[postfix-users] zusätzliche Spamfilterung aus aktuellem Anlass
Hallo zusammen,
wir gehen auf unserem Mailserver gegen Spam/Viren/Fishing mit Amavis, Clamav, Spamassassin, DNSBL (ix.dnsbl.manitu.net, sbl-xbl.spamhaus.org, dul.dnsbl.sorbs.net, spamcop.net) und Greylisting vor.
Leider bekommen unsere Mailuser, ich bin auch betroffen, seit Monaten Mails, die zum Großteil durch den Spamfilter schlüpfen, einige Beispielabsender und Betreffs siehe unten.
Unsere Default Spamassassin Policy liegt bei 3.5, auch ich habe dies eingestellt und finde den Wert auch ganz sinnvoll. Eventuell ist er das aber auch nicht mehr und man sollte hier anpassen.
Ansonsten: Gibt es weitere zu empfehlende Antispamdinge, die wir noch implementieren sollten? Habe hier in der Liste und bei Google mal gesucht, aber ich denke, die Suchbegriffe waren schlecht gewählt oder zu allgemein. Vielleicht hat da jemand ein Stichwort für mich, an dem ich mich entlanghangeln kann.
Danke und viele Grüße, Martin
--- Beispielspam ---
F. Faber info@150jetzt.com [Erinnerung] Überweisung der 150 Euro
Andrea Bohn andrea.bohn@hdtv-receiver-lieferung.com [Erinnerung] Lieferung HDTV Receiver Sebald
Claudia Kuhlmann claudia.kuhlmann@tarifrabatte.com [Erinnerung] Rechtsfolgen der Überprüfung Martin Sebald
Andreas Abel info@abel-koeln.com [Erinnerung] Ihre 150 Euro
Fabian Faber fabian.faber@verdienen-ohne-einsatz.com Daten für Zahlung, Nr. 4384232881
Fabian Faber fabian.faber@zusatzeinkommen-verdienen.com Daten für Gutschrift Nr. 81736836169
-------- Original-Nachricht --------
Datum: Wed, 22 Jun 2011 11:57:45 +0200 Von: Martin Sebald msebald@hot-chilli.net An: postfix-users@de.postfix.org Betreff: [postfix-users] zusätzliche Spamfilterung aus aktuellem Anlass
Hallo zusammen,
Hallo,
wir gehen auf unserem Mailserver gegen Spam/Viren/Fishing mit Amavis, Clamav, Spamassassin, DNSBL (ix.dnsbl.manitu.net, sbl-xbl.spamhaus.org, dul.dnsbl.sorbs.net, spamcop.net) und Greylisting vor.
Leider bekommen unsere Mailuser, ich bin auch betroffen, seit Monaten Mails, die zum Großteil durch den Spamfilter schlüpfen, einige Beispielabsender und Betreffs siehe unten.
Unsere Default Spamassassin Policy liegt bei 3.5, auch ich habe dies eingestellt und finde den Wert auch ganz sinnvoll. Eventuell ist er das aber auch nicht mehr und man sollte hier anpassen.
Ansonsten: Gibt es weitere zu empfehlende Antispamdinge, die wir noch implementieren sollten?
Die Frage ist: 1) willst Du mehr SPAM abwehren? (blocken) 2) willst Du höhere Erkennungsrate? (tagging)
Mag für Dich jetzt so klingen, dass die zwei das Gleiche sind aber dem ist nicht so.
Habe hier in der Liste und bei Google mal gesucht, aber ich denke, die Suchbegriffe waren schlecht gewählt oder zu allgemein. Vielleicht hat da jemand ein Stichwort für mich, an dem ich mich entlanghangeln kann.
Danke und viele Grüße, Martin
// Steve
--- Beispielspam ---
F. Faber info@150jetzt.com [Erinnerung] Überweisung der 150 Euro
Andrea Bohn andrea.bohn@hdtv-receiver-lieferung.com [Erinnerung] Lieferung HDTV Receiver Sebald
Claudia Kuhlmann claudia.kuhlmann@tarifrabatte.com [Erinnerung] Rechtsfolgen der Überprüfung Martin Sebald
Andreas Abel info@abel-koeln.com [Erinnerung] Ihre 150 Euro
Fabian Faber fabian.faber@verdienen-ohne-einsatz.com Daten für Zahlung, Nr. 4384232881
Fabian Faber fabian.faber@zusatzeinkommen-verdienen.com Daten für Gutschrift Nr. 81736836169
Hallo Steve!
Ansonsten: Gibt es weitere zu empfehlende Antispamdinge, die wir noch implementieren sollten?
Die Frage ist:
- willst Du mehr SPAM abwehren? (blocken)
- willst Du höhere Erkennungsrate? (tagging)
Mag für Dich jetzt so klingen, dass die zwei das Gleiche sind aber dem ist nicht so.
Nein nein, mir ist der Unterschied sehrwohl bewusst.
Ich bin schon immer ein Gegner von Zensur gewesen. Deswegen habe ich auch sehr lange gebraucht bis ich, sei es via DNSBL oder Greylisting Mails wegblocke und nicht annehme und dann lokal bearbeite und dem Kunden, aber auch mir persönlich, zur Verfügung stelle. Optimalerweise eben im Spamordner des jeweiligen Postfachs.
Leider hat sich heraus gestellt, dass Spam eben echt überhand nimmt und die DNSBL sowie v.a. Greylisting ein absolut mächtiges Werkzeug ist. Es gibt, v.a. beim Greylisting, vielbesprochene Nachteile, aber es ist effektiv.
Um auf Deine Frage zurück zu kommen: In dem Fall sowohl als auch. Inzwischen steht das Ergebnis für mich mehr im Vordergrund wie mein Seelenheil. ;-)
On Behalf Of Martin Sebald
Hallo Steve!
Ansonsten: Gibt es weitere zu empfehlende Antispamdinge, die wir noch implementieren sollten?
Die Frage ist:
- willst Du mehr SPAM abwehren? (blocken)
- willst Du höhere Erkennungsrate? (tagging)
Mag für Dich jetzt so klingen, dass die zwei das Gleiche sind aber dem ist nicht so.
Nein nein, mir ist der Unterschied sehrwohl bewusst.
Ich bin schon immer ein Gegner von Zensur gewesen. Deswegen habe ich auch sehr lange gebraucht bis ich, sei es via DNSBL oder Greylisting Mails wegblocke und nicht annehme und dann lokal bearbeite und dem Kunden, aber auch mir persönlich, zur Verfügung stelle. Optimalerweise eben im Spamordner des jeweiligen Postfachs.
Annehmen und wegsortieren sorgt unter umständen aber für Mailverlust. Ich bevorzuge das direkte ablehnen bei Spamerkennung und was ich annehme wird ins normale Postfach zugestellt.
Der Absender weis das seine Mail nicht angekommen ist und kann anderweitig Kontakt aufnehmen und der Mailuser muß nicht auch noch einen Spamordner kontrollieren und Zeit damit verbringen. (die meisten gehen eh hin und löschen den einfach einmal am Tag).
Und Zensur ist was anderes die nehme ich hier auch nicht vor.
Leider hat sich heraus gestellt, dass Spam eben echt überhand nimmt und die DNSBL sowie v.a. Greylisting ein absolut mächtiges Werkzeug ist. Es gibt, v.a. beim Greylisting, vielbesprochene Nachteile, aber es ist effektiv.
Hilft aber nur bei schlecht konfigurierten Mailservern oder Spambots.
Gegen die Aquatixbande hilft nur die grobe Kelle.
Die registrieren eine Domain nutzen die für 14 Tage dann ist die verbrannt und die nächste kommt. Ähnliche Namen, Werbung wieder neu gestaltet aber inhaltlich derselbe mist. Was sich nicht so schnell ändert ist der Netzbereich aus dem die kommen und ich zumindest habe noch keine gewünschte Mail aus dem Bereich erhalten.
