dedizierte Antispam / E-Mail-Sicherheit Mailingliste

Carsten Rosenberg cr at ncxs.de
Fr Mär 4 18:44:31 CET 2022 

Hey,

On 03.03.22 15:34, Andre Tann via Postfixbuch-users wrote:
> On 02.03.22 14:15, Carsten Rosenberg via Postfixbuch-users wrote:
> 
>> Firewalls und Fail2ban (und warum das doof ist)
> 
> Darf man erfahren, wieso Firewalls und/oder Fail2ban "doof" sind?


Per se sind Firewalls und  Fail2ban natürlich nicht doof, aber 
vielleicht kontraproduktiv für das was du ggf. erreichen willst.

Grundlegend hat man 2 Ansätze seine User vor Spam zu bewahren. Entweder 
ich blockiere so früh wie möglich: Postfix Restrictions, Header Checks, 
noch früher mit Postscreen oder noch früher per IP Block 
(Firewall/Fail2ban). Das hält einem das System sauber und der Host der 
100% Spam schickt belästigt mich gar nicht mehr. Hier bist du darauf 
angewiesen Spam 100%tig zu erkennen. Das klappt mit externer Hilfe wie 
RBL's auch ganz gut.

Oder ich versuche aus jeder Spam Mail eigene Erkenntnisse zu ziehen und 
meine eigene Datenbasis damit zu verbessern. Dafür muss ich mir den 
E-Mail Inhalt anschauen. Dann wird das gehackte Wordpress versuchen am 
Tag dutzende Mails bei mir einzuliefern und das nervt im Log. Ablehnt 
werden die ja sowieso.

Früher war Ansatz 1 definitiv der Richtige, weil mir der Server 
abgebrannt wäre, wenn ich alle eingehenden Zustellversuche mit 
Spamassassin gescannt hätte.

Rspamd ist in Hinsicht des Ressourcenverbrauchs ein Meilensprung und hat 
Funktionen, die weit über die statische Analyse hinaus gehen. (Keine 
Frage viele Ansätze gab es schon früher, im Rspamd sind aber viel besser 
kombinierbar).

Ich präferiere den 2. Ansatz. Ich lasse alle Zustellversuche vom Rspamd 
analysieren. Auch wenn ich die Mail, weil sie in Spamhaus gelistet ist, 
eh ablehne. Denn dadurch werden die selbstlernenden Module verbessert. 
Bayes, Fuzzy, Reputation, Ratelimit, Neural Network, Spamtrap. Und das 
hilft mir dann wenn Spams plötzlich von einer neuen IP kommen. Oder wenn 
die Spammer ihre Templates leicht verändern oder neue Kampagnen 
ausrollen. Rspamd hat dann einen ähnlichen Text schon einmal gesehen, 
hat eine sehr schlechte Reputation für ein Netzwerk oder eine Reply-To 
Adresse.

Genauso hilft es mir False Postives zu vermeiden.

Wenn ich alles so früh wie möglich blockiere, bekommt Rspamd von den 
sich ändernden Kampagnen nichts mit und steht dann ggf. vor einer Mail, 
die er nicht gut einschätzen kann. Dann kann ich nur noch darauf 
vertrauen, dass die IP oder die URL's schon auf einer RBL stehen oder im 
Fall von Spamassassin die Rules das schon abdecken.

Daher wäre mein Ansatz, die eigenen Regeln für ablehnenswerte Mails 
beizubehalten, aber im Rspamd (nicht als prefilter-reject) abzulehnen.

Wir arbeiten mittlerweile in Projekten ohne Fail2Ban, Postscreen, mit 
minimalen Postfix Restrictions (ohne RBL), ohne Postgrey, Policyd-Weight 
- aber arbeiten das Regelwerk in den Rspamd ein. Und die teuer bezahlte 
Palo Alto mit SMTP Interception? Könnte man auch vom Rspamd abfragen und 
damit die eigene Datenbasis verbessern.

Viele Grüße

Carsten

Mehr Informationen über die Mailingliste Postfixbuch-users