[Postfixbuch-users] Blacklist uceprotect
Thomas Klein
mailinglist-postfixbuch at online.de
Mo Dez 15 23:49:48 CET 2008
sebastian at debianfan.de schrieb:
> Thomas Klein schrieb:
>> Hallo zusammen,
>>
>> ich bekomme von Usern auf verschiedenen Postfix-Servern unabhängiger
>> Kunden in letzter Zeit häufiger Meldungen, dass Spams durchrutschen.
>> Ich stelle dabei fest, dass die Mails meist von irgendwelchen nicht
>> ganz dichten Mailservern oder geknackten Maschinen kommen. Ich habe
>> mal die IPs der Spamversendenden in rbls.org überprüft, nur die
>> uceprotect Blacklist hat diese Hosts als positiv erkannt.
>> Habt ihr Erfahrungen mit uceprotect gemacht bzw. verwendet jemand von
>> euch diese BL? Ich würde die angebotenen Listen 1&2 erstmal zum Test
>> auf einem Server einsetzen.
>>
>
> Ich hab mal das ganze über die Spamassassin Liste laufen lassen -
> vielleicht wäre Spamassassin das richtige hierfür - da ist die
> Kontrolle über mögliche Fehler besser.
>
> Du musst mal googeln - die Betreiber von uceprotect standen mehrfach
> unter massiver Kritik ob Ihrer Policy - vor allem Ihrer "raus aus der
> Liste"-Policy.
>
>
> ifplugin Mail::SpamAssassin::Plugin::DNSEval
>
> # dnsbl-1.uceprotect.net
> header RCVD_IN_UCEPROTECT1
> eval:check_rbl('uceprotect1-lastexternal', 'dnsbl-1.uceprotect.net.',)
> describe RCVD_IN_UCEPROTECT1 Received via a relay in
> dnsbl-1.uceprotect.net
> tflags RCVD_IN_UCEPROTECT1 net
>
> # dnsbl-2.uceprotect.net
> header RCVD_IN_UCEPROTECT2
> eval:check_rbl('uceprotect2-lastexternal', 'dnsbl-2.uceprotect.net.')
> describe RCVD_IN_UCEPROTECT2 Received via a relay in
> dnsbl-2.uceprotect.net
> tflags RCVD_IN_UCEPROTECT2 net
>
> # dnsbl-3.uceprotect.net
> header RCVD_IN_UCEPROTECT3
> eval:check_rbl('uceprotect3-lastexternal', 'dnsbl-3.uceprotect.net.')
> describe RCVD_IN_UCEPROTECT3 Received via a relay in
> dnsbl-3.uceprotect.net
> tflags RCVD_IN_UCEPROTECT3 net
>
> endif
>
> score RCVD_IN_UCEPROTECT1 1.0
> score RCVD_IN_UCEPROTECT2 1.0
> score RCVD_IN_UCEPROTECT3 1.0
>
>
> Score as you see fit. Remove the appended -lastexternal if you want to
> have *all* IPs checked rather than just the last external IP.
>
>
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>
Hallo zusammen,
also ich habe mal uceprotect 1+2 über Nacht laufen lassen, muss aber
feststellen, dass ein paar Newsletter hängen geblieben sind. Bin
inzwischen nicht mehr der Meinung, dass eine Listung in einer dieser BLs
einen 100%igen reject nach sich ziehen soll.
Der Vorschlag von Sebastian war ganz gut, die BLs in Spamassassin
einzubinden. Bin aber mit SA nicht so firm.. Habe das Modul
Mail::SpamAssassin::Plugin::DNSEval über die CPAN shell installiert, es
wird auch über /etc/spamassassin/v320.pre mit dem darin enthaltenen
Befehl "loadplugin Mail::SpamAssassin::Plugin::DNSEval" geladen. Aber wo
stelle ich den von Sebastian geposteten Code rein? Kann das direkt in
der local.cf erfolgen? Bin mal davon ausgegangen dass "ifplugin ....."
das Modul lädt und irgendwo auch die passende Configdatei zu finden ist,
die in diesem Fall besagt, welche BLs zu checken sind.
Hier mal ein Beispiel-Auszug aus meinem Logfile:
postfix/policyd-weight[28569]: weighted check: NOT_IN_ZEN_SPAMHAUS=-1.5
NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 CL_IP_EQ_FROM_MX=-3.1
IN_SURBL=4 <client=91.184.56.4> <helo=mail.komm46.com>
<from=info at komm46.com> <to=user at meinedomain.de>, rate: -3.6
Ich bin etwas verwirrt, warum REV_IP_EQ_HELO von polw nicht zugeschlagen
hat, da bei der Einlieferung "connect from komm46.com[91.184.56.4]" im
Logfile vorzufinden war (das müsste ja der Reverse lookup name sein?!)
und lt. polw ja ein anderer helo-name angegeben war. Dieser Fall scheint
mir ein Mailserver bzw. eine Maildomain zu sein, die ausschliesslich zum
Spam-Zweck gedacht ist....
Danke & Gruss
Thomas
Mehr Informationen über die Mailingliste Postfixbuch-users