Hallo zusammen,
auf meinem Mailserver (Postfix, Amavis, Spamassin auf Debian) werden nach wie vor Spam durchgelassen. Zwar nicht so Viele wie ohne Filter, besser wären keine.
Es sind Mails zu Bitcoins, "Aus der Höhle der Löwen", "Du wurdest von Tim eingeladen" (fuenf-zum-glueck.de), "Margrit möchte dich treffen" ([hidden email]) etc. Ich stecke die zwar immer in den Spam-Ordner, um die Autolearn-Funktion regelmässig zu nutzen und hole täglich auf spamassassin.heinlein-support.de neue Pattern-Updates, aber irgendwie hilft das nicht so doll.
Deshalb meine Fragen. Wie sind die optimalen Parameter bei Spamassin, um eine größtmögliche Bandbreite an Spammails auszusortieren? Oder wie analysiere ich betreffende Mails, um dann eben passende Parameter zu korrigieren. Das Eintragen der Domains in die Postfix-Configs, damit diese abgelehnt werden, dürfte auch keine sinnvolle Methode sein, zumal das auch kontraproduktiv sein kann.
Habt Ihr hier gute Ansätze, die ich übernehmen darf?
Beste Grüße
Andreas |
Am 14.12.2020 um 08:45 schrieb Andreas:
Ich analysiere basierend auf Mailgraph die Wirkung meiner Filter, diese sind technisch, RBL und SpamAssassin basierend sind. Dort sehe ich in den Diagrammen, was so ab geht ;-) - technisch: hostname zur IP prüfen: "Cannot find your hostname", da fällt schon viel raus, hauptsächlich Dial-Ups aus Brasielien, weiter gundlegende RFC Kompatibilität. - RBLs: u.a. heise (Manitu), usw. - Spam Assassin (Pyzor und Razor) Dem vorgeschaltet ist ein IP blocking per iptables. Das sind durch fail2ban auffällig gewordene IP's, hauptsächlich login Bruteforce Attacken oder Zombi Hosts, da gibt es eine handvoll IP Adressen, hauptsächlich aus China, die eine Verbindung aufbauen und dann kein EHLO senden. Ganz wichtige und zuverlässige Kunden sind whitgelistet, ebenso eingebunden eine öffentliche IP whitelist wo Telekom, 1&1, Amazon usw. aufgeführt sind. Praktisch seit Jahren kein Spam im Posteingang, was AMAVIS / Spamassassin filtert, verschiebt Sieve in den SPAM Ordner. Da finde ich auch eine Deiner Kandidaten ... lg Frank |
Hi, Am Mo., 14. Dez. 2020 um 09:15 Uhr schrieb <[hidden email]>:
das was Frank machen wir auch, allerdings hilft das nicht bei den vom OP genannten SPAMs Ich filter sogar nicht nur Client IP sondern auch nach HELO (also, wenn der HELO ungültig ist, wech damit). Ziemlich teuer aber macht 30% der Filterung aus und sehr zuverlässig. Meine Meinung dazu: technische Filter helfen nicht bei real funktionierenden Mailservern, die zur Verbreitung genutzt werden. Ich bin noch nicht bereit Wort-Filter einzusetzen. Mit freundlichem Gruss Bjoern Meier |
In reply to this post by Andreas-2
> Habt Ihr hier gute Ansätze, die ich übernehmen darf?
> Bei uns hat der Wechsel von amavis+postscreen+spamassassin+* hin zu rspamd massiv geholfen. Mit freundlichen Grüßen / Kind regards Ronny Seffner |
Am Montag, 14. Dezember 2020, 10:33:06 CET schrieb Ronny Seffner: > > Habt Ihr hier gute Ansätze, die ich übernehmen darf? > > Bei uns hat der Wechsel von amavis+postscreen+spamassassin+* hin zu rspamd > massiv geholfen. > > > Mit freundlichen Grüßen / Kind regards > Ronny Seffner
Vielen Dank erst einmal für Eure Feedbacks. Ich versuche jetzt erst einmal die Posts am Anfang entsprechend umzusetzen. rspamd habe ich einmal ausprobiert und gleich wieder verworfen, weil mir das mehr Stress verursacht hatte. Ich will lieber die bestehende Installation verbessern, als etwas ganz Neues einzuführen.
