Test rspamd

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
22 messages Options
12
Reply | Threaded
Open this post in threaded view
|

Test rspamd

Günther J. Niederwimmer
Hallo,

ich bin dabei das ganze mailsystem auf rspamd umzustellen, das ist anscheinend
gar nicht so einfach;-).

Hat jemand bessere infos für dieses system, mit dem FAQ und infos auf rspamd
komme ich nicht so ganz klar?

Im MomenT habe ich das Problem das zB. die MailingLists für opensuse.org
geblockt werden?


--
mit freundlichen Grüssen / best regards,

  Günther J. Niederwimmer
Reply | Threaded
Open this post in threaded view
|

Re: Test rspamd

Thomas Walter
Hallo Günther,

Am 03.01.18 um 00:55 schrieb Günther J. Niederwimmer:
> ich bin dabei das ganze mailsystem auf rspamd umzustellen, das ist anscheinend
> gar nicht so einfach;-).
>
> Hat jemand bessere infos für dieses system, mit dem FAQ und infos auf rspamd
> komme ich nicht so ganz klar?
>
> Im MomenT habe ich das Problem das zB. die MailingLists für opensuse.org
> geblockt werden?

ich bin auch ganz frischer rspamd-User, kann also auch nur ein wenig
helfen. Aber evtl. kannst Du schon nachschauen, wieso opensuse.org
geblockt wird?

Was sagen denn /var/log/rspamd/rspamd.log oder die History im
rspamd-Webfrontend (da kann man nach der message.id suchen?

Kannst Du da die Symbole sehen, anhand denen die Nachrichten als Spam
eingestuft werden? Das gibt meistens schon einen guten Anhaltspunkt.

      Balu
Reply | Threaded
Open this post in threaded view
|

Re: Test rspamd

Muenz, Michael
In reply to this post by Günther J. Niederwimmer
Am 03.01.2018 um 00:55 schrieb Günther J. Niederwimmer:

> Hallo,
>
> ich bin dabei das ganze mailsystem auf rspamd umzustellen, das ist anscheinend
> gar nicht so einfach;-).
>
> Hat jemand bessere infos für dieses system, mit dem FAQ und infos auf rspamd
> komme ich nicht so ganz klar?
>
> Im MomenT habe ich das Problem das zB. die MailingLists für opensuse.org
> geblockt werden?
>
>
Hi,

hast du mal in der Google Group geschaut? Vor ca. 3 Monaten war da mal
ein User (nach deutschem Namen schauen), der hat bei Null angefangen und
viel nachgefragt. Da kannst du dich gut einarbeiten. Ich bin auch noch
nicht ganz in der Materie drin, aber Whitelists sollte man über die Web
UI verwalten können.

Wer an rspamd interessiert ist kann sich mal in Virtualbox eine OPNsense
installieren, Fabian und ich implementieren dort gerade ein Postfix und
rspamd plugin (im devel-tree). Da kann man recht einfach mit rumspielen.


LG

Michael

--
www.routerperformance.net

Reply | Threaded
Open this post in threaded view
|

Re: Test rspamd

Alex JOST
In reply to this post by Günther J. Niederwimmer
Am 03.01.2018 um 00:55 schrieb Günther J. Niederwimmer:

> Hallo,
>
> ich bin dabei das ganze mailsystem auf rspamd umzustellen, das ist anscheinend
> gar nicht so einfach;-).
>
> Hat jemand bessere infos für dieses system, mit dem FAQ und infos auf rspamd
> komme ich nicht so ganz klar?
>
> Im MomenT habe ich das Problem das zB. die MailingLists für opensuse.org
> geblockt werden?

Am einfachsten geht sowas mit dem multimap module:
   https://rspamd.com/doc/modules/multimap.html


Hier mal ein Beispiel um die Bewertung für IPs von Mailing Listen
anzupassen.

