[postfix-users] Alternative zu postgrey
Hi,
heute musste jemand in der Firma wo ich Postgrey installiert habe ein Mitarbeiter über 4 Stunden auf eine Mail warten... deswegen wurde mir gesagt das die Lösung mit Mails erstmal abweisen unprofessionell und auf Dauer nicht akzeptabel ist...
Was soll ich nun machen? Gibt es noch Möglichkeiten die genauso gut sind? Mit Postgrey konnte ich in dieser Umgebung den Spam fast auf 0 reduzieren und jetzt soll ich´s wieder abschalten aber gleichzeitig dafür sorgen das die Spammails weiterhin so niedrig bleiben...
Als Blacklists habe ich im Einsatz: ix.dnsbl.manitu.net und zen.spamhaus.org.
thx
Chris
Hey,
sicher, dass die 4 Stunden durch Postgrey verursacht wurden?
Warum Mails abweisen unprofessionell sein soll, kann ich nicht nach vollziehen...
Ein Tipp zur Verbesserung Deiner Abwehr: policyd
Gruß
Am 14.06.2010 23:08, schrieb Christopher Stolzenberg:
Hi,
heute musste jemand in der Firma wo ich Postgrey installiert habe ein Mitarbeiter über 4 Stunden auf eine Mail warten... deswegen wurde mir gesagt das die Lösung mit Mails erstmal abweisen unprofessionell und auf Dauer nicht akzeptabel ist...
Was soll ich nun machen? Gibt es noch Möglichkeiten die genauso gut sind? Mit Postgrey konnte ich in dieser Umgebung den Spam fast auf 0 reduzieren und jetzt soll ich´s wieder abschalten aber gleichzeitig dafür sorgen das die Spammails weiterhin so niedrig bleiben...
Als Blacklists habe ich im Einsatz: ix.dnsbl.manitu.net und zen.spamhaus.org.
thx
Chris _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Am 14. Juni 2010 23:15 schrieb David Bletgen mail@david-bletgen.de:
Hey,
sicher, dass die 4 Stunden durch Postgrey verursacht wurden?
Warum Mails abweisen unprofessionell sein soll, kann ich nicht nach vollziehen...
Ein Tipp zur Verbesserung Deiner Abwehr: policyd
Huhu David,
amavis und policyd laufen sowieso schon. Ich finde greylisting auch ne super Sache... sonst würde ich es ja nicht einsetzen wie viele andere hier auch???
Ich habe es im Log genau nachvollzogen. Der Absender hat innerhalb von unter 5 Minuten 2 Zustellversuche unternommen... wurde 2x abgewiesen und hat dann 4 Stunden später den 3. Zustellversuch unternommen der dann geklappt hat.
Der Geschäftsführer dieser Firma meint das wäre von mir mehr als unprofessionell so eine Spam Abwehrlösung zu installieren :(
Chris
* Christopher Stolzenberg postfix-users@de.postfix.org:
Am 14. Juni 2010 23:15 schrieb David Bletgen mail@david-bletgen.de:
Hey,
sicher, dass die 4 Stunden durch Postgrey verursacht wurden?
Warum Mails abweisen unprofessionell sein soll, kann ich nicht nach vollziehen...
Ein Tipp zur Verbesserung Deiner Abwehr: policyd
Huhu David,
amavis und policyd laufen sowieso schon. Ich finde greylisting auch ne super Sache... sonst würde ich es ja nicht einsetzen wie viele andere hier auch???
Ich habe es im Log genau nachvollzogen. Der Absender hat innerhalb von unter 5 Minuten 2 Zustellversuche unternommen... wurde 2x abgewiesen und hat dann 4 Stunden später den 3. Zustellversuch unternommen der dann geklappt hat.
Der Geschäftsführer dieser Firma meint das wäre von mir mehr als unprofessionell so eine Spam Abwehrlösung zu installieren :(
Dein Problem ist nicht Greylisting, sondern mangelnde Transparenz der Anti-Spam-Methoden, ihrer Effektivität und der möglichen Auswirkungen gegenüber der Geschäftsführung. Die Geschäftsführung muss wissen und entscheiden was sie haben erdulden will. Es fehlt eine Policy, die von allen Seiten verstanden, abgewogen und letztlich getragen wird.
Du könntest installieren was Du wolltest...
p@rick
Am 14. Juni 2010 23:33 schrieb Patrick Ben Koetter p@state-of-mind.de:
Dein Problem ist nicht Greylisting, sondern mangelnde Transparenz der Anti-Spam-Methoden, ihrer Effektivität und der möglichen Auswirkungen gegenüber der Geschäftsführung. Die Geschäftsführung muss wissen und entscheiden was sie haben erdulden will. Es fehlt eine Policy, die von allen Seiten verstanden, abgewogen und letztlich getragen wird.
Du könntest installieren was Du wolltest...
Joa so ist es :)
Ich werde dann amavis doch als smtpd proxy konfigurieren, das kann ja auch reject.
Ansonsten bau ich dann noch was ein was dynamische Adressen blockt.
Chris
On Behalf Of Christopher Stolzenberg
Am 14. Juni 2010 23:15 schrieb David Bletgen mail@david-bletgen.de:
Hey,
sicher, dass die 4 Stunden durch Postgrey verursacht wurden?
Warum Mails abweisen unprofessionell sein soll, kann ich nicht nach vollziehen...
Ein Tipp zur Verbesserung Deiner Abwehr: policyd
Huhu David,
amavis und policyd laufen sowieso schon. Ich finde greylisting auch ne super Sache... sonst würde ich es ja nicht einsetzen wie viele andere hier auch???
Ich habe es im Log genau nachvollzogen. Der Absender hat innerhalb von unter 5 Minuten 2 Zustellversuche unternommen... wurde 2x abgewiesen und hat dann 4 Stunden später den 3. Zustellversuch unternommen der dann geklappt hat.
Dann hat der Absender aber nicht verstanden das bei Greylisting die 5 min als Standard in der Regel definiert sind und eine frühere Zustellung wenig sinn macht.
Der Geschäftsführer dieser Firma meint das wäre von mir mehr als unprofessionell so eine Spam Abwehrlösung zu installieren :(
Der hat leider keine Ahnung worum es geht und was Mail wirklich ist. Soll die gute alte Post bemühen dann brauchen die auch nicht 1 Milliarde im nächsten Jahr einsparen.
Ändere deine Postgrey Meldung auf z.B.
POSTGREY_TEXT="Sorry for the silly things, come later thanks, you have to pay 20 cent for your Mail"
Oder auch
"Sorry to many connections, I'am busy, come again later"
Damit sieht niemand mehr was wirklich dahinter steht. Es soll auch Bots geben die die originalen Meldungen von Postgrey auswerten können und Exim Betreiber die sofern ein Greylisting im Logfile auftaucht dieser Mail eine Sonderbehandlung zukommen lassen. Wie auch immer ich hab hier ruhe auf dem Server und wer die Mail nicht wieder sendet ist selber schuld und wer die erst nach 24 Stunden wieder sendet ist auch selber schuld.
Mit freundlichen Grüßen
Drießen
* Christopher Stolzenberg postfix-users@de.postfix.org:
heute musste jemand in der Firma wo ich Postgrey installiert habe ein Mitarbeiter über 4 Stunden auf eine Mail warten... deswegen wurde mir gesagt das die Lösung mit Mails erstmal abweisen unprofessionell und auf Dauer nicht akzeptabel ist...
Ich persönlich mag Greylisting auch nicht, aber "unprofessionell und auf Dauer nicht akzeptabel" würde ich es nicht nennen. Im Gegenteil, die Meisten scheinen bereit die (möglichen) Verzögerungen von Greylisting billigend in Kauf zu nehmen, wenn es ihnen Spam vom Leibe hält.
Die Frage ist IMO, ob das Unternehmen Greylisting akkzeptabel für sein Mail-Policy hält.
Was soll ich nun machen? Gibt es noch Möglichkeiten die genauso gut sind? Mit Postgrey konnte ich in dieser Umgebung den Spam fast auf 0 reduzieren und jetzt soll ich´s wieder abschalten aber gleichzeitig dafür sorgen das die Spammails weiterhin so niedrig bleiben...
Im Prinzip wirst Du mit Greylisting viele Spam-Clients aus Botnetzen los und diese Netze sind es, die Du blocken willst, denn Botnetze sind das Spam-Problem (open relays etc. gibt es auch aber die sind verschwindend verglichen mit den Botnetzen).