Beste Grüße
Andreas |
Moin,
bei mir wird viel über Blacklisten geblockt, da reicht leider nur Spamhouse Liste nicht aus. Habe auch einiges an Spam die angeblich von Amazon, Rewe, Lidl und co kommen als Text im Absender und dann im Betreff was steht von wegen für beste Stück vom Mann usw. oder seien Angebliche Gutscheine, und Kram kommt teils von Google oder Sendgrid welche beide gute ansehen haben, und von Blacklisten her und so eher negativen Spamscore haben. Da bleibt dann eher Inhaltlich dass Bayes was drauf schlägt was dann zu Spam führt. Gruß Daniel Von: Postfixbuch-users <[hidden email]> Im Auftrag von Andreas Gesendet: Montag, 14. Dezember 2020 11:30 An: [hidden email] Betreff: Re: AW: Zuviel SPAM, richtiges Justieren der SPAM-Filter Am Montag, 14. Dezember 2020, 10:33:06 CET schrieb Ronny Seffner: > > Habt Ihr hier gute Ansätze, die ich übernehmen darf? > > Bei uns hat der Wechsel von amavis+postscreen+spamassassin+* hin zu rspamd > massiv geholfen. > > > Mit freundlichen Grüßen / Kind regards > Ronny Seffner Vielen Dank erst einmal für Eure Feedbacks. Ich versuche jetzt erst einmal die Posts am Anfang entsprechend umzusetzen. rspamd habe ich einmal ausprobiert und gleich wieder verworfen, weil mir das mehr Stress verursacht hatte. Ich will lieber die bestehende Installation verbessern, als etwas ganz Neues einzuführen. Beste Grüße Andreas |
In reply to this post by Andreas-2
Moin,
> > Vielen Dank erst einmal für Eure Feedbacks. Ich versuche jetzt erst > einmal die Posts am Anfang entsprechend umzusetzen. > > rspamd habe ich einmal ausprobiert und gleich wieder verworfen, weil mir > das mehr Stress verursacht hatte. Ich will lieber die bestehende > Installation verbessern, als etwas ganz Neues einzuführen. > bei uns hat rspamd auch zu einer Verbesserung geführt. Wieso hat es bei dir mehr Stress verursacht? Grüße Björn |
Am Montag, 14. Dezember 2020, 17:47:51 CET schrieb Bjoern Franke: > bei uns hat rspamd auch zu einer Verbesserung geführt. Wieso hat es bei > dir mehr Stress verursacht?
Offen gesagt war das vor einem Jahr Wiederaufsetzen eines bestehenden Systems und ich verwende seit Jahren Amavisd-new/Spamassin und mein Installationsscript ist auf das abgezielt. Das ging schneller und mit rspamd hatte ich absolut keine Erfahrung. Ich hatte das zwar parallel auf einer virtuellen Maschine mit rspamd kam da aber mangels Erfahrung nicht zu Rande. Und auch jetzt möchte das laufende System nicht einfach komplett umbauen. Jetzt will es nur performanen.
Beste Grüße
Andreas |
In reply to this post by Bjoern Meier
Also bei uns hat der HELO check zu viele false positives ergeben.
Das machen sehr viele Admins falsch. Am Anfang hat der Forward confirmed Reverse DNS lookup viel gebracht.
Ansonsten hilft rspamd wirklich weiter. Die Scores, die da rauskommen sind schon gut. Viele Grüße!
-- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: [hidden email] http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AKTIENGESELLSCHAFT Dieselstr. 8 48324 Sendenhorst Deutschland/Germany http://www.veka.com Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand HRB 8282 AG Münster/District Court of Münster |
In reply to this post by Frank Kirschner
Am 14.12.20 um 09:15 schrieb [hidden email]:
> Dem vorgeschaltet ist ein IP blocking per iptables. Das sind durch > fail2ban auffällig gewordene IP's, hauptsächlich login Bruteforce > Attacken oder Zombi Hosts, da gibt es eine handvoll IP Adressen, > hauptsächlich aus China, die eine Verbindung aufbauen und dann kein > EHLO senden. Hallo Frank, kannst du deine Konfig für Fail2ban veröffentlichen? Ich kämpfe auch mit Bruteforce Angriffe aus China. Zur Zeit blocke ich die per Hand. Gruß Andreas |
Alternativ kann man auch schon entsprechende Listen bei sich importieren.
http://www.blocklist.de/en/export.html Gruß Daniel -----Ursprüngliche Nachricht----- Von: Postfixbuch-users <[hidden email]> Im Auftrag von Andreas Reschke Gesendet: Dienstag, 15. Dezember 2020 09:22 An: [hidden email] Betreff: Re: Zuviel SPAM, richtiges Justieren der SPAM-Filter Am 14.12.20 um 09:15 schrieb [hidden email]: > Dem vorgeschaltet ist ein IP blocking per iptables. Das sind durch > fail2ban auffällig gewordene IP's, hauptsächlich login Bruteforce > Attacken oder Zombi Hosts, da gibt es eine handvoll IP Adressen, > hauptsächlich aus China, die eine Verbindung aufbauen und dann kein > EHLO senden. Hallo Frank, kannst du deine Konfig für Fail2ban veröffentlichen? Ich kämpfe auch mit Bruteforce Angriffe aus China. Zur Zeit blocke ich die per Hand. Gruß Andreas |
In reply to this post by postfix_ml
Am 15.12.2020 um 09:21 schrieb Andreas Reschke:
> Am 14.12.20 um 09:15 schrieb [hidden email]: >> Dem vorgeschaltet ist ein IP blocking per iptables. Das sind durch >> fail2ban auffällig gewordene IP's, hauptsächlich login Bruteforce >> Attacken oder Zombi Hosts, da gibt es eine handvoll IP Adressen, >> hauptsächlich aus China, die eine Verbindung aufbauen und dann kein >> EHLO senden. > > > Hallo Frank, > > kannst du deine Konfig für Fail2ban veröffentlichen? Ich kämpfe auch > mit Bruteforce Angriffe aus China. Zur Zeit blocke ich die per Hand. > # Fail2ban filter for extern postfix RBL [INCLUDES] # Read common prefixes. If any customizations available -- read them from # common.local before = common.conf [Definition] failregex = ^%(__prefix_line)sstatistics: max connection rate [5-10]/60s for \((.