/etc/rspamd/local.d/multimap.conf:
   WHITE_IP_ML {
     type = "ip";
     map = "/etc/rspamd/maps/whitelist_ip_ml.map";
     description = "Lower the score for some IPs from mailing lists";
   }

/etc/rspamd/local.d/metrics.conf:
   symbol "WHITE_IP_ML" {
     description = "Lower the score for some IPs from mailing lists";
     score = -4.0;
   }

/etc/rspamd/maps/whitelist_ip_ml.map:
   # vger.kernel.org
   209.132.180.67

--
Alex JOST
Reply | Threaded
Open this post in threaded view
|

Re: Test rspamd

Günther J. Niederwimmer
Hallo,

zuerst mal Danke für Eure Antworten,

Am Mittwoch, 3. Januar 2018, 17:54:05 CET schrieb Alex JOST:

> Am 03.01.2018 um 00:55 schrieb Günther J. Niederwimmer:
> > Hallo,
> >
> > ich bin dabei das ganze mailsystem auf rspamd umzustellen, das ist
> > anscheinend gar nicht so einfach;-).
> >
> > Hat jemand bessere infos für dieses system, mit dem FAQ und infos auf
> > rspamd komme ich nicht so ganz klar?
> >
> > Im MomenT habe ich das Problem das zB. die MailingLists für opensuse.org
> > geblockt werden?
>
> Am einfachsten geht sowas mit dem multimap module:
>    https://rspamd.com/doc/modules/multimap.html

darüber hatte ich auch schon gelesen ......

Besser gesagt, was ich mit Tante goo.... finden konnte habe ich durch ?

Dein Beispiel hängt an der IP Adresse, opensuse hat aber verschiedene
Mailserver ??

rspamd scheint ein mächtiges Werkzeug zu sein, nur gtibt es anscheinend noch
fast keine von Profis erstellte Muster Konfigurationen, da dürfte ich etwas zu
schnell gewesen zu sein :-(.

Leider gibt es auch keine Mailinglist und mit diesem google .... Foren komme
ich irgendwie nicht zurecht.
--
mit freundlichen Grüssen / best regards,

  Günther J. Niederwimmer
Reply | Threaded
Open this post in threaded view
|

Re: Test rspamd

Alex JOST
Am 03.01.2018 um 19:41 schrieb Günther J. Niederwimmer:

> Hallo,
>
> zuerst mal Danke für Eure Antworten,
>
> Am Mittwoch, 3. Januar 2018, 17:54:05 CET schrieb Alex JOST:
>> Am 03.01.2018 um 00:55 schrieb Günther J. Niederwimmer:
>>> Hallo,
>>>
>>> ich bin dabei das ganze mailsystem auf rspamd umzustellen, das ist
>>> anscheinend gar nicht so einfach;-).
>>>
>>> Hat jemand bessere infos für dieses system, mit dem FAQ und infos auf
>>> rspamd komme ich nicht so ganz klar?
>>>
>>> Im MomenT habe ich das Problem das zB. die MailingLists für opensuse.org
>>> geblockt werden?
>>
>> Am einfachsten geht sowas mit dem multimap module:
>>     https://rspamd.com/doc/modules/multimap.html
>
> darüber hatte ich auch schon gelesen ......
>
> Besser gesagt, was ich mit Tante goo.... finden konnte habe ich durch ?
>
> Dein Beispiel hängt an der IP Adresse, opensuse hat aber verschiedene
> Mailserver ??

Es war auch nur als ein Beispiel gedacht. Wenn Du Dir den Link ansiehst,
wirst Du bemerken, dass das Modul sehr umfangreich ist. Wenn die
Filterung nach IPs in diesem Fall nicht funktioniert, dann kannst Du
auch nach Sender-Adresse oder Header-Einträgen (z.B. List-Id) filtern.


> rspamd scheint ein mächtiges Werkzeug zu sein, nur gtibt es anscheinend noch
> fast keine von Profis erstellte Muster Konfigurationen, da dürfte ich etwas zu
> schnell gewesen zu sein :-(.

Du hast recht. Dadurch, dass rspamd noch ein recht junges Projekt ist,
gibt es nicht viele fertige Tutorials zum Abtippen. Aber die
Dokumentation von rspamd ist (wenn auch nicht perfekt) doch recht
umfangreich. Den Großteil solltest Du Dir also rauslesen können.


> Leider gibt es auch keine Mailinglist und mit diesem google .... Foren komme
> ich irgendwie nicht zurecht.

Die Google Groups kannst Du auch wie eine Mailing Liste benutzen.

 
https://webapps.stackexchange.com/questions/13508/how-can-i-subscribe-to-a-google-mailing-list-with-a-non-google-e-mail-address

--
Alex JOST
Reply | Threaded
Open this post in threaded view
|

Re: Test rspamd

André Peters
In reply to this post by Günther J. Niederwimmer
Kannst ja auch mal schauen, wie wir das bei mailcow machen.

