ich werde der Spamflut nicht Herr - postfix amavis-new dovecot

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
21 messages Options
12
Reply | Threaded
Open this post in threaded view
|

ich werde der Spamflut nicht Herr - postfix amavis-new dovecot

Christoph Kukulies
Seit Wochen versuche ich nun schon, die Spamflut an meinen account auf
einem Server (Ubuntu 16.04 LTS) einzudämmen.
Schicke immer manuell täglich allen Junk aus meiner Thunderbird inbox in
den Junk-Folder (das sind täglich ca. 70-100, alle der Sorte Nagelpilz,
Betriebshaftpflicht, Reichwerdeprogramme, PKV, und andere
Dienstleistungen aus dem XXX-Bereich).

Manchmal ist eine Mail dabei, die mit ***** SPAM ***** markiert ist, ich
habe aber extra das SPAM-Pattern in ++++ SPAM ++++
geändert, damit ich sehen kann, daß es von meinem lokalen Filter
generiert wurde und nicht bereits im Subject vorhanden war, als die Mail
eintraf.

Ich habe hier mal so einen Header herausgegriffen (Adressen modifiziert):

     Return-Path: <[hidden email]>
     Delivered-To: [hidden email]
     Received: from mail.mydomain.org
     by mydomain.org (Dovecot) with LMTP id QgXsNmItxlikaQAAXmd1zw
     for <[hidden email]>; Mon, 13 Mar 2017 06:25:54 +0100
     Received: from localhost (localhost [127.0.0.1])
         by mail.mydomain.org (Postfix) with ESMTP id D6DD82106AB
         for <[hidden email]>; Mon, 13 Mar 2017 06:25:54 +0100 (CET)
     X-Spam-Flag: NO
     X-Spam-Score: 1.275
     X-Spam-Level: *
     X-Spam-Status: No, score=1.275 required=5 tests=[HTML_MESSAGE=0.001,
         RDNS_NONE=1.274] autolearn=no autolearn_force=no
     Received: from mail.mydomain.org ([127.0.0.1])
         by localhost (mail.mydomain.org [127.0.0.1]) (amavisd-new, port
10024)
         with ESMTP id z8AeaCeujJbg for <[hidden email]>;
         Mon, 13 Mar 2017 06:25:54 +0100 (CET)
     Received: from www.spamsite.com (unknown [67.231.106.60])
         by mail.mydomain.org (Postfix) with ESMTP id 0ACC82106AA
         for <[hidden email]>; Mon, 13 Mar 2017 06:25:53 +0100 (CET)
     Date: Sun, 12 Mar 2017 23:25:47 -0600
     To: [hidden email]
     From: Megan <[hidden email]>
     Subject:
=?utf-8?Q?Having_invested_1000$_i=E2=80=99ve_earned_12000$_for_a_week?=
     Message-ID: <[hidden email]>
     X-Priority: 3
     MIME-Version: 1.0
     Content-Type: multipart/alternative;
         boundary="b1_413bcf25601d2543b66f351d177c82d2"
     Content-Transfer-Encoding: 8bit

     --b1_413bcf25601d2543b66f351d177c82d2
     Content-Type: text/plain; charset=us-ascii

     Developer wrote application of market trading without human
interaction.
     This application is available to every man. With every new man has
downloaded it and installed - it becomes smarter. For year it
successfully trades on market making huge income for every owner of the
app. Make it in time to become rich. Earn lots of money before app
became forbidden!

     [
http://www.spamsite.com/menu.php?n=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 
] It is free and you can get it here


Auch schicke ich mittlerweile immer mal wieder "gute" Mail in einen
ham-Ordner zum Lernen.

Nützt alles nichts.


Wäre jetzt dieses Forum ein Platz für derartige Fragen oder gibt es noch
was spezielleres?


Grüße

Christoph


Reply | Threaded
Open this post in threaded view
|

Re: ich werde der Spamflut nicht Herr - postfix amavis-new dovecot

Lars Täuber
Hallo zusammen,

Mon, 13 Mar 2017 10:42:22 +0100
Christoph Kukulies <[hidden email]> ==> [hidden email] :

> Seit Wochen versuche ich nun schon, die Spamflut an meinen account auf
> einem Server (Ubuntu 16.04 LTS) einzudämmen.
> Schicke immer manuell täglich allen Junk aus meiner Thunderbird inbox in
> den Junk-Folder (das sind täglich ca. 70-100, alle der Sorte Nagelpilz,
> Betriebshaftpflicht, Reichwerdeprogramme, PKV, und andere
> Dienstleistungen aus dem XXX-Bereich).
>
> Manchmal ist eine Mail dabei, die mit ***** SPAM ***** markiert ist, ich
> habe aber extra das SPAM-Pattern in ++++ SPAM ++++
> geändert, damit ich sehen kann, daß es von meinem lokalen Filter
> generiert wurde und nicht bereits im Subject vorhanden war, als die Mail
> eintraf.
>
> Ich habe hier mal so einen Header herausgegriffen (Adressen modifiziert):
>
>      Return-Path: <[hidden email]>
>      Delivered-To: [hidden email]
>      Received: from mail.mydomain.org
>      by mydomain.org (Dovecot) with LMTP id QgXsNmItxlikaQAAXmd1zw
>      for <[hidden email]>; Mon, 13 Mar 2017 06:25:54 +0100
>      Received: from localhost (localhost [127.0.0.1])
>          by mail.mydomain.org (Postfix) with ESMTP id D6DD82106AB
>          for <[hidden email]>; Mon, 13 Mar 2017 06:25:54 +0100 (CET)
>      X-Spam-Flag: NO
>      X-Spam-Score: 1.275
>      X-Spam-Level: *
>      X-Spam-Status: No, score=1.275 required=5 tests=[HTML_MESSAGE=0.001,
>          RDNS_NONE=1.274] autolearn=no autolearn_force=no
>      Received: from mail.mydomain.org ([127.0.0.1])
>          by localhost (mail.mydomain.org [127.0.0.1]) (amavisd-new, port
> 10024)
>          with ESMTP id z8AeaCeujJbg for <[hidden email]>;
>          Mon, 13 Mar 2017 06:25:54 +0100 (CET)
>      Received: from www.spamsite.com (unknown [67.231.106.60])
>          by mail.mydomain.org (Postfix) with ESMTP id 0ACC82106AA
>          for <[hidden email]>; Mon, 13 Mar 2017 06:25:53 +0100 (CET)
>      Date: Sun, 12 Mar 2017 23:25:47 -0600
>      To: [hidden email]
>      From: Megan <[hidden email]>
>      Subject:
> =?utf-8?Q?Having_invested_1000$_i=E2=80=99ve_earned_12000$_for_a_week?=
>      Message-ID: <[hidden email]>
>      X-Priority: 3
>      MIME-Version: 1.0
>      Content-Type: multipart/alternative;
>          boundary="b1_413bcf25601d2543b66f351d177c82d2"
>      Content-Transfer-Encoding: 8bit
>
>      --b1_413bcf25601d2543b66f351d177c82d2
>      Content-Type: text/plain; charset=us-ascii
>
>      Developer wrote application of market trading without human
> interaction.
>      This application is available to every man. With every new man has
> downloaded it and installed - it becomes smarter. For year it
> successfully trades on market making huge income for every owner of the
> app. Make it in time to become rich. Earn lots of money before app
> became forbidden!
>
>      [
> http://www.spamsite.com/menu.php?n=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 
> ] It is free and you can get it here
>
>
> Auch schicke ich mittlerweile immer mal wieder "gute" Mail in einen
> ham-Ordner zum Lernen.
>
> Nützt alles nichts.
>
>
> Wäre jetzt dieses Forum ein Platz für derartige Fragen oder gibt es noch
> was spezielleres?


