Welche RBLs verwendet Ihr ?

[mathiasr]

Einfach den Artikel lesen: http://www.ix.de/nixspam/ oder http://www.heise.de/ix/nixspam/ und den Links folgen http://www.heise.de/ix/nixspam/nixspam.blackmatches. Das Konzept sieht auf jeden Fall gut aus.

[mathiasr]

Hier gibt es eine gute Ã?bersicht über die verschiedenen Blacklisten: http://www.sdsc.edu/~jeff/spam/cbc.html

[nyxus]

ich vermute auch fast, daß diese Liste überhaupt keine "offizielle" Policy hat. Aber aus den schon von MathiasR geposteten Links kann man ja mehr oder weniger gut feststellen wer reinkommt ...

[mathiasr]

Was ist denn eine "offizielle" Policy? Es ist eine Dokumentation darüber, wie die Liste erstellt und aktualisiert wird. Hier steht ganz eindeutig, dass die Liste von einem procmailrc generiert wird, welches hier zum Download angeboten wird. Somit ist das eine "offizielle" Policy, denn aus dem Script lässt sich entnehmen, wer erfasst wird.
Ich werde es einfach mal testen und natürlich dabei die Logfiles beobachten. Die Praxis wird zeigen, ob es bei mir besser läuft als meine derzeitige Konstellation.

[nyxus]

Was ist denn eine "offizielle" Policy?

Für mich ist das eine, die ohne der Analyse eines Source-Codes auskommt und klar die Fakten umschreibt. Da das aber natürlich immer Auslegungssache ist habe ich ja das "offiziell" extra in Anführungszeichen gesetzt.

[mathiasr]

Jede Lösung ist gut, solange sie nicht zu häufig eingesetzt wird.

Eine verbreitete Lösung hingegen wird von den SPAMmern umgangen und boykottiert. So prüfen die SPAMmer vorher den spamassassin ab und liefern gleichzeitig viel Wortmüll, um die Filter unbrauchbar zu machen. Die RBLs werden, wenn die Arbeitsweise bekannt ist, immer wieder bewusst dazu veranlasst, wichtige Mailserver zu sperren. Daher wird sicher jede wirksame Lösung auf Gegenmaßnahmen der SPAMmer stoßen, sobald es wirtschaftlich sinnvoll ist.

[mmj]

@MathiasR

Wie hast Du Deine Statistik erstellt?

Du hast nicht zufällig ein kleine feines Shell Script?

Danke :)

[mathiasr]

Code: Select all

grep -c  sbl-xbl.spamhaus.org /var/log/mail.log

liefert das aktuelle Ergebnis für diesen RBL. Natürlich kannst Du die Ergebnisse auch in eine Datei umleiten (grep ... >> AusgabeDatei).

Zum Nachlesen: man grep und reguläre Ausdrücke

[ccc]

hi

ich habe bei meinem spam filter gemäss

http://www.declude.com/Articles.asp?ID=97

folgende RBL eingetragen:

bl.spamcop.net
blackhole.securitysage.com
blackholes.easynet.nl
blackholes.intersil.net
blackholes.uceb.org
blacklist.spambag.org
cbl.abuseat.org
dialups.mail-abuse.org
dnsbl.antispam.or.id
dnsbl.net.au
dnsbl.njabl.org
dnsbl.sorbs.net
dnsbl.wpbl.pc9.org
dul.maps.vix.com
dynablock.njabl.org
list.dsbl.org
multihop.dsbl.org
opm.blitzed.org
orbs.dorkslayers.com
query.bondedsender.org
query.senderbase.org
rbl.maps.vix.com
rbl.rangers.eu.org
relays.bl.kundenserver.de
relays.mail-abuse.org
relays.orbs.org
relays.ordb.org
relays.visi.com
rhsbl.ahbl.org
rhsbl.sorbs.net
rss.maps.vix.com
sbl.spamhaus.org
sbl-xlb.spamhaus.org
spamsources.fabel.dk
unconfirmed.dsbl.org
vox.schpider.com
xbl.spamhaus.org

weche nutzen eigentlich und welche soll ich lieber rausnehmen ?
habe bis jetzt aber keine grosse erfahrungen auf diesem gebiet.

[dodolin]

@ccc: Du meinst wohl, viel hilft viel?! uahaha...

weche nutzen eigentlich und welche soll ich lieber rausnehmen ?
habe bis jetzt aber keine grosse erfahrungen auf diesem gebiet.

Dann würd ich sagen, nimm erstmal alle raus. Lies dir dann die Policies durch und entscheide. Aber tippt nicht nur stur ab.

[ccc]

muss man eigentlich Mitglied sein,
meine bei den RBL anbieter angemeldet sein,
um sie benutzen zu können ?

[dodolin]

muss man eigentlich Mitglied sein,
meine bei den RBL anbieter angemeldet sein,
um sie benutzen zu können ?