Zwecks opensuse Maillist: Vielleicht hat Bayes es falsch angelernt oder
ein Fuzzy Hash meldet einen false positive. Wie schauen denn die Header
der Mails aus? Oder was meldet die Rspamd Web UI für Symbole? Vielleicht
reicht auch schon eine composite Regel wie "wenn Maillist und xy, dann...".

Wichtig wäre auf jeden Fall, was Rspamd warum getan hat. :-)



Am 03.01.2018 um 19:41 schrieb Günther J. Niederwimmer:

> Hallo,
>
> zuerst mal Danke für Eure Antworten,
>
> Am Mittwoch, 3. Januar 2018, 17:54:05 CET schrieb Alex JOST:
>> Am 03.01.2018 um 00:55 schrieb Günther J. Niederwimmer:
>>> Hallo,
>>>
>>> ich bin dabei das ganze mailsystem auf rspamd umzustellen, das ist
>>> anscheinend gar nicht so einfach;-).
>>>
>>> Hat jemand bessere infos für dieses system, mit dem FAQ und infos auf
>>> rspamd komme ich nicht so ganz klar?
>>>
>>> Im MomenT habe ich das Problem das zB. die MailingLists für opensuse.org
>>> geblockt werden?
>> Am einfachsten geht sowas mit dem multimap module:
>>    https://rspamd.com/doc/modules/multimap.html
> darüber hatte ich auch schon gelesen ......
>
> Besser gesagt, was ich mit Tante goo.... finden konnte habe ich durch ?
>
> Dein Beispiel hängt an der IP Adresse, opensuse hat aber verschiedene
> Mailserver ??
>
> rspamd scheint ein mächtiges Werkzeug zu sein, nur gtibt es anscheinend noch
> fast keine von Profis erstellte Muster Konfigurationen, da dürfte ich etwas zu
> schnell gewesen zu sein :-(.
>
> Leider gibt es auch keine Mailinglist und mit diesem google .... Foren komme
> ich irgendwie nicht zurecht.


andre_peters.vcf (8 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Test rspamd

Patrick Ben Koetter-2
In reply to this post by Günther J. Niederwimmer
* Günther J. Niederwimmer <[hidden email]>:

> Hallo,
>
> zuerst mal Danke für Eure Antworten,
>
> Am Mittwoch, 3. Januar 2018, 17:54:05 CET schrieb Alex JOST:
> > Am 03.01.2018 um 00:55 schrieb Günther J. Niederwimmer:
> > > Hallo,
> > >
> > > ich bin dabei das ganze mailsystem auf rspamd umzustellen, das ist
> > > anscheinend gar nicht so einfach;-).
> > >
> > > Hat jemand bessere infos für dieses system, mit dem FAQ und infos auf
> > > rspamd komme ich nicht so ganz klar?
> > >
> > > Im MomenT habe ich das Problem das zB. die MailingLists für opensuse.org
> > > geblockt werden?
> >
> > Am einfachsten geht sowas mit dem multimap module:
> >    https://rspamd.com/doc/modules/multimap.html
>
> darüber hatte ich auch schon gelesen ......
>
> Besser gesagt, was ich mit Tante goo.... finden konnte habe ich durch ?
>
> Dein Beispiel hängt an der IP Adresse, opensuse hat aber verschiedene
> Mailserver ??

Suche/matche auf den List-ID:-Header:

KNOWNML_LID1 {
    description = "Match mails that contain a special List-Id header";
    type = "header";
    header = "List-Id";
    map = "file://$LOCAL_CONFDIR/maps.d/mailinglists-List-Id.map";
    regexp = true;
    score = -4.5;
}

KNOWNML_LID2 {
    description = "Match mails that contain a special List-ID header";
    type = "header";
    header = "List-ID";
    map = "file://$LOCAL_CONFDIR/maps.d/mailinglists-List-ID.map";
    regexp = true;
    score = -4.5;
}

KNOWNML_LP {
    description = "Match mails that contain a special List-Post header";
    type = "header";
    header = "List-Post";
    map = "file://$LOCAL_CONFDIR/maps.d/mailinglists-List-Post.map";
    regexp = true;
    score = -4.5;
}

Dann z.B. in maps.d/mailinglists-List-Id.map:

/dane\.ietf\.org/
...