Von daher steht der Bereich in der Firewall drinne und ruhe ist.
Um auf Deine Frage zurück zu kommen: In dem Fall sowohl als auch. Inzwischen steht das Ergebnis für mich mehr im Vordergrund wie mein Seelenheil. ;-)
*gg fürs Seelenheil musst du andere Orte aufsuchen.
Mit freundlichen Grüßen
Drießen
-------- Original-Nachricht --------
Datum: Wed, 22 Jun 2011 14:27:04 +0200 Von: Martin Sebald msebald@hot-chilli.net An: postfix-users@de.postfix.org Betreff: Re: [postfix-users] zusätzliche Spamfilterung aus aktuellem Anlass
Hallo Steve!
Hallo Martin,
Ansonsten: Gibt es weitere zu empfehlende Antispamdinge, die wir noch implementieren sollten?
Die Frage ist:
- willst Du mehr SPAM abwehren? (blocken)
- willst Du höhere Erkennungsrate? (tagging)
Mag für Dich jetzt so klingen, dass die zwei das Gleiche sind aber dem ist nicht so.
Nein nein, mir ist der Unterschied sehrwohl bewusst.
Ich bin schon immer ein Gegner von Zensur gewesen. Deswegen habe ich auch sehr lange gebraucht bis ich, sei es via DNSBL oder Greylisting Mails wegblocke und nicht annehme und dann lokal bearbeite und dem Kunden, aber auch mir persönlich, zur Verfügung stelle.
Das fasse ich nicht als Zensur auf.
Optimalerweise eben im Spamordner des jeweiligen Postfachs.
Leider hat sich heraus gestellt, dass Spam eben echt überhand nimmt und die DNSBL sowie v.a. Greylisting ein absolut mächtiges Werkzeug ist. Es gibt, v.a. beim Greylisting, vielbesprochene Nachteile, aber es ist effektiv.
Heutzutage ist es so, dass fast nichts mehr für sich alleine richtig mächtig ist. Das ganze sieht ganz anders aus wenn man die einzelnen Werkzeuge zusammen koppelt.
Um auf Deine Frage zurück zu kommen: In dem Fall sowohl als auch. Inzwischen steht das Ergebnis für mich mehr im Vordergrund wie mein Seelenheil. ;-)
Okay. Verstehe.
Man könnte jetzt zig zig Anwendungen aufzählen, die Die helfen SPAM zu blocken. Doch warum in die Ferne schweifen wenn Du mit Postfix das auch machen kannst? Darum empfehle ich Dir mal einen Blick auf postscreen zu werfen. Zudem empfehle ich Dein Postfix zu härten. Alleine schon diese zwei Optimierungsmöglichkeiten können einen ganz grossen Teil an SPAM unterbinden.
Wenn Du Deine SPAM Erkennungrate erhöhen willst, dann kann ich Dir nur empfehlen weg von Regel basierenden Filtern zu gehen und mal einen Blick auf adaptive Filter zu werfen. So was wie CRM114, OSBF Lua, DSPAM oder ähnliches. Ich weiss, dass viele jetzt schreiben werden, dass SA auch so was einbinden kann aber in all den Setups die ich bis jetzt gemacht habe und auch gebenchmarkt habe, schneidet über kurz oder lang SA schlechter ab als die Adaptiven Werkzeuge. SA ist einfach aufgesetzt und liefert beachtliche Resultate out of the box aber meiner Meinung und Erfahrung nach kommt es nicht an die Adaptiven Anti-Spam Anwendungen heran.
Was ich Dir auch noch empfehlen kann ist so was wie postfwd und/oder policyd-weight. Letzteres wird nicht mehr weiter entwickelt aber ist immer noch ein gutes Werkzeug. Ich habe bei mir das Ding erweitert und habe S25R Funktionalität eingebaut, GeoIP Funktionalität (erlaubt mir Gewichtung nach Land, Kontinent und Distanz des Absenders) und auch p0f Funktionalität. Früher hatte das Ding bei mir gut über 80% aller Spam geblockt (ich muss leider sehr konservativ sein, da ich Maildienste für andere anbiete und nicht rigoros durchgreifen darf/kann).
--
Viele Grüße, Martin
// Steve
-------- Original-Nachricht --------
Datum: Wed, 22 Jun 2011 14:27:04 +0200 Von: Martin Sebald msebald@hot-chilli.net An: postfix-users@de.postfix.org Betreff: Re: [postfix-users] zusätzliche Spamfilterung aus aktuellem Anlass
Hallo Steve!
Hallo Martin,
Ansonsten: Gibt es weitere zu empfehlende Antispamdinge, die wir noch implementieren sollten?
Die Frage ist:
- willst Du mehr SPAM abwehren? (blocken)
- willst Du höhere Erkennungsrate? (tagging)
Mag für Dich jetzt so klingen, dass die zwei das Gleiche sind aber dem ist nicht so.
Nein nein, mir ist der Unterschied sehrwohl bewusst.
Ich bin schon immer ein Gegner von Zensur gewesen. Deswegen habe ich auch sehr lange gebraucht bis ich, sei es via DNSBL oder Greylisting Mails wegblocke und nicht annehme und dann lokal bearbeite und dem Kunden, aber auch mir persönlich, zur Verfügung stelle.
Das fasse ich nicht als Zensur auf.
Optimalerweise eben im Spamordner des jeweiligen Postfachs.
Leider hat sich heraus gestellt, dass Spam eben echt überhand nimmt und die DNSBL sowie v.a. Greylisting ein absolut mächtiges Werkzeug ist. Es gibt, v.a. beim Greylisting, vielbesprochene Nachteile, aber es ist effektiv.
Heutzutage ist es so, dass fast nichts mehr für sich alleine richtig mächtig ist. Das ganze sieht ganz anders aus wenn man die einzelnen Werkzeuge zusammen koppelt.
Um auf Deine Frage zurück zu kommen: In dem Fall sowohl als auch. Inzwischen steht das Ergebnis für mich mehr im Vordergrund wie mein Seelenheil. ;-)
Okay. Verstehe.
Man könnte jetzt zig zig Anwendungen aufzählen, die Die helfen SPAM zu blocken. Doch warum in die Ferne schweifen wenn Du mit Postfix das auch machen kannst? Darum empfehle ich Dir mal einen Blick auf postscreen zu werfen. Zudem empfehle ich Dein Postfix zu härten. Alleine schon diese zwei Optimierungsmöglichkeiten können einen ganz grossen Teil an SPAM unterbinden.
Wenn Du Deine SPAM Erkennungrate erhöhen willst, dann kann ich Dir nur empfehlen weg von Regel basierenden Filtern zu gehen und mal einen Blick auf adaptive Filter zu werfen. So was wie CRM114, OSBF Lua, DSPAM oder ähnliches. Ich weiss, dass viele jetzt schreiben werden, dass SA auch so was einbinden kann aber in all den Setups die ich bis jetzt gemacht habe und auch gebenchmarkt habe, schneidet über kurz oder lang SA schlechter ab als die Adaptiven Werkzeuge. SA ist einfach aufgesetzt und liefert beachtliche Resultate out of the box aber meiner Meinung und Erfahrung nach kommt es nicht an die Adaptiven Anti-Spam Anwendungen heran.