Was Du also willst, sind Methoden um Botnetz-Clients loszuwerden. Mit IP-basierten Blacklisten wird das schwierig, weil die meist auf einzelne Hosts gehen - bei Botnetzen mit mehreren Mio. Clients sind einzelne, gelistete IPs nicht effektiv.
Erfolgreicher wirst Du mit einer Policy sein, die nur Nachrichten von statischen IPs aus Business-IP-Ranges annimmt, also alles aus - Dial-In Netze blockt - Dynamischen DSL-Netzen blockt - Annahme ablehnt wenn kein rDNS vorhanden ist - ...
Das ist eine harte Policy und Du kannst Dich darauf gefaßt machen, dass es da auch einige "Gute" treffen wird.
UND... Du kannst Postfix 2.8 development installieren und mit dem neuen postscreen daemon sog. "Earlytalkers" ablehnen. Das "zu frühe Loslabern" scheint auch ein Wesenszug von Bots zu sein.
Als Blacklists habe ich im Einsatz: ix.dnsbl.manitu.net und zen.spamhaus.org.
Beides sind sehr effektive Listen.
Was hast Du denn sonst so am Start?
p@rick
Am 14. Juni 2010 23:28 schrieb Patrick Ben Koetter p@state-of-mind.de:
Ich persönlich mag Greylisting auch nicht, aber "unprofessionell und auf Dauer nicht akzeptabel" würde ich es nicht nennen. Im Gegenteil, die Meisten scheinen bereit die (möglichen) Verzögerungen von Greylisting billigend in Kauf zu nehmen, wenn es ihnen Spam vom Leibe hält.
Die Frage ist IMO, ob das Unternehmen Greylisting akkzeptabel für sein Mail-Policy hält.
Für die ist es leider nicht akzeptabel :( Obwohl die Verzögerung sonst immer nur 5-15 Minuten waren. Wenn ich denen garantieren könnte das es nie länger wie 15 Minuten dauert darf es weiterlaufen... da sieht man mal wieder das die keine Ahnung von IT haben :D
Da ich die anderen Mailserver nicht beeinflussen kann ist das ja de facto unmöglich.
Im Prinzip wirst Du mit Greylisting viele Spam-Clients aus Botnetzen los und diese Netze sind es, die Du blocken willst, denn Botnetze sind das Spam-Problem (open relays etc. gibt es auch aber die sind verschwindend verglichen mit den Botnetzen).
Von denen kommt in dem Fall auch der meiste Spam. Der andere Spam wird durch die 2 Blacklists abgefangen.
Was Du also willst, sind Methoden um Botnetz-Clients loszuwerden. Mit IP-basierten Blacklisten wird das schwierig, weil die meist auf einzelne Hosts gehen - bei Botnetzen mit mehreren Mio. Clients sind einzelne, gelistete IPs nicht effektiv.
Jop
Erfolgreicher wirst Du mit einer Policy sein, die nur Nachrichten von statischen IPs aus Business-IP-Ranges annimmt, also alles aus
- Dial-In Netze blockt
- Dynamischen DSL-Netzen blockt
- Annahme ablehnt wenn kein rDNS vorhanden ist
- ...
Wie macht man denn so eine Policy? Woher soll Postfix wissen was eine dynamische IP ist? Oder gibt es irgendwo Listen von dynamischen IP Ranges die man in Postfix als Map einbaut und komplett blockt?
Das ist eine harte Policy und Du kannst Dich darauf gefaßt machen, dass es da auch einige "Gute" treffen wird.
Das ist dann nicht mein Problem wenn die kein greylisting wollen :) Wobei ein "guter" Absender ja eine Mail bekommt das er geblockt wurde und sich dann trotzdem telefonisch in Verbindung setzen kann.
UND... Du kannst Postfix 2.8 development installieren und mit dem neuen postscreen daemon sog. "Earlytalkers" ablehnen. Das "zu frühe Loslabern" scheint auch ein Wesenszug von Bots zu sein.
Das guck ich mir mal an.
Beides sind sehr effektive Listen.
Die blocken auch wirklich sehr viel wenn ich im Log nachschau.
Was hast Du denn sonst so am Start?
Amavis und policyd.
Chris
On Behalf Of Christopher Stolzenberg
Am 14. Juni 2010 23:28 schrieb Patrick Ben Koetter p@state-of-mind.de:
Ich persönlich mag Greylisting auch nicht, aber "unprofessionell und auf Dauer nicht akzeptabel" würde ich es nicht nennen. Im Gegenteil, die Meisten scheinen bereit die (möglichen) Verzögerungen von Greylisting billigend in Kauf zu nehmen, wenn es ihnen Spam vom Leibe hält.
Die Frage ist IMO, ob das Unternehmen Greylisting akkzeptabel für sein Mail-Policy hält.
Für die ist es leider nicht akzeptabel :( Obwohl die Verzögerung sonst immer nur 5-15 Minuten waren. Wenn ich denen garantieren könnte das es nie länger wie 15 Minuten dauert darf es weiterlaufen... da sieht man mal wieder das die keine Ahnung von IT haben :D
Es werden nur unbekannte verzögert, mit selectivem Greylisting auch nur die die bestimmte Merkmale haben. Damit kann man zumindest Garantieren das "BEKANNTE" Mailadressen nicht verzögert werden. Bzw. Bekannte Mailadressen werden eh nicht verzögert!!
Da ich die anderen Mailserver nicht beeinflussen kann ist das ja de facto unmöglich.
Im Prinzip wirst Du mit Greylisting viele Spam-Clients aus Botnetzen los und diese Netze sind es, die Du blocken willst, denn Botnetze sind das Spam-Problem (open relays etc. gibt es auch aber die sind verschwindend verglichen mit den Botnetzen).
Von denen kommt in dem Fall auch der meiste Spam. Der andere Spam wird durch die 2 Blacklists abgefangen.
Was Du also willst, sind Methoden um Botnetz-Clients loszuwerden. Mit IP-basierten Blacklisten wird das schwierig, weil die meist auf einzelne Hosts gehen - bei Botnetzen mit mehreren Mio. Clients sind einzelne, gelistete IPs nicht effektiv.
Jop
Erfolgreicher wirst Du mit einer Policy sein, die nur Nachrichten von statischen IPs aus Business-IP-Ranges annimmt, also alles aus
- Dial-In Netze blockt
- Dynamischen DSL-Netzen blockt
- Annahme ablehnt wenn kein rDNS vorhanden ist
- ...
Wie macht man denn so eine Policy? Woher soll Postfix wissen was eine dynamische IP ist? Oder gibt es irgendwo Listen von dynamischen IP Ranges die man in Postfix als Map einbaut und komplett blockt?
z.B. www.fblan.de/postfix
datei dynip aber lies dir genau den Header durch denn diese Liste ist Hart mit allem was nach Dialin aussieht.
Das ist eine harte Policy und Du kannst Dich darauf gefaßt machen, dass es da auch einige "Gute" treffen wird.
Öhm ja lässt sich auch nicht vermeiden da es immer noch Serverbetreiber gibt die es nicht schaffen einen RDNS zu setzen der nicht nach DIALIN ausschaut. Hält sich aber zumindest in Deutschland in Grenzen. (bei mir unter 1 promill)
Das ist dann nicht mein Problem wenn die kein greylisting wollen :) Wobei ein "guter" Absender ja eine Mail bekommt das er geblockt wurde und sich dann trotzdem telefonisch in Verbindung setzen kann.
Jap Aber die Diskussionen können noch Haariger wie bei Greylisting werden *gg
Mit freundlichen Grüßen
Drießen
* Christopher Stolzenberg postfix-users@de.postfix.org:
Ich persönlich mag Greylisting auch nicht, aber "unprofessionell und auf Dauer nicht akzeptabel" würde ich es nicht nennen. Im Gegenteil, die Meisten scheinen bereit die (möglichen) Verzögerungen von Greylisting billigend in Kauf zu nehmen, wenn es ihnen Spam vom Leibe hält.
Die Frage ist IMO, ob das Unternehmen Greylisting akkzeptabel für sein Mail-Policy hält.
Für die ist es leider nicht akzeptabel :( Obwohl die Verzögerung sonst immer nur 5-15 Minuten waren. Wenn ich denen garantieren könnte das es nie länger wie 15 Minuten dauert darf es weiterlaufen... da sieht man mal wieder das die keine Ahnung von IT haben :D
Da ich die anderen Mailserver nicht beeinflussen kann ist das ja de facto unmöglich.
