Zuviel SPAM, richtiges Justieren der SPAM-Filter

Hallo zusammen,

 

auf meinem Mailserver (Postfix, Amavis, Spamassin auf Debian) werden nach wie vor Spam durchgelassen. Zwar nicht so Viele wie ohne Filter, besser wären keine.

 

Es sind Mails zu Bitcoins, "Aus der Höhle der Löwen", "Du wurdest von Tim eingeladen" (fuenf-zum-glueck.de), "Margrit möchte dich treffen" ([hidden email]) etc.

Ich stecke die zwar immer in den Spam-Ordner, um die Autolearn-Funktion regelmässig zu nutzen und hole täglich auf spamassassin.heinlein-support.de

neue Pattern-Updates, aber irgendwie hilft das nicht so doll.

 

Deshalb meine Fragen. Wie sind die optimalen Parameter bei Spamassin, um eine größtmögliche Bandbreite an Spammails auszusortieren?

Oder wie analysiere ich betreffende Mails, um dann eben passende Parameter zu korrigieren. Das Eintragen der Domains in die Postfix-Configs, damit diese abgelehnt werden, dürfte auch keine sinnvolle Methode sein, zumal das auch kontraproduktiv sein kann.

 

Habt Ihr hier gute Ansätze, die ich übernehmen darf?

 

Beste Grüße

 

Andreas

Am 14.12.2020 um 08:45 schrieb Andreas:

Hallo zusammen,

 

auf meinem Mailserver (Postfix, Amavis, Spamassin auf Debian) werden nach wie vor Spam durchgelassen. Zwar nicht so Viele wie ohne Filter, besser wären keine.

 

Es sind Mails zu Bitcoins, "Aus der Höhle der Löwen", "Du wurdest von Tim eingeladen" (fuenf-zum-glueck.de), "Margrit möchte dich treffen" ([hidden email]) etc.

Ich stecke die zwar immer in den Spam-Ordner, um die Autolearn-Funktion regelmässig zu nutzen und hole täglich auf spamassassin.heinlein-support.de

neue Pattern-Updates, aber irgendwie hilft das nicht so doll.

 

Deshalb meine Fragen. Wie sind die optimalen Parameter bei Spamassin, um eine größtmögliche Bandbreite an Spammails auszusortieren?

Oder wie analysiere ich betreffende Mails, um dann eben passende Parameter zu korrigieren. Das Eintragen der Domains in die Postfix-Configs, damit diese abgelehnt werden, dürfte auch keine sinnvolle Methode sein, zumal das auch kontraproduktiv sein kann.

 

Habt Ihr hier gute Ansätze, die ich übernehmen darf?

 

Beste Grüße

 

Andreas

Ich analysiere basierend auf Mailgraph die Wirkung meiner Filter, diese sind technisch, RBL und SpamAssassin basierend sind. Dort sehe ich in den Diagrammen, was so ab geht ;-)

- technisch: hostname zur IP prüfen: "Cannot find your hostname", da fällt schon viel raus, hauptsächlich Dial-Ups aus Brasielien, weiter gundlegende RFC Kompatibilität. - RBLs: u.a. heise (Manitu), usw. - Spam Assassin (Pyzor und Razor)

Dem vorgeschaltet ist ein IP blocking per iptables. Das sind durch fail2ban auffällig gewordene IP's, hauptsächlich login Bruteforce Attacken oder Zombi Hosts, da gibt es eine handvoll IP Adressen, hauptsächlich aus China, die eine Verbindung aufbauen und dann kein EHLO senden.

Ganz wichtige und zuverlässige Kunden sind whitgelistet, ebenso eingebunden eine öffentliche IP whitelist wo Telekom, 1&1, Amazon usw. aufgeführt sind.

Praktisch seit Jahren kein Spam im Posteingang, was AMAVIS / Spamassassin filtert, verschiebt Sieve in den SPAM Ordner. Da finde ich auch eine Deiner Kandidaten ...

lg Frank

> Habt Ihr hier gute Ansätze, die ich übernehmen darf?
>
Bei uns hat der Wechsel von amavis+postscreen+spamassassin+* hin zu rspamd massiv geholfen.


Mit freundlichen Grüßen / Kind regards
     Ronny Seffner

Am Montag, 14. Dezember 2020, 10:33:06 CET schrieb Ronny Seffner:

> > Habt Ihr hier gute Ansätze, die ich übernehmen darf?

>

> Bei uns hat der Wechsel von amavis+postscreen+spamassassin+* hin zu rspamd

> massiv geholfen.

