Rspamd Grundsatzfrage?

classic Classic list List threaded Threaded
9 messages Options
Reply | Threaded
Open this post in threaded view
|

Rspamd Grundsatzfrage?

Günther J. Niederwimmer
Hallo,

zuerst an die Profis ;-), wird es mal ein Buch geben wo rspamd einbezogen
wird?
Könnte ich gut gebrauchen, da das Teil immer mächtiger wird!

Aber jetzt zu meiner Frage, ist es eine gute Entscheidung wenn man schon jetzt
von postscreen auf rspamd umstellt?

Oder besser gesagt welche Prüfungen sollte man von rspamd machen lassen?

Ich werde im Moment "erschlagen" von den Möglichkeiten dieses Programms.

Leider habe ich aber noch nicht feststellen können ob das ganze auch richtig
funktioniert, da ich anscheinend noch zu wenig davon verstehe :-(.

Für alle Antworten dankbar,

--
mit freundliche Grüßen / best regards,

  Günther J. Niederwimmer


Reply | Threaded
Open this post in threaded view
|

Re: Rspamd Grundsatzfrage?

Marc Risse
Am 16.06.19 um 16:16 schrieb Günther J. Niederwimmer:

> Hallo,
>
> zuerst an die Profis ;-), wird es mal ein Buch geben wo rspamd einbezogen
> wird?
> Könnte ich gut gebrauchen, da das Teil immer mächtiger wird!
>
> Aber jetzt zu meiner Frage, ist es eine gute Entscheidung wenn man schon jetzt
> von postscreen auf rspamd umstellt?
>
> Oder besser gesagt welche Prüfungen sollte man von rspamd machen lassen?
>
> Ich werde im Moment "erschlagen" von den Möglichkeiten dieses Programms.
>
> Leider habe ich aber noch nicht feststellen können ob das ganze auch richtig
> funktioniert, da ich anscheinend noch zu wenig davon verstehe :-(.
>
> Für alle Antworten dankbar,
>
Hallo,

ich nutze rspamd seit Ende2016/Anfang 2017 produktiv für ein "privates"
ISPConfig-Multiserver-Setup mit ~100 E-Mail-Domains. Die Umstellung
unseres Rechenzentrums ist für dieses Jahr geplant.
Rspamd läuft wunderbar, ich nutzte im Moment nur noch amavis zum
Signieren, den Rest erledigt rspamd (+DCC, oletools, ...). Gute Doku
gibt es nicht viel, bzw. ist die Modul-Doku auf der offiziellen Webseite
meiner Meinung nach sehr "speziell" und teilweise auch lückenhaft, aber
es lohnt sich bei den Profis ab zuschauen. Im Rahmen der SLAC 2019 hat
Carsten Rosenberg eine gute Konfigurationsgrundlage bereitgestellt:
https://github.com/HeinleinSupport/rspamd-slac-2019
Die SLAC lohnt sich übrigens sehr in dieser Hinsicht! Dieses und letztes
Jahr gab es viele gute Vorträge und Informationen rund um rspamd ;-)
[Nein, ich werde für die Erwähnung der #SLAC nicht von Peer bezahlt! ;) ]

Ach ja, Der Entwickler von rspamd ist Bottom-Posting-Fetischist, also
besser schon mal daran gewöhnen, sonst gibt es Ärger in Liste :D
(http://www.idallen.com/topposting.html)


VG
Marc


Reply | Threaded
Open this post in threaded view
|

Re: Rspamd Grundsatzfrage?

Thomas Walter
In reply to this post by Günther J. Niederwimmer
Hallo,

On 16.06.19 16:16, Günther J. Niederwimmer wrote:
> zuerst an die Profis ;-), wird es mal ein Buch geben wo rspamd einbezogen
> wird?

bestimmt. :)

> Könnte ich gut gebrauchen, da das Teil immer mächtiger wird!
>
> Aber jetzt zu meiner Frage, ist es eine gute Entscheidung wenn man schon jetzt
> von postscreen auf rspamd umstellt?

Ja. Bei einem Heinlein-Kurs wurde darauf hingewiesen, dass das von
Vorteil ist, weil rspamd dann die E-Mails für die automatischen
Training-Verfahren mit ranziehen kann. IP-Scoring, neural Networks, usw.

