Spam Mails

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
mg115301
Posts: 80
Joined: 2002-12-26 23:59

Spam Mails

Post by mg115301 » 2003-04-23 15:56

Hallo!
Ich wollte mal fragen, wie einge hier so mit Spam Mails umgehen?
Also ich passe fast jeden 2 Tag die access Datei an und muss neue Adressen dort eingeben. Gibt es schon eine access Datei, die für sowas ausgerüsstet ist ohne das ich dann überhaupt keine Mail mehr bekomme?

oder wie sollte man da am besten vor gehen?[/u]

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Spam Mails

Post by dodolin » 2003-04-23 16:40

Hu... also jeden Absender separat zu erfassen, wäre mir dann doch ziemlich viel Aufwand. Wie schonmal im "FAQ-Koordinierungs-Thread" (im Rootforum Forum) angekündigt, bin ich gerade dabei, zu beschreiben, welche Massnahmen man mit Exim 4 gegen Spam unternehmen kann...

Auf offene Relays und Proxies zu filtern halte ich z.B. für recht sinnvoll. Man muss halt sehr gut abwägen, welche DNSBLs man verwendet.

Im Moment filtere ich auf list.dsbl.org. Wenn ich jedoch später meinen eigenen MX auch für meine Haupt-Adressen (die, die den meisten Spam abgekommen) betreibe, werde ich z.B. auch auf länderspezifische IPs filtern, wenn ich von dort keine Kontakte erwarte, z.B.

cn-kr.blackholes.us
brazil.blackholes.us

Ansonsten kann man z.B. mit Exim einen sender_callback machen, damit erschlägt man auch viel Spam. Man sollte aber unbedingt darauf achten, dass man auch Whitelists für "problematische" Hosts hat...

Ansonsten böten sich halt Filter an, die erst nach dem Empfang der Mail greifen. Beispiele: Spamassassin, bogofilter, ...

BTW: FAQ -> http://home.snafu.de/laura/de.admin.net-abuse.mail.txt

mg115301
Posts: 80
Joined: 2002-12-26 23:59

Re: Spam Mails

Post by mg115301 » 2003-05-03 19:58

Gibt es noch andere Möglichkeiten?
Weil sendmail will ich weiterhin betreiben. Nur geht es mir auf den Sa..
wenn solche Mails von meinem Traffic ab gehen.

Hat noch einer eine Idee?

[ djthesound ]
Posts: 300
Joined: 2003-04-21 01:15

Re: Spam Mails

Post by [ djthesound ] » 2003-05-03 21:34

@mg115301

Wenn du eingehende Email meinst (was ich vermute), so kannst du den Traffic ohnehin nicht verhindern, da du erst nach der Flterung die Emails "vernichten" kannst, sodass du und (oder) deine Kunden diese Nachrichten nicht in dein (Ihre) Postfächer bekommst.

User avatar
nyxus
RSAC
Posts: 697
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Spam Mails

Post by nyxus » 2003-05-03 22:49

[ DJtheSOUND ] wrote:Wenn du eingehende Email meinst (was ich vermute), so kannst du den Traffic ohnehin nicht verhindern, da du erst nach der Flterung die Emails "vernichten" kannst, sodass du und (oder) deine Kunden diese Nachrichten nicht in dein (Ihre) Postfächer bekommst.
also mein Mailgraph sagt mir, daß gerade heute wieder 81 SMTP-Verbindungen abgewiesen wurden. Und das, ohne daß eine Mail verarbeitet wurde. Alles über RBL-Filter.


Gruß, Nyx

Matthias Diehl
Posts: 315
Joined: 2002-09-24 13:26

Re: Spam Mails

Post by Matthias Diehl » 2003-05-03 22:54

Ich hoffe Du hast Deinen Server für Dich alleine.....
Denn wenn Du die Mailserveradressen sperrst die Spam versenden, dann blockst Du damit auch alle anderen Benutzer des gleichen Servers.
Blödes Beispiel, aber wenn Dir spam@gmx.net eine Spammail sendet und Du daraufhin den Server mail1.gmx.net sperrst, dann wirt Du von etlichen usern von gmx.net keine Mails mehr erhalten können.