>

>

> Mit freundlichen Grüßen / Kind regards

> Ronny Seffner

 

Vielen Dank erst einmal für Eure Feedbacks. Ich versuche jetzt erst einmal die Posts am Anfang entsprechend umzusetzen.

rspamd habe ich einmal ausprobiert und gleich wieder verworfen, weil mir das mehr Stress verursacht hatte. Ich will lieber die bestehende Installation verbessern, als etwas ganz Neues einzuführen.

 

Beste Grüße

 

Andreas

Moin,

bei mir wird viel über Blacklisten geblockt, da reicht leider nur Spamhouse Liste nicht aus.

Habe auch einiges an Spam die angeblich von Amazon, Rewe, Lidl und co kommen als Text im Absender und dann im Betreff was steht von wegen für beste Stück vom Mann usw. oder seien Angebliche Gutscheine, und Kram kommt teils von Google oder Sendgrid welche beide gute ansehen haben, und von Blacklisten her und so eher negativen Spamscore haben. Da bleibt dann eher Inhaltlich dass Bayes was drauf schlägt was dann zu Spam führt.

Gruß Daniel

Von: Postfixbuch-users <[hidden email]> Im Auftrag von Andreas
Gesendet: Montag, 14. Dezember 2020 11:30
An: [hidden email]
Betreff: Re: AW: Zuviel SPAM, richtiges Justieren der SPAM-Filter

Am Montag, 14. Dezember 2020, 10:33:06 CET schrieb Ronny Seffner:
> > Habt Ihr hier gute Ansätze, die ich übernehmen darf?
>
> Bei uns hat der Wechsel von amavis+postscreen+spamassassin+* hin zu rspamd
> massiv geholfen.
>
>
> Mit freundlichen Grüßen / Kind regards
> Ronny Seffner
 
Vielen Dank erst einmal für Eure Feedbacks. Ich versuche jetzt erst einmal die Posts am Anfang entsprechend umzusetzen.
rspamd habe ich einmal ausprobiert und gleich wieder verworfen, weil mir das mehr Stress verursacht hatte. Ich will lieber die bestehende Installation verbessern, als etwas ganz Neues einzuführen.
 
Beste Grüße
 
Andreas

Moin,

>
> Vielen Dank erst einmal für Eure Feedbacks. Ich versuche jetzt erst
> einmal die Posts am Anfang entsprechend umzusetzen.
>
> rspamd habe ich einmal ausprobiert und gleich wieder verworfen, weil mir
> das mehr Stress verursacht hatte. Ich will lieber die bestehende
> Installation verbessern, als etwas ganz Neues einzuführen.
>

bei uns hat rspamd auch zu einer Verbesserung geführt. Wieso hat es bei
dir mehr Stress verursacht?

Grüße
Björn

Am Montag, 14. Dezember 2020, 17:47:51 CET schrieb Bjoern Franke:

> bei uns hat rspamd auch zu einer Verbesserung geführt. Wieso hat es bei

> dir mehr Stress verursacht?

 

Offen gesagt war das vor einem Jahr Wiederaufsetzen eines bestehenden Systems und ich verwende seit Jahren Amavisd-new/Spamassin und mein Installationsscript ist auf das abgezielt. Das ging schneller und mit rspamd hatte ich absolut keine Erfahrung. Ich hatte das zwar parallel auf einer virtuellen Maschine mit rspamd kam da aber mangels Erfahrung nicht zu Rande.

Und auch jetzt möchte das laufende System nicht einfach komplett umbauen. Jetzt will es nur performanen.

 

Beste Grüße

 

Andreas

Also bei uns hat der HELO check zu viele false positives ergeben.

Am 14.12.20 um 09:15 schrieb [hidden email]:
> Dem vorgeschaltet ist ein IP blocking per iptables. Das sind durch
> fail2ban auffällig gewordene IP's, hauptsächlich login Bruteforce
> Attacken oder Zombi Hosts, da gibt es eine handvoll IP Adressen,
> hauptsächlich aus China, die eine Verbindung aufbauen und dann kein
> EHLO senden.


Hallo Frank,

kannst du deine Konfig für Fail2ban veröffentlichen? Ich kämpfe auch mit
Bruteforce Angriffe aus China. Zur Zeit blocke ich die per Hand.

Gruß

Andreas

Alternativ kann man auch schon entsprechende Listen bei sich importieren.
http://www.blocklist.de/en/export.html

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users <[hidden email]> Im Auftrag von Andreas Reschke
Gesendet: Dienstag, 15. Dezember 2020 09:22
An: [hidden email]
Betreff: Re: Zuviel SPAM, richtiges Justieren der SPAM-Filter

Am 14.12.20 um 09:15 schrieb [hidden email]:
> Dem vorgeschaltet ist ein IP blocking per iptables. Das sind durch
> fail2ban auffällig gewordene IP's, hauptsächlich login Bruteforce
> Attacken oder Zombi Hosts, da gibt es eine handvoll IP Adressen,
> hauptsächlich aus China, die eine Verbindung aufbauen und dann kein
> EHLO senden.


