Spamassi: 2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP

hotzi
Posts: 197
Joined: 2004-04-14 09:04
Location: Bayern, Sulzemoos

Spamassi: 2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP

Post by hotzi »

Hallo allerseits,

ich kapiere die Logik des Spamassis nicht so ganz.

Wenn ich ne Email versende, per:

STMP Auth
Webinterface selbst/GMX/web.de

steht ja meine IP, im moment E-Plus UMTS, im Header.

der Spamassi schreibt immer:

2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP
address

in die Logs, aber ist doch logisch, dass die erste IP oft eine Dialup IP ist. Das trifft doch auf den Großteil aller privaten Mails zu.

Hab ich ein Verständnisproblem?

Danke und gruß

Hotzi
Top

ansgar berhorn
Posts: 7
Joined: 2007-05-24 14:13

Re: Spamassi: 2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP

Post by ansgar berhorn »

Hotzi wrote: der Spamassi schreibt immer:

2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP
address

in die Logs, aber ist doch logisch, dass die erste IP oft eine Dialup IP ist. Das trifft doch auf den Großteil aller privaten Mails zu.

Hab ich ein Verständnisproblem?

Danke und gruß
Nein, das stimmt schon alles. Der Spamassassin prüft alle Relays, über die eine Email gelaufen ist. So können dann auch Emails, die durch eine Weiterleitung über ein sauberes Relay (z.B. gmx) gelaufen sind, erkannt werden.
Nur sind bei weitem nicht alle dynamisch vergebenen IP-Blöcke in den DUL-RBLs gelistet. In dul-RBLs tauchen wohl nur die IPs auf, die auch schon öfter aufgefallen sind. Prinzipiell sollten sich Provider auch darum kümmern, dass ihre IPs nicht auf Blacklisten auftauchen.

Ich hatte heute eine IP von Eplus, die in der Blacklist von Spamcop gelistet war. Da hört es dann langsam auf. dul-Listen sind ja noch nachvollziehbar, aber relativ renomierte Listen wie bl.spamcop.net oder xbl.spamhaus.org sollten die Mobilfunk-IPs nicht führen.
Last edited by ansgar berhorn on 2007-07-09 21:28, edited 1 time in total.
Top

hotzi
Posts: 197
Joined: 2004-04-14 09:04
Location: Bayern, Sulzemoos

Re: Spamassi: 2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP

Post by hotzi »

HM, ich weiss net on wir uns richtig verstehen, schau mal:

Code: Select all

Spam detection software, running on the system "server4.andrehotzler.de", has
identified this incoming email as possible spam.  The original message
has been attached to this so you can view it (if it isn't spam) or label
similar future email.  If you have any questions, see
the administrator of that system for details.

Content preview:  

Content analysis details:   (5.7 points, 5.0 required)

 pts rule name              description
---- ---------------------- --------------------------------------------------
 0.0 HTML_MESSAGE           BODY: HTML included in message
 2.0 RCVD_IN_SORBS_DUL      RBL: SORBS: sent directly from dynamic IP address
                            [87.175.88.183 listed in dnsbl.sorbs.net]
 0.5 DNS_FROM_RFC_ABUSE     RBL: Envelope sender in abuse.rfc-ignorant.org
 1.7 RCVD_IN_NJABL_DUL      RBL: NJABL: dialup sender did non-local SMTP
                            [87.175.88.183 listed in combined.njabl.org]
 1.6 AWL                    AWL: From: address is in the auto white-list


einliefernder Mailserver war Yahoo, die Email wurde per Yahoo Webmailer geschrieben. die IP da ist Telekom Range und steht halt im Header.

Das ist so SCHWACHSINN, weil der User, der sich authentifiziert am Yahoo Webportal anmeldet, kann nix für seine IP.

Gruß

Andre
Top

ansgar berhorn
Posts: 7
Joined: 2007-05-24 14:13

Re: Spamassi: 2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP

Post by ansgar berhorn »

Die IP des Clients tauch aber im Quelltext der Email auf.
Ob Webmailclient oder Thunderbird oder Outlook ist da unerheblich.

