[Postfixbuch-users] Melde Vollzug :-) + sichere Antispamchecks?
Sandy Drobic
postfixbuch-users at drobic.de
Mo Jun 8 09:36:47 CEST 2009
Jan Scholten wrote:
> Mein "Problem" von letzter Woche habe ich jetzt ausgemerzt, relay_recipient_maps aktiviert und meine HAM Ratio von 0.23 auf 12.5% gesteigert.
> Macht etwa 400.000 bounces weniger pro Tag und spart uns knapp 20% unserer Bandbreite.. mal gespannt ob wir User vergessen haben, ich finde es toll.
>
Sehr schön!
> Die nächsten Schritte wären Antispam.. welche Postfix Checks kann man getrost aktivieren, ohne sich Sorgen zu machen was sinnvolles zu erwischen?
Das ist leider genau das Problem. Diese Checks prüfen ab, wie ordentlich sich
ein Client an die Regeln hält. Dummerweise gibt es immer wieder schlampig
eingerichtete Mailserver, die diese auch verletzen.
> reject_unknown_hostname hat bei mir z.B. einiges an HAM erwischt, hatte es dann rausgeschmissen.
reject_unknown* wird dir häufiger mal false positives bescheren.
> Mein privater Server nutzt:
> reject_non_fqdn_recipient,
> reject_non_fqdn_sender,
> reject_unknown_sender_domain,
> reject_unknown_recipient_domain,
> permit_mynetworks,
> check_sender_mx_access cidr:/etc/postfix/bogon_networks.cidr,
> check_sender_mx_access hash:/etc/postfix/wildcard_mx,
> check_client_access cidr:/etc/postfix/drop.cidr
> check_sender_mx_access cidr:/etc/postfix/drop.cidr
> check_sender_ns_access cidr:/etc/postfix/drop.cidr
> reject_unlisted_recipient,
> ############################
> permit_sasl_authenticated,
> reject_unauth_destination,
> reject_unauth_pipelining,
> check_recipient_access hash:/etc/postfix/rfc_oks,
> reject_multi_recipient_bounce,
> # Prüft ob jemand versucht sich mit meinem Hostnamen oder IP zu melden
> check_helo_access pcre:/etc/postfix/helo_checks,
> # einzelne User brauchen eine whitelist für internes Dreckszeug
> check_sender_access hash:/etc/postfix/whitelist,
> reject_non_fqdn_hostname,
> reject_invalid_hostname,
> reject_invalid_helo_hostname,
> reject_non_fqdn_helo_hostname,
reject_invalid_hostname ist das gleiche wie die neuere Schreibweise
reject_invalid_helo_hostname, dito für non_fqdn.
> check_policy_service inet:127.0.0.1:12525
>
>
> Aber da muß ich häufiger dran rumdoktorn, das will ich hier vermeiden, vor allem kann ich (wegen der Masse) die Mails nicht sinnvoll filtern und nach False Positives überprüfen..
Was musst du hier denn viel verändern?
> Also was sind eurer Meinung nach "sichere" Einstellungen die man ohne schlechtes Gewissen und viel Nachsorge einschalten könnte?
Es gibt kaum einen Check, der nicht schon einmal einen echten Mailserver
erwischt hat. GMX stand auch schon auf Blacklists, Greylisting hat Mailserver
auflaufen lassen, wenn diese mit immer anderen IPs sendeten, große Firmen sind
häufig der Meinung, dass deren interne Domains doch auch nach außen gelten und
reject_unknown_sender_domain nur für andere gilt.
Je nachdem, welche Clients ihr dort am laufen habt, solltest du dich langsam
herantasten. Bei deinem Mailvolumen wirst du um einige Scripte nicht herum
kommen. Ich würde vorschlagen, dass du zuerst ein oder zwei mal mit
warn_if_reject einfügst und dann die Reject-Meldungen (die nur geloggt, aber
nicht tatsächlich abgewiesen werden) durchgehst mit Scripten, ob die Abweisung
eventuell falsch war.
Dafür wirst du wohl ein paar Scripte schreiben müssen, die diese IPs gegen
Blacklists abcheckt und auch nachsieht, ob von dieser IP Spam gekommen ist
oder ob auch Ham eingegangen ist.
Lasse das Log am besten in eine MySQL-Datenbank einlaufen, dann werden die
späteren Checks besser durchführbar sein. Wegen des Volumens sollte dies
natürlich auf eine getrennten Kiste geschehen.
Mehr Informationen über die Mailingliste Postfixbuch-users