Postfix: Seit 2 Tagen viel mehr SPAM

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
bn_andreas
Posts: 10
Joined: 2005-01-25 10:27
Location: Bonn

Postfix: Seit 2 Tagen viel mehr SPAM

Post by bn_andreas » 2007-05-02 16:19

Hallo Rootis :wink:,

ich habe hier 2 Server mit Postfix laufen (primär und sekundär), die E-Mails annehmen und an einen dritten Server weiterleiten. Beide Server sind gleich eingerichtet und laufen seit einem Jahr mit Greylisting, Spam- und Virencheck.
Alles funktioniert auch: Eine Mail kommt an :arrow: wird gegreyt :arrow: beim zweiten Mal, nach mindestens 5 Minuten, :arrow: an den Amavis, wo auch fast jede Spam als Spam im Header sowie Betreff markiert wird.

Nur leider kommen hier die letzten Tage deutlich mehr Mails rein und somit auch mehr Spam. Laut Statistik waren in den letzten beiden Tagen fast schon so viele Mails wie im gesamten April. 8O

Die Spams werden zwar alle markiert, aber da stimmt doch was nicht!

Ein Open-Relay liegt laut http://www.abuse.net/relay.html nicht vor. Ich habe bisher auch keine SPAM gesehen die nach extern geht.

Hier ein paar Auszüge aus meiner main.cf
smtpd_recipient_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
check_policy_service inet:127.0.0.1:10023,
permit_mx_backup,
reject_unauth_destination,
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_unauth_pipelining,
reject_unauth_destination,
reject_rbl_client zombie.dnsbl.sorbs.net,
reject_rbl_client relays.ordb.org,
reject_rbl_client opm.blitzed.org,
reject_rbl_client list.dsbl.org,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client blackholes.easynet.nl,
reject_rbl_client unconfirmed.dsbl.org,
reject_rbl_client dynablock.njabl.org,
reject_rbl_client dialup.blacklist.jippg.org,
reject_rbl_client cbl.abuseat.org


mynetworks = anderedomain.de, 127.0.0.0, 127.0.0.1, localhost
Was kann das denn sein? Ich hoffe, ihr habt eine Idee. Benötigt ihr mehr Infos. Im mail.log ist es genauso wie es sein soll. Mail wird gegreyt und geht beim zweiten Versuch eben durch usw.

mfg aus Bonn
Andreas

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Postfix: Seit 2 Tagen viel mehr SPAM

Post by Roger Wilco » 2007-05-02 17:55

Wenn es dich beruhigt: Ich habe auch einen massiven Anstieg von Spam-Mails registriert. Es dürfte sich also einfach um eine Spam-"Offensive" handeln oder irgendjemand probiert sein neues Botnet aus.

BTW: relays.ordb.org gibt es nicht mehr. Ich würde das aus der Liste entfernen.

tischi
Posts: 215
Joined: 2003-10-26 17:57

Re: Postfix: Seit 2 Tagen viel mehr SPAM

Post by tischi » 2007-05-02 21:58

gleich hier...
komm sonst immer so von der arbeit um 17 uhr nach haus rechner an und eigentlich immer so unter 10 mails...

heute 35 :P was da los... :P

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Postfix: Seit 2 Tagen viel mehr SPAM

Post by adjustman » 2007-05-03 00:32

Tischi wrote:was da los...
siehe oben. Im M. ist es sehr heftig.

bn_andreas
Posts: 10
Joined: 2005-01-25 10:27
Location: Bonn

Re: Postfix: Seit 2 Tagen viel mehr SPAM

Post by bn_andreas » 2007-05-03 10:34

Hallo ;),

es handelt sich vor allem um Aktien-SPAM, neuste "Trend" der Spammer :? . Mal als reine Textemail (wo die body_checks jetzt alles wieder rejectet 8) ) oder eben als Bild, mit Zufallstexten unterm Bild. Die Wortliste meines Fuzzy-OCR habe ich jetzt erstmal um Worte wie "INVESTORALARM" oder "FINANZINVESTOREN" erweitertert. Da kommen teilweise schöne hohe SPAM-Scores raus :wink:

Im Amavis gibt es ja die Einstellung $sa_kill_level_deflt. Was wäre wenn man die auf 30 setzen würde oder so? Ich meine, wer schafft es schon eine HAM zuschreiben mit einem Score von 30? Landen würd die Mail ja auch nicht in der Tonne sondern im Quarantäneordner. Haltet ihr sowas für sinnvoll?

@Roger Wilco: Danke für den Tipp mit der Liste


mfg aus Bonn
Andreas

lord_pinhead
RSAC
Posts: 830
Joined: 2004-04-26 15:57

Re: Postfix: Seit 2 Tagen viel mehr SPAM

Post by lord_pinhead » 2007-05-03 19:56

BN_Andreas wrote:Hallo ;),

es handelt sich vor allem um Aktien-SPAM, neuste "Trend" der Spammer :? . Mal als reine Textemail (wo die body_checks jetzt alles wieder rejectet 8) ) oder eben als Bild, mit Zufallstexten unterm Bild. Die Wortliste meines Fuzzy-OCR habe ich jetzt erstmal um Worte wie "INVESTORALARM" oder "FINANZINVESTOREN" erweitertert. Da kommen teilweise schöne hohe SPAM-Scores raus :wink:

Im Amavis gibt es ja die Einstellung $sa_kill_level_deflt. Was wäre wenn man die auf 30 setzen würde oder so? Ich meine, wer schafft es schon eine HAM zuschreiben mit einem Score von 30? Landen würd die Mail ja auch nicht in der Tonne sondern im Quarantäneordner. Haltet ihr sowas für sinnvoll?

@Roger Wilco: Danke für den Tipp mit der Liste


mfg aus Bonn
Andreas
Das mit Fuzzy OCR less ich jetzt öfter, gibt es dazu ein paar Default Einstellungen oder Regelsätze mit der man schonmal den Müll filtern kann?

bn_andreas
Posts: 10
Joined: 2005-01-25 10:27
Location: Bonn

Re: Postfix: Seit 2 Tagen viel mehr SPAM

Post by bn_andreas » 2007-05-04 14:46

Hallo Lord_Pinhead,

der Fuzzy OCR ist nur ein Plugin für den Spamassassin. Wird ein Wort, aus der Wordlist, im Bild gefunden gibt es einen Punkt. Werden 2 Wörter gefunden, gibt es 2 Punkte usw.

Howto wäre z.B. hier: http://www.huschi.net/11_207_de.html

Im Archive liegt auch eine FuzzyOcr.words.sample bei. Ich weiß nicht in wieweit das Sinn hat, da fremde Wortlisten zu nehmen, wo dann das halbe Wörterbuch abgetippt ist.
Bei uns hier wird selten SPAM nicht erkannt. Sollte es mal so sein, ist es meist ein Bilder-SPAM. Ich füge dann 1 bis 2 Wörter aus der SPAM in die Liste von Hand ein. Musste ich aber bisher erst 4mal oder so machen, davon 2mal in dieser Woche. :roll:

mfg
Andreas