Was ich Dir auch noch empfehlen kann ist so was wie postfwd und/oder policyd-weight. Letzteres wird nicht mehr weiter entwickelt aber ist immer noch ein gutes Werkzeug. Ich habe bei mir das Ding erweitert und habe S25R Funktionalität eingebaut, GeoIP Funktionalität (erlaubt mir Gewichtung nach Land, Kontinent und Distanz des Absenders) und auch p0f Funktionalität. Früher hatte das Ding bei mir gut über 80% aller Spam geblockt (ich muss leider sehr konservativ sein, da ich Maildienste für andere anbiete und nicht rigoros durchgreifen darf/kann).
--
Viele Grüße, Martin
// Steve
Am 22.06.2011 11:57, schrieb Martin Sebald:
Hallo zusammen,
wir gehen auf unserem Mailserver gegen Spam/Viren/Fishing mit Amavis, Clamav, Spamassassin, DNSBL (ix.dnsbl.manitu.net, sbl-xbl.spamhaus.org, dul.dnsbl.sorbs.net, spamcop.net) und Greylisting vor.
Leider bekommen unsere Mailuser, ich bin auch betroffen, seit Monaten Mails, die zum Großteil durch den Spamfilter schlüpfen, einige Beispielabsender und Betreffs siehe unten.
Unsere Default Spamassassin Policy liegt bei 3.5, auch ich habe dies eingestellt und finde den Wert auch ganz sinnvoll. Eventuell ist er das aber auch nicht mehr und man sollte hier anpassen.
Ansonsten: Gibt es weitere zu empfehlende Antispamdinge, die wir noch implementieren sollten? Habe hier in der Liste und bei Google mal gesucht, aber ich denke, die Suchbegriffe waren schlecht gewählt oder zu allgemein. Vielleicht hat da jemand ein Stichwort für mich, an dem ich mich entlanghangeln kann.
Danke und viele Grüße, Martin
auf die schnelle wuerde ich sanesecurity antipish signaturen empfehlen am besten mit clamav-milter rbls zen.spamhaus.org ix.dnsbl.manitu.net den rest wuerde ich weglassen ( rbls ) alles blocken was keinen gueltigen dns reverse hat evtl postscreen einpflegen die spamassassin rules immer schoen updaten, und die bayes Datenbank mit dem spam fuettern
--- Beispielspam ---
F. Faber info@150jetzt.com [Erinnerung] Überweisung der 150 Euro
Andrea Bohn andrea.bohn@hdtv-receiver-lieferung.com [Erinnerung] Lieferung HDTV Receiver Sebald
Claudia Kuhlmann claudia.kuhlmann@tarifrabatte.com [Erinnerung] Rechtsfolgen der Überprüfung Martin Sebald
Andreas Abel info@abel-koeln.com [Erinnerung] Ihre 150 Euro
Fabian Faber fabian.faber@verdienen-ohne-einsatz.com Daten für Zahlung, Nr. 4384232881
Fabian Faber fabian.faber@zusatzeinkommen-verdienen.com Daten für Gutschrift Nr. 81736836169
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
mailadressen sind schall und rauch , du musst deine logs analysieren und guggen mit welcher strategie und von welchen ips der spam kommt darauf musst du dich dann mit deinen Abwehrmassnahmen einstellen man kann zwar allgemeine Empfehlungen geben , aber letztendlich muss an Hand seiner logs immer wieder nachjustieren, am besten taeglich mal reinsehen
Zitat von Robert Schetterer robert@schetterer.org:
Am 22.06.2011 11:57, schrieb Martin Sebald:
Hallo zusammen,
wir gehen auf unserem Mailserver gegen Spam/Viren/Fishing mit Amavis, Clamav, Spamassassin, DNSBL (ix.dnsbl.manitu.net, sbl-xbl.spamhaus.org, dul.dnsbl.sorbs.net, spamcop.net) und Greylisting vor.
Leider bekommen unsere Mailuser, ich bin auch betroffen, seit Monaten Mails, die zum Großteil durch den Spamfilter schlüpfen, einige Beispielabsender und Betreffs siehe unten.
Unsere Default Spamassassin Policy liegt bei 3.5, auch ich habe dies eingestellt und finde den Wert auch ganz sinnvoll. Eventuell ist er das aber auch nicht mehr und man sollte hier anpassen.
Ansonsten: Gibt es weitere zu empfehlende Antispamdinge, die wir noch implementieren sollten? Habe hier in der Liste und bei Google mal gesucht, aber ich denke, die Suchbegriffe waren schlecht gewählt oder zu allgemein. Vielleicht hat da jemand ein Stichwort für mich, an dem ich mich entlanghangeln kann.
Danke und viele Grüße, Martin
auf die schnelle wuerde ich sanesecurity antipish signaturen empfehlen am besten mit clamav-milter rbls zen.spamhaus.org ix.dnsbl.manitu.net den rest wuerde ich weglassen ( rbls ) alles blocken was keinen gueltigen dns reverse hat evtl postscreen einpflegen die spamassassin rules immer schoen updaten, und die bayes Datenbank mit dem spam fuettern
Das ist professionell betriebener deutschsprachiger Spam. Die e-Mails sind auf wenig Angriffsfläche für Inhaltsanalyse getrimmt und die Mailserver sauber im DNS hinterlegt, ich meine das sogar DKIM und ähnlicher Kram verwendet wird. Die Serverfarmen wandern munter innerhalb des AQUATIX Netzes und es ist mir ein Rätsel wie sie es schaffen sich von nahezu allen RBLs fernzuhalten.
Das einzige was bisher geholfen hat ist AS25489 Netzbereiche sperren.
Gruß
Andreas
Am 22.06.2011 14:22, schrieb lst_hoe02@kwsoft.de:
Zitat von Robert Schetterer robert@schetterer.org:
Am 22.06.2011 11:57, schrieb Martin Sebald:
Hallo zusammen,
wir gehen auf unserem Mailserver gegen Spam/Viren/Fishing mit Amavis, Clamav, Spamassassin, DNSBL (ix.dnsbl.manitu.net, sbl-xbl.spamhaus.org, dul.dnsbl.sorbs.net, spamcop.net) und Greylisting vor.
Leider bekommen unsere Mailuser, ich bin auch betroffen, seit Monaten Mails, die zum Großteil durch den Spamfilter schlüpfen, einige Beispielabsender und Betreffs siehe unten.
Unsere Default Spamassassin Policy liegt bei 3.5, auch ich habe dies eingestellt und finde den Wert auch ganz sinnvoll. Eventuell ist er das aber auch nicht mehr und man sollte hier anpassen.
Ansonsten: Gibt es weitere zu empfehlende Antispamdinge, die wir noch implementieren sollten? Habe hier in der Liste und bei Google mal gesucht, aber ich denke, die Suchbegriffe waren schlecht gewählt oder zu allgemein. Vielleicht hat da jemand ein Stichwort für mich, an dem ich mich entlanghangeln kann.
Danke und viele Grüße, Martin
auf die schnelle wuerde ich sanesecurity antipish signaturen empfehlen am besten mit clamav-milter rbls zen.spamhaus.org ix.dnsbl.manitu.net den rest wuerde ich weglassen ( rbls ) alles blocken was keinen gueltigen dns reverse hat evtl postscreen einpflegen die spamassassin rules immer schoen updaten, und die bayes Datenbank mit dem spam fuettern
Das ist professionell betriebener deutschsprachiger Spam. Die e-Mails sind auf wenig Angriffsfläche für Inhaltsanalyse getrimmt und die Mailserver sauber im DNS hinterlegt, ich meine das sogar DKIM und ähnlicher Kram verwendet wird. Die Serverfarmen wandern munter innerhalb des AQUATIX Netzes und es ist mir ein Rätsel wie sie es schaffen sich von nahezu allen RBLs fernzuhalten.
Das einzige was bisher geholfen hat ist AS25489 Netzbereiche sperren.