Stimmt, es ist nicht möglich. Wir haben alle keine Einfluss auf das Sendeverhalten der Clients. Das ist systembedingt. Deshalb kann man Greylisting nur dann einsetzen, wenn man bereit ist, diese Ohnmacht zu ertragen. Wer sich das nicht leisten kann/will sollte es nicht einsetzen.
Im Prinzip wirst Du mit Greylisting viele Spam-Clients aus Botnetzen los und diese Netze sind es, die Du blocken willst, denn Botnetze sind das Spam-Problem (open relays etc. gibt es auch aber die sind verschwindend verglichen mit den Botnetzen).
Von denen kommt in dem Fall auch der meiste Spam. Der andere Spam wird durch die 2 Blacklists abgefangen.
Was Du also willst, sind Methoden um Botnetz-Clients loszuwerden. Mit IP-basierten Blacklisten wird das schwierig, weil die meist auf einzelne Hosts gehen - bei Botnetzen mit mehreren Mio. Clients sind einzelne, gelistete IPs nicht effektiv.
Jop
Warte mal bis IPv6 kommt. Da kommt man mit blacklisting auch nicht mehr so weit... ;)
Erfolgreicher wirst Du mit einer Policy sein, die nur Nachrichten von statischen IPs aus Business-IP-Ranges annimmt, also alles aus
- Dial-In Netze blockt
- Dynamischen DSL-Netzen blockt
- Annahme ablehnt wenn kein rDNS vorhanden ist
- ...
Wie macht man denn so eine Policy? Woher soll Postfix wissen was eine dynamische IP ist? Oder gibt es irgendwo Listen von dynamischen IP Ranges die man in Postfix als Map einbaut und komplett blockt?
Im Prinzip entsteht eine Policy durch Verständigung aller beteiligter Gruppen über die Möglichkeiten und Konsequenzen verschiedener Methoden, die gesetzlichen Anforderungen und den "Hausstil" des Unternehmens.
Du kannst da als Berater funktionieren, der die Pros & Cons verschiedener Methoden nennt, Du kannst die gesetzlichen Anforderungen zitieren (darfst aber nicht beraten wenn Du nicht Anwalt bist) und Du kannst die gewünschten Methoden anschliessend entsprechend der Policy implementieren.
Das ist eine harte Policy und Du kannst Dich darauf gefaßt machen, dass es da auch einige "Gute" treffen wird.
Das ist dann nicht mein Problem wenn die kein greylisting wollen :)
Naja, auf mir wirkt es so, als wollten sie sofortigen Kontakt für Neugeschäft und das immer ohne false positives und gleichzeitig keinen Spam. Das ist fast möglich, aber nicht für lau und nicht im vorbeigehen.
Wobei ein "guter" Absender ja eine Mail bekommt das er geblockt wurde und sich dann trotzdem telefonisch in Verbindung setzen kann.
UND... Du kannst Postfix 2.8 development installieren und mit dem neuen postscreen daemon sog. "Earlytalkers" ablehnen. Das "zu frühe Loslabern" scheint auch ein Wesenszug von Bots zu sein.
Das guck ich mir mal an.
Beides sind sehr effektive Listen.
Die blocken auch wirklich sehr viel wenn ich im Log nachschau.
Was hast Du denn sonst so am Start?
Amavis und policyd.
Und welche policy? Wie sind die restrictions? Was machst Du in welcher Reihenfolge?
p@rick
* Patrick Ben Koetter p@state-of-mind.de:
Ich persönlich mag Greylisting auch nicht, aber "unprofessionell und auf Dauer nicht akzeptabel" würde ich es nicht nennen. Im Gegenteil, die Meisten scheinen bereit die (möglichen) Verzögerungen von Greylisting billigend in Kauf zu nehmen, wenn es ihnen Spam vom Leibe hält.
Außerdem passiert das ja nur beim erstenmal
Am 15.06.2010 09:43, schrieb Ralf Hildebrandt:
- Patrick Ben Koetter p@state-of-mind.de:
Ich persönlich mag Greylisting auch nicht, aber "unprofessionell und auf Dauer nicht akzeptabel" würde ich es nicht nennen. Im Gegenteil, die Meisten scheinen bereit die (möglichen) Verzögerungen von Greylisting billigend in Kauf zu nehmen, wenn es ihnen Spam vom Leibe hält.
Außerdem passiert das ja nur beim erstenmal
also eine mail ist eigentlich auch nach 5 Tagen noch puenktlich ( rfc ..? ), user die sich ueber verzoegerungen beschweren sollte man mal ein technische hilfe leisten so nach dem motto wie funktioniert das internet/mail etc *g nach wie vor gilt, wenn ich sicher jemand sofort erreichen will ruf ihn an !
Am 15. Juni 2010 09:43 schrieb Ralf Hildebrandt Ralf.Hildebrandt@charite.de:
Außerdem passiert das ja nur beim erstenmal
Das habe ich denen auch versucht klarzumachen. Das Problem von denen ist halt wenn mal irgendwo wichtige Dokumente kommen und man den anderen noch nicht und im schlimmsten Fall dann 4 Stunden warten muss ist das für die auf keinem Fall hinzunehmen.
Chris
* Christopher Stolzenberg xchris89x@googlemail.com:
Am 15. Juni 2010 09:43 schrieb Ralf Hildebrandt Ralf.Hildebrandt@charite.de:
Außerdem passiert das ja nur beim erstenmal
Das habe ich denen auch versucht klarzumachen. Das Problem von denen ist halt wenn mal irgendwo wichtige Dokumente kommen und man den anderen noch nicht und im schlimmsten Fall dann 4 Stunden warten muss ist das für die auf keinem Fall hinzunehmen.
Ausserdem whitelistet postgrey den sendenden Server EH permanent nach einigen Mails
Am 15.06.2010 11:30, schrieb Christopher Stolzenberg:
Am 15. Juni 2010 09:43 schrieb Ralf Hildebrandt Ralf.Hildebrandt@charite.de:
Außerdem passiert das ja nur beim erstenmal
Das habe ich denen auch versucht klarzumachen. Das Problem von denen ist halt wenn mal irgendwo wichtige Dokumente kommen und man den anderen noch nicht und im schlimmsten Fall dann 4 Stunden warten muss ist das für die auf keinem Fall hinzunehmen.
Chris
Fax empfehlen
ansonsten hast du ja genug Tips bekommen wie du das in den Griff kriegen kannst
was haetten diese Leute nur frueher gemacht damals dauerte ein Eilbrief meist 24 Stunden *g
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Am 15. Juni 2010 11:53 schrieb Robert Schetterer robert@schetterer.org:
ansonsten hast du ja genug Tips bekommen wie du das in den Griff kriegen kannst
Hier nochmal vielen Dank für alle Vorschläge.
Für 2 Sachen habe ich mich jetzt entschieden:
1) selective greylisting 2) contentfilter mit Regel für extra Spamordner
Aber ich werde erst nochmal auf das Okay von der Firma warten ob das dann für die hinzunehmen wäre aber ich denke schon.
thx an Alle
Chris
Zitat von Christopher Stolzenberg xchris89x@googlemail.com:
Am 15. Juni 2010 11:53 schrieb Robert Schetterer robert@schetterer.org:
ansonsten hast du ja genug Tips bekommen wie du das in den Griff kriegen kannst
Hier nochmal vielen Dank für alle Vorschläge.
Für 2 Sachen habe ich mich jetzt entschieden:
- selective greylisting
- contentfilter mit Regel für extra Spamordner
Punkt 2) solltest du aber auf jeden Fall von der Geschäftsführung bestätigen lassen, da in diesem Fall Totalverlust von Mails *ohne* Rückmeldung und nicht nur Verzögerung möglich ist. Üblicherweise werden die Spamordner nach einiger Zeit wenn überhaupt dann nur sehr oberflächlich überprüft und Mails die unberechtigterweise dort landen entweder sehr spät bemerkt (mehrere Tage) oder gleich komplett gelöscht. Hat erst kürzlich wieder einen unserer Lieferanten den Auftrag gekostet...
Gruß
Andreas
On Behalf Of Christopher Stolzenberg
Am 15. Juni 2010 11:53 schrieb Robert Schetterer robert@schetterer.org:
ansonsten hast du ja genug Tips bekommen wie du das in den Griff kriegen kannst
Hier nochmal vielen Dank für alle Vorschläge.