Die Performance ist gut genug, dass man sich keine Sorgen machen muss,
das diese ansonsten noch vor einem Scan abgewiesenen E-Mails die
Warteschlange blockieren könnten.

> Oder besser gesagt welche Prüfungen sollte man von rspamd machen lassen?

Ich scanne inzwischen eigentlich alles nur noch über rspamd.

     Balu
Reply | Threaded
Open this post in threaded view
|

Re[2]: Rspamd Grundsatzfrage?

André Peters
Vor allem kann es auch alles. Da braucht es fast nichts Externes.
Abgesehen von AVs etc.

Was fehlt, kann via LUA API integriert werden.

------ Originalnachricht ------
Von: "Thomas Walter" <[hidden email]>
An: [hidden email]
Gesendet: 17.06.2019 09:29:33
Betreff: Re: Rspamd Grundsatzfrage?

>Hallo,
>
>On 16.06.19 16:16, Günther J. Niederwimmer wrote:
>>  zuerst an die Profis ;-), wird es mal ein Buch geben wo rspamd einbezogen
>>  wird?
>
>bestimmt. :)
>
>>  Könnte ich gut gebrauchen, da das Teil immer mächtiger wird!
>>
>>  Aber jetzt zu meiner Frage, ist es eine gute Entscheidung wenn man schon jetzt
>>  von postscreen auf rspamd umstellt?
>
>Ja. Bei einem Heinlein-Kurs wurde darauf hingewiesen, dass das von
>Vorteil ist, weil rspamd dann die E-Mails für die automatischen
>Training-Verfahren mit ranziehen kann. IP-Scoring, neural Networks, usw.
>
>Die Performance ist gut genug, dass man sich keine Sorgen machen muss,
>das diese ansonsten noch vor einem Scan abgewiesenen E-Mails die
>Warteschlange blockieren könnten.
>
>>  Oder besser gesagt welche Prüfungen sollte man von rspamd machen lassen?
>
>Ich scanne inzwischen eigentlich alles nur noch über rspamd.
>
>      Balu

Reply | Threaded
Open this post in threaded view
|

Re: Rspamd Grundsatzfrage?

Stefan G. Weichinger-3
Am 17.06.19 um 09:30 schrieb André Peters:
> Vor allem kann es auch alles. Da braucht es fast nichts Externes.
> Abgesehen von AVs etc.
>
> Was fehlt, kann via LUA API integriert werden.

Ad "alles":

ein Kunde von mir hat nach GeoIP-Scoring gefragt, er möchte etwas ala

wenn aus IP-Range RUS/China/oä., dann höher scoren, bzw. wegsortieren in
Ordner "Verdächtig"

Ich hab noch nicht detailliert geforscht, auf die Schnelle aber nix
eindeutig passendes gefunden bei rspamd.

postfwd kann das, macht es Sinn, allerdings hab ich den seit Längerem
deaktiviert und möchte ungern wegen einem Feature einen 2. Daemon
betreiben müssen.

Hat da jemand einen Tip für mich?

Sonnige Grüße, Stefan

Reply | Threaded
Open this post in threaded view
|

Re: Rspamd Grundsatzfrage?

Martin Steigerwald
Hi Stefan.

Stefan G. Weichinger - 30.06.19, 11:01:

> Am 17.06.19 um 09:30 schrieb André Peters:
> > Vor allem kann es auch alles. Da braucht es fast nichts Externes.
> > Abgesehen von AVs etc.
> >
> > Was fehlt, kann via LUA API integriert werden.
>
> Ad "alles":
>
> ein Kunde von mir hat nach GeoIP-Scoring gefragt, er möchte etwas ala
>
> wenn aus IP-Range RUS/China/oä., dann höher scoren, bzw. wegsortieren
> in Ordner "Verdächtig"
>
> Ich hab noch nicht detailliert geforscht, auf die Schnelle aber nix
> eindeutig passendes gefunden bei rspamd.
>
> postfwd kann das, macht es Sinn, allerdings hab ich den seit Längerem
> deaktiviert und möchte ungern wegen einem Feature einen 2. Daemon
> betreiben müssen.
>
> Hat da jemand einen Tip für mich?