Hallo Frank,

kannst du deine Konfig für Fail2ban veröffentlichen? Ich kämpfe auch mit
Bruteforce Angriffe aus China. Zur Zeit blocke ich die per Hand.

Gruß

Andreas

Am 15.12.2020 um 09:21 schrieb Andreas Reschke:
Der Filter sieht so aus:

# Fail2ban filter for extern postfix RBL

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf


[Definition]
failregex = ^%(__prefix_line)sstatistics: max connection rate [5-10]/60s
for \((.*):<HOST>\)

Hier wird aus dem Logfile der Gewinner (also die IP) der meisten
Verbindungen ermittelt, wenn diese über 5 in der letzten Minute liegt.
Mehr als 10 wird nicht ausgewertet, da Postfix nur max. 10 Verbindungen
von einer IP zeitgleich zulässt.

Die Jail.local u.a.:

[postfix-maxconn]
enabled = true
filter = postfix-maxconn
action = sendmail-match[name=postfix-maxconn-mail, dest=***@celebrate.de]
          iptablesBLOCKLIST[name=postfix-maxconn-ipblock]
logpath = /var/log/maillog
maxretry = 0
findtime = 61
bantime = -1

Die Aktion für iptablesBLOCKLIST:

[Definition]
actionban = /opt/logblock/fail2sql.sh <ip> <matches>

Hier wird ein Script gestartet, welches prüft, ob wir die IP schon in
unserer internen, globalen DB haben.
Falls nicht wird auf ein erfolgreiches Triplet im Greylisting geprüft,
gibt es das auch nicht, prüfen wir gegen
unsere Whitelist. Falls diese IP dort auch nicht vorhanden ist, werden
zu der IP neben Hostname, AS Nummer noch ein paar
weitere Infos gesammelt und die IP in unsere Datenbank aufgenommen,
zeitgleich wir die IP per iptables auf allen Systemen geblockt.

Parallel dazu wird bei einem falschen SASL Login auch sofort die IP
geprüft und geblockt.

In der DB finden wir u.a. viele Tor Exit Nodes, und Shodan Census IPs,
daneben viele DialUps aus Brasilien und Argentinien.
Die Russen und Chinesen sind auch sehr präsent.

Werde mir aber mal rspamd ansehen und das Scoring.

lg Frank

Moin,

geht euch auch Google derzeit auf die Nerven?

Ständig Spam. DNSBL bringt nix, da eher auf Whitelist stehen.

Beispiel Header einer der üblichen Rossmann, Rewe, DHL, LIDL oder sonst was Gutscheine oder so wo man auf Google Link Suche klicken soll oder duckdns.org Link.



