Was kann man noch tun gegen Spam (mit ISPC)

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von M. Zink, 6. Juli 2010.

  1. M. Zink

    M. Zink New Member

    Ich habe nun schon so einiges gemacht und versucht um der ganzen Spam Flut habhaft zu werden aber irgendwie funktioniert das alles nicht so perfekt wie ich mir das erhofft habe. Zum einen habe ich die Inhaltsfilter wo ich inzwischen ca. 80 Regeln erstellt habe und dabei sind welche die sind sehr großzügig angelegt und könnten wenn es Dumm kommt sogar wichtige Mails erwischen. Zum anderen sind da die Blacklisten wo ich Mailadressen und teilweise sogar ganze Domains drauf gesetzt hab. Und dann eben noch der normale Filter bei dem ich den Kill Level jetzt schon auf 9 runter gesetzt habe. Und trotzdem erreichen mich alleine auf 2 Mailadressen täglich bis zu 40 Spam Mails. Das liegt daran das die Versender immer eine andere Absenderadresse verwenden und den Text einfach immer wieder ein ganz klein wenig verändern. Der Inhaltsfilter schafft es somit nicht die Mails zu erfassen.

    Aber das kann doch so nicht sein oder? Auf dem alten Server hatte ich direkt in der conf vom Postfix irgendwelche Dinge eingetragen und konnte sogar mit irgend so nem Befehl von nem Tool auswerten wie viele Spammails mein Server abgeblockt hat und sowas. Nur auf dem neuen dachte ich mir es ist besser restlos alles mit ISPC zu machen aber irgendwie scheint das leider nicht genug zu sein.

    Wie soll ich also nun vorgehen? Hab ich in ISPC noch irgendwelche Möglichkeiten die ich noch nicht gefunden hab oder sollte ich irgendwelche Einstellungen verändern? Oder muss ich doch besser wieder an den confs irgendwelcher Dinge rum basteln damit es besser wird?

    Denkt ihr eigentlich es bringt was die Leute anzuschreiben von deren Server z.B. Spam verschickt wird? Weil da sind ein paar dabei wo die IP laut Header auf einem Web Server endet und in diesem Fall kann man ja zumindest davon ausgehen, dass der Server beteiligt ist. Alternative wäre für mich ich fange an alle möglichen IP's und IP Kreise auf meinem Server komplett zu sperren. Aber ob mir das weiter hilft ist auch fraglich.
     
  2. Till

    Till Administrator

    Erstmal vorweg, manuell Filter nazulegen brigt grundsätzlich nicht viel. Deshlab mavht das an sich auch keiner. Die Funktion verwendet man an sich nur mal wenn man einen Nwsletter oder so loswerden will, bei dem man sich partout nicht abmelden kann.

    Kannst Du doch bei ISPConfig genauso machen. Du kannst Doch beliebige dns Blacklists in der main.cf hinzufügen, um die Mails direkt abzuweisen. Habe bei mir auch einige als Vorfilter drin, um spamassassin zu entlasten.

    Des weiteren kannst Du auch beliebige spamassassin Zusatzmodule installieren. Schau Dich einfach mal im spamassassin Wiki um.

    Bringt nichts.
     
  3. M. Zink

    M. Zink New Member

    OK dann poste ich mal am besten meine alte conf von Postfix bzw. ich poste am besten nur den Unterschied zum Standard und dann wäre es total toll wenn mir jemand sagt was davon brauchbar ist und wo ich was weg lassen soll bzw. auch wo ich ggf. was hinzu fügen sollte.

    Hier erst mal alles was ich damals zum Thema Spam hinzu gefügt hatte.
    Code:
    ### SPAM ANPASSUNG START ###
    disable_vrfy_command = yes
    smtpd_delay_reject = yes
    smtpd_helo_required = yes
    strict_rfc821_envelopes = yes
    invalid_hostname_reject_code = 554
    multi_recipient_bounce_reject_code = 554
    non_fqdn_reject_code = 554
    relay_domains_reject_code = 554
    unknown_address_reject_code = 554
    unknown_client_reject_code = 554
    unknown_hostname_reject_code = 554
    unknown_local_recipient_reject_code = 554
    unknown_relay_recipient_reject_code = 554
    unknown_sender_reject_code = 554
    unknown_virtual_alias_reject_code = 554
    unknown_virtual_mailbox_reject_code = 554
    unverified_recipient_reject_code = 554
    unverified_sender_reject_code = 554
    