Grund ist die Listung der Client-IP und da macht der Spamassassin an sich nichts falsch.
Top

hotzi
Posts: 197
Joined: 2004-04-14 09:04
Location: Bayern, Sulzemoos

Re: Spamassi: 2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP

Post by hotzi »

Naja, meiner Meinung nach sollte das 2te Relay gecheckt werden.

Ich schreibe auf meinem Servern daher die Header um (schreibe aber in den Header, welcher User per SASL die Mail geschickt hat).

Durch diese Praxis können Privatleute an einige Firmen gar keine Mails mehr schicken!
Top

oxygen
RSAC
Posts: 2179
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Spamassi: 2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP

Post by oxygen »

Verändere doch die Scores für die entsprechenden Regeln. Auf der SA Website gibt es eine komplette Liste aller Regeln nach der du vorgehen kannst.
Top

hotzi
Posts: 197
Joined: 2004-04-14 09:04
Location: Bayern, Sulzemoos

Re: Spamassi: 2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP

Post by hotzi »

Was nützt mir das bei Scores von Servern, bei denen ich das nicht beeinflussen kann? Zum Beispiel wenn der Spamassi da zur SMTP Laufzeit eingebunden ist?
Top

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: Spamassi: 2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP

Post by rootsvr »

Willkommen bei Spamwar.. ein paar bleiben halt immer auf der Strecke, wenn der Admin abdreht :-/
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Spamassi: 2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP

Post by Joe User »

Workaround: Nur die vertrauenswürdigste DUL verwenden und die Andere(n) deaktivieren. DULs verursachen eh zu viele false positives, so dass sie beim Spamfiltern eher kontraproduktiv sind...
Top

hotzi
Posts: 197
Joined: 2004-04-14 09:04
Location: Bayern, Sulzemoos

Re: Spamassi: 2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP

Post by hotzi »

WIe gesagt, ich hab das Problem, dass ich an gewisse Firmen nix senden kann, da hab ich nix Einfluss drauf.

DULs benutze ich auf SMTP ebene, weil da habe ich wirklich echte Ergebnisse (klar dass ich SASL durchlasse).

Auf meinem großen Server habe ich:

6631 empfangene Mails, 159065 abgewiesen /letzer Monat/, Quelle Postfix Mailgraph
Top

ansgar berhorn
Posts: 7
Joined: 2007-05-24 14:13

Re: Spamassi: 2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP

Post by ansgar berhorn »

Hotzi wrote: 6631 empfangene Mails, 159065 abgewiesen /letzer Monat/, Quelle Postfix Mailgraph
Mit Greylisting und nicht "nur" durch RBLs?
Ansonsten fände ich die 4% ungewöhnlich klein.
Top

hotzi
Posts: 197
Joined: 2004-04-14 09:04
Location: Bayern, Sulzemoos

Re: Spamassi: 2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP

Post by hotzi »

Ansgar Berhorn wrote:
Hotzi wrote: 6631 empfangene Mails, 159065 abgewiesen /letzer Monat/, Quelle Postfix Mailgraph
Mit Greylisting und nicht "nur" durch RBLs?
Ansonsten fände ich die 4% ungewöhnlich klein.
Kombination verschiedener Dinge, Greylisting kann man sich aber heute fast sparen.
Top

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Spamassi: 2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP

Post by adjustman »

@Hotzi - dein "Problem ist SO lösbar:

Code: Select all

Here is also another way to reduce the spam score for SASL auth users that can be used with Postfix version 2.1 or newer. This should add a 'X-SMTP-Auth: no' header to all messages except authenticated. The SpamAssassin rule then adds -10 points if this header is missing:

# In main.cf:
smtpd_data_restrictions =
    reject_unauth_pipelining
    permit_sasl_authenticated
    check_client_access regexp:/etc/postfix/add_auth_header.regexp
	