Für 2 Sachen habe ich mich jetzt entschieden:
- selective greylisting
- contentfilter mit Regel für extra Spamordner
Aber ich werde erst nochmal auf das Okay von der Firma warten ob das dann für die hinzunehmen wäre aber ich denke schon.
thx an Alle
Chris
Zu 2)
Du kannst das auch variabel gestalten.
Als Beispiel: Spam Mails bis zu einem Score von 7.8 gehen in die Mailbox des Mitarbeiters und alles darüber hinaus geht in eine Quarantäne Mailbox die von der IT Abteilung (täglich) überwacht wird.
Ab einem Score von über 15 wäre es auch denkbar via reject die Mails mit Amavis komplett abzulehnen.
Gruß,
Morten
Am 15.06.2010 14:50, schrieb Morten P.D. Stevens:
On Behalf Of Christopher Stolzenberg
Am 15. Juni 2010 11:53 schrieb Robert Schetterer robert@schetterer.org:
ansonsten hast du ja genug Tips bekommen wie du das in den Griff kriegen kannst
Hier nochmal vielen Dank für alle Vorschläge.
Für 2 Sachen habe ich mich jetzt entschieden:
- selective greylisting
- contentfilter mit Regel für extra Spamordner
Aber ich werde erst nochmal auf das Okay von der Firma warten ob das dann für die hinzunehmen wäre aber ich denke schon.
thx an Alle
Chris
Zu 2)
Du kannst das auch variabel gestalten.
Als Beispiel: Spam Mails bis zu einem Score von 7.8 gehen in die Mailbox des Mitarbeiters und alles darüber hinaus geht in eine Quarantäne Mailbox die von der IT Abteilung (täglich) überwacht wird.
Ab einem Score von über 15 wäre es auch denkbar via reject die Mails mit Amavis komplett abzulehnen.
das geht normalerweise nur per milter im smtp income level, spam zu bouncen ( nach aussen ), nachdem er angenommen wurde , erzeugt backscatter ( belastigt im Zweifelsfall also Unbeteiligte was zum blacklisting fuehrt ) und ist in Deutschland verboten ( der Postbote darf deine Werbung Post nicht wegwerfen ), also bloss nicht so machen, oder eben mit amavis-milter ( falls moeglich ) oder mit spamass milter Quarantaine intern etc geht ok, wuerde ich mir aber sparen, einfach markieren und fertig , sollen die user selber filtern wenn du nett bist kannst du ihnen ja in einem webmail einen filter ermoeglichen ( sieve etc ), fragt sich dann aber ob sie das checken das man in Ordner sortierte Mails im Normalfall nicht mehr per pop3 runterladen kann, mit dovecot kann man aber sogar das loesen wenn man den spam ordner Namen zwingend vorschreibt usw usw mit greylisting hat das aber jetzt rein gar nichts mehr zu tun
Gruß,
Morten _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
On Behalf Of Robert Schetterer
Zu 2)
Du kannst das auch variabel gestalten.
Als Beispiel: Spam Mails bis zu einem Score von 7.8 gehen in die
Mailbox des Mitarbeiters und alles darüber hinaus geht in eine Quarantäne Mailbox die von der IT Abteilung (täglich) überwacht wird.
Ab einem Score von über 15 wäre es auch denkbar via reject die Mails
mit Amavis komplett abzulehnen.
das geht normalerweise nur per milter im smtp income level, spam zu bouncen ( nach aussen ), nachdem er angenommen wurde , erzeugt backscatter ( belastigt im Zweifelsfall also Unbeteiligte was zum blacklisting fuehrt ) und ist in Deutschland verboten ( der Postbote darf deine Werbung Post nicht wegwerfen ), also bloss nicht so machen, oder eben mit amavis-milter ( falls moeglich ) oder mit spamass milter Quarantaine intern etc geht ok, wuerde ich mir aber sparen, einfach markieren und fertig , sollen die user selber filtern wenn du nett bist kannst du ihnen ja in einem webmail einen filter ermoeglichen ( sieve etc ), fragt sich dann aber ob sie das checken das man in Ordner sortierte Mails im Normalfall nicht mehr per pop3 runterladen kann, mit dovecot kann man aber sogar das loesen wenn man den spam ordner Namen zwingend vorschreibt usw usw mit greylisting hat das aber jetzt rein gar nichts mehr zu tun
Hallo Robert,
wenn man Amavis als SMTP Proxy einsetzt wird die Mail direkt abgelehnt.
Stichwort: $final_spam_destiny = D_REJECT;
Gruß
Morten
Am 15. Juni 2010 15:38 schrieb Morten P.D. Stevens mstevens@imt-systems.com:
On Behalf Of Robert Schetterer
Zu 2)
Du kannst das auch variabel gestalten.
Als Beispiel: Spam Mails bis zu einem Score von 7.8 gehen in die
Mailbox des Mitarbeiters und alles darüber hinaus geht in eine Quarantäne Mailbox die von der IT Abteilung (täglich) überwacht wird.
Ab einem Score von über 15 wäre es auch denkbar via reject die Mails
mit Amavis komplett abzulehnen.
das geht normalerweise nur per milter im smtp income level, spam zu bouncen ( nach aussen ), nachdem er angenommen wurde , erzeugt backscatter ( belastigt im Zweifelsfall also Unbeteiligte was zum blacklisting fuehrt ) und ist in Deutschland verboten ( der Postbote darf deine Werbung Post nicht wegwerfen ), also bloss nicht so machen, oder eben mit amavis-milter ( falls moeglich ) oder mit spamass milter Quarantaine intern etc geht ok, wuerde ich mir aber sparen, einfach markieren und fertig , sollen die user selber filtern wenn du nett bist kannst du ihnen ja in einem webmail einen filter ermoeglichen ( sieve etc ), fragt sich dann aber ob sie das checken das man in Ordner sortierte Mails im Normalfall nicht mehr per pop3 runterladen kann, mit dovecot kann man aber sogar das loesen wenn man den spam ordner Namen zwingend vorschreibt usw usw mit greylisting hat das aber jetzt rein gar nichts mehr zu tun
Hallo Robert,
wenn man Amavis als SMTP Proxy einsetzt wird die Mail direkt abgelehnt.
Stichwort: $final_spam_destiny = D_REJECT;
Hi,
ich habe das jetzt so mit smtpd_proxy eingestellt.
In den Headers von eingehenden Mails sieht man keine ESMTP ID von Postfix mehr? ist das normal?
Nurnoch: (Postfix) with ESMTP; < wo is die ID?
Chris
Am 15.06.2010 15:38, schrieb Morten P.D. Stevens:
On Behalf Of Robert Schetterer
Zu 2)
Du kannst das auch variabel gestalten.
Als Beispiel: Spam Mails bis zu einem Score von 7.8 gehen in die
Mailbox des Mitarbeiters und alles darüber hinaus geht in eine Quarantäne Mailbox die von der IT Abteilung (täglich) überwacht wird.
Ab einem Score von über 15 wäre es auch denkbar via reject die Mails
mit Amavis komplett abzulehnen.
das geht normalerweise nur per milter im smtp income level, spam zu bouncen ( nach aussen ), nachdem er angenommen wurde , erzeugt backscatter ( belastigt im Zweifelsfall also Unbeteiligte was zum blacklisting fuehrt ) und ist in Deutschland verboten ( der Postbote darf deine Werbung Post nicht wegwerfen ), also bloss nicht so machen, oder eben mit amavis-milter ( falls moeglich ) oder mit spamass milter Quarantaine intern etc geht ok, wuerde ich mir aber sparen, einfach markieren und fertig , sollen die user selber filtern wenn du nett bist kannst du ihnen ja in einem webmail einen filter ermoeglichen ( sieve etc ), fragt sich dann aber ob sie das checken das man in Ordner sortierte Mails im Normalfall nicht mehr per pop3 runterladen kann, mit dovecot kann man aber sogar das loesen wenn man den spam ordner Namen zwingend vorschreibt usw usw mit greylisting hat das aber jetzt rein gar nichts mehr zu tun
Hallo Robert,
wenn man Amavis als SMTP Proxy einsetzt wird die Mail direkt abgelehnt.
