Spam von infizierten Kunden unterbinden

classic Classic list List threaded Threaded
8 messages Options
Reply | Threaded
Open this post in threaded view
|

Spam von infizierten Kunden unterbinden

Timo Heinrichs
Hallo Zusammen!

Als kleiner ISP betreiben wir eine kleine Mailserver-Farm (ca. 1500 Postfächer). Regelmäßig haben wir den Fall, dass Kunden mit ihren virenverseuchten Rechnern als Spamschleuder missbraucht werden.
Wie geht ihr gegen so etwas vor? Ich habe schon sehr viel mit Limitierung von Postfix gespielt, aber die Spammer sind anscheinend schlauer als ich. Wir filtern auch ausgehend auf Spam, allerdings relativ lasch, da wir auch Kunden haben die reguläre Newsletter verschicken (auch große Mengen). Ich muss halt auf jeden Fall False-Positives vermeiden, da wir sonst garantiert mit Anrufen der ahnungslosen Kunden überhäuft werden.

Was wäre eurer Meinung nach "Best-Practice" gegen das Problem?

Ich habe diese Frage so ähnlich schon mal hier gestellt, konnte leider aber da auch noch keine gute Lösung finden.

Gruß
 
Timo Heinrichs

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Spam von infizierten Kunden unterbinden

Gregor Hermens
Hallo Timo,

Am Mittwoch, 27. November 2013 schrieb Timo Heinrichs:
> Regelmäßig haben wir den Fall, dass Kunden mit ihren
> virenverseuchten Rechnern als Spamschleuder missbraucht werden.

Ihr habt wirklich infizierte Kunden-Rechner, die sich beim Spamversand über
euer Mailrelay korrekt authentifizieren? Das ist mir bisher noch nicht
begegnet...

Gruß,
Gregor
--
     @mazing           fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  [hidden email]
D-82216 Gernlinden    http://www.a-mazing.de/
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Spam von infizierten Kunden unterbinden

Michael Köhler
In reply to this post by Timo Heinrichs
Halo Timo,

Am 27.11.2013 um 11:05 schrieb Timo Heinrichs <[hidden email]>:

> Wir filtern auch ausgehend auf Spam, allerdings relativ lasch, da wir auch Kunden haben die reguläre Newsletter verschicken (auch große Mengen). Ich muss halt auf jeden Fall False-Positives vermeiden, da wir sonst garantiert mit Anrufen der ahnungslosen Kunden überhäuft werden.

Ich würde vorschlagen: Filtere ausgehende Email stärker und richte für einzelne User, die Newsletter versenden im amavisd-new eine eigene Policy ein, die weniger hart filtert, oder aber richte für die User, die Newsletter versenden sollen, einen eigenen Einsendeport in postfix ein, dem dann auch wieder andere Regeln (inkl. amavisd-new) hinterliegen.

Ansonsten fehlen Konfigurationsangaben um detaillierte Hinweise zu geben.

Gruß,
Michael
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Spam von infizierten Kunden unterbinden

Daniel Gompf
In reply to this post by Timo Heinrichs
Hallo Timo,


> Hallo Zusammen!
>
> Als kleiner ISP betreiben wir eine kleine Mailserver-Farm (ca. 1500 Postfächer). Regelmäßig haben wir den Fall, dass Kunden mit ihren virenverseuchten Rechnern als Spamschleuder missbraucht werden.
> Wie geht ihr gegen so etwas vor? Ich habe schon sehr viel mit Limitierung von Postfix gespielt, aber die Spammer sind anscheinend schlauer als ich. Wir filtern auch ausgehend auf Spam, allerdings relativ lasch, da wir auch Kunden haben die reguläre Newsletter verschicken (auch große Mengen). Ich muss halt auf jeden Fall False-Positives vermeiden, da wir sonst garantiert mit Anrufen der ahnungslosen Kunden überhäuft werden.
>
> Was wäre eurer Meinung nach "Best-Practice" gegen das Problem?
>

Wir generieren hier auch schon mal einen Folgeauftrag für unsere
Techniker -> beheben solcher Probleme. Wenn du lasch filtern musst oder
willst, bleibt dir nicht viel übrig. Informiere den Nutzer über das
Problem und drohe eine Sperrung oder restiktivere Filter an. Da gibt es
einen recht großen Anbieter der das auch auf diese Art klärt.

