard
tut so, als wäre die mail zugestellt worden und schmeisst sie
klammheimlich (meine übersetzung für "silently" aus man 5 access) in den
orkus.
wie auch immer, vielen dank für die schnelle und unbürokratische hilfe.
ich liebe diese liste.
ralf.
> Ciao
>
> Thomas
Mehr Informationen über die Mailingliste Postfixbuch-users