Stichwort: $final_spam_destiny = D_REJECT;
Gruß
Morten
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
ich bin zugegebenermassen bei amavis nicht mehr auf dem Laufenden ich glaube frueher war dieses setup nicht empfohlen aber wie auch immer , in keinem Fall duerfen spam mails verworfen oder retur gebounced werden wenn sie erstmal angenommen wurden, wenn es ein funktionierendes amavis setup gibt das dies erfuellt ist das natuerlich ok
-----Original Message----- From: postfix-users-bounces+mstevens=imt-systems.com@de.postfix.org [mailto:postfix-users-bounces+mstevens=imt-systems.com@de.postfix.org] On Behalf Of Robert Schetterer Sent: Wednesday, June 16, 2010 9:05 AM To: postfix-users@de.postfix.org Subject: Re: [postfix-users] Alternative zu postgrey
ich bin zugegebenermassen bei amavis nicht mehr auf dem Laufenden ich glaube frueher war dieses setup nicht empfohlen aber wie auch immer , in keinem Fall duerfen spam mails verworfen oder retur gebounced werden wenn sie erstmal angenommen wurden, wenn es ein funktionierendes amavis setup gibt das dies erfuellt ist das natuerlich ok
-- Best Regards
MfG Robert Schetterer
Hi Robert,
wie du bereits erwähnt hast darf man auf keinem Fall Spam Mails automatisiert löschen oder in einen Bounce laufen lassen. Um die gesetzlichen Anforderungen in Deutschland zu erfüllen muss man eine Mail die angenommen wurde dem Benutzer auch entsprechend zustellen.
Wenn man Amavis als Pre-Queue Filter einsetzt mit $final_spam_destiny=D_REJECT; werden die Mails jedoch gar nicht erst angenommen sondern der sendende Mailserver bekommt im SMTP Dialog mit Postfix direkt ein REJECT.
Dadurch entstehen meiner Ansicht nach keine juristischen Probleme und auch keine sonstigen technischen Probleme. (Backscatter, Bounce ...)
Gruß
Morten
Am 21.06.2010 01:19, schrieb Morten P.D. Stevens:
-----Original Message----- From: postfix-users-bounces+mstevens=imt-systems.com@de.postfix.org [mailto:postfix-users-bounces+mstevens=imt-systems.com@de.postfix.org] On Behalf Of Robert Schetterer Sent: Wednesday, June 16, 2010 9:05 AM To: postfix-users@de.postfix.org Subject: Re: [postfix-users] Alternative zu postgrey
ich bin zugegebenermassen bei amavis nicht mehr auf dem Laufenden ich glaube frueher war dieses setup nicht empfohlen aber wie auch immer , in keinem Fall duerfen spam mails verworfen oder retur gebounced werden wenn sie erstmal angenommen wurden, wenn es ein funktionierendes amavis setup gibt das dies erfuellt ist das natuerlich ok
-- Best Regards
MfG Robert Schetterer
Hi Robert,
wie du bereits erwähnt hast darf man auf keinem Fall Spam Mails automatisiert löschen oder in einen Bounce laufen lassen. Um die gesetzlichen Anforderungen in Deutschland zu erfüllen muss man eine Mail die angenommen wurde dem Benutzer auch entsprechend zustellen.
Wenn man Amavis als Pre-Queue Filter einsetzt mit $final_spam_destiny=D_REJECT; werden die Mails jedoch gar nicht erst angenommen sondern der sendende Mailserver bekommt im SMTP Dialog mit Postfix direkt ein REJECT.
Dadurch entstehen meiner Ansicht nach keine juristischen Probleme und auch keine sonstigen technischen Probleme. (Backscatter, Bounce ...)
Gruß
Morten _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Hallo Morten, jep so meinte ich das auch, nur fueher war diese setup fuer amavis nicht empfohlen, ansonsten denke ich das thema ist geklaert
Für 2 Sachen habe ich mich jetzt entschieden:
- selective greylisting
Auf genau dieser Basis setze ich Greylisting bei mehreren Großkunden mit vielen tausend Mailboxen nahezu beschwerdefrei** ein. Kleiner Unterschied:
- Zu den Bürozeiten wird Greylisting nur selektiv durchgeführt (DynClients, usw) - Außerhalb dieser Zeiten wird Greylisting generell durchgeführt
Im Klartext als postfwd Regelwerk:
# regex gekürzt &&DYNCLIENTS { client_name ~= /^unknown$/; \
client_name~=/[_.-]([axt]{0,1}dsl|br(e|oa)dband|ppp|pppoe|dynamic|dynip|ADSL|dial(up|in)|pool|dhcp|leased)[_.-]/ ; \ ... };
# dynamic clients id=GREY01; &&DYNCLIENTS; action=greylisting
# out of office hours id=GREY02; time!=06:00:00-22:00:00; action=greylisting
** "nahezu beschwerdefrei" - in so einem Umfeld hast Du immer ein paar spezies, die es für eine gute Idee halten, überunternehmenskritische Verträge direkt von einer bulgarischen DSL Leitung aus zu versenden
Am 15.06.2010 15:23, schrieb Jan P. Kessler:
Für 2 Sachen habe ich mich jetzt entschieden:
- selective greylisting
Auf genau dieser Basis setze ich Greylisting bei mehreren Großkunden mit vielen tausend Mailboxen nahezu beschwerdefrei** ein. Kleiner Unterschied:
- Zu den Bürozeiten wird Greylisting nur selektiv durchgeführt
(DynClients, usw)
- Außerhalb dieser Zeiten wird Greylisting generell durchgeführt
Im Klartext als postfwd Regelwerk:
# regex gekürzt &&DYNCLIENTS { client_name ~= /^unknown$/; \
client_name~=/[_.-]([axt]{0,1}dsl|br(e|oa)dband|ppp|pppoe|dynamic|dynip|ADSL|dial(up|in)|pool|dhcp|leased)[_.-]/ ; \ ... };
# dynamic clients id=GREY01; &&DYNCLIENTS; action=greylisting
# out of office hours id=GREY02; time!=06:00:00-22:00:00; action=greylisting
** "nahezu beschwerdefrei" - in so einem Umfeld hast Du immer ein paar spezies, die es für eine gute Idee halten, überunternehmenskritische Verträge direkt von einer bulgarischen DSL Leitung aus zu versenden
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
aehm das mit den Buerozeiten kann aber international nicht optimal funktionieren , und warum nicht einfach immer selectiv?
aehm das mit den Buerozeiten kann aber international nicht optimal funktionieren , und warum nicht einfach immer selectiv?
Klar, es kommt immer auf das Umfeld an. Hier gilt: Ganz egal, wann Amis, Inder oder Chinesen mailen - außerhalb der genannten Zeiten liest niemand die Mails. Daher spielen die Verzögerungen keine Rolle. In einem kompletten 24x7 Umfeld bringt das natürlich nichts.
Und weshalb noch eine Spur schärfer als das 'normale' selektive Greylisting? Weil die Regexps, die die dynamischen Clients ermitteln, niemals perfekt sind und ich so vll, ohne jmd Schmerzen zuzufügen, nochmal 0,001% erwische. Bei über 'ner Millionen Mails am Tag durchaus signifikant.
On Behalf Of Christopher Stolzenberg
Am 15. Juni 2010 09:43 schrieb Ralf Hildebrandt Ralf.Hildebrandt@charite.de:
Außerdem passiert das ja nur beim erstenmal
Das habe ich denen auch versucht klarzumachen. Das Problem von denen ist halt wenn mal irgendwo wichtige Dokumente kommen und man den anderen noch nicht und im schlimmsten Fall dann 4 Stunden warten muss ist das für die auf keinem Fall hinzunehmen.
Ah ja "WICHTIGE" Dokumente unverschlüsselt Klartext über ein Medium in dem "Jeder" mitlesen kann?
Die 4 Stunden sind von der Gegenseite zu vertreten! Wenn der bei einem Tempfehler nicht sendet dann sendet er eben nicht. Da ist es egal ob dein Server oder seiner zu dem Zeitpunkt überlastet war oder die Leitung mal kurz weggebrochen ist oder DNS ausgefallen oder in China ein Sack Reis umgefallen ist.
Der Absender ist für das schnelle versenden zuständig und wenns nicht geht auch für die Wiederholung. Sonst niemand und keiner NUR der Versender.