Wenn das nur Mails an Dich sind, okay. Wenn Du aber noch Freunde und Bekannte auf dem Rechner hast ist das zumindest extrem fragwürdig.

konni
Posts: 151
Joined: 2002-12-16 10:05

Re: Spam Mails

Post by konni » 2003-05-03 22:58

also der erste schritt ist die abfrage der rbl's, als zweiten schritt, die noch durchkommenden Mails durch SpamAssassin.

So läuft das bei mir seit einer kleinen ewigkeit, und der SPAM ist in den Postfächern ist fast nicht mehr vorhanden (auch bei den anderen die ich hoste (nein, nicht kommerziel)).

Den Traffic wirst du nie verhindern können, woher soll dein Mailserver denn auch im vorraus wissen er connecten will.

User avatar
nyxus
RSAC
Posts: 697
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Spam Mails

Post by nyxus » 2003-05-04 00:05

Matthias Diehl wrote:Wenn das nur Mails an Dich sind, okay. Wenn Du aber noch Freunde und Bekannte auf dem Rechner hast ist das zumindest extrem fragwürdig.
sehe ich anders.

1) meine User wissen daß ich auch nach RBLs filtere.

2) Ich stehe (inzwischen) auf dem Standpunkt, daß ich auf Mails von einem Server, der z.B. ein offenes Relay ist oder bei ROKSO oder wo auch immer gelistet ist, locker verzichten kann. Wenn jemand daraufhin seine Mails nicht bei mir los wird hat er halt Pech gehabt. Zum einen gibt es auch andere Kommunikationswege, zum anderen soll er sich einen anderen Provider suchen.

3. Ich gehe davon aus, daß der von Dir angesprochene Punkt der "legitimen" Mails nahezu 0% sind. Bevor ich die RBLs aktiviert habe (da war ich noch fast alleine auf dem Server) habe ich in den Logs überprüft ob er echte Sachen ablehnen würde. Und das war über knapp zwei Wochen keine einzige Mail.
Blödes Beispiel, aber wenn Dir spam@gmx.net eine Spammail sendet und Du daraufhin den Server mail1.gmx.net sperrst, dann wirt Du von etlichen usern von gmx.net keine Mails mehr erhalten können.
Nur durch das Senden einer Spam-Mail kommt man nicht automatisch in irgendwelche RBLs.

Aber gute Erinnerung, ich wollte schon lange ein Script einbauen, das Server über die Spams ankommen automatisch an ordb zum Test meldet,


Gruß, Nyx

P.S. Meine RBL-Liste (postfix):

Code: Select all

#
maps_rbl_domains =      relays.ordb.org,
                        list.dsbl.org,
                        Spamsites.relays.OsiruSoft.com,
                        proxies.relays.OsiruSoft.com,
                        socks.relays.OsiruSoft.com,
                        sbl.spamhaus.org,
                        proxies.relays.monkeys.com
#

Matthias Diehl
Posts: 315
Joined: 2002-09-24 13:26

Re: Spam Mails

Post by Matthias Diehl » 2003-05-04 08:45

Hi Nyxus,

dann ist ja alles klar !
Mit RBLs zu arbeiten ist auch eine Möglichkeit. Ich hatte nur die Befürchtung, Du würdest einzelne Hosts von Hand aussperren.
Das hat mal ein Bekannter von mir gemacht und der hat sich später gewundert, warum er keine Mails mehr bekommt :)

Nix für ungut...

User avatar
nyxus
RSAC
Posts: 697
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Spam Mails

Post by nyxus » 2003-05-04 10:22

Matthias Diehl wrote:Ich hatte nur die Befürchtung, Du würdest einzelne Hosts von Hand aussperren.
och, die Idee hatte ich bei Hotmail auch schon mal ... :D


Gruß, Nyx

sartre
Posts: 327
Joined: 2002-05-12 18:02
Location: Duisburg

Re: Spam Mails

Post by sartre » 2003-05-04 14:19

hähä, ein bisschen Spass muss sein ... *pfeif*

Schlund blcokt momentan gmx.de Mails ;)
212.227.126.153_does_not_like_recipient./Remote_host_said:_550-Your_host_is_an_unsecured_relay, _send_your_ISP_to_http://relaytest.kundenserver.de/view.php?ip=213.165.65.60/550_mail_from_213.165.65.60_rejected:_administrative_prohibition_(host_is_blacklisted)/
Giving_up_on_212.227.126.153./
Gruß

