Zuviel SPAM, richtiges Justieren der SPAM-Filter

fk+postfix at celebrate.de fk+postfix at celebrate.de
Mo Dez 14 09:15:51 CET 2020 

Am 14.12.2020 um 08:45 schrieb Andreas:

> Hallo zusammen,
>
>  
>
> auf meinem Mailserver (Postfix, Amavis, Spamassin auf Debian) werden
> nach wie vor Spam durchgelassen. Zwar nicht so Viele wie ohne Filter,
> besser wären keine.
>
>  
>
> Es sind Mails zu Bitcoins, "Aus der Höhle der Löwen", "Du wurdest von
> Tim eingeladen" (fuenf-zum-glueck.de), "Margrit möchte dich treffen"
> (ReitaAgeichikova at mail.com) etc.
>
> Ich stecke die zwar immer in den Spam-Ordner, um die
> Autolearn-Funktion regelmässig zu nutzen und hole täglich auf
> spamassassin.heinlein-support.de
>
> neue Pattern-Updates, aber irgendwie hilft das nicht so doll.
>
>  
>
> Deshalb meine Fragen. Wie sind die optimalen Parameter bei Spamassin,
> um eine größtmögliche Bandbreite an Spammails auszusortieren?
>
> Oder wie analysiere ich betreffende Mails, um dann eben passende
> Parameter zu korrigieren. Das Eintragen der Domains in die
> Postfix-Configs, damit diese abgelehnt werden, dürfte auch keine
> sinnvolle Methode sein, zumal das auch kontraproduktiv sein kann.
>
>  
>
> Habt Ihr hier gute Ansätze, die ich übernehmen darf?
>
>  
>
> Beste Grüße
>
>  
>
> Andreas
>
Ich analysiere basierend auf Mailgraph die Wirkung meiner Filter, diese
sind technisch, RBL und SpamAssassin basierend sind. Dort sehe ich in
den Diagrammen, was so ab geht ;-)

- technisch: hostname zur IP prüfen: "Cannot find your hostname", da
fällt schon viel raus, hauptsächlich Dial-Ups aus Brasielien, weiter
gundlegende RFC Kompatibilität. - RBLs: u.a. heise (Manitu), usw. - Spam
Assassin (Pyzor und Razor)

Dem vorgeschaltet ist ein IP blocking per iptables. Das sind durch
fail2ban auffällig gewordene IP's, hauptsächlich login Bruteforce
Attacken oder Zombi Hosts, da gibt es eine handvoll IP Adressen,
hauptsächlich aus China, die eine Verbindung aufbauen und dann kein EHLO
senden.

Ganz wichtige und zuverlässige Kunden sind whitgelistet, ebenso
eingebunden eine öffentliche IP whitelist wo Telekom, 1&1, Amazon usw.
aufgeführt sind.

Praktisch seit Jahren kein Spam im Posteingang, was AMAVIS /
Spamassassin filtert, verschiebt Sieve in den SPAM Ordner. Da finde ich
auch eine Deiner Kandidaten ...

lg Frank

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20201214/8b0564fe/attachment.htm>

Mehr Informationen über die Mailingliste Postfixbuch-users