Neue Spam/Viren/Müll-Checks für Postfix

[peterpan]

Ich selbst nochmal... ;-)

Ich habe nun in die check-Dateien per Script einen Fehlercode mit einer fortlaufenden Nummer hineingeneriert. Jetzt kann ich zumindest erkennen, welche Zeile nicht durchgelassen wurde.

Ist nicht wirklich elegant, aber vielleicht kann´s jemand gebrauchen.

[mathiasr]

1. Die Checks sind super. Ich nutze maps_rbl_domains und vom noch verbleibenden Rest erfassen sie knapp die Hälfte.

2. Häufig sind Absende-Adressen von Domains ohne gültigen MX-Record verwendet. Kann man vielleicht noch irgendwie abprüfen, ob die angegebene Absenderdomain auch über gültige Mailserver-IPs verfügt?

[suppenuser]

Hi,

das kannst Du standardmäßig mi den Bordwerkzeugen von Postfix (Stichwort Reverse-Lookup, reject_unknown... etc)

Hierzu aber der eindringliche Hinweis für _alle_:
Wenn ich mir 1000 Mailserver anschaue, dann sind maximal 100 davon sauber konfiguriert. Wenn alle sinnvollen Features wie reject_unknown--- etc eingesetzt werden, kommen nur noch die Mails durch, die von wirklich sauberen Servern stammen.
Unter anderem wird man kaum noch mit Mails, die von Strato- oder ServerFürSinnlos-(greetings to essen34.server4* Kunden stammen beglückt, denn die meisten Strato-Mailer sind schlicht und ergreifend broken.

Gruß Ralf

[bravesurfer]

Hallo,

habe heute folgendes in meinen Logs gefunden:

warning: 211.181.197.62.bl.spamcop.net: RBL lookup error: Name service error for name=211.181.197.62.bl.spamcop.net type=A: Host not found, try again

warning: 100.64.165.213.sbl.spamhaus.org: RBL lookup error: Name service error for name=100.64.165.213.sbl.spamhaus.org type=A: Host not found, try again

Kann es sein das die plötzlich alle down sind, an meiner main.cf wurde nichts geändert!

[suppenuser]

hallo clemenz,

warning: 211.181.197.62.bl.spamcop.net: RBL lookup error: Name service error for name=211.181.197.62.bl.spamcop.net type=A: Host not found, try again

Ist bei deiner Kiste alles ok?
Bei mir geht spamcop einwandfrei.

Wie sieht es mit bl.twosteps.net aus? kommst Du da drauf?

Gruß Ralf

[compositiv]

warning: 211.181.197.62.bl.spamcop.net: RBL lookup error: Name service error for name=211.181.197.62.bl.spamcop.net type=A: Host not found, try again

Kann es sein das die plötzlich alle down sind, an meiner main.cf wurde nichts geändert!

Du weisst aber schon wie RBL funktioniert? ,)

[cybermage]

zwischenfrage:
gibt es ne möglichkeit, dass ich eine mail rejecte aber dennoch eine lokale kopie behalte und in ein postfach einsortiere?
zum testen was denn so alles abgewiesen wird.

[suppenuser]

Hi,

zwischenfrage:
gibt es ne möglichkeit, dass ich eine mail rejecte aber dennoch eine lokale kopie behalte und in ein postfach einsortiere?
zum testen was denn so alles abgewiesen wird.

Nein.
Um zu sehen, was alles abgewiesen wurde, genügt ein Blick ins logfile.


Gruß Ralf

[bravesurfer]

Du weisst aber schon wie RBL funktioniert? ,)

Ich dachte eingentlich schon. Bisher war ich der Meinung, das eine Art Datenbank abgefragt wird, die entsprechende Spam Email-Adressen abfragt und daraufhin ablehnt.
Aber an der Art deiner Fragestellung erkenne ich das ich da wohl falsch liege, wäre nett wenn du mich kurz aufklären könntest!

[suppenuser]

Ich dachte eingentlich schon. Bisher war ich der Meinung, das eine Art Datenbank abgefragt wird, die entsprechende Spam Email-Adressen abfragt und daraufhin ablehnt.
Aber an der Art deiner Fragestellung erkenne ich das ich da wohl falsch liege, wäre nett wenn du mich kurz aufklären könntest!

Wenn Du eine BL abfragst, fragst Du einfach einen Nameserver ab ;)

Gruß Ralf

[bravesurfer]

was im Umkehrschluss bedeutet, dass die Fehlermeldungen ganz normal sind, richtig?

[suppenuser]

was im Umkehrschluss bedeutet, dass die Fehlermeldungen ganz normal sind, richtig?

Die Fehlermeldung an sich schon. Aber der Grund für diese Fehlermeldung ist entscheident. Und den wissen wir (noch) nicht.

Gruß ralf

[galapagos3]

Sorry.

