Return-Path in Spamassassin filtern?

joe232
Posts: 3
Joined: 2010-08-12 08:09

Return-Path in Spamassassin filtern?

Post by joe232 »

Hallo,

seit einiger Zeit werde ich mit SPAM überschüttet.
Der Absender (Servername/Domain) wechselt ständig, der Return-Path ist immer gleich.

Da ich sicherlich nicht der einzige bin, der hier unerwünschter Empfänger der Firma ist, habt Ihr eine Idee, wie ich die Spam mit Spamassassin korrekt markieren lassen kann, bzw. noch besser, die Annahme duch den MTA verwehren kann?

Wenn ich die Spam normal anlerne, kommt die nächste mit anderem Absendeserver wieder durch.

Hier mal ein Beispielheader aus einer Mail:

Code: Select all

Return-Path: <bounce1@rl-mail.net>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on
     myserver.provider.dom
X-Spam-Level:
X-Spam-Status: No, score=-0.4 required=5.0 tests=BAYES_00,DCC_CHECK,
     SPF_HELO_PASS autolearn=no version=3.2.5
Received: from ms732.rl-mail.net (ms732.rl-mail.net [62.93.30.243])
     by usel.net (Postfix) with ESMTP id DFFAF450801C
     for <mail@myserver.dom>; Thu, 12 Aug 2010 02:12:25 +0200 (CEST)
Received: from localhost (ms732.rl-mail.net [62.93.30.243])
     by ms732.rl-mail.net (Postfix) with ESMTP id EDE9828D76
     for <mail@myserver.dom>; Thu, 12 Aug 2010 02:14:54 +0200 (CEST)
MIME-Version: 1.0
Content-Type: text/plain;
     charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
From: Buchungsservice <info@fe8f.net>
To: mail@myserver.dom
Subject: Re: Erinnerung
Message-Id: <20100812001454.EDE9828D76@ms732.rl-mail.net>
Date: Thu, 12 Aug 2010 02:14:54 +0200 (CEST)
X-Virus-Status: CLEAN


Joe232
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Return-Path in Spamassassin filtern?

Post by Joe User »

http://jimsun.linxnet.com/misc/postfix-anti-UCE.txt plus http://www.policyd-weight.org/ und schon braucht man das resourcenfressende Spamassassin nicht mehr...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

joe232
Posts: 3
Joined: 2010-08-12 08:09

Re: Return-Path in Spamassassin filtern?

Post by joe232 »

Danke für die Tipps, aber irgendwie komme ich nicht klar.

Ich habe in meine /etc/postfix/main.cf folgende Zeile eingefügt:

header_checks = regexp:/etc/postfix/header_checks

Dann die Datei /etc/postfix/header_checks mit folgendem Inhalt angelegt:

/^Return-Path: <bounce1@rl-mail.net>/ REJECT Spamschutz - du nervst

Dann postfix restarted und ... siehe da, die nächste Mail mitdem Return-Path kommt rein.

Wo liegt mein Denkfehler?

Die IP und der Absender sind anders - ich kann nur über den Return-Path gehen:

Code: Select all

Return-Path: <bounce1@rl-mail.net>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on
     myserver.provider.dom
X-Spam-Level:
X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00,SPF_HELO_PASS
     autolearn=ham version=3.2.5
Received: from ms885.rl-mail.net (ms885.rl-mail.net [62.93.31.142])
     by usel.net (Postfix) with ESMTP id 03C64450801C
     for <mail@myserver.dom>; Thu, 12 Aug 2010 13:47:01 +0200 (CEST)
Received: from localhost (ms885.rl-mail.net [62.93.31.142])
     by ms885.rl-mail.net (Postfix) with ESMTP id E4B80275B2
     for <mail@myserver.dom>; Thu, 12 Aug 2010 13:49:40 +0200 (CEST)
MIME-Version: 1.0
Content-Type: text/plain;
     charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
From: 4G-Apple <info@bfr9.net>
To: mail@myserver.dom
Subject: =?ISO-8859-1?Q?AW=3A_Reservierungsbestaetigung_f=FCr__?=
Message-Id: <20100812114940.E4B80275B2@ms885.rl-mail.net>
Date: Thu, 12 Aug 2010 13:49:40 +0200 (CEST)
X-Virus-Status: CLEAN
Last edited by joe232 on 2010-08-12 14:07, edited 1 time in total.
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Return-Path in Spamassassin filtern?