Mit freundlichen Grüßen
Drießen
Am 14.06.2010 23:28, schrieb Patrick Ben Koetter:
- Christopher Stolzenberg postfix-users@de.postfix.org:
heute musste jemand in der Firma wo ich Postgrey installiert habe ein Mitarbeiter über 4 Stunden auf eine Mail warten... deswegen wurde mir gesagt das die Lösung mit Mails erstmal abweisen unprofessionell und auf Dauer nicht akzeptabel ist...
Ich persönlich mag Greylisting auch nicht, aber "unprofessionell und auf Dauer nicht akzeptabel" würde ich es nicht nennen. Im Gegenteil, die Meisten scheinen bereit die (möglichen) Verzögerungen von Greylisting billigend in Kauf zu nehmen, wenn es ihnen Spam vom Leibe hält.
Die Frage ist IMO, ob das Unternehmen Greylisting akkzeptabel für sein Mail-Policy hält.
Was soll ich nun machen? Gibt es noch Möglichkeiten die genauso gut sind? Mit Postgrey konnte ich in dieser Umgebung den Spam fast auf 0 reduzieren und jetzt soll ich´s wieder abschalten aber gleichzeitig dafür sorgen das die Spammails weiterhin so niedrig bleiben...
Im Prinzip wirst Du mit Greylisting viele Spam-Clients aus Botnetzen los
kann ich hier so nicht bestaetigen, meine bots kommen sogar nach 10 h firewalling wieder, greylisting ist zwar unverzichtbar hilft aber nur noch gegen dumme bots, und die sind zumindest hier fast ausgestorben
und
diese Netze sind es, die Du blocken willst, denn Botnetze sind das Spam-Problem (open relays etc. gibt es auch aber die sind verschwindend verglichen mit den Botnetzen).
Was Du also willst, sind Methoden um Botnetz-Clients loszuwerden. Mit IP-basierten Blacklisten wird das schwierig, weil die meist auf einzelne Hosts gehen - bei Botnetzen mit mehreren Mio. Clients sind einzelne, gelistete IPs nicht effektiv.
Erfolgreicher wirst Du mit einer Policy sein, die nur Nachrichten von statischen IPs aus Business-IP-Ranges annimmt, also alles aus
- Dial-In Netze blockt
- Dynamischen DSL-Netzen blockt
- Annahme ablehnt wenn kein rDNS vorhanden ist
- ...
Das ist eine harte Policy und Du kannst Dich darauf gefaßt machen, dass es da auch einige "Gute" treffen wird.
UND... Du kannst Postfix 2.8 development installieren und mit dem neuen postscreen daemon sog. "Earlytalkers" ablehnen. Das "zu frühe Loslabern" scheint auch ein Wesenszug von Bots zu sein.
jep, aber auch das wird sich logischerweise nach massen einfuehrung von postscreen wieder aendern
Als Blacklists habe ich im Einsatz: ix.dnsbl.manitu.net und zen.spamhaus.org.
Beides sind sehr effektive Listen.
Was hast Du denn sonst so am Start?
p@rick
On Behalf Of Christopher Stolzenberg
Hi,
heute musste jemand in der Firma wo ich Postgrey installiert habe ein Mitarbeiter über 4 Stunden auf eine Mail warten... deswegen wurde mir gesagt das die Lösung mit Mails erstmal abweisen unprofessionell und auf Dauer nicht akzeptabel ist...
Das da 4 Stunden auf eine Mail gewartet werden muß liegt nicht am Postgrey sondern am senden Server. Postgrey nimmt alles an was (standard 5 min) später wieder versucht wird zuzustellen. Ist das gleiche Verhalten wenn ein Server unter Last steht. Ist eine Absender Mail erstmal in der lokalen Database dann wird diese auch nicht mehr verzögert sondern sofort angenommen!! Das gilt solange wie die Mail innerhalb eines bestimmten Zeitraums (ich glaube 30 Tagen) immer wieder kommt. Es werden nur die neuen und die seltenen Mailadressen verzögert.
Ich glaube mit warn_if_reject kannst du am Anfang sogar einfach dein System trainieren und schaltest es erst in 4 Wochen scharf. Dann hast du nicht sofort die Verzögerungen die so negativ auffallen.
Setze Greylisting selectiv ein:
In der main.cf
Unter den smtpd_recipient_restrictions = ....
check_client_access pcre:/etc/postfix/maps/dialups.grey
dazu die restrictionsclass
smtpd_restriction_classes = greylisting
greylisting = check_policy_service inet:127.0.0.1:60000
/etc/postfix/maps/dialups.grey:
/eu.blackberry.com$/ DUNNO /(-.+){4}$/ greylisting /(..+){4}$/ greylisting # everything with 3 or more dots/hyphens in the hostname
/(^|[0-9.x_-])(abo|br(e|oa)dband|cabel|(hk)?cablep?|catv|cbl|cidr|d?client2?|cust(omer)?s? |dhcp|dial?(in|up)?|d[iu]p|[asx]?dsld?|dyn(a(dsl|mic)?)?|home|in-addr|modem(cable)?|(di)?p ool|ppp|ptr|rev|static|user|YahooBB[0-9]{12}|c[[:alnum:]]{6,}(.[a-z]{3})?.virtua|[1-9]Cu st[0-9]+|AC[A-Z][0-9A-F]{5}.ipt|pcp[0-9]{6,}pcs|S0106[[:alnum:]]{12,}.[a-z]{2})[0-9.x_-] / greylisting /.(g.|.u|.z|org|info|si|ru|br|sk|pe|ro|eg|in|lv|gr|za|net|com|br|jp|ca|co|cz|cy|in|il|it| mx|pl|pt|ua|ar|th|no|th|nl|ma|nu|ee|pe|se|ux|lt)$/ greylisting /clients.your-server.de$/ greylisting /unknown/ greylisting /agnitas.de/ greylisting
Und schon werden nur noch entsprechende Toplevel und Domains mit den obigen Merkmalen greylistet
Was soll ich nun machen? Gibt es noch Möglichkeiten die genauso gut sind? Mit Postgrey konnte ich in dieser Umgebung den Spam fast auf 0 reduzieren und jetzt soll ich´s wieder abschalten aber gleichzeitig dafür sorgen das die Spammails weiterhin so niedrig bleiben...
*gg einen Tod muß dein Chef sterben entweder Spam oder am Anfang mal ein paar Verzögerungen beim Mailversand hinnehmen.
Du kannst die Zeit auch entsprechend anpassen von 5 min auf 1 min wobei der Absendende Server für die erneute Zustellung zuständig ist wenn der erst nach 4 Stunden wieder sendet dann tut er das halt erst dann. Und wer sagt denn das Mail ein Echtzeit Kommunikationsmittel ist? Dann muß dein Chef ein telegramm schicken und das dauert auch ein paar stunden oder Fax nehmen und in Kauf nehmen das auf der anderen Seite besetzt ist oder telefonieren und und versuchen bei einem besetzten Anschluss durchzukommen.
Mail ist nicht anders.
Als Blacklists habe ich im Einsatz: ix.dnsbl.manitu.net und zen.spamhaus.org.
thx
Chris
Mit freundlichen Grüßen
Drießen
Am 14. Juni 2010 23:33 schrieb Uwe Driessen driessen@fblan.de:
Ich glaube mit warn_if_reject kannst du am Anfang sogar einfach dein System trainieren und schaltest es erst in 4 Wochen scharf. Dann hast du nicht sofort die Verzögerungen die so negativ auffallen.
Das ist eine gute Idee... bringt bei neuen Geschäftskontakten allerdings leider nichts :(
Setze Greylisting selectiv ein:
In der main.cf
Unter den smtpd_recipient_restrictions = ....
check_client_access pcre:/etc/postfix/maps/dialups.grey
dazu die restrictionsclass
smtpd_restriction_classes = greylisting
greylisting = check_policy_service inet:127.0.0.1:60000
/etc/postfix/maps/dialups.grey:
/eu.blackberry.com$/ DUNNO /(-.+){4}$/ greylisting /(..+){4}$/ greylisting # everything with 3 or more dots/hyphens in the hostname
/(^|[0-9.x_-])(abo|br(e|oa)dband|cabel|(hk)?cablep?|catv|cbl|cidr|d?client2?|cust(omer)?s? |dhcp|dial?(in|up)?|d[iu]p|[asx]?dsld?|dyn(a(dsl|mic)?)?|home|in-addr|modem(cable)?|(di)?p ool|ppp|ptr|rev|static|user|YahooBB[0-9]{12}|c[[:alnum:]]{6,}(.[a-z]{3})?.virtua|[1-9]Cu st[0-9]+|AC[A-Z][0-9A-F]{5}.ipt|pcp[0-9]{6,}pcs|S0106[[:alnum:]]{12,}.[a-z]{2})[0-9.x_-] / greylisting /.(g.|.u|.z|org|info|si|ru|br|sk|pe|ro|eg|in|lv|gr|za|net|com|br|jp|ca|co|cz|cy|in|il|it| mx|pl|pt|ua|ar|th|no|th|nl|ma|nu|ee|pe|se|ux|lt)$/ greylisting /clients.your-server.de$/ greylisting /unknown/ greylisting /agnitas.de/ greylisting
Und schon werden nur noch entsprechende Toplevel und Domains mit den obigen Merkmalen greylistet
Sehr gute Idee. Das wäre dann praktisch so das man dynamische IP´s nicht komplett blockt sondern halt greylisted aber sonst alle durchlässt?
