[Postfixbuch-users] Integration von DSPAM

Uwe Driessen driessen at fblan.de
So Jan 6 19:50:05 CET 2008 

Oskar Eyb schrieb: 
> in der queue sind einige MAILER-DAEMON mails, die vom Ziel-Server
> (chuck) mit 450 "User unknown in virtual mailbox table (in reply to RCPT
> TO command))" abgewiesen werden.

Jap dafür gibt es ein Postfix Konfigurationseintrag der sich da nennt 

unknown_address_reject_code = 550

> 
> Ist 450 nicht hart genug, so dass beastie die Mails nicht gleich verwirft?
> 
> Bzw, der nächste Schritt wäre dann wohl der bounce an den nicht
> existierenden Empfänger. Wie kann ich Backscatter auf dem Mailrelayhost
> verhindern? Der hat ja keine virtual_mailbox_maps und virtual_alias_maps
>   von eyb.de.

Die solltest du aber anlegen nur dann kann sauber gearbeitet werden es gibt zwar noch den 
reject_unverified_recipient aber das ist nur bedingt zu empfehlen. Wenn du an die Maps vom
eyb dran kommst dann legt die auch auf dem Backup an. 

> 
> Sollte ich den Aufwand (viel isses IN DIESEM FALL) nicht, die Listen dem
> Relayhost beastie zur Verfügung zu stellen, wie löst man das am besten?

Jap solltest du 

> 
> 
> Kann man diese Evergreen-Adressen der spammer in eine blacklist
> schreiben, die noch vor den rbls drankommt?
> 
> lineybmet@
> contact@
> usenet-0904@
> vertrieb@
> ....

Uninteressant wechseln zu häufig außerdem werden die ungültigen Adressen sowieso schon
rejectet(sollte man zumindest tun und wer Catchall hat ist selber schuld)


> 
> 
> 
> Greylisting selektiv einstellen, wie meinst du das genau?
> Es gibt ja die beiden Dateien:
> 
> postgrey_whitelist_clients
> und postgrey_whitelist_recipients

Hat nichts mit diesen Dateien zu tun 

SELECTIVES GREYLISTING

> main.cf:
> ------------
> # postgrey, ...
> smtpd_restriction_classes = greylisting, ...
> greylisting = check_policy_service inet:127.0.0.1:10031
> 127.0.0.1:10031_time_limit      = 3600
> #
> smtpd_(mumble)_restrictions    = ..., permit_mynetworks,
>                     ..., reject_unauth_destination,
>                     check_client_access pcre:/etc/postfix/GREYLISTING
> 
> 
> /etc/postfix/GREYLISTING:
> --------------------------
> # kein rDNS
> /^unknown$/               greylisting
> # grobe Kelle
> /(\d{1,3}[\-\.]){4}/      greylisting
> ...

Das ist nur ein Beispiel aber mit Regex lässt sich so was für den eigenen Server gut
ausbauen z.B. /\.ru$|\.se$/  greylisting

> In postgrey_whitelist_clients  habe ich bereits ein paar
> Mailserver-Namen eingetragen. Habe aber noch nicht beobachten können, ob
> das greift.

Mach es umgekehrt wie oben beschrieben bestimmte Merkmale im PTR/rDNS werden mit
Greylisting geahndet der Rest wird einfach angenommen 

Postgrey auch auf defer einstellen und nicht wie Standart defer if permit damit spart man
sich beim ersten Durchgang die ganzen RBL-Anfragen die dahinter kommen sollten  

> 
> 
> postgrey_flags="-q -d --delay=30 ...
> --whitelist-recipients=/etc/postfix/postgrey_whitelist_recipients
> --whitelist-clients=/etc/postfix/postgrey_whitelist_clients"
> 
> Das Delay habe ich schon deutlich runtergesetzt.

Jo aber es gibt schon SPamer die nach 30 sec schon wieder versuchen hast du aber wie
Standart 5 min drin siehst du die nie wieder 


> 
> policyd-weight.conf ist noch policyd-weight.conf unberührt.
> 

So habe ich es im Betrieb und funktioniert auch Klaglos wer daran rumspielt sollte sich
die Programmierung sehr genau anschauen. Durch die verschachtelte Score vergaben werden
Änderungen daran sehr schnell contraproduktiv.

> 
> Im Header deiner Mail steht z.b.:
> 
> X-policyd-weight: using cached result; rate: -7.6
> 
> 
> habe jetzt dem postgrey noch "
> -d --auto-whitelist-clients=5" (also den standardwert) hinzugefügt.
> 
> Viel Spam kommt jetzt schon nicht durch, vielleicht 20 am Tag, 
> verglichen mit mindestens dem 100-fachen ohne RBL, greylisting und polw.

Nun was willst du mehr? Wenn dich immer wieder die gleichen ärgern dann poste das logfile
dazu dann finden sich sicherlich auch noch Restriktion die gegen diese Leute wirkt.
Bedenke aber dass die Gefahr von falsepositiven mit jeder strengeren Prüfung steigt(soll
nicht heißen dass es so sein muss sondern nur das man sehr genau hinschauen soll was man
einsetzt).
Du kommst nicht drum herum ins Logfile zu schauen und genau auf die Bedürfnisse deiner
User bzw. dem Einsatzzweck deines Servers entsprechend die Restriktionen aufzubauen.
Da gilt lieber konservativ anfangen und das ganze langsam aufbauen.  


Für die Spamerkennung solltest du auf bewährte Gespanne setzen amavisd-new, clamav und
spamassasin ist hundertfach im Einsatz leicht einzurichten für SA noch ein sare Rules dazu
und du hast ohne Trainingsaufwand einen mehr wie guten Filter.

Überlege mal wie viele User wirklich in der Lage sind einen Spamfilter sauber zu
trainieren dazu gehören genauso viele gute wie spammails damit hinterher noch was
gescheites rauskommt. Wer nur das eine trainiert zerstört die Erkennung.

Oder wie Sandy sagt :" wenn sich einer beschwert schaue ich nach und überleg mir was"

> 
 

Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045   Fax: 06708 / 661397

Mehr Informationen über die Mailingliste Postfixbuch-users