    smtpd_recipient_restrictions =
                permit_sasl_authenticated,
                permit_mynetworks,
                reject_invalid_hostname,
                reject_non_fqdn_hostname,
                reject_non_fqdn_sender,
                reject_unknown_sender_domain,
                reject_unknown_recipient_domain,
                reject_unauth_pipelining,
                reject_unauth_destination,
                reject_unlisted_recipient,
                reject_rbl_client sbl.spamhaus.org,
                reject_rbl_client cbl.abuseat.org,
                reject_rbl_client dnsbl.sorbs.net,
                reject_rbl_client ix.dnsbl.manitu.net,
                permit
    
    smtpd_helo_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        reject_non_fqdn_hostname,
        reject_invalid_hostname,
        permit
    
    ### SPAM ANPASSUNG ENDE ###
    Und hier jetzt noch Unterschiede in beiden conf's die ich mir nicht erklären kann bzw. nicht weiß warum diese Unterschiede da sind.

    Alte conf
    Code:
    mynetworks = 127.0.0.0/8
    mailbox_command = procmail -a "$EXTENSION"
    mailbox_size_limit = 0
    recipient_delimiter = +
    inet_interfaces = all
    inet_protocols = all
    smtpd_sasl_local_domain =
    smtpd_sasl_auth_enable = yes
    smtpd_sasl_security_options = noanonymous
    broken_sasl_auth_clients = yes
    smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
    smtpd_tls_auth_only = no
    smtp_use_tls = yes
    smtp_tls_note_starttls_offer = yes
    smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
    smtpd_tls_loglevel = 1
    smtpd_tls_received_header = yes
    smtpd_tls_session_cache_timeout = 3600s
    tls_random_source = dev:/dev/urandom
    
    virtual_maps = hash:/etc/postfix/virtusertable
    
    mydestination = /etc/postfix/local-host-names
    Neue conf (gleicher Abschnitt)
    Code:
    mynetworks = 127.0.0.0/8 [::1]/128
    mailbox_size_limit = 0
    recipient_delimiter = +
    inet_interfaces = all
    html_directory = /usr/share/doc/postfix/html
    virtual_alias_domains =
    virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, mysql:/etc/postfix/mysql-virtual_email2email.cf
    virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf
    virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf
    virtual_mailbox_base = /var/vmail
    virtual_uid_maps = static:5000
    virtual_gid_maps = static:5000
    smtpd_sasl_auth_enable = yes
    broken_sasl_auth_clients = yes
    smtpd_sasl_authenticated_header = yes
    smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, reject_unauth_desti$
    smtpd_tls_security_level = may
    transport_maps = proxy:mysql:/etc/postfix/mysql-virtual_transports.cf
    relay_domains = mysql:/etc/postfix/mysql-virtual_relaydomains.cf
    relay_recipient_maps = mysql:/etc/postfix/mysql-virtual_relayrecipientmaps.cf
    virtual_create_maildirsize = yes
    virtual_maildir_extended = yes
    virtual_mailbox_limit_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailbox_limit_maps.cf
    virtual_mailbox_limit_override = yes
    virtual_maildir_limit_message = "The user you are trying to reach is over quota."
    virtual_overquota_bounce = yes
    proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps$
    smtpd_sender_restrictions = check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf
    smtpd_client_restrictions = check_client_access mysql:/etc/postfix/mysql-virtual_client.cf
    maildrop_destination_concurrency_limit = 1
    maildrop_destination_recipient_limit = 1
    virtual_transport = maildrop
    header_checks = regexp:/etc/postfix/header_checks
    mime_header_checks = regexp:/etc/postfix/mime_header_checks
    nested_header_checks = regexp:/etc/postfix/nested_header_checks
    body_checks = regexp:/etc/postfix/body_checks
    content_filter = amavis:[127.0.0.1]:10024
    receive_override_options = no_address_mappings
    message_size_limit = 0
    Außerdem ist die Zeile "mydestination" in der alten conf auskommentiert warum auch immer. Ich weiß nicht mehr ob ich das wegen irgendwas damals gemacht hab oder was der Grund war.