wir haben sehr gute Erfahrungen mit dspam und sieve-Regeln in Dovecot gemacht.
Der dspam wird nach ca. 2000 trainierten Mails richtig gut. Ich habe das nie quantifiziert, aber gefühlt sind es
 >95% true positive rate
<<10% false negative rate

Das ist jedoch kontoabhängig. Beim Postmaster ist die false negative rate etwas größer als bei einem "normalen" Postfach.

Wir setzen dspam als persönlichen Filter ein. Jedes Postfach hat seine eigene DB, die das persönliche Spam-Ham-Profil enthält.
Trainieren können die Nutzer über das Verschieben nach oder aus dem Spam-Ordner heraus. (dovecot antispam)
https://wiki2.dovecot.org/HowTo/Virtual%2BPostfix%2BDspam%2BDovecot

Leider wird dspam nicht mehr weiterentwickelt und in der 16.04.X Version von ubuntu ist es auch nicht mehr dabei.
Leider habe ich bisher auch keinen Ersatz für dspam in unserer Konfiguration gefunden.

Wenn ich in diesem Beitrag eine Frage stellen darf:
Kennt jemand eine serverbasierte Alternative für dspam mit persönlichen Spamprofilen?

Gruß und Dank
Lars



>
>
> Grüße
>
> Christoph
>
>
>


--
                            Informationstechnologie
Berlin-Brandenburgische Akademie der Wissenschaften
Jägerstraße 22-23                      10117 Berlin
Tel.: +49 30 20370-352           http://www.bbaw.de
Reply | Threaded
Open this post in threaded view
|

Re: ich werde der Spamflut nicht Herr - postfix amavis-new dovecot

Martin Steigerwald
Am Montag, 13. März 2017, 11:29:43 CET schrieb Lars Täuber:
> Leider wird dspam nicht mehr weiterentwickelt und in der 16.04.X Version von
> ubuntu ist es auch nicht mehr dabei. Leider habe ich bisher auch keinen
> Ersatz für dspam in unserer Konfiguration gefunden.
>
> Wenn ich in diesem Beitrag eine Frage stellen darf:
> Kennt jemand eine serverbasierte Alternative für dspam mit persönlichen
> Spamprofilen?

Eventuell crm114.

Ich bilde mir ein, damals, also vor Jahren schon, mit crm114 client-seitig ein
besseres Ergebnis als

> >95% true positive rate
>
> <<10% false negative rate

gehabt zu haben. crm114 lässt sich mit dovecot-antispam meines Wissens auch
serverseitig einsetzen. Ich hab das bislang nicht probiert. Nutze auch immer
noch hauptsächlich POP3.

Ansonsten empfehle ich policyd-weight.

Außerdem hab ich auf meinem Server spamassassin, derzeit via spamc,
integriert, wobei dieser Perl-basierte Wrapper

spampd - SMTP/LMTP-Proxy-Dämon basierend auf SpamAssassin

wohl effizienter arbeitet.

Spamassassin läuft mit einigen Zusatzregeln, z.B. die von Heinlein Support.

Damit komme ich ganz gut klar, bis auf einige VMs bei OVH und anderen
Anbietern, die ich via Sender- oder teilweise auch Header-Checks (auf
Received:) manuell blocke.

Schön ist das aber nicht mit dem Spammen. Und ich denke, es ist sinnvoll, es
Spammern irgendwann mal wirklich wirksam schwerer zu machen. U.a. durch
strengere Auflagen, die Provider verpflichten zeitnah und wirksam auf Spam-
Reports zu reagieren, strengere Auflagen für Internet of Things-Hersteller, und
vielleicht auch Änderungen an der Art und Weise der Mail-Übertragung an sich.
Und dadurch, Spammer im Sinne von Wiedergutmachung wirksam am
volkswirtschaftlichen Schaden, den sie verursachen, zu beteiligen. Und dieses
Geld dann für Spamschutz auszugeben :).

Soweit ich mal las, sind mittlerweile größer 90% aller Mail Spam-Schrott.

Ciao,
--
Martin
Reply | Threaded
Open this post in threaded view
|

Re: ich werde der Spamflut nicht Herr - postfix amavis-new dovecot

Lars Täuber
Hallo!

Mon, 13 Mar 2017 14:02:25 +0100
Martin Steigerwald <[hidden email]> ==> [hidden email] :

> Am Montag, 13. März 2017, 11:29:43 CET schrieb Lars Täuber:
> > Leider wird dspam nicht mehr weiterentwickelt und in der 16.04.X Version von
> > ubuntu ist es auch nicht mehr dabei. Leider habe ich bisher auch keinen
> > Ersatz für dspam in unserer Konfiguration gefunden.
> >
> > Wenn ich in diesem Beitrag eine Frage stellen darf:
> > Kennt jemand eine serverbasierte Alternative für dspam mit persönlichen
> > Spamprofilen?  
>
> Eventuell crm114.
Das kommt mir bekannt vor. Entweder man konnte es nicht mittels lmtp zwischen postfix und dovecot klemmen, oder es hatte keine DB pro Konto. Ich werde es mir aber noch mal genauer anschauen.

> Ich bilde mir ein, damals, also vor Jahren schon, mit crm114 client-seitig ein
> besseres Ergebnis als
>
> > >95% true positive rate  
> >
> > <<10% false negative rate  

Mit einem kleinen Skript habe ich mal die Werte meines aktuellen Postfachs ausgelesen:

Seit der Einführung von dspam (vor 626 Tagen):
Lesart: true positiv => als Spam erkannt

tp =   4295 /   4577 => 93.83%
fn =    284 /   4577 =>  6.20%
tn =  31454 /  31550 => 99.69%
fp =    102 /  31550 =>   .32%

Also 14,5% aller Mails die unser Postfix (ohne irgendwelche Milter|Amavis|Spamassassin) und Kapsersky durchlassen sind Spam.
Ich muss mit 6% falsch erkanntem Spam im "Posteingang" leben. Das sind bei mir 0,9% dieser Mails.
Nur 0,3% der Mails landen fälschlicherweise im Spamordner.
Ich bin zufrieden.