*):<HOST>\) Hier wird aus dem Logfile der Gewinner (also die IP) der meisten Verbindungen ermittelt, wenn diese über 5 in der letzten Minute liegt. Mehr als 10 wird nicht ausgewertet, da Postfix nur max. 10 Verbindungen von einer IP zeitgleich zulässt. Die Jail.local u.a.: [postfix-maxconn] enabled = true filter = postfix-maxconn action = sendmail-match[name=postfix-maxconn-mail, dest=***@celebrate.de] iptablesBLOCKLIST[name=postfix-maxconn-ipblock] logpath = /var/log/maillog maxretry = 0 findtime = 61 bantime = -1 Die Aktion für iptablesBLOCKLIST: [Definition] actionban = /opt/logblock/fail2sql.sh <ip> <matches> Hier wird ein Script gestartet, welches prüft, ob wir die IP schon in unserer internen, globalen DB haben. Falls nicht wird auf ein erfolgreiches Triplet im Greylisting geprüft, gibt es das auch nicht, prüfen wir gegen unsere Whitelist. Falls diese IP dort auch nicht vorhanden ist, werden zu der IP neben Hostname, AS Nummer noch ein paar weitere Infos gesammelt und die IP in unsere Datenbank aufgenommen, zeitgleich wir die IP per iptables auf allen Systemen geblockt. Parallel dazu wird bei einem falschen SASL Login auch sofort die IP geprüft und geblockt. In der DB finden wir u.a. viele Tor Exit Nodes, und Shodan Census IPs, daneben viele DialUps aus Brasilien und Argentinien. Die Russen und Chinesen sind auch sehr präsent. Werde mir aber mal rspamd ansehen und das Scoring. lg Frank |
Moin,
geht euch auch Google derzeit auf die Nerven? Ständig Spam. DNSBL bringt nix, da eher auf Whitelist stehen. Beispiel Header einer der üblichen Rossmann, Rewe, DHL, LIDL oder sonst was Gutscheine oder so wo man auf Google Link Suche klicken soll oder duckdns.org Link. Return-Path: <[hidden email]> X-Original-To: X Delivered-To: X Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=2a00:1450:4864:20::429; helo=mail-wr1-x429.google.com; envelope-from=[hidden email]; receiver=X Authentication-Results: Y; dmarc=pass (p=quarantine dis=none) header.from=googlemail.com Authentication-Results: Y; dkim=pass (2048-bit key) header.d=googlemail.com header.i=@googlemail.com header.b=rA2ulXx/ Received: from mail-wr1-x429.google.com (mail-wr1-x429.google.com [IPv6:2a00:1450:4864:20::429]) (using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)) (No client certificate requested) by Y (Postfix) with ESMTPS id 78F4F85D606 for <X>; Wed, 16 Dec 2020 19:59:12 +0100 (CET) Received: by mail-wr1-x429.google.com with SMTP id 91so24201002wrj.7 for <X>; Wed, 16 Dec 2020 10:59:12 -0800 (PST) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=googlemail.com; s=20161025; h=to:from:date:message-id:in-reply-to:references:subject:mime-version :content-transfer-encoding:content-disposition:precedence :auto-submitted; bh=GTlET2Z+jiLIjkxgIbq5VO7zJtJ7m85JN+LOo5KwviA=; b=rA2ulXx/SO+pIPDBkZ3k9K6+h2urd6c/8qav6utbbVVmhjVjKyqOJFAzFs5XrfmxZm SHuSBcc5HMf51AB4SXgH6EH5WJAKAi/RCRzEF6RGq9BiWfwbV1csR4pToo2TahmurC51 