Wenn du das nicht willst, erstelle für die Nutzer einen eigenen Server,
dann kommt nur der auf die Blacklist und die regulären Nutzer können
weiter E-Mails versenden.

Für Newsletter gibt es auch bessere Lösungen als den Mailclient.

--
Mit freundlichen Grüßen

Daniel Gompf

EDV-Beratung Baumgarten GmbH
Telefon: +49 3441 8587 0
Telefax: +49 3441 8587 20
Internet: http://www.edv-baumgarten.de

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Spam von infizierten Kunden unterbinden

Florian Pritz
In reply to this post by Timo Heinrichs
On 27.11.2013 11:05, Timo Heinrichs wrote:
> Wir filtern auch ausgehend auf Spam, allerdings relativ lasch,
> da wir auch Kunden haben die reguläre Newsletter verschicken (auch
> große Mengen). Ich muss halt auf jeden Fall False-Positives
> vermeiden, da wir sonst garantiert mit Anrufen der ahnungslosen
> Kunden überhäuft werden.

Normale Mails die per SMTP kommen mit postfwd limitieren. Bei mir atm
100 Empfänger pro 6h, je nach Nutzer (CC zählt mit, BCC weiß ich nicht,
aber hoffe auch. eventuell mal testen..) willst du da vielleicht mehr.

Bzgl Newsletter: Da gibts doch wirklich keinen Grund die per SMTP von
einem Client zum Server schicken der dann jede Mail durch den Spamfilter
jagt. Mach ein Webinterface das die Mails direkt am Spamfilter vorbei
einschleust, das wird wohl auch kein Bot so schnell knacken und wenn
kannst du noch immer die Newsletter die man schicken darf pro Stunde auf
3 oder so begrenzen.

Außerdem sofern du es nicht hast
reject_authenticated_sender_login_mismatch in postfix.


Postfwd config:

> &&SASL_WHITELIST {
>         sasl_username=devnull;
> };
>
> # skip lower rate limiting for certain users
> id=SaslWhitelist;
>         protocol_state==END-OF-MESSAGE;
>         &&SASL_WHITELIST;
>         action=rcpt(sasl_username/300/21600/REJECT You can only send to 300 recipients per 6h per user)
>
> id=SaslWhitelist2;
>         protocol_state==END-OF-MESSAGE;
>         &&SASL_WHITELIST;
>         action=dunno;
>
> # sasl_username != doesn't work for whatever reason
> id=RcptRate;
>         protocol_state==END-OF-MESSAGE;
>         sasl_username!~/^$/;
>         action=rcpt(sasl_username/100/21600/REJECT You can only send to 100 recipients per 6h per user)
>
> # this causes postfwd to log something for every mail
> id=logging;
>         protocol_state==END-OF-MESSAGE;
>         action=dunno;


--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

signature.asc (853 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Spam von infizierten Kunden unterbinden

Timo Heinrichs
In reply to this post by Gregor Hermens
Hallo Zusammen,

> Ihr habt wirklich infizierte Kunden-Rechner, die sich beim Spamversand über
> euer Mailrelay korrekt authentifizieren? Das ist mir bisher noch nicht
> begegnet...

Das passiert tatsächlich, kann man im Log verfolgen.

> Wir generieren hier auch schon mal einen Folgeauftrag für unsere Techniker
> -> beheben solcher Probleme. Wenn du lasch filtern musst oder willst, bleibt
> dir nicht viel übrig. Informiere den Nutzer über das Problem und drohe eine
> Sperrung oder restiktivere Filter an. Da gibt es einen recht großen Anbieter
> der das auch auf diese Art klärt.

