[Postfixbuch-users] SpamAssassin und Postfix

Uwe Driessen driessen at fblan.de
Di Jan 30 16:23:46 CET 2007 

M Haegele schrieb:
 
> Hmm. Ausführbare Dateien sollte man generell blocken, das kann man auch
> noch am "internen Mailgateway" machen,
> gerade bei der akt. Trojanerwelle hatten die meisten Virenscanner das
> Teil erst 2 oder mehr Tage später erkannt ...
> (was einen Kunden nicht davon abhielt die aussortierte Datei aus dem
> Quarantänebereich zu fischen und auszuführen ;-) ...)

Nun ja ich versende auch schon mal ne gepackte EXE als Anhang. Wird sauber
überprüft dann kommen aber Virenmails erst gar nicht zu Annahme da kaum
einer dieser teile sich wie ein "richtiger" Mailserver verhält.
Und sollte da dann noch mal einer dabei sein dann müssen Antivir und Clamav
herhalten.  


> 
> > Sowas sollte heute eigentlich schon zum Standart gehören das diese
> > Kleinigkeiten überprüft werden.
> 
> Man hat halt oft auf die "Optionen" beim Provider keinen oder nur sehr
> geringen Einfluss ...
> Und kann/will/darf das nicht ändern, bzw. muss das halt hinnehmen.

Niemand wird gezwungen zu einem Provider zu gehen der solche Prüfungen nicht
macht und die Macht liegt beim Kunden wenn alle dort hin gehen wo es Krieg
geben wird dann wird es auch Krieg geben, geht keiner hin dann wird der
Provider sich schon überlegen etwas anders zu machen (Die Macht Nein zu
sagen liegt hier eindeutig beim Kunden).
Nachdem ich meine Restriktion auf meinem Server mit Hilfe der Liste
optimiert habe wird jetzt mit RBL-Listen am Tag noch ein oder 2 Spamer
aussortiert der Rest kommt in der Überprüfung schon gar nicht mehr soweit
sondern fliegt schon vorher.    

> 
>   > Greylisting soll alle die aussortieren die keinen "echten MTA" der mit
> > Fehlermeldungen umgehen kann haben(z.B. Viren und Mailwürmer und Spamer
> die
> > Fire and forget machen weil alles andere kostet Zeit)
> 
> k. A. wie viele Provider das machen, es scheint aber wohl nicht so
> verbreitet zu sein,
> (zumindest mit denen (oft kleinere) ich seither zu tun hatte).

s.o. 


> Rejecten bringt da imo nix, da der ursprüngliche Absender (envelope) dem
> lokalen "Antispam-Tool" nicht bekannt ist und wohl sowieso gefälscht
> war. (ausser "backscatter" an Unschuldige wohl nutzlos).

Da kann ich nur auf den nächsten Satz verweisen *gg dann kommt leben in die
Bude sogar 1und1 haben kandarre vor RBL-Listen und wenn sich ein paar große
Kunden beschweren dann tun die sogar etwas. 

Alle fragwürdigen Mails an den Postmaster des Servers schicken entweder er
tut was oder hat dann eben jeden Tag sein Postfach voll und wie ich schon
mal angemerkt habe :
Wenn die Großen, allen voran rosa roter Riese, die Hauptberufliche
Systemadmins beschäftigen, Ihre Server endlich mal dich machen dann gibt es
in Deutschland zumindest mal kaum noch "echten" Spam. Aber dann gibt auch
kein Kunde mehr Geld für Spam- und Virenfilter beim Provider aus wenn in der
Woche nur noch "2" Spammails ankommen. Ganz abgesehen von dem Trafik der
dann wesentlich weniger wird.

Evtl. liest ja der eine oder andere dieser Systemadmins der "öffentlichen"
Mailserver hier in der Liste mit.
Die nachfolgenden Zeilen filtern schon fast alles weg. So oder so ähnliche
Prüfungen auf diesen Mailservern und ruhe ist. 

smtpd_recipient_restrictions =  permit_mynetworks,
   permit_tls_clientcerts,
   reject_sender_login_mismatch,
   permit_sasl_authenticated,
   check_helo_access pcre:/etc/postfix/helo_checks,

#da stehen alle Domains drin damit keiner auf die Idee kommt bei mir
gehostete Domains in sein Helo einzubauen 

   check_sender_access pcre:/etc/postfix/apostroph,

#Mit den Apostroph bin ich mir noch nicht sicher ob die lt RFC erlaubt sind
da die aber in der Regel alle von Servern kommen welche auch einer späteren
Überprüfung nicht standhalten würden schmeiße ich die Ohne weitere DNS
abfrage hier schon raus.

   check_sender_mx_access cidr:/etc/postfix/maps/bogus_mx

Hier stehen Netze drin welche nur über dynDNS eines bestimmten Anbieters
kommen in der Regel USA. Bei den heutigen Preisen fürs Hosting sollte das
keine Frage mehr sein das man sich zumindest mal eine Maildomain registriert
bei einem der Provider um dann damit Mails zu versenden.

   reject_unauth_pipelining,
   reject_non_fqdn_sender,
   reject_non_fqdn_recipient,
   reject_unknown_sender_domain,
   reject_unknown_recipient_domain,
   reject_unknown_client_hostname,
   reject_unknown_reverse_client_hostname,
   reject_unauth_destination,
   reject_multi_recipient_bounce,
   reject_invalid_hostname,
   reject_non_fqdn_hostname,
   check_recipient_access hash:/etc/postfix/roleaccount
   check_policy_service inet:127.0.0.1:60000

Postgrey bekommt jetzt jeder der zum ersten mal kommt übergebrüht. Und der
Rest erkärt sich eigentlich von alleine. 
da kann ich sicherlich noch ein oder 2 Zeilen streichen ich konnte mich nur
noch nicht dazu durchringen    


 -- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045
Fax: 06708 / 661397
 --

Mehr Informationen über die Mailingliste Postfixbuch-users