> rspamd scheint ein mächtiges Werkzeug zu sein, nur gtibt es anscheinend noch
> fast keine von Profis erstellte Muster Konfigurationen, da dürfte ich etwas zu
> schnell gewesen zu sein :-(.

Ich kenne da einen auf E-Mail spezialisierten Dienstleister aus München… ;)

p@rick

--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|

Re: Test rspamd

Max Grobecker
Moin,

Rspamd hat eigentlich eine eingebaute Erkennung der gängigsten Mailinglisten und schaltet dann bestimmte Prüfungen ab:
https://rspamd.com/doc/modules/maillist.html

Ob die bereits aktiviert ist, kannst du daran erkennen dass in dem Fall das Symbol "MAILLIST" an die Mail getagged wurde.
Wenn das nicht passiert, muss das Modul ggf. noch aktiviert werden. Hier reicht die Standardkonfiguration aus,
daher sollte es in dem Fall genügen, unter local.d/maillist.conf eine leere Datei anzulegen.

Ich habe bei mir allerdings eine Anpassung über die Composite-Regeln unter local.d/composites.conf vorgenommen:
(Doku: https://rspamd.com/doc/configuration/composites.html)


-------------------
# Bei Mails von MAILINGLISTEN keine DMARC-POLICIES oder SPF-POLICIES anwenden, BAYES deaktivieren
MAX_DMARC_MAILINGLIST_ALLOW {
        expression = "MAILLIST and ( g:dmarc | g:spf | g:bayes )";
        policy = "remove_symbol";
}
-------------------


Das führt zumindest


Viele Grüße aus dem Tal
 Max


signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Test rspamd

Stefan Förster-4
* Max Grobecker <[hidden email]>:
> Rspamd hat eigentlich eine eingebaute Erkennung der gängigsten Mailinglisten
> und schaltet dann bestimmte Prüfungen ab:
> https://rspamd.com/doc/modules/maillist.html

Ahjo. Man kann dann auch einfach alle Aktionen, die zu einer
(temporären) Ablehnung führen würden, überschreiben, via
https://rspamd.com/doc/modules/force_actions.html

$ cat modules/rspamd/files/etc_files/local.d/force_actions.conf
# managed by Class['rspamd']
rules {
  # we don't want to generate bounces, or miss mails; and mailing lists are not
  # really something that usually causes a lot of spam, so: downgrade any reject
  # actions from a verified mailinglist to nothing
  WHITELIST_MLS {
    action = "no action"
    # only downgrade if we found valid mailing list headers
    expression = "MAILLIST"
    # override and reject actions (NB: "greylist" will probably
    # emit a "soft reject")
    require_action = ["reject", "soft reject", "greylist", "add header"]
  }
}
Reply | Threaded
Open this post in threaded view
|

Re: Test rspamd

Peer Heinlein
In reply to this post by Günther J. Niederwimmer
Am 03.01.2018 um 19:41 schrieb Günther J. Niederwimmer:

Hi,

> rspamd scheint ein mächtiges Werkzeug zu sein, nur gtibt es anscheinend noch
> fast keine von Profis erstellte Muster Konfigurationen, da dürfte ich etwas zu
> schnell gewesen zu sein :-(.

wit setzen rspamd seit geraumer Zeit auch im größeren und
anspruchsvollen (Business-) Context ein. Provider, Unis aber auch sowas
wie Germanwings und andere. Gerne übrigens trotzdem auch in Kombination
mit Amavis.

Carsten Rosenberg aus unserem Team kennt sich hier am besten aus; bei
konkreten Fragen ist er gerne per Mail unter
[hidden email] zu erreichen.

