[Postfixbuch-users] Spam Problem

Uwe Drießen driessen at fblan.de
Sa Jun 29 12:29:34 CEST 2013 

Im Auftrag von Andre
> 
> danke für die Tipps.
> 
> Am 29.06.2013 11:14, schrieb Uwe Drießen:
> > Sanesecuritys an Amavis schon drangehängt ?
> nein, ich werd's mir anschauen.
> 
> > Hast  Postscreen laufen
> nein, soweit ich die Funktionsweise von Postscreen richtig verstanden
> habe, wird es bei dem Problem nicht helfen, oder?
> 
> > Hast du Greylisting laufen
> ja
> 

Bis dato habe zumindest ich noch keine solchen Mails hier eingefangen und
von meinen Kunden kamen auch noch keine Beschwerden diesbezüglich.

Ich habe hier beides laufen Postscreen für alle mit folgenden Einstellungen 

postscreen_non_smtp_command_enable  = yes
postscreen_bare_newline_enable      = yes
postscreen_bare_newline_action      = drop
postscreen_greet_action             = drop
postscreen_dnsbl_action             = drop
postscreen_dnsbl_threshold          = 2
postscreen_dnsbl_sites =
    black.uribl.com
    zen.spamhaus.org,
    bl.spamcop.net,
    ix.dnsbl.manitu.net,


und Greylisting selectiv auf so ziemlich alles außer DE 

smtpd_recipient_restrictions =......
   reject_unknown_sender_domain,
   reject_unknown_recipient_domain,
   reject_non_fqdn_sender,
   reject_non_fqdn_recipient,
   reject_unlisted_sender,
............

		check_client_access pcre:/etc/postfix/maps/dialups.grey,
(ziemlich am Ende)


/etc/postfix/maps/dialups.grey :

/eu\.blackberry\.com$/  DUNNO
/sipgate\.net$/         DUNNO
/(\-.+){4}$/ greylisting
/(\..+){4}$/ greylisting
# everything with 3 or more dots/hyphens in the hostname

/(^|[0-9.x_-])(abo|br(e|oa)dband|cabel|(hk)?cablep?|catv|cbl|cidr|d?client2?
|cust(omer)?s?|dhcp|dial?(in|up)?|d[iu]p|[asx]?dsld?|dyn(a(dsl|mic)?)?|home|
in-addr|modem(cable)?|(di)?pool|ppp|ptr|rev|static|user|YahooBB[0-9]{12}|c[[
:alnum:]]{6,}(\.[a-z]{3})?\.virtua|[1-9]Cust[0-9]+|AC[A-Z][0-9A-F]{5}\.ipt|p
cp[0-9]{6,}pcs|S0106[[:alnum:]]{12,}\.[a-z]{2})[0-9.x_-]/
greylisting
/\.(g.|.u|.z|org|info|si|ru|sk|ro|eg|lv|gr|za|net|com|br|jp|ca|co|cz|cy|in|i
l|it|mx|pl|pt|ua|ar|th|no|nl|ma|nu|ee|pe|se|ux|lt)$/    greylisting
/clients\.your-server\.de$/ greylisting
/unknown/       greylisting

Dazu kommt dann noch 

smtpd_restriction_classes           =    greylisting , .....


und 

greylisting                         =   check_policy_service
inet:127.0.0.1:10023


und was du dir auch noch anschauen kannst ist :

http://www.postfix.org/postconf.5.html

   reject_invalid_helo_hostname,
   reject_non_fqdn_helo_hostname,
   reject_unknown_client_hostname,
   reject_unknown_helo_hostname,


in der Regel haben die gehackten Webserver niemals alles richtig sitzen mal
fehlt der richtige Helo, der PTR oder sonst was 
Du mußt halt die Balance zwischen annahme und reject bei deinem Mailserver
finden.
Mit den Restriction_classes kann man ganz abgefahrene Dinge bauen. 



Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045

Mehr Informationen über die Mailingliste Postfixbuch-users