Spamassi: 2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP

[hotzi]

Hallo allerseits,

ich kapiere die Logik des Spamassis nicht so ganz.

Wenn ich ne Email versende, per:

STMP Auth
Webinterface selbst/GMX/web.de

steht ja meine IP, im moment E-Plus UMTS, im Header.

der Spamassi schreibt immer:

2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP
address

in die Logs, aber ist doch logisch, dass die erste IP oft eine Dialup IP ist. Das trifft doch auf den Großteil aller privaten Mails zu.

Hab ich ein Verständnisproblem?

Danke und gruß

Hotzi

[ansgar berhorn]

der Spamassi schreibt immer:

2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP
address

in die Logs, aber ist doch logisch, dass die erste IP oft eine Dialup IP ist. Das trifft doch auf den Großteil aller privaten Mails zu.

Hab ich ein Verständnisproblem?

Danke und gruß

Nein, das stimmt schon alles. Der Spamassassin prüft alle Relays, über die eine Email gelaufen ist. So können dann auch Emails, die durch eine Weiterleitung über ein sauberes Relay (z.B. gmx) gelaufen sind, erkannt werden.
Nur sind bei weitem nicht alle dynamisch vergebenen IP-Blöcke in den DUL-RBLs gelistet. In dul-RBLs tauchen wohl nur die IPs auf, die auch schon öfter aufgefallen sind. Prinzipiell sollten sich Provider auch darum kümmern, dass ihre IPs nicht auf Blacklisten auftauchen.

Ich hatte heute eine IP von Eplus, die in der Blacklist von Spamcop gelistet war. Da hört es dann langsam auf. dul-Listen sind ja noch nachvollziehbar, aber relativ renomierte Listen wie bl.spamcop.net oder xbl.spamhaus.org sollten die Mobilfunk-IPs nicht führen.

[hotzi]

HM, ich weiss net on wir uns richtig verstehen, schau mal:

Code: Select all

Spam detection software, running on the system "server4.andrehotzler.de", has
identified this incoming email as possible spam.  The original message
has been attached to this so you can view it (if it isn't spam) or label
similar future email.  If you have any questions, see
the administrator of that system for details.

Content preview:  

Content analysis details:   (5.7 points, 5.0 required)

 pts rule name              description
---- ---------------------- --------------------------------------------------
 0.0 HTML_MESSAGE           BODY: HTML included in message
 2.0 RCVD_IN_SORBS_DUL      RBL: SORBS: sent directly from dynamic IP address
                            [87.175.88.183 listed in dnsbl.sorbs.net]
 0.5 DNS_FROM_RFC_ABUSE     RBL: Envelope sender in abuse.rfc-ignorant.org
 1.7 RCVD_IN_NJABL_DUL      RBL: NJABL: dialup sender did non-local SMTP
                            [87.175.88.183 listed in combined.njabl.org]
 1.6 AWL                    AWL: From: address is in the auto white-list

einliefernder Mailserver war Yahoo, die Email wurde per Yahoo Webmailer geschrieben. die IP da ist Telekom Range und steht halt im Header.

Das ist so SCHWACHSINN, weil der User, der sich authentifiziert am Yahoo Webportal anmeldet, kann nix für seine IP.

Gruß

Andre

[ansgar berhorn]

Die IP des Clients tauch aber im Quelltext der Email auf.
Ob Webmailclient oder Thunderbird oder Outlook ist da unerheblich.

Grund ist die Listung der Client-IP und da macht der Spamassassin an sich nichts falsch.

[hotzi]

Naja, meiner Meinung nach sollte das 2te Relay gecheckt werden.

Ich schreibe auf meinem Servern daher die Header um (schreibe aber in den Header, welcher User per SASL die Mail geschickt hat).

Durch diese Praxis können Privatleute an einige Firmen gar keine Mails mehr schicken!

[oxygen]

Verändere doch die Scores für die entsprechenden Regeln. Auf der SA Website gibt es eine komplette Liste aller Regeln nach der du vorgehen kannst.

[hotzi]

Was nützt mir das bei Scores von Servern, bei denen ich das nicht beeinflussen kann? Zum Beispiel wenn der Spamassi da zur SMTP Laufzeit eingebunden ist?

[rootsvr]

Willkommen bei Spamwar.. ein paar bleiben halt immer auf der Strecke, wenn der Admin abdreht :-/

[Joe User]

Workaround: Nur die vertrauenswürdigste DUL verwenden und die Andere(n) deaktivieren. DULs verursachen eh zu viele false positives, so dass sie beim Spamfiltern eher kontraproduktiv sind...

[hotzi]

WIe gesagt, ich hab das Problem, dass ich an gewisse Firmen nix senden kann, da hab ich nix Einfluss drauf.