Schönen Gruß

Peer
Reply | Threaded
Open this post in threaded view
|

Re: Test rspamd

André Peters
Oder einfach im IRC fragen. So einen Blödsinn wie Zertifizierungen gibt es da ja Gott sei Dank nicht. Aber irgendeiner kommt bestimmt noch auf die glorreiche Idee. 👎

Dank der LUA API wird „eigentlich“ jede andere Software hinfällig. Ich habe da noch nichts nicht umsetzen können. Der Milter ist ebenfalls brauchbar geworden. Alternativ verwende ich Haraka. Sollte man sich definitiv im Zusammenhang anschauen.

notkoos im IRC ist wahnsinnig geduldig und setzt sogar sinnvolle Feature Requests um. Glaube da ist man am günstigsten aufgehoben. ;-)

Und last but not least helfen wir uns hier natürlich gegenseitig, denke ich. Daher immer her mit den Fragen. Und sorry für die Eigenwerbung mit mailcow, ich wollte da nichts lostreten. :-P



> Am 05.01.2018 um 20:29 schrieb Peer Heinlein <[hidden email]>:
>
> Am 03.01.2018 um 19:41 schrieb Günther J. Niederwimmer:
>
> Hi,
>
>> rspamd scheint ein mächtiges Werkzeug zu sein, nur gtibt es anscheinend noch
>> fast keine von Profis erstellte Muster Konfigurationen, da dürfte ich etwas zu
>> schnell gewesen zu sein :-(.
>
> wit setzen rspamd seit geraumer Zeit auch im größeren und
> anspruchsvollen (Business-) Context ein. Provider, Unis aber auch sowas
> wie Germanwings und andere. Gerne übrigens trotzdem auch in Kombination
> mit Amavis.
>
> Carsten Rosenberg aus unserem Team kennt sich hier am besten aus; bei
> konkreten Fragen ist er gerne per Mail unter
> [hidden email] zu erreichen.
>
> Schönen Gruß
>
> Peer
Reply | Threaded
Open this post in threaded view
|

Re: Test rspamd

Marc Risse
In reply to this post by Thomas Walter
Moin,

ich hab vor ca. 6 Monaten mit rspamd angefangen und habe mir
zwischendurch auch einiges bei Mailcow abgeschaut. Ich habe dann
September/Oktober meine ISPConfig-Instanzen (~110 Maildomains) auf
rspamd umgestellt. Bin sehr zufrieden und läuft wirklich sehr stabil.
Dir Konfiguration ist etwas tricky, ich habe angefangen erstmal jede(!)
Konfigurationsdatei anzulegen die irgendwo eingelesen wird. Einige Davon
sind immer noch leer, aber so habe ich mir besser merken können welche
Parameter ich wo anpassen kann/soll/darf. Irgendwann bin ich durch die
Google-Group darauf gestoßen, dass man ja fast alle Dateien per WebGUI
bearbeiten kann, habe dann die verschiedenen Black-, White- und andere
Listen nach /var... geschoben und editiere jetzt eigentlich nur noch
über die GUI. Updates spiele ich automatisch ein, dabei gab bisher auch
noch keine Probleme. Ich kann rspamd nur empfehlen!



Mit freundlichen Grüßen

Marc Risse
RZ-Projekte



Telefon: +49 2372 5520-385
Fax: +49 2372 5520-61-385
E-Mail: [hidden email]
Internet: http://www.sitkomm.de

=====================================
Südwestfalen-IT (Kommunaler Zweckverband)
Sonnenblumenallee 3, 58675 Hemer
Telefon: +49 2372 5520-0
Fax: +49 2372 5520-279
E-Mail: [hidden email]

*Citkomm services GmbH
   Sitz der Gesellschaft: Hemer
   Handelsregister: AG Iserlohn, HRB 26 86
   Geschäftsführer: Dr. Michael Neubauer, Kerstin Pliquett

Am 03.01.2018 um 01:25 schrieb Thomas Walter:

> Hallo Günther,
>
> Am 03.01.18 um 00:55 schrieb Günther J. Niederwimmer:
>> ich bin dabei das ganze mailsystem auf rspamd umzustellen, das ist
>> anscheinend
>> gar nicht so einfach;-).
>>
>> Hat jemand bessere infos für dieses system, mit dem FAQ und infos auf
>> rspamd
>> komme ich nicht so ganz klar?
>>
>> Im MomenT habe ich das Problem das zB. die MailingLists für opensuse.org
>> geblockt werden?
>
> ich bin auch ganz frischer rspamd-User, kann also auch nur ein wenig
> helfen. Aber evtl. kannst Du schon nachschauen, wieso opensuse.org
> geblockt wird?
>
> Was sagen denn /var/log/rspamd/rspamd.log oder die History im
> rspamd-Webfrontend (da kann man nach der message.id suchen?
>
> Kannst Du da die Symbole sehen, anhand denen die Nachrichten als Spam
> eingestuft werden? Das gibt meistens schon einen guten Anhaltspunkt.
>
>      Balu

Reply | Threaded
Open this post in threaded view
|

Re: Test rspamd

Frank Fiene
In reply to this post by Günther J. Niederwimmer
Hallo,

Ich hänge mich hier auch nochmal rein.

