[Postfixbuch-users] Blacklist uceprotect

[Thomas Klein]

sebastian at debianfan.de schrieb:
> Thomas Klein schrieb:
>> Hallo zusammen,
>>
>> ich bekomme von Usern auf verschiedenen Postfix-Servern unabhängiger 
>> Kunden in letzter Zeit häufiger Meldungen, dass Spams durchrutschen. 
>> Ich stelle dabei fest, dass die Mails meist von irgendwelchen nicht 
>> ganz dichten Mailservern oder geknackten Maschinen kommen. Ich habe 
>> mal die IPs der Spamversendenden in rbls.org überprüft, nur die 
>> uceprotect Blacklist hat diese Hosts als positiv erkannt.
>> Habt ihr Erfahrungen mit uceprotect gemacht bzw. verwendet jemand von 
>> euch diese BL? Ich würde die angebotenen Listen 1&2 erstmal zum Test 
>> auf einem Server einsetzen.
>>
>
> Ich hab mal das ganze über die Spamassassin Liste laufen lassen - 
> vielleicht wäre Spamassassin das richtige hierfür - da ist die 
> Kontrolle über mögliche Fehler besser.
>
> Du musst mal googeln - die Betreiber von uceprotect standen mehrfach 
> unter massiver Kritik ob Ihrer Policy - vor allem Ihrer "raus aus der 
> Liste"-Policy.
>
>
> ifplugin Mail::SpamAssassin::Plugin::DNSEval
>
> # dnsbl-1.uceprotect.net
> header RCVD_IN_UCEPROTECT1    
> eval:check_rbl('uceprotect1-lastexternal', 'dnsbl-1.uceprotect.net.',)
> describe RCVD_IN_UCEPROTECT1    Received via a relay in 
> dnsbl-1.uceprotect.net
> tflags RCVD_IN_UCEPROTECT1    net
>
> # dnsbl-2.uceprotect.net
> header RCVD_IN_UCEPROTECT2    
> eval:check_rbl('uceprotect2-lastexternal', 'dnsbl-2.uceprotect.net.')
> describe RCVD_IN_UCEPROTECT2    Received via a relay in 
> dnsbl-2.uceprotect.net
> tflags RCVD_IN_UCEPROTECT2    net
>
> # dnsbl-3.uceprotect.net
> header RCVD_IN_UCEPROTECT3    
> eval:check_rbl('uceprotect3-lastexternal', 'dnsbl-3.uceprotect.net.')
> describe RCVD_IN_UCEPROTECT3    Received via a relay in 
> dnsbl-3.uceprotect.net
> tflags RCVD_IN_UCEPROTECT3    net
>
> endif
>
> score    RCVD_IN_UCEPROTECT1    1.0
> score    RCVD_IN_UCEPROTECT2    1.0
> score    RCVD_IN_UCEPROTECT3    1.0
>
>
> Score as you see fit. Remove the appended -lastexternal if you want to 
> have *all* IPs checked rather than just the last external IP.
>
>
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>
Hallo zusammen,

also ich habe mal uceprotect 1+2 über Nacht laufen lassen, muss aber 
feststellen, dass ein paar Newsletter hängen geblieben sind. Bin 
inzwischen nicht mehr der Meinung, dass eine Listung in einer dieser BLs 
einen 100%igen reject nach sich ziehen soll.

Der Vorschlag von Sebastian war ganz gut, die BLs in Spamassassin 
einzubinden. Bin aber mit SA nicht so firm.. Habe das Modul 
Mail::SpamAssassin::Plugin::DNSEval über die CPAN shell installiert, es 
wird auch über /etc/spamassassin/v320.pre mit dem darin enthaltenen 
Befehl "loadplugin Mail::SpamAssassin::Plugin::DNSEval" geladen. Aber wo 
stelle ich den von Sebastian geposteten Code rein? Kann das direkt in 
der local.cf erfolgen? Bin mal davon ausgegangen dass "ifplugin ....." 
das Modul lädt und irgendwo auch die passende Configdatei zu finden ist, 
die in diesem Fall besagt, welche BLs zu checken sind.


Hier mal ein Beispiel-Auszug aus meinem Logfile:
postfix/policyd-weight[28569]: weighted check:  NOT_IN_ZEN_SPAMHAUS=-1.5 
NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 CL_IP_EQ_FROM_MX=-3.1 
IN_SURBL=4 <client=91.184.56.4> <helo=mail.komm46.com> 
<from=info at komm46.com> <to=user at meinedomain.de>, rate: -3.6

Ich bin etwas verwirrt, warum REV_IP_EQ_HELO von polw nicht zugeschlagen 
hat, da bei der Einlieferung "connect from komm46.com[91.184.56.4]" im 
Logfile vorzufinden war (das müsste ja der Reverse lookup name sein?!) 
und lt. polw ja ein anderer helo-name angegeben war. Dieser Fall scheint 
mir ein Mailserver bzw. eine Maildomain zu sein, die ausschliesslich zum 
Spam-Zweck gedacht ist....

Danke & Gruss
Thomas