Ist das hier schon off topic? Gehört soetwas auf die Dovecot Liste?

Ist es unpassend für die Liste nach den Ergebnisse anderer/eurer Spamfilterungen zu fragen?

Grüße
Lars

dspam-stats.sh (2K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: ich werde der Spamflut nicht Herr - postfix amavis-new dovecot

Martin Steigerwald
Am Montag, 13. März 2017, 16:50:48 CET schrieb Lars Täuber:

> Mon, 13 Mar 2017 14:02:25 +0100
>
> Martin Steigerwald <[hidden email]> ==> [hidden email] :
> > Am Montag, 13. März 2017, 11:29:43 CET schrieb Lars Täuber:
> > > Leider wird dspam nicht mehr weiterentwickelt und in der 16.04.X Version
> > > von ubuntu ist es auch nicht mehr dabei. Leider habe ich bisher auch
> > > keinen Ersatz für dspam in unserer Konfiguration gefunden.
> > >
> > > Wenn ich in diesem Beitrag eine Frage stellen darf:
> > > Kennt jemand eine serverbasierte Alternative für dspam mit persönlichen
> > > Spamprofilen?
> >
> > Eventuell crm114.
>
> Das kommt mir bekannt vor. Entweder man konnte es nicht mittels lmtp
> zwischen postfix und dovecot klemmen, oder es hatte keine DB pro Konto. Ich
> werde es mir aber noch mal genauer anschauen.

DB pro Konto ist zumindest mit Unix-Konten kein Problem, da standardmäßig
alles in ~/.crm114 liegt. Mit virtuellen Konten braucht es evtl. eine
Anpassung an der Konfiguration. Aber wie dem auch sei, ich nutze es bereits
seit Jahren nicht mehr. Ich hab mal einen Linux User Artikel zu KMail + CRM114
geschriebem.
 

> > Ich bilde mir ein, damals, also vor Jahren schon, mit crm114 client-seitig
> > ein besseres Ergebnis als
> >
> > > >95% true positive rate
> > >
> > > <<10% false negative rate
>
> Mit einem kleinen Skript habe ich mal die Werte meines aktuellen Postfachs
> ausgelesen:
>
> Seit der Einführung von dspam (vor 626 Tagen):
> Lesart: true positiv => als Spam erkannt
>
> tp =   4295 /   4577 => 93.83%
> fn =    284 /   4577 =>  6.20%
> tn =  31454 /  31550 => 99.69%
> fp =    102 /  31550 =>   .32%
>
> Also 14,5% aller Mails die unser Postfix (ohne irgendwelche
> Milter|Amavis|Spamassassin) und Kapsersky durchlassen sind Spam. Ich muss
> mit 6% falsch erkanntem Spam im "Posteingang" leben. Das sind bei mir 0,9%
> dieser Mails. Nur 0,3% der Mails landen fälschlicherweise im Spamordner.
> Ich bin zufrieden.

Idealerweise gibts natürlich nullkommanull falsche Positive, aber ja, da sieht
ganz oka aus. Und 6,2% durchlassen… naja, ich hab damals keine Stastitik
gemacht…

> Ist das hier schon off topic? Gehört soetwas auf die Dovecot Liste?
>
> Ist es unpassend für die Liste nach den Ergebnisse anderer/eurer
> Spamfilterungen zu fragen?

Ich weiß nicht, inwiefern es für Spamfilter-Sachen in Bezug auf freie Software
eine eigene gute Mailingliste gibt. Ich bin ansonsten auch auf der postfix-
buch-users-Mailingliste. Da kommt das Thema Spam auch immer wieder mal.

Ciao,
--
Martin
Reply | Threaded
Open this post in threaded view
|

Re: ich werde der Spamflut nicht Herr - postfix amavis-new dovecot

Patrick Ben Koetter-2
In reply to this post by Lars Täuber
Hallo Lars,

* Lars Täuber <[hidden email]>:

> Mit einem kleinen Skript habe ich mal die Werte meines aktuellen Postfachs ausgelesen:
>
> Seit der Einführung von dspam (vor 626 Tagen):
> Lesart: true positiv => als Spam erkannt
>
> tp =   4295 /   4577 => 93.83%
> fn =    284 /   4577 =>  6.20%
> tn =  31454 /  31550 => 99.69%
> fp =    102 /  31550 =>   .32%
>
> Also 14,5% aller Mails die unser Postfix (ohne irgendwelche Milter|Amavis|Spamassassin) und Kapsersky durchlassen sind Spam.
> Ich muss mit 6% falsch erkanntem Spam im "Posteingang" leben. Das sind bei mir 0,9% dieser Mails.
> Nur 0,3% der Mails landen fälschlicherweise im Spamordner.
> Ich bin zufrieden.
>
> Ist das hier schon off topic? Gehört soetwas auf die Dovecot Liste?
> Ist es unpassend für die Liste nach den Ergebnisse anderer/eurer Spamfilterungen zu fragen?

<moderator-hut>

ich finde es absolut passend, auf dieser Liste über die Ergebnisse/Erfahrungen
von Content Filtern zu sprechen. Sie gehören als mailverarbeitende Komponenten
mit in den SMTP-Zustellprozess.

Ausführliche Diskussionen zu Open[SPF|DKIM|DMARC] etc. muss man wohl fallweise
entscheiden.

Im Grunde hat hier alles Platz, was dem Mailtransport und -filtern zuzurechnen
ist.

Dovecot - da gebe ich Dir recht - würde ich als POP/IMAP/SIEVE-Server eher auf
seiner eigenen Liste lesen wollen.

</moderator-hut>


p@rick


--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|

Re: ich werde der Spamflut nicht Herr - postfix amavis-new dovecot

Robert Schetterer-2
In reply to this post by Lars Täuber
Am 13.03.2017 um 16:50 schrieb Lars Täuber:
> Ist es unpassend für die Liste nach den Ergebnisse anderer/eurer Spamfilterungen zu fragen?

clamav milter mit sanesecurity
spamassassin als milter ( inkl. aktuellen Regeln  ) und ansonsten
spamhouse rbl )
inklusive postfix best practice ,sollten dir den standard spam von Leib
halten, den Rest musst du dir gesondert ansehen und dann entscheiden
was Sinn macht.


Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Reply | Threaded
Open this post in threaded view
|

Re: ich werde der Spamflut nicht Herr - postfix amavis-new dovecot

André Keller
In reply to this post by Christoph Kukulies
Hi,

was bei mir immernoch erstaunlich viel bringt ist greylisting (trotz
postscreen, spamassassin etc.). Ich hab das aber sehr selektiv in Betrieb:

smtpd_recipient_restrictions =
  reject_non_fqdn_recipient,
  reject_unknown_recipient_domain,
  reject_non_fqdn_sender,
  reject_unknown_sender_domain,
  permit_mynetworks,
  reject_invalid_helo_hostname,
  reject_non_fqdn_helo_hostname,
  reject_unauth_destination,
  reject_unverified_recipient,
  check_client_access pcre:$config_directory/greylisting.pcre,

smtpd_restriction_classes = greylisting

greylisting =
  permit_dnswl_client list.dnswl.org,
  permit_dnswl_client swl.spamhaus.org,
  check_policy_service inet:127.0.0.1:10026

/etc/postfix/greylisting.pcre:
# these look like IPs or are domain names with lots of labels
/(\-.+){4}$/ greylisting
/(\..+){4}$/ greylisting
# these look like dynamically assigned hostnames
/(^|[0-9.x_-])(abo|br(e|oa)dband|cabel|(hk)?cablep?|catv|cbl|cidr|d?client2?|cust(omer)?s?|dhcp|dial?(in|up)?|d[iu]p|[asx]?dsld?|dyn(a(dsl|mic)?)?|home|in-addr|modem(cable)?|(di)?pool|ppp|ptr|rev|static|user|YahooBB[0-9]{12}|c[[:alnum:]]{6,}(\.[a-z]{3})?\.virtua|[1-9]Cust[0-9]+|AC[A-Z][0-9A-F]{5}\.ipt|pcp[0-9]{6,}pcs|S0106[[:alnum:]]{12,}\.[a-z]{2})[0-9.x_-]/
greylisting
# these do not have a matching hostname->rdns mapping
/^unknown$/ greylisting
# these are countries with higher than average spam appearance
/\.br$/ greylisting
/\.cn$/ greylisting
/\.hk$/ greylisting
/\.id$/ greylisting
/\.in$/ greylisting
/\.kz$/ greylisting
/\.ru$/ greylisting
/\.th$/ greylisting
/\.tw$/ greylisting
/\.ua$/ greylisting
/\.vn$/ greylisting


And then there is a postgrey instance running on 127.0.0.1:10026

hth
André
Reply | Threaded
Open this post in threaded view
|

Re: ich werde der Spamflut nicht Herr - postfix amavis-new dovecot

Christoph Kukulies
  Ich habe eine postgrey zwar laufen, wird aber wohl nicht im Eingriff
sein, oder?

Wie sieht der postgrey Eintrag in der master.cf bei Dir aus?
1200 ?        Ss     0:00 postgrey --pidfile=/var/run/postgrey.pid
--daemonize --inet=127.0.0.1:60000 --delay=120 --max-age=20

Zumindest nicht auf dem port. Würde es reichen, in Deinem Beispiel die
10026 auf 60000 zu ändern?

Grüße
Christoph


> And then there is a postgrey instance running on 127.0.0.1:10026
>
> hth
> André


Reply | Threaded
Open this post in threaded view
|

Re: ich werde der Spamflut nicht Herr - postfix amavis-new dovecot

Christoph Kukulies
In reply to this post by André Keller
Hier ist mal meine main.cf (ohne greylisting). Vielleicht fällt jemand
etwas auf, was vielleicht eine Ursache dafür sein kann, daß ich den
Eindruck habe, als greife mein Spamfilter überhaupt nicht.


Grüße

Christoph

main.cf:

myhostname = mail.myhost.org
mydomain = myhost.org
myorigin = $mydomain
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

append_dot_mydomain = no

readme_directory = no

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mydestination =  local, localhost.localdomain, localhost

mailbox_size_limit = 51200000
message_size_limit = 51200000
recipient_delimiter =
inet_interfaces = all
inet_protocols = all

##### TLS parameters ######
smtpd_tls_cert_file=/etc/postfix/ssl/mail.myhost.org.crt
smtpd_tls_key_file=/etc/postfix/ssl/mail.myhost.org.key
smtpd_use_tls=yes
smtpd_tls_auth_only=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache


###### SASL Auth ######
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes

smtpd_restriction_classes =
     internal

internal =
     permit_mynetworks,
     permit_sasl_authenticated,
     reject

###### Use Dovecot LMTP Service to deliver Mails to Dovecot ######
##virtual_transport = spamass-dovecot
virtual_transport = lmtp:unix:private/dovecot-lmtp
##### Only allow mail transport if client is authenticated or in own
network (PHP Scripts, ...) ######
##### allow mail sending if Client is authenticated or in own network
(PHP scripts, ...) , block spam servers ######
##### smtpd_recipient_restrictions = permit_mynetworks,
permit_sasl_authenticated, reject_unauth_destination

smtpd_recipient_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    check_client_access hash:/etc/postfix/access,
    check_sender_access hash:/etc/postfix/sender_access,
    reject_unauth_destination,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client cbl.abuseat.org,
    reject_rbl_client sbl.spamhaus.org,
    reject_rbl_client dul.dnsbl.sorbs.net,
    permit
#++ CPK 2017-02-21
disable_vrfy_command = yes
smtdp_delay_reject = yes
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks,
      reject_non_fqdn_hostname,
      reject_invalid_hostname,
      permit
smtpd_error_sleep_time = 1s
smtpd_soft_error_limit = 10
smtpd_hard_error_limit = 20
###### MySQL Connection ######

virtual_alias_maps = mysql:/etc/postfix/virtual/mysql-aliases.cf
virtual_mailbox_maps = mysql:/etc/postfix/virtual/mysql-maps.cf
virtual_mailbox_domains = mysql:/etc/postfix/virtual/mysql-domains.cf
local_recipient_maps = $virtual_mailbox_maps

content_filter=smtp-amavis:[127.0.0.1]:10024
compatibility_level = 2

smtpd_client_restrictions =
      reject_rbl_client sbl.spamhaus.org,
      check_client_access hash:/etc/postfix/blacklist
smtpd_sender_restrictions = hash:/etc/postfix/access
debug_peer_list = 91.200.0.0/16


Am 13.03.2017 um 20:59 schrieb André Keller:

> Hi,
>
> was bei mir immernoch erstaunlich viel bringt ist greylisting (trotz
> postscreen, spamassassin etc.). Ich hab das aber sehr selektiv in Betrieb:
>
> smtpd_recipient_restrictions =
>    reject_non_fqdn_recipient,
>    reject_unknown_recipient_domain,
>    reject_non_fqdn_sender,
>    reject_unknown_sender_domain,
>    permit_mynetworks,
>    reject_invalid_helo_hostname,
>    reject_non_fqdn_helo_hostname,
>    reject_unauth_destination,
>    reject_unverified_recipient,
>    check_client_access pcre:$config_directory/greylisting.pcre,
>
> smtpd_restriction_classes = greylisting
>
> greylisting =
>    permit_dnswl_client list.dnswl.org,
>    permit_dnswl_client swl.spamhaus.org,
>    check_policy_service inet:127.0.0.1:10026
>
> /etc/postfix/greylisting.pcre:
> # these look like IPs or are domain names with lots of labels
> /(\-.+){4}$/ greylisting
> /(\..+){4}$/ greylisting
> # these look like dynamically assigned hostnames
> /(^|[0-9.x_-])(abo|br(e|oa)dband|cabel|(hk)?cablep?|catv|cbl|cidr|d?client2?|cust(omer)?s?|dhcp|dial?(in|up)?|d[iu]p|[asx]?dsld?|dyn(a(dsl|mic)?)?|home|in-addr|modem(cable)?|(di)?pool|ppp|ptr|rev|static|user|YahooBB[0-9]{12}|c[[:alnum:]]{6,}(\.[a-z]{3})?\.virtua|[1-9]Cust[0-9]+|AC[A-Z][0-9A-F]{5}\.ipt|pcp[0-9]{6,}pcs|S0106[[:alnum:]]{12,}\.[a-z]{2})[0-9.x_-]/
> greylisting
> # these do not have a matching hostname->rdns mapping
> /^unknown$/ greylisting
> # these are countries with higher than average spam appearance
> /\.br$/ greylisting
> /\.cn$/ greylisting
> /\.hk$/ greylisting
> /\.id$/ greylisting
> /\.in$/ greylisting
> /\.kz$/ greylisting
> /\.ru$/ greylisting
> /\.th$/ greylisting
> /\.tw$/ greylisting
> /\.ua$/ greylisting
> /\.vn$/ greylisting
>
>
> And then there is a postgrey instance running on 127.0.0.1:10026
>
> hth
> André


Reply | Threaded
Open this post in threaded view
|

Re: ich werde der Spamflut nicht Herr - postfix amavis-new dovecot

Christoph Kukulies
In reply to this post by Christoph Kukulies
Darf ich meine Frage noch mal erneuern? :

Und vielleicht noch folgendes hinzufügen: Wenn ich den Eintrag von André versuche zu realisieren, bekomme ich


wenn ich versuche , eine Email an postfix-users zu schicken.

Dies ist im Moment meine main.cf.:
myhostname = mail.mydomain.org
mydomain = mydomain.org
myorigin = $mydomain
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

append_dot_mydomain = no

readme_directory = no

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mydestination =  local, localhost.localdomain, localhost

mailbox_size_limit = 51200000
message_size_limit = 51200000
recipient_delimiter =
inet_interfaces = all
inet_protocols = all

##### TLS parameters ######
smtpd_tls_cert_file=/etc/postfix/ssl/mail.mydomain.org.crt
smtpd_tls_key_file=/etc/postfix/ssl/mail.mydomain.org.key
smtpd_use_tls=yes
smtpd_tls_auth_only=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache


###### SASL Auth ######
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes

smtpd_restriction_classes =
    internal

internal =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject

###### Use Dovecot LMTP Service to deliver Mails to Dovecot ######
##virtual_transport = spamass-dovecot
virtual_transport = lmtp:unix:private/dovecot-lmtp
##### Only allow mail transport if client is authenticated or in own network (PHP Scripts, ...) ######
##### allow mail sending if Client is authenticated or in own network (PHP scripts, ...) , block spam servers ######
##### smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
# CPK - 2017-03-15
smtpd_recipient_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    check_client_access hash:/etc/postfix/access,
    check_sender_access hash:/etc/postfix/sender_access,
    reject_unauth_destination,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client cbl.abuseat.org,
    reject_rbl_client sbl.spamhaus.org,
    reject_rbl_client dul.dnsbl.sorbs.net,
    permit
# -smtpd_recipient_restrictions =
# -  permit_mynetworks,
# -  reject_non_fqdn_recipient,
# -  reject_unknown_recipient_domain,
# -  reject_non_fqdn_sender,
# -  reject_unknown_sender_domain,
# -  reject_invalid_helo_hostname,
# -  reject_non_fqdn_helo_hostname,
# -  reject_unauth_destination,
# -  reject_unverified_recipient,
# -  check_client_access pcre:$config_directory/greylisting.pcre,

greylisting =
  permit_dnswl_client list.dnswl.org,
  permit_dnswl_client swl.spamhaus.org,
  check_policy_service inet:127.0.0.1:60000

# - smtpd_restriction_classes = greylisting

#++ CPK 2017-02-21
disable_vrfy_command = yes
smtpd_delay_reject = yes
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks,
     reject_non_fqdn_hostname,
     reject_invalid_hostname,
     permit
smtpd_error_sleep_time = 1s
smtpd_soft_error_limit = 10
smtpd_hard_error_limit = 20
###### MySQL Connection ######

virtual_alias_maps = mysql:/etc/postfix/virtual/mysql-aliases.cf
virtual_mailbox_maps = mysql:/etc/postfix/virtual/mysql-maps.cf
virtual_mailbox_domains = mysql:/etc/postfix/virtual/mysql-domains.cf
local_recipient_maps = $virtual_mailbox_maps

content_filter=smtp-amavis:[127.0.0.1]:10024
compatibility_level = 2

smtpd_client_restrictions =
     reject_rbl_client sbl.spamhaus.org,
     check_client_access hash:/etc/postfix/blacklist
smtpd_sender_restrictions = hash:/etc/postfix/access
debug_peer_list = 91.200.0.0/16


-----

Wenn ich versuche, den mit # - auskommentierten Teil zu aktivieren, bekomme ich o.a. Fehler.

Grüße
Christoph

Am 14.03.2017 um 11:01 schrieb Christoph Kukulies:
 Ich habe eine postgrey zwar laufen, wird aber wohl nicht im Eingriff sein, oder?

Wie sieht der postgrey Eintrag in der master.cf bei Dir aus?
1200 ?        Ss     0:00 postgrey --pidfile=/var/run/postgrey.pid --daemonize --inet=127.0.0.1:60000 --delay=120 --max-age=20

Zumindest nicht auf dem port. Würde es reichen, in Deinem Beispiel die 10026 auf 60000 zu ändern?