Ich habe vor, rspamd mal eine Chance zu geben für die MXe.

Macht es dann Sinn RBLs anstatt mit postscreen auch damit abzuarbeiten oder lohnt sich das nicht?


Viele Grüße!
Frank
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Am 03.01.2018 um 00:55 schrieb Günther J. Niederwimmer <[hidden email]>:

Hallo,

ich bin dabei das ganze mailsystem auf rspamd umzustellen, das ist anscheinend
gar nicht so einfach;-).

Hat jemand bessere infos für dieses system, mit dem FAQ und infos auf rspamd
komme ich nicht so ganz klar?

Im MomenT habe ich das Problem das zB. die MailingLists für opensuse.org
geblockt werden?


--
mit freundlichen Grüssen / best regards,

 Günther J. Niederwimmer


signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: [ext] Re: Test rspamd

Ralf Hildebrandt
* Frank Fiene <[hidden email]>:
> Hallo,
>
> Ich hänge mich hier auch nochmal rein.
>
> Ich habe vor, rspamd mal eine Chance zu geben für die MXe.
>
> Macht es dann Sinn RBLs anstatt mit postscreen auch damit abzuarbeiten oder lohnt sich das nicht?

Auf der SLAC 2018 kam genau diese Frage auf und Vsevolod meinte,
rspamd sei da performanter als die MTAs. Ich wandte daraufhin ein, daß
postscreen halt nun gerade für diese Fälle eventbasiert läuft und
multithreaded ist UND die DNS Abfragen simulatan macht, damit das
alles schnell geht. Tja, am Ende waren wir uns nicht einig :)

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: [ext] Re: Test rspamd

Frank Fiene
Haha, sehr gut, dann lasse ich das weiterhin Postscreen machen.

Danke!

Viele Grüße!
Frank
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

Am 15.05.2018 um 19:50 schrieb Ralf Hildebrandt <[hidden email]>:

* Frank Fiene <[hidden email]>:
Hallo,

Ich hänge mich hier auch nochmal rein.

Ich habe vor, rspamd mal eine Chance zu geben für die MXe.

Macht es dann Sinn RBLs anstatt mit postscreen auch damit abzuarbeiten oder lohnt sich das nicht?

Auf der SLAC 2018 kam genau diese Frage auf und Vsevolod meinte,
rspamd sei da performanter als die MTAs. Ich wandte daraufhin ein, daß
postscreen halt nun gerade für diese Fälle eventbasiert läuft und
multithreaded ist UND die DNS Abfragen simulatan macht, damit das
alles schnell geht. Tja, am Ende waren wir uns nicht einig :)

--
Ralf Hildebrandt
 Geschäftsbereich IT | Abteilung Netzwerk
 Charité - Universitätsmedizin Berlin
 Campus Benjamin Franklin
 Hindenburgdamm 30 | D-12203 Berlin
 Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
 [hidden email] | https://www.charite.de
   


signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: [ext] Re: Test rspamd

Sven Hankel
Moin,

bei mir "darf" rspamd quasi nachfiltern, da bleibt nicht mehr viel
übrig, aber hin und wieder rutschen postscreen und amavis doch nochmal
Sachen durch. Insgesamt ergänzt sich das ganz gut, wie ich finde.
Bei rspamd finde ich das anti-phishing-Modul ganz interessant. Das lass
ich den Kaspersky nämlich nicht machen.