Alles andere kommt wie gewohnt ohne Verzögerung rein?
*gg einen Tod muß dein Chef sterben entweder Spam oder am Anfang mal ein paar Verzögerungen beim Mailversand hinnehmen.
Du kannst die Zeit auch entsprechend anpassen von 5 min auf 1 min wobei der Absendende Server für die erneute Zustellung zuständig ist wenn der erst nach 4 Stunden wieder sendet dann tut er das halt erst dann. Und wer sagt denn das Mail ein Echtzeit Kommunikationsmittel ist? Dann muß dein Chef ein telegramm schicken und das dauert auch ein paar stunden oder Fax nehmen und in Kauf nehmen das auf der anderen Seite besetzt ist oder telefonieren und und versuchen bei einem besetzten Anschluss durchzukommen.
Mail ist nicht anders.
Sehe ich auch so...
thx für deine guten Vorschläge.
Chris
Hallo Christopher,
dieses Problem hatten wir mit Kunden teilweise auch schon. Wir haben das so gelöst, dass alle Mails die mit ***SPAM*** gekennzeichnet wurden automatisch in einen Spam Ordner des Benutzers laufen. Letztlich lassen wir mehr Spam Mails durch, die den Benutzer allerdings kaum beeinflussen, da die von Spamassassin (oder in Verbindung mit amavis) erkannten Spam Mails in einen gesonderten Ordner des Benutzers laufen.
Wenn man Spamassassin und Amavis gut konfiguriert hat funktioniert das nach meiner Erfahrung sehr gut.
Irgendwo muss man am Ende immer Abwegen einen Kompromiss eingehen und es wird keine perfekte Lösung geben.
Viele Grüße aus Frankfurt,
Morten Stevens
-----Original Message----- From: postfix-users-bounces+mstevens=imt-systems.com@de.postfix.org [mailto:postfix-users-bounces+mstevens=imt-systems.com@de.postfix.org] On Behalf Of Christopher Stolzenberg Sent: Monday, June 14, 2010 11:08 PM To: Mailing-Liste der deutschsprachigen Postfix Gemeinschaft Subject: [postfix-users] Alternative zu postgrey
Hi,
heute musste jemand in der Firma wo ich Postgrey installiert habe ein Mitarbeiter über 4 Stunden auf eine Mail warten... deswegen wurde mir gesagt das die Lösung mit Mails erstmal abweisen unprofessionell und auf Dauer nicht akzeptabel ist...
Was soll ich nun machen? Gibt es noch Möglichkeiten die genauso gut sind? Mit Postgrey konnte ich in dieser Umgebung den Spam fast auf 0 reduzieren und jetzt soll ich´s wieder abschalten aber gleichzeitig dafür sorgen das die Spammails weiterhin so niedrig bleiben...
Als Blacklists habe ich im Einsatz: ix.dnsbl.manitu.net und zen.spamhaus.org.
thx
Chris
On Behalf Of Morten P.D. Stevens Hallo Morten
Hallo Christopher,
dieses Problem hatten wir mit Kunden teilweise auch schon. Wir haben das so gelöst, dass alle Mails die mit ***SPAM*** gekennzeichnet wurden automatisch in einen Spam Ordner des Benutzers laufen. Letztlich lassen wir mehr Spam Mails durch, die den Benutzer allerdings kaum beeinflussen, da die von Spamassassin (oder in Verbindung mit amavis) erkannten Spam Mails in einen gesonderten Ordner des Benutzers laufen.
Sind das die Ordner deren Inhalt die User ungeprüft markieren und löschen oder gar nicht kontrollieren? *gg
Wenn man Spamassassin und Amavis gut konfiguriert hat funktioniert das nach meiner Erfahrung sehr gut.
Das ist richtig. Gefahr steht oben. Und geht es um geschäftliche Mails von denen man annimmt das sie als zugestellt gelten welche unter die Falsepositiven fallen und nicht direkt rejectet wurden ....
Kann auch Haarig werden und es soll sogar schon Prozesse um solche Mails gegeben haben. Ist der Spamanteil über einer gewissen Anzahl täglich kontrolliert der Durchschnittsuser seinen Spamordner nicht mehr womit es durchaus zum Verlust von wichtigen Mails kommt.
Bis 10 Mails täglich die als Spam getact werden schaut sich der User noch an (kann man auch ins "normale" Verzeichnis legen) Geht es über die 10 Spammails tgl. dann ist die Gefahr dass der User die einfach löscht schon sehr groß Ab 100 würde ich auch nicht mehr kontrollieren weil was auf den ersten Blick wie Spam aussieht schaue ich nicht mehr rein sondern lösche einfach. Bei der Post macht man ja auch 2 Haufen "wichtige" und die die direkt Ablage P wandert.
Was über einem gewissen Score liegt dann lieber direkt zurück zum Absender mit Pre-Queue und den rest so zustellen das der User die Mails auch anschaut.
Irgendwo muss man am Ende immer Abwegen einen Kompromiss eingehen und es wird keine perfekte Lösung geben.
Viele Grüße aus Frankfurt,
Morten Stevens
Mit freundlichen Grüßen
Drießen
Hallo Uwe,
potenzielle Spam Mails die automatisch in die Spam Ordner der entsprechenden Benutzer gehen muss man selbstverständlich in Grenzen halten. Schon 10 pro Tag ist da meiner Ansicht nach zu viel.
Bei der Filtermethode ohne Greylisting setzen wir natürlich noch diverse andere Verfahren wie policyd und individuelle Regeln ein unter anderem auch das blocken von dynamischen IP Adressen. Auf deiner Webseite hast du dazu übrigens schöne Beispiele wie man derartiges realisieren kann. Demzufolge hält sich die Anzahl der Mails die in die Spam Ordner wandern doch stark in Grenzen.
Wenn man die Logs regelmäßig analyisiert kann man auch effektiv eigene Filterregeln in Postfix einbauen. Allerdings erfordert das natürlich schon einen hohen Zeitaufwand.
Insgesamt kann man mit den anderen Varianten auch sehr gute Ergebnisse erzielen. Allerdings würde ich schon sagen, dass Greylisting definitiv out of the box schneller einsatzbereit ist und effektiv einen Großteil der Spammer wie Botnetze abhält.
Am Ende muss jeder selbst entscheiden wie viel Aufwand, Zeit und vor allem auch Geld man dafür investieren möchte.
Gruß aus Frankfurt,
Morten Stevens
-----Original Message----- From: postfix-users-bounces+mstevens=imt-systems.com@de.postfix.org [mailto:postfix-users-bounces+mstevens=imt-systems.com@de.postfix.org] On Behalf Of Uwe Driessen Sent: Tuesday, June 15, 2010 1:09 AM To: 'Mailing-Liste der deutschsprachigen Postfix Gemeinschaft' Subject: Re: [postfix-users] Alternative zu postgrey
On Behalf Of Morten P.D. Stevens Hallo Morten
Hallo Christopher,
dieses Problem hatten wir mit Kunden teilweise auch schon. Wir haben
das so gelöst, dass
alle Mails die mit ***SPAM*** gekennzeichnet wurden automatisch in
einen Spam Ordner des
Benutzers laufen. Letztlich lassen wir mehr Spam Mails durch, die den
Benutzer
allerdings kaum beeinflussen, da die von Spamassassin (oder in
Verbindung mit amavis)
erkannten Spam Mails in einen gesonderten Ordner des Benutzers
laufen.
