[Postfixbuch-users] spamassassin konfigurationsproblem

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Di Jun 26 15:30:42 CEST 2007 

Uwe Driessen wrote:
> Sandy Drobic schrieb: 
>> Uwe Driessen wrote:
>>> Roland M. Kruggel schrieb:
>>>> Am Montag, 25. Juni 2007 23:53 schrieb Uwe Driessen:
>>>>> Dynip              ist ziemlich hart aber sehr wirkungsvoll(lehnt
>>>>> jeden PTR ab der nach Dialin aussieht, auch Hetzner Original PTR)
>>>> Hmm.
>>>> D.h. das z.b. meine Lebendsgefährtin, sie hat einen dsl-Zugang, mir
>>>> keine E-Mail mehr schreiben kann?
>>> Nur wenn sie über einen eigenen "wilden" Mailserver ohne gültigen oder mit einem PTR
>> der
>>> auf ein Dialin schließen lässt sendet. Wenn sie sich bei dir oder einem anderen
>> Der DynIP-Check schaut AFAIK nicht nach einem Dialup-Bereich, sondern nach
>> einem generischen PTR, in dem die Zahlen einer IP-Adresse vorkommen, oder?
>> Dieser kommt leider auch bei vielen statischen Adressen vor.
> 
> Jap aber nur solche die in der Regel mindestens 3 Octete im PTR haben.
> Dazu wird in den Allgemein gehaltenen regex noch nach bestimmten Buchstabenfolgen wie
> /^(adsl|dial|dsl|dyn|ppp|pppoe|pool|xdsl|ADSL|gprs-pool|dhcp)/ gesucht.
> Wirklich gefährlich sind eigentlich nur die ersten checks da diese sehr allgemein gehalten
> sind. Ausschalten geht aber einfach über # und gut ist. 
> 
> /^unknown$/                                     550 no rDNS/PTR ident taken client with
> this not allowed ask your Host/Postmaster Provider what to do
> /^[a-zA-Z+-]{1,10}(\d+[-\.]){3,4}\d+[-\.]/      550 no dynIP please! your PTR/RDNS looks
> like a dynip, ask your Provider what to do 1
> /^(\d+[-\.\_]){3}\d+[-\.]/                      550 no dynIP please! your PTR/RDNS looks
> like a dynip, ask your Provider what to do 2
> /^(ip|adsl|dial|dsl|dyn|ppp|pppoe|pool|xdsl|ADSL|host|gprs-pool|dhcp)[-\.](\d+[-\.]){1,3}/
> 550 no dynIP please! your PTR/RDNS looks like a dynip, ask your Provider what to do 3
> /(adsl|dsl|bredband|ppp|pppoe|dynamic|xdsl|ADSL|dialup)/                550 no dynIP
> please! your PTR/RDNS looks like a dynip, ask your Provider what to do 3a
> /^(adsl|dial|dsl|dyn|ppp|pppoe|pool|xdsl|ADSL|gprs-pool|dhcp)/          550 no dynIP
> please! your PTR/RDNS looks like a dynip, ask your Provider what to do 3b
> /^(\d+[-\.]){1,4}(adsl|dsl|dial|dyn|ppp|pool|xdsl|ADSL)/                550 no dynIP
> please! your PTR/RDNS looks like a dynip, ask your Provider what to do 4
> /^(\w+)(\d+[-\.]){1,4}(adsl|dsl|dyn|ppp|pool|xdsl|ADSL)/                550 no dynIP
> please! your PTR/RDNS looks like a dynip, ask your Provider what to do 5
> #/^(\w+[-\.])(\d+[-\.]){2,4}/                                           550 no dynIP
> please! wenden Sie sich an Ihren Hostservice 6
> /(adsl|dsl|dyn|ppp|xdsl|ADSL|host)[-\.](\d+[-\.]){1,4}/            550 no dynIP please!
> your PTR/RDNS looks like a dynip, ask your Provider what to do 7 

Ja, ,da sind einige Checks drin, die bei mir zu häufig erwünschte Mails
ablehnen würden.

> 
> Der Rest der regex bezieht sich immer auf genau ein Dialinnetz. Die Tabelle umfasst ca.
> 480 aktive Zeilen. Wobei ich mir noch nicht die Arbeit gemacht habe die Tabelle auf
> doppelte checks zu kontrollieren. Viele der 480 Zeilen werden durch die ersten 8 oder 10
> checks miterfasst. Wenn sich mal einer die Arbeit machen möchte gerne *gg

Das habe ich bei mir angefangen und lasse es auch dabei. Besser eine Spam
mehr durchgehen lassen als eine erwünschte abweisen, so ist bei mir die
Anforderung.
Inzwischen bin ich bei mir auch bei etwa 150 Zeilen (ohne doppelte, nur
sehr spezifische Dialin-Bereiche). Selbst das hast schon einen recht guten
Effekt:

grep -c client_blacklist_pcre /var/log/mail
2095

grep -c zen.spamhaus.org /var/log/mail
506

Externe RBL-Abfragen sind damit spürbar zurückgegangen.

>> Das ist in der Tat ein sehr harter Check, der mit Sicherheit den einen
>> oder anderen echten Mailserver abweist. Logkontrolle ist dabei absolute
>> Pflicht.
> 
> Außer wenn einer bei Hetzner den PTR nicht umgestellt hat hatte ich noch keine falsch
> Erkennungen.(das war einmal von linuxrock *gg)

Grins! Bei mir ist es halt so, dass ich sehr viele ausländische Server aus
der ganzen Welt als einliefernde Clients habe, und diese haben oft keine
Möglichkeit, den Reverse-PTR richtig zu setzen. :-((

> Diese Map ist auch nur eins von vielen Bausteinen zur Spambekämpfung und kein
> Allheilmittel. 

So ist es. Layered Defense. (^-^)

> Mit Postgrey und Policyd-weight kommt man fast genauso weit, wenn auch mit einem etwas
> höheren Aufwand an Proz und Leitungslast.
> Entstanden ist die Tabelle einfach daraus das ich ungern anderen die Last der Entscheidung
> überlasse und auch nicht mehr wie nötig an Trafik auf RBL Listen usw. erzeugen möchte.
> Was ich schon von vornherein entscheiden kann das entscheide ich einfach zumal wenn es
> sich nur um sporadisch auftretende IP's aus Dialinnetzen handelt die RBL's diese entweder
> noch nicht oder gar nicht listen.

Soweit möglich sollte man in der Tat nicht anderen die Entscheidung
übertragen.

>> Uwe, verweist du in deiner Reject-Meldung auf eine Webseite mit einem
>> Kontaktformular? Wenn nicht, wäre das bestimmt keine schlechte Idee.
> 
> Jap werde ich auch noch machen aber bin noch nicht dazu gekommen.
> Aber jeder weis das er an den Postmaster schreiben kann zur Not auch über ein
> Freemailkonto.
> 
> Das war mal deine Idee Sandy ich habe es nur ein bissel ausgebaut *gg 

Ich weiss. (^-^)


-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com

Mehr Informationen über die Mailingliste Postfixbuch-users