Gruß
Andreas
gut zu wissen, hab noch nix von denen bekommen, aber das will ja nix heissen
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Am 22.06.2011 16:31, schrieb Robert Schetterer:
Am 22.06.2011 14:22, schrieb lst_hoe02@kwsoft.de:
Zitat von Robert Schetterer robert@schetterer.org:
Am 22.06.2011 11:57, schrieb Martin Sebald:
Hallo zusammen,
wir gehen auf unserem Mailserver gegen Spam/Viren/Fishing mit Amavis, Clamav, Spamassassin, DNSBL (ix.dnsbl.manitu.net, sbl-xbl.spamhaus.org, dul.dnsbl.sorbs.net, spamcop.net) und Greylisting vor.
Leider bekommen unsere Mailuser, ich bin auch betroffen, seit Monaten Mails, die zum Großteil durch den Spamfilter schlüpfen, einige Beispielabsender und Betreffs siehe unten.
Unsere Default Spamassassin Policy liegt bei 3.5, auch ich habe dies eingestellt und finde den Wert auch ganz sinnvoll. Eventuell ist er das aber auch nicht mehr und man sollte hier anpassen.
Ansonsten: Gibt es weitere zu empfehlende Antispamdinge, die wir noch implementieren sollten? Habe hier in der Liste und bei Google mal gesucht, aber ich denke, die Suchbegriffe waren schlecht gewählt oder zu allgemein. Vielleicht hat da jemand ein Stichwort für mich, an dem ich mich entlanghangeln kann.
Danke und viele Grüße, Martin
auf die schnelle wuerde ich sanesecurity antipish signaturen empfehlen am besten mit clamav-milter rbls zen.spamhaus.org ix.dnsbl.manitu.net den rest wuerde ich weglassen ( rbls ) alles blocken was keinen gueltigen dns reverse hat evtl postscreen einpflegen die spamassassin rules immer schoen updaten, und die bayes Datenbank mit dem spam fuettern
Das ist professionell betriebener deutschsprachiger Spam. Die e-Mails sind auf wenig Angriffsfläche für Inhaltsanalyse getrimmt und die Mailserver sauber im DNS hinterlegt, ich meine das sogar DKIM und ähnlicher Kram verwendet wird. Die Serverfarmen wandern munter innerhalb des AQUATIX Netzes und es ist mir ein Rätsel wie sie es schaffen sich von nahezu allen RBLs fernzuhalten.
Das einzige was bisher geholfen hat ist AS25489 Netzbereiche sperren.
Gruß
Andreas
gut zu wissen, hab noch nix von denen bekommen, aber das will ja nix heissen
ich hab mal nachgesehen , ich hab tatsaechlich kaum was aus dem Netz in den logs, das was aktuell da war wurde markiert als spam die short rules logs sagen wohl ,weil es wohl hauptsaechlich per pyzor,razor gepunktet wurde , wobei die mail bei ca 7 Punkten anlangte also evtl mal sehen ob pyzor und oder razor in amavis/spamassassin aktiviert sind, ich koennte zwar mal tiefer nachgraben , sehe aber dazu grad keinen Anlass
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Hallo Robert!
wir gehen auf unserem Mailserver gegen Spam/Viren/Fishing mit Amavis, Clamav, Spamassassin, DNSBL (ix.dnsbl.manitu.net, sbl-xbl.spamhaus.org, dul.dnsbl.sorbs.net, spamcop.net) und Greylisting vor.
auf die schnelle wuerde ich sanesecurity antipish signaturen empfehlen
Waren schon drin, inzwischen sogar über das offizielle Debianpaket, das die "inoffiziellen" ClamAV Signaturen in ClamAV reinklatscht.
am besten mit clamav-milter rbls zen.spamhaus.org ix.dnsbl.manitu.net den rest wuerde ich weglassen ( rbls )
Was spricht für Deine beiden Vorschläge und gegen meine 4 RBLs? Kannst Du da spontan was zu sagen? (Kein unnötiger Stress, kann natürlich auch googlen, was es aber deutlich aufwändiger macht für mich.)
alles blocken was keinen gueltigen dns reverse hat evtl postscreen einpflegen
clamav-milter, DNS Reverse und postscreen muss ich mir asap mal anschauen und gucken, was ich davon umsetzen kann und auch einsetzen will.
die spamassassin rules immer schoen updaten, und die bayes Datenbank mit dem spam fuettern
SA sollte sich automatisch aktualisieren, zumindest laeuft sa-update mit im Cron. Bayes wird auch über die Benutzer via Webmailer (Roundcube) gefüttert, und anscheinend kommt das mal an, hatte ich zumindest damals bei Einrichtung geprüft. Allerdings ist es so, dass das wenig Auswirkung hat, mir fehlte bisher aber die Zeit, das nachzurechercherien, ob's auch wirklich ankommt und ob man den Meldezähler gravierend runterschrauben muss.
Am 22.06.2011 16:59, schrieb Martin Sebald:
Hallo Robert!
wir gehen auf unserem Mailserver gegen Spam/Viren/Fishing mit Amavis, Clamav, Spamassassin, DNSBL (ix.dnsbl.manitu.net, sbl-xbl.spamhaus.org, dul.dnsbl.sorbs.net, spamcop.net) und Greylisting vor.
auf die schnelle wuerde ich sanesecurity antipish signaturen empfehlen
Waren schon drin, inzwischen sogar über das offizielle Debianpaket, das die "inoffiziellen" ClamAV Signaturen in ClamAV reinklatscht.
am besten mit clamav-milter rbls zen.spamhaus.org ix.dnsbl.manitu.net den rest wuerde ich weglassen ( rbls )
Was spricht für Deine beiden Vorschläge und gegen meine 4 RBLs? Kannst Du da spontan was zu sagen? (Kein unnötiger Stress, kann natürlich auch googlen, was es aber deutlich aufwändiger macht für mich.)
alles blocken was keinen gueltigen dns reverse hat evtl postscreen einpflegen
clamav-milter, DNS Reverse und postscreen muss ich mir asap mal anschauen und gucken, was ich davon umsetzen kann und auch einsetzen will.
die spamassassin rules immer schoen updaten, und die bayes Datenbank mit dem spam fuettern
SA sollte sich automatisch aktualisieren, zumindest laeuft sa-update mit im Cron. Bayes wird auch über die Benutzer via Webmailer (Roundcube) gefüttert, und anscheinend kommt das mal an, hatte ich zumindest damals bei Einrichtung geprüft. Allerdings ist es so, dass das wenig Auswirkung hat, mir fehlte bisher aber die Zeit, das nachzurechercherien, ob's auch wirklich ankommt und ob man den Meldezähler gravierend runterschrauben muss.