Die Body-Datei hatte in der Tat eine Macke. Ich habe die Checks jetzt neu gepackt und nochmals dort abgelegt. Ladet sie euch bitte nochmals runter.

Gruß Ralf

Unter log /var/log/warn habe ich auch folgende warning gefunden und so sieht es aus

Code: Select all

Mar 31 18:10:51 gps postfix/cleanup[12466]: warning: /etc/postfix/header_checks, line 122: error in regexp: Invalid preceding r$
Mar 31 18:10:51 gps postfix/cleanup[12466]: warning: /etc/postfix/header_checks, line 165: error in regexp: Invalid preceding r$

habe mir die header_checks angeschaut un verglichen, und festgesteld das ein seichen zu viel da war

Code: Select all

line 122 /sandy@(?:kviksoelv-fri|alleroedkommune-elev|cybercity|barn-i-fokus|psykiatrifonden|e-s-e|psyknet).dk/ REJECT
line 165 /(?:opt-in.{1,6}|sjdflj|fifthavenuesupply|Gitte|liSammyrrem)@earthlink.net/ REJECT

korrektur gemacht

Code: Select all

line 122 /sandy@(:kviksoelv-fri|alleroedkommune-elev|cybercity|barn-i-fokus|psykiatrifonden|e-s-e|psyknet).dk/ REJECT
line 165 /(:opt-in.{1,6}|sjdflj|fifthavenuesupply|Gitte|liSammyrrem)@earthlink.net/ REJECT

und dann wieder rcpostfix restart und danach wieder auf log Datei von warn geschaut nix mehr da, hat sich der warning behoben.
Die ursache von warning war das Zeichen ? line 122 /sandy@(?:kviksoelv und line 165 /(?:opt-in.{1,6}

Achtung es gibt mehrere warnings

Sorry für meine Deutsche Grammatik, ich bin nicht der beste :oops:

[cybermage]

indem Du die Teile in /etc/postfix/ entpackst und so:

Code: Select all

# See also the body_checks example in the sample-filter.cf file.
#
header_checks = pcre:/etc/postfix/header_checks
body_checks = pcre:/etc/postfix/body_checks
mime_header_checks = regexp:/etc/postfix/mime_header_checks.regexp

in deine main.cf einträgst.

mein postfix hat den pcre support leider nicht.
hat es einen bestimmten grund dass du nicht die normalen regex verwendest?

[roady05]

So ..... Newbie-Alarm! :-D

Ich bin ziemlicher Linux-Anfänger, möchte mich nun mal mehr mit dem Thema Mailserver, Spam, Virenscan befassen.

Ich habe SuSE 9.0 mit Postfix drauf, der Rechner steht hinter einer Firewall in der DMZ und bekommt die Mail vom Provider (Arcor) direkt zugeschoben.
Die Anleitung "Postfix aktualisieren und mit Blockern und Virenscanner versehen " habe ich ja schon mal gefunden.
Die ersten Tests waren OK. Nun habe ich versucht den Spam-Teil zu integrieren und bekomme folgende Meldung und die eingehende Mail wird als Spam erkannt:

Apr 5 16:40:52 linux postfix/smtpd[10074]: connect from mail1.arcor-ip.de[145.253.2.10]
Apr 5 16:40:52 linux postfix/smtpd[10074]: DC6DF14CE9D7: client=mail1.arcor-ip.de[145.253.2.10]
Apr 5 16:40:53 linux postfix/smtpd[10074]: DC6DF14CE9D7: reject: RCPT from mail1.arcor-ip.de[145.253.2.10]: 554 Service unavailable; Client host [145.253.2.10] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?145.253.2.10; from=<XXXXXX@XXXXX.de> to=<XXXX@XXXXXXXXXX.de> proto=ESMTP helo=<mail1.arcor-ip.de>
Apr 5 16:40:55 linux postfix/smtpd[10074]: disconnect from mail1.arcor-ip.de[145.253.2.10]

Mail-Addys habe ich mal unkenntlich gemacht! :)
Das Problem nur, die IP die geblockt wird ist die vom Arcor-Server, der uns die Mails zuschiebt. Kann man die IP ausklammern oder was kann ich sonst machen oder ist dann an meiner (spärlichen) Config von etwas falsch.