# In /etc/postfix/add_auth_header.regexp:
/^/ PREPEND X-SMTP-Auth: no

# In SpamAssassin's local.cf:
header __NO_SMTP_AUTH X-SMTP-Auth =~ /^no$/
meta SMTP_AUTH !__NO_SMTP_AUTH
describe SMTP_AUTH Message sent using SMTP Authentication
tflags SMTP_AUTH nice
score SMTP_AUTH -10

In order to prevent confusion (the header would end up getting written again after the message was processed by amavisd-new), you should override smtpd_data_restrictions on the amavisd-new reinjection port. In master.cf add
  -o smtpd_data_restrictions=

127.0.0.1:10025    inet    n    -    n    -    -    smtpd
    -o content_filter=
    -o smtpd_data_restrictions=
    [other typical amavisd-new reinjection port overrides]
Punkt 10, zweiter Block
http://www200.pair.com/mecham/spam/bypassing.html
Top

hotzi
Posts: 197
Joined: 2004-04-14 09:04
Location: Bayern, Sulzemoos

Re: Spamassi: 2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP

Post by hotzi »

Und jetzt breche ich in andere Firmen ein und manipuliere deren Mailserver oder wie stellst Du DIr das vor?
Top

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Spamassi: 2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP

Post by adjustman »

Hotzi wrote:Wenn ich ne Email versende, per:
STMP Auth
Webinterface selbst/GMX/web.de
steht ja meine IP, im moment E-Plus UMTS, im Header.
der Spamassi schreibt immer:
2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP
address
aber du schreibst doch DAS?!
Top

hotzi
Posts: 197
Joined: 2004-04-14 09:04
Location: Bayern, Sulzemoos

Re: Spamassi: 2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP

Post by hotzi »

Hm ja stimmt, hast recht ;-) aber weiter unten schrieb ich ja, dass ich das nur nachvollziehen wollte. Meine Mails gehen ja ausgehend nicht durch den Spamassi und ich schreibe die Header meiner User eh um und lösche deren IPs.

Ich habe ein paar große Firmen, die normalerweise nicht mit Privatkunden kommunizieren, denen kann ich ohne diese Maßnahmen keine Mails schicken, da mich deren Mailserver nicht reinlässt, wenn irgendeine DUL IP im Header ist.
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Spamassi: 2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP

Post by Joe User »

adjustMan wrote:
Hotzi wrote:Wenn ich ne Email versende, per:
STMP Auth
Webinterface selbst/GMX/web.de
steht ja meine IP, im moment E-Plus UMTS, im Header.
der Spamassi schreibt immer:
2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP
address
aber du schreibst doch DAS?!
Schon, nur geht es um einen fremden Spamassassin, nicht seinen eigenen. Unglücklich formuliert ;)
Top

hotzi
Posts: 197
Joined: 2004-04-14 09:04
Location: Bayern, Sulzemoos

Re: Spamassi: 2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP

Post by hotzi »

Stimmt war nicht so schlau von mir, ich hatte den eigenen Spamassi benutzt, um das mal zu untersuchen.
Top

rot
Posts: 45
Joined: 2004-03-20 12:44

Re: Spamassi: 2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP

Post by rot »

Hotzi wrote: Ich habe ein paar große Firmen, die normalerweise nicht mit Privatkunden kommunizieren, denen kann ich ohne diese Maßnahmen keine Mails schicken, da mich deren Mailserver nicht reinlässt, wenn irgendeine DUL IP im Header ist.
Ich vermute eher, dass du direkt auslieferst, statt über ein Mailrelay zu versenden.

Das Posten der Header der problematischen Mail könnte helfen, aber so können wir nur in der Luft rumstochern...
Top

hotzi
Posts: 197
Joined: 2004-04-14 09:04
Location: Bayern, Sulzemoos

Re: Spamassi: 2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP

Post by hotzi »

rot wrote: Ich vermute eher, dass du direkt auslieferst, statt über ein Mailrelay zu versenden.
Vermute doch das was Du willst. Ich betreibe eigene Mailrelays.
Top

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Spamassi: 2.0 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP

Post by adjustman »

Hotzi wrote:Vermute doch das was Du willst.
warum so unfreundlich?
Du warst doch der, der sich total unklar ausdrückte. :wink:
Top