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
ich hab noch zusaetzlich eine dummy gmx account , bei dem mir jeder spam weitergeleitet wird ( aber markiert ), eine sieve rule leitet den dann an einen sa-learn transport a bisserl hilfts hin und wieder vor allem bei gut gemachten deutschen spam ( nur text etc )
Am 22.06.2011 16:59, schrieb Martin Sebald:
Hallo Robert!
wir gehen auf unserem Mailserver gegen Spam/Viren/Fishing mit Amavis, Clamav, Spamassassin, DNSBL (ix.dnsbl.manitu.net, sbl-xbl.spamhaus.org, dul.dnsbl.sorbs.net, spamcop.net) und Greylisting vor.
auf die schnelle wuerde ich sanesecurity antipish signaturen empfehlen
Waren schon drin, inzwischen sogar über das offizielle Debianpaket, das die "inoffiziellen" ClamAV Signaturen in ClamAV reinklatscht.
am besten mit clamav-milter rbls zen.spamhaus.org ix.dnsbl.manitu.net den rest wuerde ich weglassen ( rbls )
Was spricht für Deine beiden Vorschläge und gegen meine 4 RBLs? Kannst Du da spontan was zu sagen? (Kein unnötiger Stress, kann natürlich auch googlen, was es aber deutlich aufwändiger macht für mich.)
meiner Erfahrung nach brauchts einfach nicht mehr , die anderen erzeugen doch ziemlich haeufig false positves ich benutze soagr die beiden nur selective, und ich hab weis gott mit spam zu kaempfen , aber der Einsatz von greylist und rbls einfach auf alles hat die Erkennungrate nicht wesentlich verbessert, bzw es nur selective zu machen hat nichts verschlechtert und auf die weise werde mails auch nicht unnoetig verzoegert
alles blocken was keinen gueltigen dns reverse hat evtl postscreen einpflegen
clamav-milter, DNS Reverse und postscreen muss ich mir asap mal anschauen und gucken, was ich davon umsetzen kann und auch einsetzen will.
die spamassassin rules immer schoen updaten, und die bayes Datenbank mit dem spam fuettern
SA sollte sich automatisch aktualisieren, zumindest laeuft sa-update mit im Cron. Bayes wird auch über die Benutzer via Webmailer (Roundcube) gefüttert, und anscheinend kommt das mal an, hatte ich zumindest damals bei Einrichtung geprüft. Allerdings ist es so, dass das wenig Auswirkung hat, mir fehlte bisher aber die Zeit, das nachzurechercherien, ob's auch wirklich ankommt und ob man den Meldezähler gravierend runterschrauben muss.
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Das steht bei mir in der client-blocklist von Postfix dazu:
# Aquatix Spam Netzwerk AS25489 08/2010 # u.a. mit Kunden aus Belize, Antigua etc. 62.93 450 AQUATIX Spam Netzwerk!!! 46.35 450 AQUATIX Spam Netzwerk!!!
Was die so alles treiben ist hier zu finden:
http://www.antispam.de/forum/showthread.php?31155-Sammelthread-Aquatix
Gruß
Andreas
On Behalf Of lst_hoe02@kwsoft.de
Das steht bei mir in der client-blocklist von Postfix dazu:
# Aquatix Spam Netzwerk AS25489 08/2010 # u.a. mit Kunden aus Belize, Antigua etc. 62.93 450 AQUATIX Spam Netzwerk!!! 46.35 450 AQUATIX Spam Netzwerk!!!
Mann bist du aber gemein *gg
Aber die habe ich schon in IPtables drin stehen die bekommen mein Postfix nicht zu sehen.
Dieser Anbieter ist eh merkbefreit und leider auch nicht für Argumente zugänglich.(Emails werden kategorisch nicht beantwortet)
Wäre evtl. mal zu prüfen ob der Anbieter nicht als Mitstörer aufs Korn genommen werden könnte.
Was die so alles treiben ist hier zu finden:
http://www.antispam.de/forum/showthread.php?31155-Sammelthread-Aquatix
Gruß
Andreas
Mit freundlichen Grüßen
Drießen
Hallo Andreas,
Das steht bei mir in der client-blocklist von Postfix dazu: # Aquatix Spam Netzwerk AS25489 08/2010 # u.a. mit Kunden aus Belize, Antigua etc. 62.93 450 AQUATIX Spam Netzwerk!!! 46.35 450 AQUATIX Spam Netzwerk!!!
Ah sehr gut, danke, direkt eingebaut. :-)
Gibt's nen Grund, warum Du nur ein 450 zurueck gibst und nicht direkt ein 550?
Hat jemand etwas gegen den Inhalt der Liste oder noch Ergaenzungen? ;-)
-------- Original-Nachricht --------
Datum: Wed, 22 Jun 2011 16:14:09 +0200 Von: Martin Sebald msebald@hot-chilli.net An: postfix-users@de.postfix.org Betreff: Re: [postfix-users] zusätzliche Spamfilterung aus aktuellem Anlass
Hallo Andreas,
Das steht bei mir in der client-blocklist von Postfix dazu: # Aquatix Spam Netzwerk AS25489 08/2010 # u.a. mit Kunden aus Belize, Antigua etc. 62.93 450 AQUATIX Spam Netzwerk!!! 46.35 450 AQUATIX Spam Netzwerk!!!
Ah sehr gut, danke, direkt eingebaut. :-)
Macht es nicht mehr Sinn eine DNSBL zu benützen die ASN Lookups verarbeiten kann und direkt AS25489 blocken anstelle von einzelnen IP Ranges?
Gibt's nen Grund, warum Du nur ein 450 zurueck gibst und nicht direkt ein 550?
Hat jemand etwas gegen den Inhalt der Liste oder noch Ergaenzungen? ;-)
--
Viele Grüße, Martin
Zitat von Steve steeeeeveee@gmx.net:
-------- Original-Nachricht --------
Datum: Wed, 22 Jun 2011 16:14:09 +0200 Von: Martin Sebald msebald@hot-chilli.net An: postfix-users@de.postfix.org Betreff: Re: [postfix-users] zusätzliche Spamfilterung aus aktuellem Anlass
Hallo Andreas,
Das steht bei mir in der client-blocklist von Postfix dazu: # Aquatix Spam Netzwerk AS25489 08/2010 # u.a. mit Kunden aus Belize, Antigua etc. 62.93 450 AQUATIX Spam Netzwerk!!! 46.35 450 AQUATIX Spam Netzwerk!!!
Ah sehr gut, danke, direkt eingebaut. :-)
Macht es nicht mehr Sinn eine DNSBL zu benützen die ASN Lookups verarbeiten kann und direkt AS25489 blocken anstelle von einzelnen IP Ranges?
Wo gibt es sowas? Wie performant ist das? Wie macht man das in Postfix?
Gibt's nen Grund, warum Du nur ein 450 zurueck gibst und nicht direkt ein 550?
Liegt wahrscheinlich daran das die mich schon eine Weile ärgern... ;-)
Gruß
Andreas
-------- Original-Nachricht --------
Datum: Wed, 22 Jun 2011 16:50:18 +0200 Von: lst_hoe02@kwsoft.de An: postfix-users@de.postfix.org Betreff: Re: [postfix-users] zusätzliche Spamfilterung aus aktuellem Anlass
Zitat von Steve steeeeeveee@gmx.net:
-------- Original-Nachricht --------
Datum: Wed, 22 Jun 2011 16:14:09 +0200 Von: Martin Sebald msebald@hot-chilli.net An: postfix-users@de.postfix.org Betreff: Re: [postfix-users] zusätzliche Spamfilterung aus aktuellem
Anlass
Hallo Andreas,
Das steht bei mir in der client-blocklist von Postfix dazu: # Aquatix Spam Netzwerk AS25489 08/2010 # u.a. mit Kunden aus Belize, Antigua etc. 62.93 450 AQUATIX Spam Netzwerk!!! 46.35 450 AQUATIX Spam Netzwerk!!!
Ah sehr gut, danke, direkt eingebaut. :-)
Macht es nicht mehr Sinn eine DNSBL zu benützen die ASN Lookups verarbeiten kann und direkt AS25489 blocken anstelle von einzelnen IP Ranges?
Wo gibt es sowas?
http://noc.bit.nl/dnsbl/ascc/ http://www.cluecentral.net/rbl/ http://www.team-cymru.org/Services/ip-to-asn.html#dns http://www.routeviews.org/
Wie performant ist das?
Wie jede normale DNSBL.
Wie macht man das in Postfix?
Einfach als DNSBL in Postfix eintragen. Was man auch machen kann ist einen SMTP Policy Delegation schreiben die ein IP to ASN mapping macht und entsprechend ein REJECT, DUNNO, etc sendet.
Gibt's nen Grund, warum Du nur ein 450 zurueck gibst und nicht direkt
ein
550?