Grüße
Christoph


And then there is a postgrey instance running on 127.0.0.1:10026

hth
André



Reply | Threaded
Open this post in threaded view
|

Re: ich werde der Spamflut nicht Herr - postfix amavis-new dovecot

Lars Täuber
In reply to this post by Robert Schetterer-2
Hallo!

Mon, 13 Mar 2017 19:31:18 +0100
Robert Schetterer <[hidden email]> ==> [hidden email] :
> Am 13.03.2017 um 16:50 schrieb Lars Täuber:
> > Ist es unpassend für die Liste nach den Ergebnisse anderer/eurer Spamfilterungen zu fragen?  
>
> clamav milter mit sanesecurity
> spamassassin als milter ( inkl. aktuellen Regeln  ) und ansonsten
> spamhouse rbl )
> inklusive postfix best practice ,sollten dir den standard spam von Leib
> halten,

Wo kann ich denn diese "best practice" nachlesen? Das habe ich nun schon des öfteren gelesen, ohne dass ich wusste was es bedeutet.

> den Rest musst du dir gesondert ansehen und dann entscheiden
> was Sinn macht.

Mir ist klar, dass jedes Unternehmen mit seiner Nutzerstruktur andere Ergebnisse hat. Aber gibt es dazu Zahlen, wie gut diese Einstellungen sind?
Bisher ging ich davon aus, dass unsere Ergebnisse ganz gut sind, und der Aufwand (Manpower & Rechenpower) das noch wesentlich zu verbessern sich nicht lohnt.

Wir setzen bisher nur auf:
* greylisting auf port 10023

main.cf:
smtpd_helo_required                     = yes
smtpd_helo_restrictions                 =
        check_helo_access               btree:/etc/postfix/helo_access
        reject_non_fqdn_helo_hostname
        reject_invalid_helo_hostname
        permit_mynetworks
        reject_unknown_helo_hostname


smtpd_sender_restrictions               =
        reject_non_fqdn_sender
        permit_mynetworks
        check_sender_access             btree:/etc/postfix/sender_access
        reject_unknown_sender_domain
        check_sender_mx_access          cidr:/etc/postfix/bogon_networks.cidr
        check_sender_ns_access          cidr:/etc/postfix/bogon_networks.cidr
        reject_unverified_sender

smtpd_relay_restrictions                =
        check_recipient_access          pcre:/etc/postfix/recipient_access
        reject_unknown_recipient_domain
        permit_mynetworks
        reject_unverified_recipient
        reject_unauth_destination
        check_policy_service            inet:localhost:10023
        defer_unauth_destination


zum Nutzer hin:
* kaspersky
* dspam


Danke und Gruß
Lars
Reply | Threaded
Open this post in threaded view
|

Re: ich werde der Spamflut nicht Herr - postfix amavis-new dovecot

Robert Schetterer-2
Am 15.03.2017 um 15:03 schrieb Lars Täuber:

> Hallo!
>
> Mon, 13 Mar 2017 19:31:18 +0100
> Robert Schetterer <[hidden email]> ==> [hidden email] :
>> Am 13.03.2017 um 16:50 schrieb Lars Täuber:
>>> Ist es unpassend für die Liste nach den Ergebnisse anderer/eurer Spamfilterungen zu fragen?  
>>
>> clamav milter mit sanesecurity
>> spamassassin als milter ( inkl. aktuellen Regeln  ) und ansonsten
>> spamhouse rbl )
>> inklusive postfix best practice ,sollten dir den standard spam von Leib
>> halten,
>
> Wo kann ich denn diese "best practice" nachlesen? Das habe ich nun schon des öfteren gelesen, ohne dass ich wusste was es bedeutet.

das meint , "pseudo" standards beim Einrichten von Postfix die sich im
realen Umfeld bewaehrt haben

lies mal z.b

http://jimsun.linxnet.com/misc/postfix-anti-UCE.txt

>
>> den Rest musst du dir gesondert ansehen und dann entscheiden
>> was Sinn macht.
>
> Mir ist klar, dass jedes Unternehmen mit seiner Nutzerstruktur andere Ergebnisse hat. Aber gibt es dazu Zahlen, wie gut diese Einstellungen sind?
> Bisher ging ich davon aus, dass unsere Ergebnisse ganz gut sind, und der Aufwand (Manpower & Rechenpower) das noch wesentlich zu verbessern sich nicht lohnt.

im subject steht, spamflut usw , d.h du willst was tun
logischerweise wird es ab einem gewissen Punkt ( nach den ueblichen
Methoden ) immer schwieriger, das geht nur ueber taegliche log analyse
Mail ist heute nichts mehr fuer Laien oder Nebenher Admins wenn man es
ernst nimmt

>
> Wir setzen bisher nur auf:
> * greylisting auf port 10023
>
> main.cf:
> smtpd_helo_required                     = yes
> smtpd_helo_restrictions                 =
>         check_helo_access               btree:/etc/postfix/helo_access
>         reject_non_fqdn_helo_hostname
>         reject_invalid_helo_hostname
>         permit_mynetworks
>         reject_unknown_helo_hostname
>
>
> smtpd_sender_restrictions               =
>         reject_non_fqdn_sender
>         permit_mynetworks
>         check_sender_access             btree:/etc/postfix/sender_access
>         reject_unknown_sender_domain
>         check_sender_mx_access          cidr:/etc/postfix/bogon_networks.cidr
>         check_sender_ns_access          cidr:/etc/postfix/bogon_networks.cidr
>         reject_unverified_sender
>
> smtpd_relay_restrictions                =
>         check_recipient_access          pcre:/etc/postfix/recipient_access
>         reject_unknown_recipient_domain
>         permit_mynetworks
>         reject_unverified_recipient
>         reject_unauth_destination
>         check_policy_service            inet:localhost:10023
>         defer_unauth_destination
>
>
> zum Nutzer hin:
> * kaspersky
> * dspam
>
>
> Danke und Gruß
> Lars
>

sieht erstmal gar nicht schlecht aus, ist aber sicher noch erheblich
erweiterungsfaehig


Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Reply | Threaded
Open this post in threaded view
|

Re: ich werde der Spamflut nicht Herr - postfix amavis-new dovecot

Christoph Kukulies
In reply to this post by Christoph Kukulies
Nehme an, Du meinst postgrey (/etc/default/postgrey).

Wenn ich die Zeile

greylisting =
   permit_dnswl_client list.dnswl.org,
   permit_dnswl_client swl.spamhaus.org,
   check_policy_service inet:127.0.0.1:10029

einbaue, bekomme ich

postconf: warning : /etc/postfix/main.cf unused parameter:
greylisting=permit_dnswl_client list.dnswl.org, permit_dnswl_client
swl.spamhaus.org, checkp_policy_service inet:127.0.0.1:10029

Habe jetzt postgrey als daemon an port 10029 laufen (/etc/default/postgrey )


Die Meldung geht weg, wenn ich

smtpd_restriction_class = greylisting, internal

reinsetze. Kann ich zwei Einträge in smtpd_restriction_class setzen?