Kommt auf die DNSBL drauf an.
Warum liest du dir eigentlich nicht einfach die Seiten der entsprechenden Listen durch?! Sind wir hier der Vorlese-Service?

[thomas.km]

Moins

die RBLs trage ich doch in der main.cf von postfix ein oder?

maps_rbl_domains = sbl-xbl.spamhaus.org list.dsbl.org relays.ordb.org relays.visi.com blacklist.spambag.org

ich finde da aber kein maps_rbl_domains

ist das nicht schon immer standartmäßig drin und einfach nur # gemacht?

wenn nein, kann ich den eintrag einfach ans Ende kopieren oder muss der an einer bestimmten stelle stehen?

[r00ty]

wo trag ich die denn nun korrekt in meiner main.cf ein ?
ich find folgende drei

Code: Select all

smtpd_client_restrictions

smtpd_recipient_restrictions

maps_rbl_domains

In der Postfix Doku steht nicht wirklich viel Aufschlussreiches...

so wirds richtig sein, oder ?

Code: Select all

maps_rbl_domains = sbl-xbl.spamhaus.org list.dsbl.org relays.ordb.org relays.visi.com blacklist.spambag.org
smtpd_client_restrictions = reject_maps_rbl

[Joe User]

Postfix 2.2.x:

Code: Select all

allow_percent_hack = no
disable_vrfy_command = yes
smtpd_data_restrictions =
  reject_unauth_pipelining,
  permit
smtpd_helo_required = yes
smtpd_recipient_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_invalid_hostname,
  reject_non_fqdn_hostname,
  reject_non_fqdn_sender,
  reject_non_fqdn_recipient,
  reject_unknown_sender_domain,
  reject_unknown_recipient_domain,
  reject_unauth_destination,
  check_recipient_access pcre:/etc/postfix/recipient_checks.pcre,
  check_helo_access hash:/etc/postfix/helo_checks,
  reject_rbl_client relays.ordb.org,
  reject_rbl_client opm.blitzed.org,
  reject_rbl_client list.dsbl.org,
  reject_rbl_client sbl-xbl.spamhaus.org,
  permit

HTH

[r00ty]

danke schonmal

was hast du denn in deinen

pcre:/etc/postfix/recipient_checks.pcre
hash:/etc/postfix/helo_checks

drinnen ?

[Joe User]

Code: Select all

# cat /etc/postfix/helo_checks
xxx.xxx.xxx.xxx   REJECT
localhost         REJECT
domain.tld        REJECT
.domain.tld       REJECT

# cat /etc/postfix/recipient_checks.pcre
/^@/               550 Invalid address format.
/[!%@].*@/        550 This server disallows weird address syntax.
/^postmaster@/     OK
/^hostmaster@/     OK
/^abuse@/          OK

[adjustman]

es gibt da einen policy-weight check. Der ersetzt das fast alles (ausser gewolltes Blocking von X). Hab ich im Einsatz und bin voll zufrieden. :)
http://robtone.mine.nu/postfix/

[kawfy]

:?: Dazu eine Anschlussfrage an euch: wie handhabt ihr die Fälle von false positives, sprich, habt ihr selbst policies zum Whitelisting? Habt ihr die diversen Mailserver-IPs der größeren Provider in eure Konfiguration aufgenommen?

Meiner Meinung nach ist der RBL-Einsatz ohne genauso ernst betriebenes Whitelisting unprofesionell. ;)

[darkman]

Hallo,

zwar bei E-Mail bisher etwas unbekannt, aber wir betreiben eine
Blacklist fuer Tor Server (eine Art Anonymizer - leider halt dadurch
auch wie ein Open Proxy). Bisher findet die Liste ueberwiegend im
IRC Einsatz, jedoch durch Ihre Policy auch auf Mail anwendbar.
Infos gibts unter http://www.sectoor.de/tor.php - dort steht auch
soweit alles ueber die Policy etc. - wer sonst noch Fragen hat, darf
Sie gern hier stellen und/oder Mailen ;)

Fuer die NixSpam Liste arbeite ich ebenfalls grade an einer leicht
ueberarbeiteten Version davon. Bisher laufen nur Tests, werde die
Tage mal wieder ein wenig auswerten und dann berichten falls
Interesse besteht.

Gruesse,
Darkman

[ffl]

es gibt da einen policy-weight check. Der ersetzt das fast alles (ausser gewolltes Blocking von X). Hab ich im Einsatz und bin voll zufrieden. :)
http://robtone.mine.nu/postfix/

Danke für den Hinweis! Ich hab mir das auch mal installiert. Erfahrungsberichte gibts hier.

Eine echt feine Sache!

[adjustman]

Ich hab mir das auch mal installiert[]
Eine echt feine Sache!

hast du dir auch die *.conf angesehen? Damit kann man noch viel machen.

[ffl]

Ja das stimmt aber ich habe mich vorerst für die Default Settings entschieden.

Erst mal schauen wie sich das so verhält :)