Liegt wahrscheinlich daran das die mich schon eine Weile ärgern... ;-)
Gruß
Andreas
Hallo zusammen,
muss meinen Thread nochmal wiederbeleben und auch mal die anderen vorgeschlagenen Dinge in mein Setup einbauen.
Vorab aber mal folgendes:
Das steht bei mir in der client-blocklist von Postfix dazu: # Aquatix Spam Netzwerk AS25489 08/2010 # u.a. mit Kunden aus Belize, Antigua etc. 62.93 450 AQUATIX Spam Netzwerk!!! 46.35 450 AQUATIX Spam Netzwerk!!!
Ah sehr gut, danke, direkt eingebaut. :-)
Leider inzwischen seit ein paar Wochen wieder wirkungslos. Die spammen nun über andere Netze wie es aussieht.
Gibt es da ne Empfehlung, was zu sperren ist? ;-)
Viele Grüße, Martin
Am 19.09.2011 14:48, schrieb Martin Sebald:
Hallo zusammen,
muss meinen Thread nochmal wiederbeleben und auch mal die anderen vorgeschlagenen Dinge in mein Setup einbauen.
Vorab aber mal folgendes:
Das steht bei mir in der client-blocklist von Postfix dazu: # Aquatix Spam Netzwerk AS25489 08/2010 # u.a. mit Kunden aus Belize, Antigua etc. 62.93 450 AQUATIX Spam Netzwerk!!! 46.35 450 AQUATIX Spam Netzwerk!!!
Ah sehr gut, danke, direkt eingebaut. :-)
Leider inzwischen seit ein paar Wochen wieder wirkungslos. Die spammen nun über andere Netze wie es aussieht.
was nicht wirklich ueberrascht
Gibt es da ne Empfehlung, was zu sperren ist? ;-)
Viele Grüße, Martin
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
zeig mal ein paar logs, ueber das was dich nervt
Hallo Robert!
Leider inzwischen seit ein paar Wochen wieder wirkungslos. Die spammen nun über andere Netze wie es aussieht.
was nicht wirklich ueberrascht
Mich auch nicht, weshalb ich die Lösung zwar für den Moment sehr effektiv war, aber logischerweise nicht lange hielt.
Gibt es da ne Empfehlung, was zu sperren ist? ;-)
zeig mal ein paar logs, ueber das was dich nervt
Siehe Screenshot im Anhang. Das sind die Spammails, die von smtp*.emms.com kommen, die genau die Systematik aufweisen, wie hier im Thread diskutiert.
Komme alle von diesen emms.com Mailservern, z.B.:
smtpfzid.emms.com [82.98.93.94] smtphbbe.emms.com [82.98.112.225] smtpfacd.emms.com [82.98.93.134] smtpfbzb.emms.com [82.98.93.202] smtpfadd.emms.com [82.98.93.144] smtpfzhi.emms.com [82.98.93.89] smtpfacc.emms.com [82.98.93.133] smtpfzgd.emms.com [82.98.93.74] smtpfafc.emms.com [82.98.93.163] smtpfzde.emms.com [82.98.93.45]
Fallen die Euch auch negativ auf?
Viele Grüße, Martin
Zitat von Martin Sebald msebald@hot-chilli.net:
Hallo Robert!
Leider inzwischen seit ein paar Wochen wieder wirkungslos. Die spammen nun über andere Netze wie es aussieht.
was nicht wirklich ueberrascht
Mich auch nicht, weshalb ich die Lösung zwar für den Moment sehr effektiv war, aber logischerweise nicht lange hielt.
Bei uns sind die immer noch sehr aktiv...
Gibt es da ne Empfehlung, was zu sperren ist? ;-)
zeig mal ein paar logs, ueber das was dich nervt
Siehe Screenshot im Anhang. Das sind die Spammails, die von smtp*.emms.com kommen, die genau die Systematik aufweisen, wie hier im Thread diskutiert.
Komme alle von diesen emms.com Mailservern, z.B.:
smtpfzid.emms.com [82.98.93.94] smtphbbe.emms.com [82.98.112.225] smtpfacd.emms.com [82.98.93.134] smtpfbzb.emms.com [82.98.93.202] smtpfadd.emms.com [82.98.93.144] smtpfzhi.emms.com [82.98.93.89] smtpfacc.emms.com [82.98.93.133] smtpfzgd.emms.com [82.98.93.74] smtpfafc.emms.com [82.98.93.163] smtpfzde.emms.com [82.98.93.45]
Fallen die Euch auch negativ auf?
Eventuell, ich hab noch keine Endnutzer Beschwerde aber aktiv sind sie. Ist wohl auch ein alter Bekannter in der Branche, unter http://princo.wordpress.com/2007/06/13/vorsicht-bei-angeboten-von-win-a-cabr... den letzten Post lesen... Aus diesem Grund ist er nun wohl virtuell in Lichtenstein. Vieleicht hilft es dem Leitungsprovider Plus.Line (Hetzner?) mal ein paar Fragen zu stellen.
Gruß
Andreas
Hallo Andreas!
Siehe Screenshot im Anhang. Das sind die Spammails, die von smtp*.emms.com kommen, die genau die Systematik aufweisen, wie hier im Thread diskutiert.
Komme alle von diesen emms.com Mailservern, z.B.:
smtpfzid.emms.com [82.98.93.94] smtphbbe.emms.com [82.98.112.225] smtpfacd.emms.com [82.98.93.134] smtpfbzb.emms.com [82.98.93.202] smtpfadd.emms.com [82.98.93.144] smtpfzhi.emms.com [82.98.93.89] smtpfacc.emms.com [82.98.93.133] smtpfzgd.emms.com [82.98.93.74] smtpfafc.emms.com [82.98.93.163] smtpfzde.emms.com [82.98.93.45]
Fallen die Euch auch negativ auf?
Eventuell, ich hab noch keine Endnutzer Beschwerde aber aktiv sind sie. Ist wohl auch ein alter Bekannter in der Branche, unter http://princo.wordpress.com/2007/06/13/vorsicht-bei-angeboten-von-win-a-cabr... den letzten Post lesen... Aus diesem Grund ist er nun wohl virtuell in Lichtenstein. Vieleicht hilft es dem Leitungsprovider Plus.Line (Hetzner?) mal ein paar Fragen zu stellen.
Ich bekomme 2-3 dieser Mails am Tag. War bisher zu faul zu schauen, ob ich der einzige Empfänger bin. Kann ich mir aber kaum vorstellen.
Bringt es etwas, Leitungsprovider und/oder den Spammer selbst zu kontaktieren? Ich halt das ja eher für Zeitverschwendung.
Viele Grüße, Martin
Am 23.09.2011 00:22, schrieb Martin Sebald:
Hallo Andreas!
Siehe Screenshot im Anhang. Das sind die Spammails, die von smtp*.emms.com kommen, die genau die Systematik aufweisen, wie hier im Thread diskutiert.
Komme alle von diesen emms.com Mailservern, z.B.:
smtpfzid.emms.com [82.98.93.94] smtphbbe.emms.com [82.98.112.225] smtpfacd.emms.com [82.98.93.134] smtpfbzb.emms.com [82.98.93.202] smtpfadd.emms.com [82.98.93.144] smtpfzhi.emms.com [82.98.93.89] smtpfacc.emms.com [82.98.93.133] smtpfzgd.emms.com [82.98.93.74] smtpfafc.emms.com [82.98.93.163] smtpfzde.emms.com [82.98.93.45]
Fallen die Euch auch negativ auf?