Grüße
Christoph

Am 20.03.2017 um 11:56 schrieb simoon:

> HI,
>
> ja, du musst die zeile auf den postgrey port ändern, kanste  du im
> postgrex configuriern.
>
> gruss
>
> alex
>
>
>
> Am 14.03.2017 um 11:01 schrieb Christoph Kukulies:
>>  Ich habe eine postgrey zwar laufen, wird aber wohl nicht im Eingriff
>> sein, oder?
>>
>> Wie sieht der postgrey Eintrag in der master.cf bei Dir aus?
>> 1200 ?        Ss     0:00 postgrey --pidfile=/var/run/postgrey.pid
>> --daemonize --inet=127.0.0.1:60000 --delay=120 --max-age=20
>>
>> Zumindest nicht auf dem port. Würde es reichen, in Deinem Beispiel
>> die 10026 auf 60000 zu ändern?
>>
>> Grüße
>> Christoph
>>
>>
>>> And then there is a postgrey instance running on 127.0.0.1:10026
>>>
>>> hth
>>> André
>>
>>
>

Reply | Threaded
Open this post in threaded view
|

Re: ich werde der Spamflut nicht Herr - postfix amavis-new dovecot

André Keller
Hi Christoph,


On 20.03.2017 15:39, Christoph Kukulies wrote:
>   permit_dnswl_client swl.spamhaus.org,

wie Florian bereits geschrieben hat, ist das Spamhaus Whitelisting
Projekt im Moment nicht aktiv, die swl solltest du daher nicht
verwenden. Eine Alternative könnte die Whitelist von mailspike.net sein.

> Die Meldung geht weg, wenn ich
>
> smtpd_restriction_class = greylisting, internal
>
> reinsetze. Kann ich zwei Einträge in smtpd_restriction_class setzen?

Der Parameter heisst smtpd_restriction_classes und ja es können mehrere
Einträge gemacht werden. Siehe dazu auch
http://www.postfix.org/RESTRICTION_CLASS_README.html

Gruss
André

Reply | Threaded
Open this post in threaded view
|

Re: ich werde der Spamflut nicht Herr - postfix amavis-new dovecot

Christoph Kukulies
Am 21.03.2017 um 14:10 schrieb André Keller:

> Hi Christoph,
>
>
> On 20.03.2017 15:39, Christoph Kukulies wrote:
>>    permit_dnswl_client swl.spamhaus.org,
> wie Florian bereits geschrieben hat, ist das Spamhaus Whitelisting
> Projekt im Moment nicht aktiv, die swl solltest du daher nicht
> verwenden. Eine Alternative könnte die Whitelist von mailspike.net sein.
>
>> Die Meldung geht weg, wenn ich
>>
>> smtpd_restriction_class = greylisting, internal
>>
>> reinsetze. Kann ich zwei Einträge in smtpd_restriction_class setzen?
> Der Parameter heisst smtpd_restriction_classes und ja es können mehrere


War bei mir auch so. Ich mußte das leider abtippen, weil ich über die
browser console in meinem Server war, und da
kann man leider kein copy/paste machen, deshalb hatte ich mich vertippt.


Ich habe leider weder vom greylisting noch vom filtering irgendeine
Wirkung. Es geht nach wie vor täglich derselbe spam von ungefähr 100
Emails durch. Gehen die mittlerweile über Server, die auch das
greylisting mitmachen?

Wie kann ich das denn mal wirksam debuggen? Irgendwie habe ich den
Eindruck, als wirke dieses amavis-new überhaupt nicht.

--
Christoph


> Einträge gemacht werden. Siehe dazu auch
> http://www.postfix.org/RESTRICTION_CLASS_README.html
>
> Gruss
> André
>

Reply | Threaded
Open this post in threaded view
|

Re: ich werde der Spamflut nicht Herr - postfix amavis-new dovecot

Christoph Kukulies
In reply to this post by Christoph Kukulies
TEST. Wieso kriege ich bounces von der postfix-users Liste:

                   The mail system

<[hidden email]>: host mx1.jpberlin.de[91.198.250.10] said:
     577 5.1.1<[hidden email]>: Recipient address rejected:
     undeliverable address: host ilpostino.jpberlin.de[213.203.238.6] said: 550
     5.1.1<[hidden email]>: Recipient address rejected: User
     unknown in local recipient table (in reply to RCPT TO command) (in reply to
     RCPT TO command)


Reply | Threaded
Open this post in threaded view
|

Re: ich werde der Spamflut nicht Herr - postfix amavis-new dovecot

Christoph Kukulies
Sorry, hatte wohl einen falschen Adressaten angegeben. Verwechselt mit
postfixbuch-users...

Hier mein eigenliches Anliegen:


Ubuntu 16.04.2 LTS,postgrey, MX_nolisting, postfix, amavis_new, clamav,
spamassassin, dovecot:

Ich habe immer noch das Problem, daß zu viele Mails in der Inbox landen
und erst mein Mailclient (Thunderbird) ist dann günstigenfalls in der
Lage, SPAM zu markieren.

Manchmal ist eine Mail dabei, die im Subj: mit *****SPAM***** markiert
ist (kommt von /etc/spamassassin/local.cf), manchmal eine mit +++SPAM+++
- so habe ich es in /etc/amavis/conf.d/20-debian_defaults eingetragen,
damit man überhaupt mal sehen kann, wer was und ob überhaupt was macht.
Einmal war bereits ein false positive dabei. Aber sehr sehr selten, daß
überhaupt eine Mail getaggt wird.

Arbeiten da zwei Mechanismen "gegeneinander"?

Ich lerne dauernd noch an, indem ich den mit Flämmchen versehen
Thunderbird junk in junk kopiere und sa_learn drüberlaufen lasse.
Nahezu ohne Erfolg. Es kommen vor allem Emails gleichen Typus durch.
Entweder diese BU oder Betriebshaftpflicht, KV oder die
Frauenname, 5 Zeilen Tätigkeits- oder sonstige Merkmale und  eine Zeile
mit einem Link.