DULs benutze ich auf SMTP ebene, weil da habe ich wirklich echte Ergebnisse (klar dass ich SASL durchlasse).

Auf meinem großen Server habe ich:

6631 empfangene Mails, 159065 abgewiesen /letzer Monat/, Quelle Postfix Mailgraph

[ansgar berhorn]

6631 empfangene Mails, 159065 abgewiesen /letzer Monat/, Quelle Postfix Mailgraph

Mit Greylisting und nicht "nur" durch RBLs?
Ansonsten fände ich die 4% ungewöhnlich klein.

[hotzi]

6631 empfangene Mails, 159065 abgewiesen /letzer Monat/, Quelle Postfix Mailgraph

Mit Greylisting und nicht "nur" durch RBLs?
Ansonsten fände ich die 4% ungewöhnlich klein.

Kombination verschiedener Dinge, Greylisting kann man sich aber heute fast sparen.

[adjustman]

@Hotzi - dein "Problem ist SO lösbar:

Code: Select all

Here is also another way to reduce the spam score for SASL auth users that can be used with Postfix version 2.1 or newer. This should add a 'X-SMTP-Auth: no' header to all messages except authenticated. The SpamAssassin rule then adds -10 points if this header is missing:

# In main.cf:
smtpd_data_restrictions =
    reject_unauth_pipelining
    permit_sasl_authenticated
    check_client_access regexp:/etc/postfix/add_auth_header.regexp
	
# In /etc/postfix/add_auth_header.regexp:
/^/ PREPEND X-SMTP-Auth: no

# In SpamAssassin's local.cf:
header __NO_SMTP_AUTH X-SMTP-Auth =~ /^no$/
meta SMTP_AUTH !__NO_SMTP_AUTH
describe SMTP_AUTH Message sent using SMTP Authentication
tflags SMTP_AUTH nice
score SMTP_AUTH -10

In order to prevent confusion (the header would end up getting written again after the message was processed by amavisd-new), you should override smtpd_data_restrictions on the amavisd-new reinjection port. In master.cf add
  -o smtpd_data_restrictions=

127.0.0.1:10025    inet    n    -    n    -    -    smtpd
    -o content_filter=
    -o smtpd_data_restrictions=
    [other typical amavisd-new reinjection port overrides]

Punkt 10, zweiter Block
http://www200.pair.com/mecham/spam/bypassing.html

[hotzi]

Und jetzt breche ich in andere Firmen ein und manipuliere deren Mailserver oder wie stellst Du DIr das vor?

[adjustman]

Wenn ich ne Email versende, per:
STMP Auth
Webinterface selbst/GMX/web.de
steht ja meine IP, im moment E-Plus UMTS, im Header.
der Spamassi schreibt immer:
2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP
address

aber du schreibst doch DAS?!

[hotzi]

Hm ja stimmt, hast recht ;-) aber weiter unten schrieb ich ja, dass ich das nur nachvollziehen wollte. Meine Mails gehen ja ausgehend nicht durch den Spamassi und ich schreibe die Header meiner User eh um und lösche deren IPs.

Ich habe ein paar große Firmen, die normalerweise nicht mit Privatkunden kommunizieren, denen kann ich ohne diese Maßnahmen keine Mails schicken, da mich deren Mailserver nicht reinlässt, wenn irgendeine DUL IP im Header ist.

[Joe User]

Wenn ich ne Email versende, per:
STMP Auth
Webinterface selbst/GMX/web.de
steht ja meine IP, im moment E-Plus UMTS, im Header.
der Spamassi schreibt immer:
2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP
address

aber du schreibst doch DAS?!

Schon, nur geht es um einen fremden Spamassassin, nicht seinen eigenen. Unglücklich formuliert ;)

[hotzi]

Stimmt war nicht so schlau von mir, ich hatte den eigenen Spamassi benutzt, um das mal zu untersuchen.

[rot]

Ich habe ein paar große Firmen, die normalerweise nicht mit Privatkunden kommunizieren, denen kann ich ohne diese Maßnahmen keine Mails schicken, da mich deren Mailserver nicht reinlässt, wenn irgendeine DUL IP im Header ist.

Ich vermute eher, dass du direkt auslieferst, statt über ein Mailrelay zu versenden.

Das Posten der Header der problematischen Mail könnte helfen, aber so können wir nur in der Luft rumstochern...

[hotzi]

Ich vermute eher, dass du direkt auslieferst, statt über ein Mailrelay zu versenden.

Vermute doch das was Du willst. Ich betreibe eigene Mailrelays.

[adjustman]

Vermute doch das was Du willst.

warum so unfreundlich?
Du warst doch der, der sich total unklar ausdrückte.