Eventuell, ich hab noch keine Endnutzer Beschwerde aber aktiv sind sie. Ist wohl auch ein alter Bekannter in der Branche, unter http://princo.wordpress.com/2007/06/13/vorsicht-bei-angeboten-von-win-a-cabr... den letzten Post lesen... Aus diesem Grund ist er nun wohl virtuell in Lichtenstein. Vieleicht hilft es dem Leitungsprovider Plus.Line (Hetzner?) mal ein paar Fragen zu stellen.
Ich bekomme 2-3 dieser Mails am Tag. War bisher zu faul zu schauen, ob ich der einzige Empfänger bin. Kann ich mir aber kaum vorstellen.
Bringt es etwas, Leitungsprovider und/oder den Spammer selbst zu kontaktieren? Ich halt das ja eher für Zeitverschwendung.
wenn du Lust und Laune hast , kannst du es ja probieren
Viele Grüße, Martin
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Am 19.09.2011 15:53, schrieb Martin Sebald:
Hallo Robert!
Leider inzwischen seit ein paar Wochen wieder wirkungslos. Die spammen nun über andere Netze wie es aussieht.
was nicht wirklich ueberrascht
Mich auch nicht, weshalb ich die Lösung zwar für den Moment sehr effektiv war, aber logischerweise nicht lange hielt.
Gibt es da ne Empfehlung, was zu sperren ist? ;-)
zeig mal ein paar logs, ueber das was dich nervt
Siehe Screenshot im Anhang. Das sind die Spammails, die von smtp*.emms.com kommen, die genau die Systematik aufweisen, wie hier im Thread diskutiert.
Komme alle von diesen emms.com Mailservern, z.B.:
smtpfzid.emms.com [82.98.93.94] smtphbbe.emms.com [82.98.112.225] smtpfacd.emms.com [82.98.93.134] smtpfbzb.emms.com [82.98.93.202] smtpfadd.emms.com [82.98.93.144] smtpfzhi.emms.com [82.98.93.89] smtpfacc.emms.com [82.98.93.133] smtpfzgd.emms.com [82.98.93.74] smtpfafc.emms.com [82.98.93.163] smtpfzde.emms.com [82.98.93.45]
Fallen die Euch auch negativ auf?
noe grade nachgesehen, nichts von denen
also in so einem fall wuerde ich wahrscheinlich tatsaechlich rejecten mit Hinweis und zwar alles ( mit cidr oder domain namen etc ), allerdings gleichzeitig versuchen mit denen in Kontakt zu kommen ( vieleicht vorher ) sind die schon auf einer rbl? wieviele "gute mails" kriegst du von denen und wer kriegt die ? und/oder ist es immer die gleiche Empfaengeradresse/domain usw wie laestig ist es denn ? ich meine ich mein spamass-milter haut auch viel weg zur Zeit zb von der telekom, yahoo ist auch praktisch immer dabei aber letztendlich ist er ja auch dafuer da
was ich sagen will , damit ich da per Hand einschreite muss es eigentlich schon drastisch sein ( und durchgehen sollte natuerlich wenn moeglich auch nur wenig , und wenn markiert )
man muss ein bisschen ueberlegen. welche Massnahme wo am besten greifen wuerde, ich hab letzthin mal per Hand eine policy gemacht die als senderadresse att@com ueber yahoo mailserver an eine bestimmte Empfaenger Adresse rejected, ist aber viel Aufwand aber ich war halt genervt, normalerweise mach ich das nicht sondern vertraue meinen miltern
Viele Grüße, Martin
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Hallo Robert!
Fallen die Euch auch negativ auf?
noe grade nachgesehen, nichts von denen
also in so einem fall wuerde ich wahrscheinlich tatsaechlich rejecten mit Hinweis und zwar alles ( mit cidr oder domain namen etc ), allerdings gleichzeitig versuchen mit denen in Kontakt zu kommen ( vieleicht vorher ) sind die schon auf einer rbl? wieviele "gute mails" kriegst du von denen und wer kriegt die ? und/oder ist es immer die gleiche Empfaengeradresse/domain usw wie laestig ist es denn ? ich meine ich mein spamass-milter haut auch viel weg zur Zeit zb von der telekom, yahoo ist auch praktisch immer dabei aber letztendlich ist er ja auch dafuer da
was ich sagen will , damit ich da per Hand einschreite muss es eigentlich schon drastisch sein ( und durchgehen sollte natuerlich wenn moeglich auch nur wenig , und wenn markiert )
man muss ein bisschen ueberlegen. welche Massnahme wo am besten greifen wuerde, ich hab letzthin mal per Hand eine policy gemacht die als senderadresse att@com ueber yahoo mailserver an eine bestimmte Empfaenger Adresse rejected, ist aber viel Aufwand aber ich war halt genervt, normalerweise mach ich das nicht sondern vertraue meinen miltern
Ich habe noch nicht nachgeschaut, ob von den Servern auch Ham kommt. Zu faul. Und nicht, ob auch jemand anderes Spams bekommt. War schlicht zu faul bzw hatte zu wenig Zeit in den letzten Tagen.
Wie in der Mail von eben geschrieben frage ich mich, ob ich es für sinnvoll halte, mit den Spammern in Kontakt zu treten. Oder eben der Serverfarm, auf der die Spams versendet werden.
Ich finde so Maßnahmen wie IPs blocken im Grunde genommen auch krass und zu heftig, aber was will man auch tun? Blöderweise muss man immer nacharbeiten um eine dauerhafte Lösung zu haben.
Viele Grüße, Martin
Am 23.09.2011 00:25, schrieb Martin Sebald:
Hallo Robert!
Fallen die Euch auch negativ auf?
noe grade nachgesehen, nichts von denen
also in so einem fall wuerde ich wahrscheinlich tatsaechlich rejecten mit Hinweis und zwar alles ( mit cidr oder domain namen etc ), allerdings gleichzeitig versuchen mit denen in Kontakt zu kommen ( vieleicht vorher ) sind die schon auf einer rbl? wieviele "gute mails" kriegst du von denen und wer kriegt die ? und/oder ist es immer die gleiche Empfaengeradresse/domain usw wie laestig ist es denn ? ich meine ich mein spamass-milter haut auch viel weg zur Zeit zb von der telekom, yahoo ist auch praktisch immer dabei aber letztendlich ist er ja auch dafuer da
was ich sagen will , damit ich da per Hand einschreite muss es eigentlich schon drastisch sein ( und durchgehen sollte natuerlich wenn moeglich auch nur wenig , und wenn markiert )
man muss ein bisschen ueberlegen. welche Massnahme wo am besten greifen wuerde, ich hab letzthin mal per Hand eine policy gemacht die als senderadresse att@com ueber yahoo mailserver an eine bestimmte Empfaenger Adresse rejected, ist aber viel Aufwand aber ich war halt genervt, normalerweise mach ich das nicht sondern vertraue meinen miltern
Ich habe noch nicht nachgeschaut, ob von den Servern auch Ham kommt.
ich hab nachgesehen, von denen kommt auch "Ham"
Zu
faul. Und nicht, ob auch jemand anderes Spams bekommt. War schlicht zu faul bzw hatte zu wenig Zeit in den letzten Tagen.
Wie in der Mail von eben geschrieben frage ich mich, ob ich es für sinnvoll halte, mit den Spammern in Kontakt zu treten. Oder eben der Serverfarm, auf der die Spams versendet werden.
Ich finde so Maßnahmen wie IPs blocken im Grunde genommen auch krass und zu heftig, aber was will man auch tun? Blöderweise muss man immer nacharbeiten um eine dauerhafte Lösung zu haben.
spamassassin etc sollte helfen
Viele Grüße, Martin
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
On 06/22/11 11:57, Martin Sebald wrote:
wir gehen auf unserem Mailserver gegen Spam/Viren/Fishing mit Amavis, Clamav, Spamassassin, DNSBL (ix.dnsbl.manitu.net, sbl-xbl.spamhaus.org, dul.dnsbl.sorbs.net, spamcop.net) und Greylisting vor.