Grüße
Christoph
Am 06.04.2017 um 10:56 schrieb Christoph P.U. Kukulies:

> TEST. Wieso kriege ich bounces von der postfix-users Liste:
>
>                   The mail system
>
> <[hidden email]>: host
> mx1.jpberlin.de[91.198.250.10] said:
>     577 5.1.1<[hidden email]>: Recipient address
> rejected:
>     undeliverable address: host ilpostino.jpberlin.de[213.203.238.6]
> said: 550
>     5.1.1<[hidden email]>: Recipient address
> rejected: User
>     unknown in local recipient table (in reply to RCPT TO command) (in
> reply to
>     RCPT TO command)
>
>

Reply | Threaded
Open this post in threaded view
|

Re: ich werde der Spamflut nicht Herr - postfix amavis-new dovecot

Robert Schetterer-2
Am 06.04.2017 um 11:04 schrieb Christoph P.U. Kukulies:

> Sorry, hatte wohl einen falschen Adressaten angegeben. Verwechselt mit
> postfixbuch-users...
>
> Hier mein eigenliches Anliegen:
>
>
> Ubuntu 16.04.2 LTS,postgrey, MX_nolisting, postfix, amavis_new, clamav,
> spamassassin, dovecot:
>
> Ich habe immer noch das Problem, daß zu viele Mails in der Inbox landen
> und erst mein Mailclient (Thunderbird) ist dann günstigenfalls in der
> Lage, SPAM zu markieren.
>
> Manchmal ist eine Mail dabei, die im Subj: mit *****SPAM***** markiert
> ist (kommt von /etc/spamassassin/local.cf), manchmal eine mit +++SPAM+++
> - so habe ich es in /etc/amavis/conf.d/20-debian_defaults eingetragen,
> damit man überhaupt mal sehen kann, wer was und ob überhaupt was macht.
> Einmal war bereits ein false positive dabei. Aber sehr sehr selten, daß
> überhaupt eine Mail getaggt wird.
>
> Arbeiten da zwei Mechanismen "gegeneinander"?
>
> Ich lerne dauernd noch an, indem ich den mit Flämmchen versehen
> Thunderbird junk in junk kopiere und sa_learn drüberlaufen lasse.
> Nahezu ohne Erfolg. Es kommen vor allem Emails gleichen Typus durch.
> Entweder diese BU oder Betriebshaftpflicht, KV oder die
> Frauenname, 5 Zeilen Tätigkeits- oder sonstige Merkmale und  eine Zeile
> mit einem Link.

das klingt etwas nach deutschen spam

da gibts ein paar extra rulesets

http://zmi.at/x/70_zmi_german.cf

clamav wuerde ich mit sanesecurity erweitern
razor , pyzor , dcc helfen auch
nolisting kannst du in die Tonne treten
postscreen ist nicht in deiner Aufzaehlung enthalten

>
>
> Grüße
> Christoph
> Am 06.04.2017 um 10:56 schrieb Christoph P.U. Kukulies:
>> TEST. Wieso kriege ich bounces von der postfix-users Liste:
>>
>>                   The mail system
>>
>> <[hidden email]>: host
>> mx1.jpberlin.de[91.198.250.10] said:
>>     577 5.1.1<[hidden email]>: Recipient address
>> rejected:
>>     undeliverable address: host ilpostino.jpberlin.de[213.203.238.6]
>> said: 550
>>     5.1.1<[hidden email]>: Recipient address
>> rejected: User
>>     unknown in local recipient table (in reply to RCPT TO command) (in
>> reply to
>>     RCPT TO command)
>>
>>
>



Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Reply | Threaded
Open this post in threaded view
|

Re: ich werde der Spamflut nicht Herr - postfix amavis-new dovecot

Christoph Kukulies
Die Vornamen und Texte der Damen sind allesamt engl.,

[hidden email]  -> biblestudydiary.com
[hidden email]  -> host3.delairindia.com

Der Versicherungsspam eindeutig deutsch, habe aber im Moment kein Muster zur Hand.

Was macht postscreen in der Kette?

Grüße
Christoph


Am 06.04.2017 um 11:14 schrieb Robert Schetterer:

> Am 06.04.2017 um 11:04 schrieb Christoph P.U. Kukulies:
>> Sorry, hatte wohl einen falschen Adressaten angegeben. Verwechselt mit
>> postfixbuch-users...
>>
>> Hier mein eigenliches Anliegen:
>>
>>
>> Ubuntu 16.04.2 LTS,postgrey, MX_nolisting, postfix, amavis_new, clamav,
>> spamassassin, dovecot:
>>
>> Ich habe immer noch das Problem, daß zu viele Mails in der Inbox landen
>> und erst mein Mailclient (Thunderbird) ist dann günstigenfalls in der
>> Lage, SPAM zu markieren.
>>
>> Manchmal ist eine Mail dabei, die im Subj: mit *****SPAM***** markiert
>> ist (kommt von /etc/spamassassin/local.cf), manchmal eine mit +++SPAM+++
>> - so habe ich es in /etc/amavis/conf.d/20-debian_defaults eingetragen,
>> damit man überhaupt mal sehen kann, wer was und ob überhaupt was macht.
>> Einmal war bereits ein false positive dabei. Aber sehr sehr selten, daß
>> überhaupt eine Mail getaggt wird.
>>
>> Arbeiten da zwei Mechanismen "gegeneinander"?
>>
>> Ich lerne dauernd noch an, indem ich den mit Flämmchen versehen
>> Thunderbird junk in junk kopiere und sa_learn drüberlaufen lasse.
>> Nahezu ohne Erfolg. Es kommen vor allem Emails gleichen Typus durch.
>> Entweder diese BU oder Betriebshaftpflicht, KV oder die
>> Frauenname, 5 Zeilen Tätigkeits- oder sonstige Merkmale und  eine Zeile
>> mit einem Link.
> das klingt etwas nach deutschen spam
>
> da gibts ein paar extra rulesets
>
> http://zmi.at/x/70_zmi_german.cf
>
> clamav wuerde ich mit sanesecurity erweitern
> razor , pyzor , dcc helfen auch
> nolisting kannst du in die Tonne treten
> postscreen ist nicht in deiner Aufzaehlung enthalten
>
>>
>> Grüße
>> Christoph
>> Am 06.04.2017 um 10:56 schrieb Christoph P.U. Kukulies:
>>> TEST. Wieso kriege ich bounces von der postfix-users Liste:
>>>
>>>                    The mail system
>>>
>>> <[hidden email]>: host
>>> mx1.jpberlin.de[91.198.250.10] said:
>>>      577 5.1.1<[hidden email]>: Recipient address
>>> rejected:
>>>      undeliverable address: host ilpostino.jpberlin.de[213.203.238.6]
>>> said: 550
>>>      5.1.1<[hidden email]>: Recipient address
>>> rejected: User
>>>      unknown in local recipient table (in reply to RCPT TO command) (in
>>> reply to
>>>      RCPT TO command)
>>>
>>>
>
>
> Best Regards
> MfG Robert Schetterer
>

12