Also wenn ich

X-Spamd-Result: default: False [-0.63 / 15.00];
[…]
        IP_SCORE(-0.02)[country: DE(-0.09)];

richtig deute, dann macht rspamd das bereits.

Ciao,
--
Martin


Reply | Threaded
Open this post in threaded view
|

Re: Rspamd Grundsatzfrage?

Carsten Rosenberg
On 30.06.19 11:34, Martin Steigerwald wrote:

> Hi Stefan.
>
> Stefan G. Weichinger - 30.06.19, 11:01:
>> Am 17.06.19 um 09:30 schrieb André Peters:
>>> Vor allem kann es auch alles. Da braucht es fast nichts Externes.
>>> Abgesehen von AVs etc.
>>>
>>> Was fehlt, kann via LUA API integriert werden.
>>
>> Ad "alles":
>>
>> ein Kunde von mir hat nach GeoIP-Scoring gefragt, er möchte etwas ala
>>
>> wenn aus IP-Range RUS/China/oä., dann höher scoren, bzw. wegsortieren
>> in Ordner "Verdächtig"
>>
>> Ich hab noch nicht detailliert geforscht, auf die Schnelle aber nix
>> eindeutig passendes gefunden bei rspamd.

Multimap mit map type Country.

https://rspamd.com/doc/modules/multimap.html#map-types

>>
>> postfwd kann das, macht es Sinn, allerdings hab ich den seit Längerem
>> deaktiviert und möchte ungern wegen einem Feature einen 2. Daemon
>> betreiben müssen.
>>
>> Hat da jemand einen Tip für mich?
>
> Also wenn ich
>
> X-Spamd-Result: default: False [-0.63 / 15.00];
> […]
> IP_SCORE(-0.02)[country: DE(-0.09)];
>
> richtig deute, dann macht rspamd das bereits.

IPScore oder neu Reputation, baut eine automatisch eine IP-Reputation
auf. Klappt ziemlich gut ;)

>
> Ciao,
>

Grüße

Carsten
Reply | Threaded
Open this post in threaded view
|

Re: Rspamd Grundsatzfrage?

Thomas Walter
In reply to this post by Martin Steigerwald


On 30.06.19 11:34, Martin Steigerwald wrote:
> X-Spamd-Result: default: False [-0.63 / 15.00];
> […]
> IP_SCORE(-0.02)[country: DE(-0.09)];
>
> richtig deute, dann macht rspamd das bereits.

Das ist der IP-Score, der auf das ASN-Modul zugreift.

Man kann über die Multimaps auch danach filtern:
https://rspamd.com/doc/modules/multimap.html

-----
Map types
[...]
country - matches country code of AS passed by ASN module"
----

     Balu
Reply | Threaded
Open this post in threaded view
|

Re: Rspamd Grundsatzfrage?

Stefan G. Weichinger-3
In reply to this post by Carsten Rosenberg
Am 30.06.19 um 16:40 schrieb Carsten Rosenberg:

> On 30.06.19 11:34, Martin Steigerwald wrote:
>> Hi Stefan.
>>
>> Stefan G. Weichinger - 30.06.19, 11:01:
>>> Am 17.06.19 um 09:30 schrieb André Peters:
>>>> Vor allem kann es auch alles. Da braucht es fast nichts Externes.
>>>> Abgesehen von AVs etc.
>>>>
>>>> Was fehlt, kann via LUA API integriert werden.
>>>
>>> Ad "alles":
>>>
>>> ein Kunde von mir hat nach GeoIP-Scoring gefragt, er möchte etwas ala
>>>
>>> wenn aus IP-Range RUS/China/oä., dann höher scoren, bzw. wegsortieren
>>> in Ordner "Verdächtig"
>>>
>>> Ich hab noch nicht detailliert geforscht, auf die Schnelle aber nix
>>> eindeutig passendes gefunden bei rspamd.
>
> Multimap mit map type Country.
>
> https://rspamd.com/doc/modules/multimap.html#map-types

ah, nice, danke für den Link