Auf SMTP-Ebene sind strenge HELO-Checks erstaunlich effektiv.
Dazu gehören bei mir 'reject_invalid_helo_hostname' und 'reject_unknown_helo_hostname' (letztere könnte false positives bewirken, ist je nach Umgebung nicht oder nur mit Whitelist geeignet), sowie 'check_helo_access' mit regexp's für /[0-9]$/ REJECT Please use a correct FQDN in your HELO/EHLO /localhost/ REJECT go away /^[ <eigene IP> ]$/ REJECT go away / <eigener hostname> / REJECT go away
Anstelle von reject_rbl_client benutze ich policyd-weight, das checkt zusätzlich noch ob DNS-Einträge/HELO/Absender halbwegs sinnvoll korrelieren.
Auf der Spam-Erkennungsebene benutze ich CRM114 für besseres SA-Tagging; aber das ist in der Installation etwas aufwendiger/frickeliger (und nie so effizient wie reine SMTP-Maßnahmen).
On Behalf Of Martin Sebald
Tztzt mal wieder direkt geschickt
Hallo zusammen,
wir gehen auf unserem Mailserver gegen Spam/Viren/Fishing mit Amavis, Clamav, Spamassassin, DNSBL (ix.dnsbl.manitu.net, sbl-xbl.spamhaus.org, dul.dnsbl.sorbs.net, spamcop.net) und Greylisting vor.
Leider bekommen unsere Mailuser, ich bin auch betroffen, seit Monaten Mails, die zum Großteil durch den Spamfilter schlüpfen, einige Beispielabsender und Betreffs siehe unten.
Unsere Default Spamassassin Policy liegt bei 3.5, auch ich habe dies eingestellt und finde den Wert auch ganz sinnvoll. Eventuell ist er das aber auch nicht mehr und man sollte hier anpassen.
Ansonsten: Gibt es weitere zu empfehlende Antispamdinge, die wir noch implementieren sollten? Habe hier in der Liste und bei Google mal gesucht, aber ich denke, die Suchbegriffe waren schlecht gewählt oder zu allgemein. Vielleicht hat da jemand ein Stichwort für mich, an dem ich mich entlanghangeln kann.
Danke und viele Grüße, Martin
--- Beispielspam ---
F. Faber info@150jetzt.com [Erinnerung] Überweisung der 150 Euro
Andrea Bohn andrea.bohn@hdtv-receiver-lieferung.com [Erinnerung] Lieferung HDTV Receiver Sebald
Claudia Kuhlmann claudia.kuhlmann@tarifrabatte.com [Erinnerung] Rechtsfolgen der Überprüfung Martin Sebald
Andreas Abel info@abel-koeln.com [Erinnerung] Ihre 150 Euro
Fabian Faber fabian.faber@verdienen-ohne-einsatz.com Daten für Zahlung, Nr. 4384232881
Fabian Faber fabian.faber@zusatzeinkommen-verdienen.com Daten für Gutschrift Nr. 81736836169
Bis auf einen haben die alle denselben DNS Provider/Server.
Name Server: NS1.PRANJIC-HR.COM Name Server: NS2.PRANJIC-HR.COM
Ich mache das in solchen Fällen ganz pragmatisch, ich sperre alle Domains des gleichen DNS Servers über eine Restriktion in Postfix
NS1.PRANJIC-HR.COM 550 your Hoster is hosting spam provider PRANJIC-HR NS2.PRANJIC-HR.COM 550 your Hoster is hosting spam provider PRANJIC-HR
Eingebunden über check_sender_ns_access hash:/etc/postfix/maps/bogus_dns
in den smtpd_recipient_restrictions
Falsepositive Gefahr gegen null bzw. auch nicht höher wie textscanning.
Weitere Möglichkeit gibt es über Header und Bodychecks (das war mir aber zuviel arbeit immer wieder nachzutragen).
Mit freundlichen Grüßen
Drießen
Zitat von Driessen driessen@fblan.de:
On Behalf Of Martin Sebald
Tztzt mal wieder direkt geschickt
Hallo zusammen,
wir gehen auf unserem Mailserver gegen Spam/Viren/Fishing mit Amavis, Clamav, Spamassassin, DNSBL (ix.dnsbl.manitu.net, sbl-xbl.spamhaus.org, dul.dnsbl.sorbs.net, spamcop.net) und Greylisting vor.
Leider bekommen unsere Mailuser, ich bin auch betroffen, seit Monaten Mails, die zum Großteil durch den Spamfilter schlüpfen, einige Beispielabsender und Betreffs siehe unten.
Unsere Default Spamassassin Policy liegt bei 3.5, auch ich habe dies eingestellt und finde den Wert auch ganz sinnvoll. Eventuell ist er das aber auch nicht mehr und man sollte hier anpassen.
Ansonsten: Gibt es weitere zu empfehlende Antispamdinge, die wir noch implementieren sollten? Habe hier in der Liste und bei Google mal gesucht, aber ich denke, die Suchbegriffe waren schlecht gewählt oder zu allgemein. Vielleicht hat da jemand ein Stichwort für mich, an dem ich mich entlanghangeln kann.
Danke und viele Grüße, Martin
--- Beispielspam ---
F. Faber info@150jetzt.com [Erinnerung] Überweisung der 150 Euro
Andrea Bohn andrea.bohn@hdtv-receiver-lieferung.com [Erinnerung] Lieferung HDTV Receiver Sebald
Claudia Kuhlmann claudia.kuhlmann@tarifrabatte.com [Erinnerung] Rechtsfolgen der Überprüfung Martin Sebald
Andreas Abel info@abel-koeln.com [Erinnerung] Ihre 150 Euro
Fabian Faber fabian.faber@verdienen-ohne-einsatz.com Daten für Zahlung, Nr. 4384232881
Fabian Faber fabian.faber@zusatzeinkommen-verdienen.com Daten für Gutschrift Nr. 81736836169
Bis auf einen haben die alle denselben DNS Provider/Server.
Name Server: NS1.PRANJIC-HR.COM Name Server: NS2.PRANJIC-HR.COM
Ich mache das in solchen Fällen ganz pragmatisch, ich sperre alle Domains des gleichen DNS Servers über eine Restriktion in Postfix
NS1.PRANJIC-HR.COM 550 your Hoster is hosting spam provider PRANJIC-HR NS2.PRANJIC-HR.COM 550 your Hoster is hosting spam provider PRANJIC-HR
Eingebunden über check_sender_ns_access hash:/etc/postfix/maps/bogus_dns
in den smtpd_recipient_restrictions
Nette Idee, danke für den Hinweis. Leider sind meine aktuellen Favoriten nicht dabei, scheint als haben sie die Strategie wieder mal angepasst:
; <<>> DiG 9.4.2-P2.1 <<>> mega-marketing.net NS ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28198 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION: ;mega-marketing.net. IN NS
;; ANSWER SECTION: mega-marketing.net. 86151 IN NS ns1.mega-marketing-dns.com. mega-marketing.net. 86151 IN NS ns2.mega-marketing-dns.com.
; <<>> DiG 9.4.2-P2.1 <<>> ffp-consulting.com NS ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28677 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION: ;ffp-consulting.com. IN NS
;; ANSWER SECTION: ffp-consulting.com. 3266 IN NS ns1.dns-diy.net. ffp-consulting.com. 3266 IN NS ns2.dns-diy.net.
Sch**** Bande
Gruß
Andreas
participants (7)
-
Driessen -
lst_hoe02@kwsoft.de -
Lst_hoe02@kwsoft.de
-
Martin Schütte -
Martin Sebald -
Robert Schetterer -
Steve