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Spam Mails

Post by adjustman » 2003-05-10 06:11

Gruß, Nyx

P.S. Meine RBL-Liste (postfix):

Code: Select all

#
maps_rbl_domains =      relays.ordb.org,
                        list.dsbl.org,
                        Spamsites.relays.OsiruSoft.com,
                        proxies.relays.OsiruSoft.com,
                        socks.relays.OsiruSoft.com,
                        sbl.spamhaus.org,
                        proxies.relays.monkeys.com
#
Ne dumme Frage: Das ist dann eine Zeile in der main.cf, oder?

Zusatzfrage: Ich bekomme jetzt sehr häufig an die Abuse- u. Postmasteradresse Mails, dass meine Domain XXXXXX.de als Spamadresse benutzt wird. Ich hab aber definitiv kein offenes Relay, alles doppelt geprüft. Da versendet jemand mit gefälschtem Absender. Was kann man da tun? Ich will ja nicht auf irgendwelchen Blacklists landen. :cry: ( Wenns nicht schon geschehen ist! )
cu aM

User avatar
nyxus
RSAC
Posts: 697
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Spam Mails

Post by nyxus » 2003-05-10 09:33

adjustMan wrote:Das ist dann eine Zeile in der main.cf, oder?
Nein, diese Parameter stehen genau so in der main.cf. Die dürfen auch über mehrere Zeilen verteilt sein.
Zusatzfrage: Ich bekomme jetzt sehr häufig an die Abuse- u. Postmasteradresse Mails, dass meine Domain XXXXXX.de als Spamadresse benutzt wird. Ich hab aber definitiv kein offenes Relay, alles doppelt geprüft. Da versendet jemand mit gefälschtem Absender. Was kann man da tun? Ich will ja nicht auf irgendwelchen Blacklists landen. :cry: ( Wenns nicht schon geschehen ist! )
Ich würde mal sagen, daß Du einfach Pech hast wenn jemand Deine Absende-Adresse nutzt. Bist damit aber in guter Gesellschaft.

Auf eine Blacklist kommst Du aber nicht, jedenfalls wenn Dein Rechner wirklich kein offenes Relay ist.


Gruß, Nyx

mark
Posts: 295
Joined: 2003-04-15 16:48
Location: Oldenburg

Re: Spam Mails

Post by mark » 2003-05-10 09:37

adjustMan wrote:
Gruß, Nyx

P.S. Meine RBL-Liste (postfix):

Code: Select all

#
maps_rbl_domains =      relays.ordb.org,
                        list.dsbl.org,
                        Spamsites.relays.OsiruSoft.com,
                        proxies.relays.OsiruSoft.com,
                        socks.relays.OsiruSoft.com,
                        sbl.spamhaus.org,
                        proxies.relays.monkeys.com
#
Ne dumme Frage: Das ist dann eine Zeile in der main.cf, oder?

Zusatzfrage: Ich bekomme jetzt sehr häufig an die Abuse- u. Postmasteradresse Mails, dass meine Domain XXXXXX.de als Spamadresse benutzt wird. Ich hab aber definitiv kein offenes Relay, alles doppelt geprüft. Da versendet jemand mit gefälschtem Absender. Was kann man da tun? Ich will ja nicht auf irgendwelchen Blacklists landen. :cry: ( Wenns nicht schon geschehen ist! )
Das wirst du nicht ganz so schnell. Wenn deine IP an einen RBL-Anbieter übermittelt wird, dann wird erstmal die Beweislage gechecked. Beispielsweise wird dein Host überprüft. Ist er kein Open Relay oder Proxy, dann musst du dir eigentlich keine sorgen machen. Wenn du auf solch einer Liste landen solltest, dann bekommst du das schon früher oder später mit per email.

Noch zur Info:
Wer eine "access"-Liste zur SPAM-Abwehr benutzen möchte, der sollte mal hier schauen:
http://basic.wirehub.nl/spamlist-usage.html

bzw. hier:
http://basic.wirehub.nl/spamstats.html

ist für einige Leute sicherlich interessant.

Gruß
Mark