Natürlich sperren wir Kunden auch wenn das passiert, die werden dann auch relativ kleinlaut, wenn sie verstanden haben, was die da angerichtet haben. Aber das ändert nichts an der Tatsache, dass wir sowas immer mal wieder haben.

> Wenn du das nicht willst, erstelle für die Nutzer einen eigenen Server, dann
> kommt nur der auf die Blacklist und die regulären Nutzer können weiter E-
> Mails versenden.
>
> Für Newsletter gibt es auch bessere Lösungen als den Mailclient.

Newsletter werden natürlich über entsprechende Programme verschickt (da achten wir schon drauf) und nicht über Outlook o.Ä.

Tatsache ist, dass ich es schaffen muss, es zu vermeiden, dass es überhaupt losgeht mit dem Spammen.

Sieht für mich so aus, als müsste ich tatsächlich z.B. mit policyd richtige Rate-Limits basteln und dann z.B. für die Newsletter weiter auf machen.
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Spam von infizierten Kunden unterbinden

Hajo Locke
Hallo,

>> Das passiert tatsächlich, kann man im Log verfolgen.
ja, kenne ich auch. Oft sind die Zugangsdaten dann auch im Netz verstreut
und werden von anderen Bots etc. auch missbraucht.
Ratelimits auf den einzelnen Client reichen da nicht aus.
Wir haben einen eigenen kleinen Dienst, der das maillog mitliest und kuckt
ob der selbe Loginname von verschiedenen IPs benutzt wird. Das sind so gut
wie immer Treffer.

>> Natürlich sperren wir Kunden auch wenn das passiert, die werden dann auch
>> relativ kleinlaut, wenn sie verstanden haben, was die da angerichtet
>> haben. Aber das ändert nichts an der Tatsache, dass wir >> sowas immer
>> mal wieder haben.

>> Sieht für mich so aus, als müsste ich tatsächlich z.B. mit policyd
>> richtige Rate-Limits basteln und dann z.B. für die Newsletter weiter auf
>> machen.

ja, oder für Massenversender eine eigene IP einrichten. Wer Massenmails
versenden will, müsste sich dann bei dir freischalten lassen.

Habt ihr denn richtigen ausgehenden Spamschutz? Oft sind diese Mails
Spamassassin bzw. clamav schon bekannt bzw. verdächtig.
Eine Art Inhaltstest ist immer besser als reine Mengenlimits.

Hans

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Spam von infizierten Kunden unterbinden

Peer Heinlein
In reply to this post by Timo Heinrichs
Am 27.11.2013 11:05, schrieb Timo Heinrichs:

Hi,

> ich. Wir filtern auch ausgehend auf Spam, allerdings relativ lasch,
> da wir auch Kunden haben die reguläre Newsletter verschicken (auch
> große Mengen). Ich muss halt auf jeden Fall False-Positives
> vermeiden, da wir sonst garantiert mit Anrufen der ahnungslosen
> Kunden überhäuft werden.

Ich wüßte nicht, wieso Newsletter anders gefiltert werden sollten, als
normale E-Mails. "Einfach so" werden auch Newsletter-Mails nicht
rausgefiltert nur weil es Newsletter sind.

Und WENN sie Scoring-Punkte sammeln, weil sie eklatante technische
Fehler aufweisen, dann werden sie auch AUF ALLEN ANDEREN SYSTEMEN diese
Spam-Punkte sammeln und nicht ankommen. Dann muß man das aus einem ganz
egoistischen Interesse heraus beheben.

Aber das einfach so Newsletter rausfliegen, weil es Newsletter sind, ist
absoluter (wenn auch oft gesagter) Quatsch. Warum sollten sie?

> Was wäre eurer Meinung nach "Best-Practice" gegen das Problem?

1) Normal und normal filtern.

2) Schnell reagieren

3) User erziehen

Peer



--
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users