    Wie dem auch sei, ist meine neue conf mit den Unterschieden zur alten so ok oder muss da was gemacht werden und kann ich den Teil den ich damals wegen den Spammails eingebaut hatte 1:1 so wieder einbauen oder würden da einige Änderungen was bringen?
     
  4. Till

    Till Administrator

    Das mit den antispam settings sollte alles auch mit ISPConfig 3 funktionieren.
     
  5. M. Zink

    M. Zink New Member

    Meinst Du damit ich kann den Teil mit dem Anti Spam ruhig in die conf von Postfix rein bauen oder gibts in ISPC3 irgendwo einen Bereich wo ich diese Definitionen eintragen kann? Bei ISPC3 gibts so vieles in Sachen Blacklist Whitelist und weiß der Teufel da weiß ich echt noch nicht so ganz bescheid was wo wirklich rein gehört. Mit den 80 Regeln hab ich ja jetzt schon was falsch gemacht wie es aussieht.
     
  6. Till

    Till Administrator

    Du kannst die main.cf direkt editieren.

    Nicht wirklich falsch gemacht. Aber Du kannst den Kampf gegen die Spammer mit manuell erstellten Regeln nicht gewinnen.
     
  7. M. Zink

    M. Zink New Member

    Gibt es eigentlich irgend eine Möglichkeit beim Netzwerkinterface oder sonst wo eine IP so zu sperren, das die nicht weiter als bis zur Netzwerkkarte oder so kommt? Weil ich hab irgendwie auch das Gefühl das gewisse Bots meine Webseiten durchforsten nach Mailadressen und nen Tag später oder so bekomm ich plötzlich mal wieder ne Spammail die ich vorher nie hatte.
     
  8. Till

    Till Administrator

  9. Laubie

    Laubie Member

    du solltest aber auch prinzipiell NIE deine Emailadresse frei im I-Net veröffentlichen!

    Es gibt zig gute Möglichkeiten, die Emailadresse zu verschlüsseln (Java Script o.ä.) oder du bastelst dir ein Kontaktformular.

    Grüße
    Laubie
     
  10. M. Zink

    M. Zink New Member

    @Till
    Danke für den Tip!
    @Laubie
    Da hast Du natürlich recht. Speziell wenn es eine Mailadresse ist die wirklich sauber bleiben soll muss man die ganz einfach geheim halten. Aber das Problem fängt ja schon da an das einige Mailadressen einfach eindeutig sind. Das heißt wenn Du die Domain www.blabla.de hast dann versuchen die Bots sofort info@blabla.de oder webmaster@blabla.de und ich habe einige Mailadressen die genau nach dem System angelegt sind und schon hab ich den Salat. Mailadressen wie meinen Vornamen @ domain . de gebe ich natürlich nicht einfach so im Netz preis. Allerdings auch hier gehen die Probleme schon damit los, dass z.B. Freunde die Mailadresse kennen und meinen sie müssten mich bei Facebook oder sonst wo einladen und schnallen nicht das ich längst dort angemeldet bin. Hat zur Folge das ich auch auf diesen Adressen langsam stück für stück irgend einen Spam Müll bekomme den ich dort nie wollte.

    Wie dem auch sei, ich hab meine Erweiterung der conf wieder eingebaut und restlos alle eigenen Regeln in ISPC erst mal entfernt. Und siehe da, von 50 Spammails pro Tag zwischen 8 und 17 Uhr bin ich für heute schon mal auf 0 runter ;)

    Die Tage behalt ich das noch im Auto und filtere ggf. vereinzelte Dinge noch von Hand und dann ist das Thema hoffentlich vom Tisch.
     