Post by Joe User »

Header_checks kann den Return-Path nicht auswerten.
Nachfolgend einmal eine Anti-UCE-Standard-Config erweitert um Deinen Spammer, gegebenenfalls an das eigene System anpassen:

Code: Select all

cat >> /etc/postfix/main.cf <<EOF
allow_percent_hack = no
disable_vrfy_command = yes
smtpd_client_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_unknown_reverse_client_hostname,
  permit
smtpd_data_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_unauth_pipelining,
  permit
smtpd_helo_required = yes
smtpd_helo_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_invalid_helo_hostname,
  reject_non_fqdn_helo_hostname,
  permit
smtpd_recipient_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_non_fqdn_recipient,
  reject_unknown_recipient_domain,
  check_recipient_mx_access cidr:/etc/postfix/mx_access,
  reject_unauth_destination,
  check_recipient_access pcre:/etc/postfix/recipient_checks.pcre,
  permit
smtpd_sender_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_non_fqdn_sender,
  reject_unknown_sender_domain,
  permit
strict_rfc821_envelopes = yes
EOF

cat > /etc/postfix/recipient_checks.pcre <<EOF
/^@/             550 Invalid address format.
/[!%@].*@/       550 This server disallows weird address syntax.
/^postmaster@/   OK
/^hostmaster@/   OK
/^abuse@/        OK
EOF

cat > /etc/postfix/mx_access <<EOF
0.0.0.0/8         REJECT Domain MX in broadcast network
10.0.0.0/8        REJECT Domain MX in RFC 1918 private network
127.0.0.0/8       REJECT Domain MX in loopback network
169.254.0.0/16    REJECT Domain MX in link local network
172.16.0.0/12     REJECT Domain MX in RFC 1918 private network
192.0.2.0/24      REJECT Domain MX in TEST-NET network
192.168.0.0/16    REJECT Domain MX in RFC 1918 private network
224.0.0.0/4       REJECT Domain MX in class D multicast network
240.0.0.0/5       REJECT Domain MX in class E reserved network
248.0.0.0/5       REJECT Domain MX in reserved network
62.93.26.0/23     REJECT Spamming rl-mail.net blacklisted
62.93.28.0/22     REJECT Spamming rl-mail.net blacklisted
EOF

postmap /etc/postfix/mx_access

Die einzelnen Optionen werden in meinem obigen ersten Link erläutert.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

danu
Posts: 263
Joined: 2005-02-02 11:15

Re: Return-Path in Spamassassin filtern?

Post by danu »

Wahrscheinlich hilft auch ein Spamassassin Update auf Version 3.3.1 und unbedingt das vollständige Ruleset installieren.

http://spamassassin.apache.org/downloads.cgi
Top

danu
Posts: 263
Joined: 2005-02-02 11:15

Re: Return-Path in Spamassassin filtern?

Post by danu »

Oh Oh, nicht unbedingt das vollständige Ruleset. Besonders bei den Blacklisten erstmal behutsam vor gehen! Braucht doch einiges an Speicher

Ist allerdings wahr. Habe für das Tuning auch einige Zeit aufgewendet. Zum Teil Rules deaktiviert oder den Score massiv runter gesetzt.Um bei zigtausend ankommenden Mails den Spamassassin zu entlasten, habe ich noch ein Greylisting.
Top

joe232
Posts: 3
Joined: 2010-08-12 08:09

Re: Return-Path in Spamassassin filtern?

Post by joe232 »

Hallo,

nachdem ich mittels Spamassassin (nach Upgrade und Konfoguration) die Spam nicht losgeworden bin, habe ich es mit dem Vorschag von "joe User" versucht und über die Ressourcenschondende Variante in Postfix selbst versucht.

Aber auch da kommen noch Mails durch, da rl-Mail einen anderen IP-Bereich nutzt.

In der Konfig ist folgendes auf der Blacklist:
62.93.26.0/23 REJECT Spamming rl-mail.net blacklisted
62.93.28.0/22 REJECT Spamming rl-mail.net blacklisted

Verwendet wird aktuell aber die:
62.93.30.243
62.93.31.142
62.93.30.128

Wie bekomme ich den IP-Range raus, der auf diese Firma eingetragen ist?
Macht es Sinn wie folgt zu blocken?
62.93.30.0/24 REJECT Spamming rl-mail.net blacklisted
62.93.31.0/24 REJECT Spamming rl-mail.net blacklisted

Gruß
Joe
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Return-Path in Spamassassin filtern?

Post by Joe User »

joe232 wrote:Wie bekomme ich den IP-Range raus, der auf diese Firma eingetragen ist?

Zum Beispiel über whois-Dienste.

joe232 wrote:Macht es Sinn wie folgt zu blocken?
62.93.30.0/24 REJECT Spamming rl-mail.net blacklisted
62.93.31.0/24 REJECT Spamming rl-mail.net blacklisted

Ja, bis sie wieder neue IP-Ranges haben :/
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top