Vielen Dank

Jörg

[suppenuser]

Hi,

So ..... Newbie-Alarm! :-D

Apr 5 16:40:52 linux postfix/smtpd[10074]: connect from mail1.arcor-ip.de[145.253.2.10]
Apr 5 16:40:52 linux postfix/smtpd[10074]: DC6DF14CE9D7: client=mail1.arcor-ip.de[145.253.2.10]
Apr 5 16:40:53 linux postfix/smtpd[10074]: DC6DF14CE9D7: reject: RCPT from mail1.arcor-ip.de[145.253.2.10]: 554 Service unavailable; Client host [145.253.2.10] blocked using bl.spamcop.net; Blocked - see http://www.spamcop.net/bl.shtml?145.253.2.10; from=<XXXXXX@XXXXX.de> to=<XXXX@XXXXXXXXXX.de> proto=ESMTP helo=<mail1.arcor-ip.de>
Apr 5 16:40:55 linux postfix/smtpd[10074]: disconnect from mail1.arcor-ip.de[145.253.2.10]

Derzeit tendiere ich dazu, http://www.spamcop.net NICHT einzusetzen.
Das Teil ist zwar schön und gut, hat aber den Nachteil, das ein Robot entscheidet ob geblockt wird oder nicht.

<Anleitung>
(*)
Man nehme eine Mail beliebigem Providers (z.b. meines Lieblingsopfers Freenet), kopiere diese 20 Mal und ändere jeweils ein bisschen was am Mailheader (was ist hier mal unterdrückt *g*). Die Kopien schiebe man dann ins webinterface von spamcop und schwubs, Freemail ist gesperrt...
</Anleitung>


Gruß Ralf

(*) Man sollte so was natürlich nicht machen (Es sei denn, man hat Merkbefreite Postmaster wie bei Freenet vor sich)

[Anonymous]

Das is fein das is fein! :)
Jetzt bräuchten wir nur noch jemanden der aktuelle viren und würmer hinzufügt, damit diese nicht die server belasten!
Ich werde nämlich seit tagen nur mit solchen mails zugefloodet!

[mathiasr]

Einige Viren und Würmer habe ich auf http://www.antispam.de gefunden, aber sicher nicht volllständig.

Ergänzung für Header-Checks:

Code: Select all

/^Subject:.+ Thousands of D+ to Your .+/ REJECT

In den Body-Checks erwies sich

Code: Select all

/Drugs/ REJECT

als zu eng, da damit auch diverse erwünschte Mails gesperrt wurden. Jedoch die Regel

Code: Select all

/Drugs./ REJECT

erfasst zwar noch immer die meisten SPAM-Mails, filterte jedoch keine einzige erwünschte Mail aus.

Zu Testzwecken lasse ich ein always_bcc mitlaufen und kann somit die Regeln an einigen Tausend Mails testen, bevor ich sie nutze.

[raid]

Hat jemand von Euch eine Idee wie ich es hinbekomme auf diese Art eine gewisse ESMTP id auszuschließen.

Ich bekomme immer Spam von jemanden der immer alles ändernd, aber die ESMTP id bleibt jedesmal gleich.

[mathiasr]

In Header-Checks:

Code: Select all

/.*DeinServer.de (Postfix) with ESMTP id 1234567890A/ REJECT

(die Zeile aus der Mail kopieren und einen "" vor jedem "." in Deiner Domain einfügen).

[mathiasr]

Seit einigen Wochen benutze ich jetzt RBLs aus viewtopic.php?t=21630 und anschließend die SPAM-Checks aus diesem Thread..

Etwa 60% des SPAM wird mittels RBLs geblockt, weitere 20% werden von diesen Filtern erfasst.

Den verbleibenden Rest habe ich noch mal mit Spamassassin geprüft - jedoch ohne sinnvolles Ergebnis. Der Spamassassin findet nur ein Viertel der verbleibenden SPAM-Mails, aber jede zweite gefundene Mail ist kein Spam. Da sicher auch die Versender Spamassassin kennen ist die Wirkung inzwischen unbefriedigend. Damit ist der Spamassassin für mich hier nicht sinnvoll.

Jetzt suche ich natürlich nach Wegen, das Ergebnis weiter zu verbessern. Dabei denke ich z.B. an Greylist viewtopic.php?t=22573 oder die ix-Filter http://www.ix.de/nixspam/.

Mir ist weiter aufgefallen, dass am sekundären Mailserver fast ausschließlich SPAM eingeht, obwohl ich die gleichen Filter nutze. Daher ist ein weiterer Gedanke, die Filterbedingungen für den sekundären Mailserver strenger einzurichten. Lässt sich der Spamassassin auch so einrichten, dass er die Mails bereits auf dem sekundären Mailserver scannt oder nur die Mails scannt, die von diesem weitergeleitet werden?

[gtdpower]

Hallo zusammen,

gibt es auch eine Möglichkeit, die Mails, die eigentlich mit reject aussortiert werden, doch anzunehmen, aber für Uuntersuchung der Filter an eine ander Emailadresse umzuleiten?

Gruß Nico

[adjustman]

... gibt es auch eine Möglichkeit, die Mails, die eigentlich mit reject aussortiert werden....

Nein. Die werden schon am smtp ABGEWIESEN, nicht "aussortiert"

[gtdpower]

Hallo,

Sie sollen ja auch angenommen werden, aber eben dann umgeleitet. Also ohne reject!