<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <p>Am 14.12.2020 um 08:45 schrieb Andreas:
</p>
    <blockquote type="cite" cite="mid:3245804.7gkKIyfXZz@stuttgart">
      <meta http-equiv="content-type" content="text/html; charset=UTF-8">
      <meta name="qrichtext" content="1">
      <style type="text/css">
p, li { white-space: pre-wrap; }</style>
      <p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Hallo zusammen,</p>
      <p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; margin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; "> </p>
      <p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">auf meinem Mailserver (Postfix, Amavis, Spamassin auf Debian) werden nach wie vor Spam durchgelassen. Zwar nicht so Viele wie ohne Filter, besser wären keine.</p>
      <p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; margin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; "> </p>
      <p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Es sind Mails zu Bitcoins, "Aus der Höhle der Löwen", "Du wurdest von Tim eingeladen" (fuenf-zum-glueck.de), "Margrit möchte dich treffen" (<a class="moz-txt-link-abbreviated" href="mailto:ReitaAgeichikova@mail.com">ReitaAgeichikova@mail.com</a>) etc.</p>
      <p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Ich stecke die zwar immer in den Spam-Ordner, um die Autolearn-Funktion regelmässig zu nutzen und hole täglich auf spamassassin.heinlein-support.de</p>
      <p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">neue Pattern-Updates, aber irgendwie hilft das nicht so doll.</p>
      <p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; margin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; "> </p>
      <p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Deshalb meine Fragen. Wie sind die optimalen Parameter bei Spamassin, um eine größtmögliche Bandbreite an Spammails auszusortieren?</p>
      <p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Oder wie analysiere ich betreffende Mails, um dann eben passende Parameter zu korrigieren. Das Eintragen der Domains in die Postfix-Configs, damit diese abgelehnt werden, dürfte auch keine sinnvolle Methode sein, zumal das auch kontraproduktiv sein kann.</p>
      <p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; margin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; "> </p>
      <p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Habt Ihr hier gute Ansätze, die ich übernehmen darf?</p>
      <p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; margin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; "> </p>
      <p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Beste Grüße</p>
      <p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; margin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; "> </p>
      <p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Andreas</p>
    </blockquote>
    <p>Ich analysiere basierend auf Mailgraph die Wirkung meiner Filter, diese sind technisch, RBL und SpamAssassin basierend sind. Dort sehe ich in den Diagrammen, was so ab geht ;-)</p>
    <p>- technisch: hostname zur IP prüfen: "Cannot find your hostname", da fällt schon viel raus, hauptsächlich Dial-Ups aus Brasielien, weiter gundlegende RFC Kompatibilität.
- RBLs: u.a. heise (Manitu), usw.
- Spam Assassin (Pyzor und Razor)</p>
    <p>Dem vorgeschaltet ist ein IP blocking per iptables. Das sind durch fail2ban auffällig gewordene IP's, hauptsächlich login Bruteforce Attacken oder Zombi Hosts,
da gibt es eine handvoll IP Adressen, hauptsächlich aus China, die eine Verbindung aufbauen und dann kein EHLO senden.</p>
    <p>Ganz wichtige und zuverlässige Kunden sind whitgelistet, ebenso eingebunden eine öffentliche IP whitelist wo Telekom, 1&1, Amazon usw. aufgeführt sind.</p>
    <p>Praktisch seit Jahren kein Spam im Posteingang, was AMAVIS / Spamassassin filtert, verschiebt Sieve in den SPAM Ordner. Da finde ich auch eine Deiner Kandidaten ...</p>
    <p>lg Frank
</p>
  </body>
</html>