Beste Grüße

Sven Hankel

Am Tue, 15 May 2018 20:16:26 +0200
schrieb Frank Fiene <[hidden email]>:

> Haha, sehr gut, dann lasse ich das weiterhin Postscreen machen.
>
> Danke!
>
> Viele Grüße!
> Frank
> --
> Frank Fiene
> IT-Security Manager VEKA Group
>
> Fon: +49 2526 29-6200
> Fax: +49 2526 29-16-6200
> mailto: [hidden email]
> http://www.veka.com
>
> PGP-ID: 62112A51
> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
> Threema: VZK5NDWW
>
> VEKA AG
> Dieselstr. 8
> 48324 Sendenhorst
> Deutschland/Germany
>
> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
> Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of
> Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court
> of Münster
>
> > Am 15.05.2018 um 19:50 schrieb Ralf Hildebrandt
> > <[hidden email]>:
> >
> > * Frank Fiene <[hidden email]>:  
> >> Hallo,
> >>
> >> Ich hänge mich hier auch nochmal rein.
> >>
> >> Ich habe vor, rspamd mal eine Chance zu geben für die MXe.
> >>
> >> Macht es dann Sinn RBLs anstatt mit postscreen auch damit
> >> abzuarbeiten oder lohnt sich das nicht?  
> >
> > Auf der SLAC 2018 kam genau diese Frage auf und Vsevolod meinte,
> > rspamd sei da performanter als die MTAs. Ich wandte daraufhin ein,
> > daß postscreen halt nun gerade für diese Fälle eventbasiert läuft
> > und multithreaded ist UND die DNS Abfragen simulatan macht, damit
> > das alles schnell geht. Tja, am Ende waren wir uns nicht einig :)
> >
> > --
> > Ralf Hildebrandt
> >  Geschäftsbereich IT | Abteilung Netzwerk
> >  Charité - Universitätsmedizin Berlin
> >  Campus Benjamin Franklin
> >  Hindenburgdamm 30 | D-12203 Berlin
> >  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
> >  [hidden email] | https://www.charite.de
> >  
>

Reply | Threaded
Open this post in threaded view
|

Re: [ext] Re: Test rspamd

Carsten Rosenberg
Egal wer jetzt bei DNS Queries performanter ist, postscreen rejected
viel früher. Rspamd beginnt sein Werk so richtig erst nach dem EOD.

Man hat also Verbindungen die länger offen bleiben und da Rspamd auch so
einiges anderes macht, mehr Ressourcenverbrauch.

Allerdings verbraucht Rspamd wahnsinnig viel weniger Ressourcen im
Vergleich zu Amavis/SA, dass diese Ressourcen wahrscheinlich sogar über
hätte.

Rspamd kann zwar nicht besser rejecten als postscreen, dafür können
viele Plugins und Module davon profitieren auch den schlechtesten SPAM
gesehen zu haben. Konkret IPScore, Neural Network, Bayes, Fuzzy,
Ratelimit. Also alles was sich eine lokale Daten anlegt und die zur
weiteren Bewertung heran zieht.

Und das Greylisting im Rspamd kann regelbasiert und/oder per Score
erfolgen, so dass die guten Mails sofort durch gehen. Die schlechten
drehen auch wenn sie von Gmail kommen, aber noch nicht den reject score
erreicht haben, ne extra Runde, vielleicht der reject ja beim 2. Mal.

Um es kurz zu machen, ich habe bei mir privat alle Anti-Spam Maßnahmen
im Postfix deaktiviert und vertraue auf den Rspamd. Ich finde er macht
das sehr gut ;)

Viele Grüße

Carsten


On 15.05.2018 22:21, Sven Hankel wrote:

> Moin,
>
> bei mir "darf" rspamd quasi nachfiltern, da bleibt nicht mehr viel
> übrig, aber hin und wieder rutschen postscreen und amavis doch nochmal
> Sachen durch. Insgesamt ergänzt sich das ganz gut, wie ich finde.
> Bei rspamd finde ich das anti-phishing-Modul ganz interessant. Das lass
> ich den Kaspersky nämlich nicht machen.
>
> Beste Grüße
>
> Sven Hankel
>
> Am Tue, 15 May 2018 20:16:26 +0200
> schrieb Frank Fiene <[hidden email]>:
>
>> Haha, sehr gut, dann lasse ich das weiterhin Postscreen machen.
>>
>> Danke!
>>
>> Viele Grüße!
>> Frank
>> --
>> Frank Fiene
>> IT-Security Manager VEKA Group
>>
>> Fon: +49 2526 29-6200
>> Fax: +49 2526 29-16-6200
>> mailto: [hidden email]
>> http://www.veka.com
>>
>> PGP-ID: 62112A51
>> PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
>> Threema: VZK5NDWW
>>
>> VEKA AG
>> Dieselstr. 8
>> 48324 Sendenhorst
>> Deutschland/Germany
>>
>> Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
>> Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr.
>> Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of
>> Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court
>> of Münster
>>
>>> Am 15.05.2018 um 19:50 schrieb Ralf Hildebrandt
>>> <[hidden email]>:
>>>
>>> * Frank Fiene <[hidden email]>:  
>>>> Hallo,
>>>>
>>>> Ich hänge mich hier auch nochmal rein.
>>>>
>>>> Ich habe vor, rspamd mal eine Chance zu geben für die MXe.
>>>>
>>>> Macht es dann Sinn RBLs anstatt mit postscreen auch damit
>>>> abzuarbeiten oder lohnt sich das nicht?  
>>>
>>> Auf der SLAC 2018 kam genau diese Frage auf und Vsevolod meinte,
>>> rspamd sei da performanter als die MTAs. Ich wandte daraufhin ein,
>>> daß postscreen halt nun gerade für diese Fälle eventbasiert läuft
>>> und multithreaded ist UND die DNS Abfragen simulatan macht, damit
>>> das alles schnell geht. Tja, am Ende waren wir uns nicht einig :)
>>>
>>> --
>>> Ralf Hildebrandt
>>>  Geschäftsbereich IT | Abteilung Netzwerk
>>>  Charité - Universitätsmedizin Berlin
>>>  Campus Benjamin Franklin
>>>  Hindenburgdamm 30 | D-12203 Berlin
>>>  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
>>>  [hidden email] | https://www.charite.de
>>>  
>>
>
Reply | Threaded
Open this post in threaded view
|

Re: [ext] Test rspamd

Frank Fiene


Am 16.05.2018 um 08:53 schrieb Carsten Rosenberg <[hidden email]>:

Egal wer jetzt bei DNS Queries performanter ist, postscreen rejected
viel früher. Rspamd beginnt sein Werk so richtig erst nach dem EOD.

Ich hoffe nicht, ich will wie bei Amaris als smtpd_proxy_filter SPAM abweisen anstatt zu markieren. Und zwar zwingend bevor mein Server ein 250 zurückgibt!

Man kann rspamd hoffentlich auch als smtp_proxy_filter verwenden, oder?


Viele Grüße! Frank
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster


signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: [ext] Test rspamd

André Peters
Rspamd wird in der Regel als Milter eingesetzt. Milter sind immer pre-queue. Beim Proxyfilter würde er erst einen weiteren Verbindungszyklus durchlaufen. Das Milterprotokoll ist zwar Banane, aber in dem vermutlich sogar schneller.

Rspamd kann zum Beispiel hinter Haraka betrieben werden, welcher wiederum als dein Proxyfilter für Postfix dient. Ist demnach etwas umständlicher. 

Lange Rede, kurzer Sinn: Ein Milter weist ab, bevor die Mail angenommen wurde. 

Der Vorteil von Postscreen ist, dass die Mail gar nicht erst den smtpd erreicht, sondern die Metadaten (IP etc.) der Verbindung ausreichen, um RBLs abzufragen. Das passiert in dem Fall vermutlich sogar noch vor dem HELO, spätestens aber danach. Bei großem Aufkommen ist der Unterschied deutlich (!) spürbar. 

Grüße 
André Peters

Am 16.05.2018 um 13:36 schrieb Frank Fiene <[hidden email]>:



Am 16.05.2018 um 08:53 schrieb Carsten Rosenberg <[hidden email]>:

Egal wer jetzt bei DNS Queries performanter ist, postscreen rejected
viel früher. Rspamd beginnt sein Werk so richtig erst nach dem EOD.

Ich hoffe nicht, ich will wie bei Amaris als smtpd_proxy_filter SPAM abweisen anstatt zu markieren. Und zwar zwingend bevor mein Server ein 250 zurückgibt!

Man kann rspamd hoffentlich auch als smtp_proxy_filter verwenden, oder?


Viele Grüße! Frank
-- 
Frank Fiene
IT-Security Manager VEKA Group

Fon: +49 2526 29-6200
Fax: +49 2526 29-16-6200
mailto: [hidden email]
http://www.veka.com

PGP-ID: 62112A51
PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51
Threema: VZK5NDWW

VEKA AG
Dieselstr. 8
48324 Sendenhorst
Deutschland/Germany

Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO),
Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler,
Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer
HRB 8282 AG Münster/District Court of Münster

12