  11. Laubie

    Laubie Member

    ok ;) dann ist ja gut.
    Ich hab auch nur ~15 Domains. Da kommt aber kaum Spam an. wahrscheinlich zu uninteressant ;)
    Na dann ist ja alles super :)
    Grüße
    Laubie
     
  12. stefanw

    stefanw New Member

    Btw. kennt jemand eine Möglichkeit die Anzahl von eingehenden EMails die von einer IP kommen, z. B. pro Minute auf 5 zu beschränken
     
  13. M. Zink

    M. Zink New Member

    Soweit ich mich auskenne kannst Du mit Quota lediglich die Datenmenge insgesamt einschränken aber nicht die Anzahl an Mails pro IP. Wenn das Quota erreicht ist werden keine Mails mehr angenommen bis der Zyklus eben um ist. Frag mich aber nicht wo das eingestellt werden muss ich glaub in ISPC3 gibts da sogar was aber ich glaube das geht nur auf die Postfachgröße auf dem Server und nicht die empfangene Datenmenge.
     
  14. M. Zink

    M. Zink New Member

    Ich weiß nicht warum aber seit ein paar Tagen hat sich das Spam Aufkommen was durch meinen Server durch kommt wieder dramatisch erhöht. Wir sprechen nicht von 1-2 Mails die Woche sondern von bis zu 30-40 pro Tag die früher nicht durch gekommen sind. Auffällig ist das es meistens Mails sind die angeblich von meinen eigenen Mailadressen sind. Allerdings im Header sieht man dann das dies nicht so ist.

    Die Frage ist ob ich ggf. veraltete Blacklists verwende oder was da los ist. Folgende Einträge hab ich in meiner Conf drin.

    Was habt ihr denn da so für welche im Einsatz und gibt es nicht irgendwo ne Liste wo ich neue her holen kann oder so?
     
  15. Till

    Till Administrator

    Das ist normal und passiert regelmäßig, die Spammer finden irgend was neues und es dauert ein paar tage, bis es dafür neue spamassassin Regeln gibt und bis die bayes Filter im amavisd das gelernt haben. das ist ein ewiges Katz und Maus Speil zwischen Spammern und Mailserver Admins.

    Schau mal in den email header, welche Regeln da gegriffen haben und welchen score die Emails haben. Außerdem schai mal mit sa-update nach, ob der spamassassin auch aktuelle Regeln hat.
     
  16. M. Zink

    M. Zink New Member

    Kann ich denn selbst dazu beitragen diese Listen aktuell zu halten? Es könnte ja sein das irgend einer meint seinen Spam Müll nur bei mir abladen zu müssen und dann bekomme ich das Zeug auch in 100 Jahren noch weil es dann natürlich nie auf ne Liste kommt.

    Das mit sa-update hab ich gemacht. Hat 3-4 Sekunden gedauert aber ich kann nicht sagen ob irgendwas passiert ist. Es kam keine Meldung. Sollte ich dieses sa-update in einen cronjob packen und ein mal am Tag ausführen lassen oder so?
     
  17. Till

    Till Administrator

    Keine Ahnung, Du kannst die ja mal an das spamassassin projekt wenden. Es wird ja von der apache foundation wntwickelt.

    Das ist sehr unwahrscheinlich.

    Ja. Und danach amavisd neu starten.
     
  18. M. Zink

    M. Zink New Member

    OK dann werd ich das mal machen. Wie oft sollte das laufen? Ein mal pro Woche oder lieber täglich? Wie müsste der Eintrag in der Crontab aussehen damit beides in einer Zeile passiert?

    Wegen Spam Assassin werd ich mich mal die Tage informieren wie das läuft und fragen ob man da durch einfache Anpassungen auf dem Server helfen kann in Form von Meldungen oder so.
     
  19. Till

    Till Administrator

    Ich würde es einmal pro Tag laufen lassen. Du kannst meherer Befehle mit && verketten, also in etwa so:

    /usr/bin/sa-update && /etc/init.d/amavis restart
     
  20. M. Zink

    M. Zink New Member

    Mal kurz ne zwischenfrage wenn wir grade Befehle kombinieren. Wenn ich wie in diesem Fall zwei sachen machen lasse wird dann immer erst der erste Befehl ausgeführt und gewartet bis der komplett durch is und danach der zweite oder kann es passieren das wenn der erste sehr lange dauert der zweite schon gestartet wird bevor der erste fertig ist?
     

Diese Seite empfehlen