On 12.07.2015 10:04, Stefan Weber wrote:

Hallo,

seit in der main.cf unter smtpd_recipient_restrictions die

    check_sender_access hash:/etc/postfix/sender_access,
    check_client_access cidr:/etc/postfix/client_access,

werkeln, wird schon einiges abgefangen. Der durchgelassene Spam wird trotzdem nicht weniger, weil immer neue IP's auftauchen. Die Anzahl der SpamMails die durchkommen, bleiben ungefähr gleich, so um die 50 über 1-2 Tage.

Aufbau und Inhalt lassen die Vermutung aufkommen, dass da der/die gleichen Versender zu Werke sein könnten, was der weiteren Idee Nahrung gibt, dass die IP's der vermeintlich absendenden Server gefakt (gespooft) sein könnten.

Kannst Du prüfen, ob die IP-Adressen der Server, welche zum postfix connecten überhaupt an Hand des SPF (Sender-Policy-Framework) für die Absenderadressen versenden dürfen? damit hättest einen Ansatz ...

Grüße, Walter

Am 12.07.2015 um 10:04 schrieb Stefan Weber:

Hallo,

seit in der main.cf unter smtpd_recipient_restrictions die

    check_sender_access hash:/etc/postfix/sender_access,
    check_client_access cidr:/etc/postfix/client_access,

werkeln, wird schon einiges abgefangen. Der durchgelassene Spam wird trotzdem nicht weniger, weil immer neue IP's auftauchen. Die Anzahl der SpamMails die durchkommen, bleiben ungefähr gleich, so um die 50 über 1-2 Tage.

Aufbau und Inhalt lassen die Vermutung aufkommen, dass da der/die gleichen Versender zu Werke sein könnten, was der weiteren Idee Nahrung gibt, dass die IP's der vermeintlich absendenden Server gefakt (gespooft) sein könnten.

Gibt es in Postfix eine einfache Methode zu validieren, ob die IP im Header und der tatsächlichen Server identisch sind?

Vielen Dank für die Antworten im Voraus !!!

Stefan

Hi, du kannst sowas machen, aber das lohnt sich eigentlich nur bei grossen Domains zusaetzlich SPF DMARC DKIM checks machen un am Ende natuerlich Spamassassin

zum einen evtl ein sender verify ( wuerde ich nicht unbedingt empfehlen )

siehe zb https://posluns.com/guides/classes/

oder sowas hier ( oder Abwandlungen davon )

/etc/postfix/main.cf: smtpd_restriction_classes = from_freemail_host from_freemail_host = check_client_access dbm:/etc/postfix/freemail_hosts, reject

smtpd_recipient_restrictions = check_sender_access dbm:/etc/postfix/freemail_access

In the check_sender_access file, list all the freemail hosts you wish to check, and have the check defer to the from_freemail_host restriction class.

/etc/postfix/freemail_access: yahoo.com from_freemail_host earthlink.net from_freemail_host excite.com from_freemail_host

In the restriction class' check_client_access list (file), "OK" freemail hosts only.

/etc/postfix/freemail_hosts: yahoo.com OK earthlink.net OK excite.com OK excitenetwork.com OK

ausserdem kannst du noch zb

https://sys4.de/de/blog/2014/04/02/e-mail-fehlerhafter-nameserver-ablehnen/

https://sys4.de/de/blog/2014/04/03/e-mail-fehlerhafter-nameserver-ablehnen-i...

hinzufuegen

Du solltest die logs studieren, bedenke dass eine Mail am Ende durch ihren Body zum Spam wird, d.h Spamassassin filtert wohl am besten ist aber relativ "teuer", welche Abwehr Kette genau in deinem Fall nun am besten anzuwenden ist, kann man immer nur durch Langzeit Analyse beurteilen

Best Regards MfG Robert Schetterer