X6jZ6Vl56oz69Om1a3Yp7E24QPqXllG0Jv5UpKgySYhJDkTTpMmbwtER/hYHiQoNaNLu llhcHHYBoouvAs+GSv5aWfk03mjcyAh31ywYiUphNNwtnBQBMzPpB9v1AvsKDlx05FyC yADcLVabfPEMmTCcH5+fs6dcHUt0IJAColXCWir/v0XepoHpk9X+Q7ecQAOsJgp+etwa FHNg== X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=1e100.net; s=20161025; h=x-gm-message-state:to:from:date:message-id:in-reply-to:references :subject:mime-version:content-transfer-encoding:content-disposition :precedence:auto-submitted; bh=GTlET2Z+jiLIjkxgIbq5VO7zJtJ7m85JN+LOo5KwviA=; b=o6YT2wTfcBVGDrfOImVCmCwmrYkZwg/sCKejt/ARAqELNjDTIzDLyazbrCNP+gGFk7 xUJJBNwt1CkHwXYs42/U9lTF2roqAnXNrwpNORBxHjM/edhVffBtpMwBrVrqmpleIKul 2NZUirva4Lm8oSflajLYOLBquCabNfNKGeSxq2vdF3uQ6yDzG3YcUchSg4qR6gxxhmDR nTsVLLaAgP+YGwlY/9hzAwghcFhYOJm75UF0vcGwqaRxYomXJYvvga4sYGV/w8c0zN2n 9o7eUh/qkRjfo1BvS1vM8ErZulMsdJkEsnDCmNGxixoKbLRAkTtGOXuvjRCw2/RE6VVj ZVbA== X-Gm-Message-State: AOAM532qrkHombUv6JmqLiOzv/k76CCdHfDsbKWcp7t3tWYZNx3t5LhC zLs9GbVBDQM+gyY4FbD/1zy2aP+7J2Ustr9MRGCstjdjb8pEVx2T X-Google-Smtp-Source: ABdhPJy4w2RcqvzZDW3JFVZZ/Up2O7C49arnuoHJ8crdW4UCtp4eBm53cEXTDTkh1uT71im4MXsa54Rp452YZHh5jKVRHg8HF/3FEiGUEuCJ X-Received: by 2002:a5d:6503:: with SMTP id x3mr39389615wru.151.1608145144612; Wed, 16 Dec 2020 10:59:04 -0800 (PST) To: X From: Rossmann <[hidden email]> Date: Wed, 16 Dec 2020 10:59:04 -0800 Message-ID: <CAOE8iB=[hidden email]> In-Reply-To: <[hidden email]> References: <[hidden email]> Subject: =?UTF-8?Q?Re:_Wir_haben_eine_=C3=9Cberraschung_f=C3=BCr_Rossmann_Shopper!?= MIME-Version: 1.0 Content-Type: text/html; charset=UTF-8 Content-Transfer-Encoding: base64 Content-Disposition: inline Precedence: bulk X-Autoreply: yes Auto-Submitted: auto-replied X-Spam-Status: score=3.5788985442325, required 5, BAYES_SPAM 4, FREEMAIL_FROM 0.001, R_SPF_ALLOW -0.2, TO_DN_NONE 0, __THREADED 0, SEM_URIBL_FRESH15_UNKNOWN_FAIL 0, MAILSPIKE_FAIL 0, DKIM_TRACE 0, MIME_BASE64_TEXT 1.741, HTML_MESSAGE 0.001, MX_GOOD -0.01, SUBJECT_ENDS_EXCLAIM 0, DMARC_POLICY_ALLOW -0.5, FROM_EQ_ENVFROM 0, MIME_TRACE 0, FREEMAIL_ENVFROM 0, ASN 0, TAGGED_FROM 0, __BOUNCE_OOO_ARHDR 0, __NOT_SPOOFED 0, RSPAMD_URIBL_FAIL 0, __BODY_URI_ONLY 0, __TO_NO_BRKTS_FREEMAIL 0, FROM_HAS_DN 0, FREEMAIL_ENVFROM_END_DIGIT 0.25, TO_MATCH_ENVRCPT_ALL 0, PRECEDENCE_BULK 0, HTML_SHORT_LINK_IMG_2 0.001, PREVIOUSLY_DELIVERED 0, RCPT_COUNT_ONE 0, RCVD_IN_IADB_FAIL 0, IP_SCORE -1.5051014557675, __VIA_ML 0, HTML_MISSING_CTYPE 0, RCVD_IN_DNSWL_NONE 0, RBL_BLOCKLISTDE_FAIL 0, MIME_HTML_ONLY 0, R_DKIM_ALLOW -0.2, WL_MAILSPIKE_FAIL 0, RCVD_COUNT_TWO 0, RCVD_TLS_ALL 0, __NOT_A_PERSON 0 X-Spam-Flag: no X-Virus-Status: no |
Hallo,
> geht euch auch Google derzeit auf die Nerven? ja. Die Server kommen bei uns einer nach dem anderen (automatisch) auf die Blackliste :) - Stefan |
Free forum by Nabble | Edit this page |