Return-Path: <[hidden email]>
X-Original-To: X
Delivered-To: X
Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=2a00:1450:4864:20::429; helo=mail-wr1-x429.google.com; envelope-from=[hidden email]; receiver=X
Authentication-Results: Y; dmarc=pass (p=quarantine dis=none) header.from=googlemail.com
Authentication-Results: Y;
        dkim=pass (2048-bit key) header.d=googlemail.com header.i=@googlemail.com header.b=rA2ulXx/
Received: from mail-wr1-x429.google.com (mail-wr1-x429.google.com [IPv6:2a00:1450:4864:20::429])
        (using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits))
        (No client certificate requested)
        by Y (Postfix) with ESMTPS id 78F4F85D606
        for <X>; Wed, 16 Dec 2020 19:59:12 +0100 (CET)
Received: by mail-wr1-x429.google.com with SMTP id 91so24201002wrj.7
        for <X>; Wed, 16 Dec 2020 10:59:12 -0800 (PST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=googlemail.com; s=20161025;
        h=to:from:date:message-id:in-reply-to:references:subject:mime-version
         :content-transfer-encoding:content-disposition:precedence
         :auto-submitted;
        bh=GTlET2Z+jiLIjkxgIbq5VO7zJtJ7m85JN+LOo5KwviA=;
        b=rA2ulXx/SO+pIPDBkZ3k9K6+h2urd6c/8qav6utbbVVmhjVjKyqOJFAzFs5XrfmxZm
         SHuSBcc5HMf51AB4SXgH6EH5WJAKAi/RCRzEF6RGq9BiWfwbV1csR4pToo2TahmurC51
         X6jZ6Vl56oz69Om1a3Yp7E24QPqXllG0Jv5UpKgySYhJDkTTpMmbwtER/hYHiQoNaNLu
         llhcHHYBoouvAs+GSv5aWfk03mjcyAh31ywYiUphNNwtnBQBMzPpB9v1AvsKDlx05FyC
         yADcLVabfPEMmTCcH5+fs6dcHUt0IJAColXCWir/v0XepoHpk9X+Q7ecQAOsJgp+etwa
         FHNg==
X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=1e100.net; s=20161025;
        h=x-gm-message-state:to:from:date:message-id:in-reply-to:references
         :subject:mime-version:content-transfer-encoding:content-disposition
         :precedence:auto-submitted;
        bh=GTlET2Z+jiLIjkxgIbq5VO7zJtJ7m85JN+LOo5KwviA=;
        b=o6YT2wTfcBVGDrfOImVCmCwmrYkZwg/sCKejt/ARAqELNjDTIzDLyazbrCNP+gGFk7
         xUJJBNwt1CkHwXYs42/U9lTF2roqAnXNrwpNORBxHjM/edhVffBtpMwBrVrqmpleIKul
         2NZUirva4Lm8oSflajLYOLBquCabNfNKGeSxq2vdF3uQ6yDzG3YcUchSg4qR6gxxhmDR
         nTsVLLaAgP+YGwlY/9hzAwghcFhYOJm75UF0vcGwqaRxYomXJYvvga4sYGV/w8c0zN2n
         9o7eUh/qkRjfo1BvS1vM8ErZulMsdJkEsnDCmNGxixoKbLRAkTtGOXuvjRCw2/RE6VVj
         ZVbA==
X-Gm-Message-State: AOAM532qrkHombUv6JmqLiOzv/k76CCdHfDsbKWcp7t3tWYZNx3t5LhC
        zLs9GbVBDQM+gyY4FbD/1zy2aP+7J2Ustr9MRGCstjdjb8pEVx2T
X-Google-Smtp-Source: ABdhPJy4w2RcqvzZDW3JFVZZ/Up2O7C49arnuoHJ8crdW4UCtp4eBm53cEXTDTkh1uT71im4MXsa54Rp452YZHh5jKVRHg8HF/3FEiGUEuCJ
X-Received: by 2002:a5d:6503:: with SMTP id x3mr39389615wru.151.1608145144612;
        Wed, 16 Dec 2020 10:59:04 -0800 (PST)
To: X
From: Rossmann <[hidden email]>
Date: Wed, 16 Dec 2020 10:59:04 -0800
Message-ID: <CAOE8iB=[hidden email]>
In-Reply-To: <[hidden email]>
References: <[hidden email]>
Subject: =?UTF-8?Q?Re:_Wir_haben_eine_=C3=9Cberraschung_f=C3=BCr_Rossmann_Shopper!?=
MIME-Version: 1.0
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: base64
Content-Disposition: inline
Precedence: bulk
X-Autoreply: yes
Auto-Submitted: auto-replied
X-Spam-Status: score=3.5788985442325, required 5, BAYES_SPAM 4, FREEMAIL_FROM 0.001, R_SPF_ALLOW -0.2, TO_DN_NONE 0, __THREADED 0, SEM_URIBL_FRESH15_UNKNOWN_FAIL 0, MAILSPIKE_FAIL 0, DKIM_TRACE 0, MIME_BASE64_TEXT 1.741, HTML_MESSAGE 0.001, MX_GOOD -0.01, SUBJECT_ENDS_EXCLAIM 0, DMARC_POLICY_ALLOW -0.5, FROM_EQ_ENVFROM 0, MIME_TRACE 0, FREEMAIL_ENVFROM 0, ASN 0, TAGGED_FROM 0, __BOUNCE_OOO_ARHDR 0, __NOT_SPOOFED 0, RSPAMD_URIBL_FAIL 0, __BODY_URI_ONLY 0, __TO_NO_BRKTS_FREEMAIL 0, FROM_HAS_DN 0, FREEMAIL_ENVFROM_END_DIGIT 0.25, TO_MATCH_ENVRCPT_ALL 0, PRECEDENCE_BULK 0, HTML_SHORT_LINK_IMG_2 0.001, PREVIOUSLY_DELIVERED 0, RCPT_COUNT_ONE 0, RCVD_IN_IADB_FAIL 0, IP_SCORE -1.5051014557675, __VIA_ML 0, HTML_MISSING_CTYPE 0, RCVD_IN_DNSWL_NONE 0, RBL_BLOCKLISTDE_FAIL 0, MIME_HTML_ONLY 0, R_DKIM_ALLOW -0.2, WL_MAILSPIKE_FAIL 0, RCVD_COUNT_TWO 0, RCVD_TLS_ALL 0, __NOT_A_PERSON 0
X-Spam-Flag: no
X-Virus-Status: no

Hallo,

> geht euch auch Google derzeit auf die Nerven?

ja.

Die Server kommen bei uns einer nach dem anderen (automatisch) auf die Blackliste :)

- Stefan