Sind das die Ordner deren Inhalt die User ungeprüft markieren und löschen oder gar nicht kontrollieren? *gg
Wenn man Spamassassin und Amavis gut konfiguriert hat funktioniert
das nach meiner
Erfahrung sehr gut.
Das ist richtig. Gefahr steht oben. Und geht es um geschäftliche Mails von denen man annimmt das sie als zugestellt gelten welche unter die Falsepositiven fallen und nicht direkt rejectet wurden ....
Kann auch Haarig werden und es soll sogar schon Prozesse um solche Mails gegeben haben. Ist der Spamanteil über einer gewissen Anzahl täglich kontrolliert der Durchschnittsuser seinen Spamordner nicht mehr womit es durchaus zum Verlust von wichtigen Mails kommt.
Bis 10 Mails täglich die als Spam getact werden schaut sich der User noch an (kann man auch ins "normale" Verzeichnis legen) Geht es über die 10 Spammails tgl. dann ist die Gefahr dass der User die einfach löscht schon sehr groß Ab 100 würde ich auch nicht mehr kontrollieren weil was auf den ersten Blick wie Spam aussieht schaue ich nicht mehr rein sondern lösche einfach. Bei der Post macht man ja auch 2 Haufen "wichtige" und die die direkt Ablage P wandert.
Was über einem gewissen Score liegt dann lieber direkt zurück zum Absender mit Pre-Queue und den rest so zustellen das der User die Mails auch anschaut.
Irgendwo muss man am Ende immer Abwegen einen Kompromiss eingehen und
es wird keine
perfekte Lösung geben.
Viele Grüße aus Frankfurt,
Morten Stevens
Mit freundlichen Grüßen
Drießen
-- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
* Christopher Stolzenberg xchris89x@googlemail.com:
Hi,
heute musste jemand in der Firma wo ich Postgrey installiert habe ein Mitarbeiter über 4 Stunden auf eine Mail warten... deswegen wurde mir gesagt das die Lösung mit Mails erstmal abweisen unprofessionell und auf Dauer nicht akzeptabel ist...
Und warum hat der unprofessionelle Server auf der anderen Seite es erst nach 4 Stunden wieder probiert?
Am 15. Juni 2010 09:42 schrieb Ralf Hildebrandt Ralf.Hildebrandt@charite.de:
- Christopher Stolzenberg xchris89x@googlemail.com:
Und warum hat der unprofessionelle Server auf der anderen Seite es erst nach 4 Stunden wieder probiert?
Weil er überlastet war?
Wie oft probiert es Postfix denn immer? Weiss das jemand auf Standardeinstellungen?
* Christopher Stolzenberg xchris89x@googlemail.com:
Am 15. Juni 2010 09:42 schrieb Ralf Hildebrandt Ralf.Hildebrandt@charite.de:
- Christopher Stolzenberg xchris89x@googlemail.com:
Und warum hat der unprofessionelle Server auf der anderen Seite es erst nach 4 Stunden wieder probiert?
Weil er überlastet war?
Kann ja nicht sein, er hat's ja schon <5 Minuten nochmal probiert.
Wie oft probiert es Postfix denn immer?
zwischen maximal_backoff_time = 4000s und minimal_backoff_time = 300s solange bis bounce_queue_lifetime = 3d oder maximal_queue_lifetime = 5d überschritten ist
Weiss das jemand auf Standardeinstellungen?
Die Frage verstehe ich nicht
Am 14.06.2010 23:08, schrieb Christopher Stolzenberg:
Hi,
heute musste jemand in der Firma wo ich Postgrey installiert habe ein Mitarbeiter über 4 Stunden auf eine Mail warten... deswegen wurde mir gesagt das die Lösung mit Mails erstmal abweisen unprofessionell und auf Dauer nicht akzeptabel ist...
Was soll ich nun machen? Gibt es noch Möglichkeiten die genauso gut sind? Mit Postgrey konnte ich in dieser Umgebung den Spam fast auf 0 reduzieren und jetzt soll ich´s wieder abschalten aber gleichzeitig dafür sorgen das die Spammails weiterhin so niedrig bleiben...
Als Blacklists habe ich im Einsatz: ix.dnsbl.manitu.net und zen.spamhaus.org.
thx
Chris _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
du solltest greylisting nur selelctiv einsetzen das reicht voellig, und die whitelist option von postgrey benutzen es ist ziemlich .... alles zu greylisten
guggste hier http://www.arschkrebs.de/postfix/postfix_greylisting.shtml
Am 15. Juni 2010 09:47 schrieb Robert Schetterer robert@schetterer.org:
du solltest greylisting nur selelctiv einsetzen das reicht voellig, und die whitelist option von postgrey benutzen es ist ziemlich .... alles zu greylisten
guggste hier http://www.arschkrebs.de/postfix/postfix_greylisting.shtml
Diese Lösung werde ich vorschlagen.
Chris
Zitat von Christopher Stolzenberg xchris89x@googlemail.com:
Hi,
heute musste jemand in der Firma wo ich Postgrey installiert habe ein Mitarbeiter über 4 Stunden auf eine Mail warten... deswegen wurde mir gesagt das die Lösung mit Mails erstmal abweisen unprofessionell und auf Dauer nicht akzeptabel ist...
Die 4 Stunden werden durch den Sender verursacht (retry interval) und e-Mail ist immer store-and-forward und kein live-chat... Unprofessionell sind Inhalts basierte Filter die gerne teuer verkauft werden.
Was soll ich nun machen? Gibt es noch Möglichkeiten die genauso gut sind? Mit Postgrey konnte ich in dieser Umgebung den Spam fast auf 0 reduzieren und jetzt soll ich´s wieder abschalten aber gleichzeitig dafür sorgen das die Spammails weiterhin so niedrig bleiben...
Auf jeden Fall "--auto-whitelist-clients=1" und z.b. "--max-age=180", damit werden nach einer gewissen Zeit die Verzögerungen gegen Null gehen, da alle Partner Mailserver bekannt sind.
Gruß
Andreas
Hallo Zusammen!
Ich bin immer wieder erstaunt, über zwei Dinge:
1.) fehlende Anforderungen vor Implementierung einer Lösung (hier Spamschutz)
2.) fehlende Kommunikation zwischen Technik und Anwender über die Funktion / Einschränkungen eines Lösungsansatzes
Also mal ganz abgesehen von den technischen Finessen der Implementierung die hier diskutiert werden, kann ich nur sagen.
Rede mit den Auftraggebern / Anwendern möglichst bevor eine Lösung implementiert wird und denkt immer daran:
"Wasch mich, aber mach mich nicht nass" gibts nicht!
Gruß
Helmut
-----Ursprüngliche Nachricht----- Von: postfix-users-bounces+weigel=dfbnet.org@de.postfix.org [mailto:postfix-users-bounces+weigel=dfbnet.org@de.postfix.org] Im Auftrag von lst_hoe02@kwsoft.de Gesendet: Dienstag, 15. Juni 2010 10:36 An: postfix-users@de.postfix.org Betreff: Re: [postfix-users] Alternative zu postgrey
Zitat von Christopher Stolzenberg xchris89x@googlemail.com:
Hi,
heute musste jemand in der Firma wo ich Postgrey installiert habe ein Mitarbeiter über 4 Stunden auf eine Mail warten... deswegen wurde
mir
gesagt das die Lösung mit Mails erstmal abweisen unprofessionell und auf Dauer nicht akzeptabel ist...
Die 4 Stunden werden durch den Sender verursacht (retry interval) und e-Mail ist immer store-and-forward und kein live-chat... Unprofessionell sind Inhalts basierte Filter die gerne teuer verkauft werden.
Was soll ich nun machen? Gibt es noch Möglichkeiten die genauso gut sind? Mit Postgrey konnte ich in dieser Umgebung den Spam fast auf 0 reduzieren und jetzt soll ich´s wieder abschalten aber gleichzeitig dafür sorgen das die Spammails weiterhin so niedrig bleiben...
Auf jeden Fall "--auto-whitelist-clients=1" und z.b. "--max-age=180", damit werden nach einer gewissen Zeit die Verzögerungen gegen Null gehen, da alle Partner Mailserver bekannt sind.
Gruß
Andreas
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
This email has been scanned by the MessageLabs Email Security System. For more information please visit http://www.messagelabs.com/email ______________________________________________________________________
-------- Original-Nachricht --------
Datum: Mon, 14 Jun 2010 23:08:15 +0200 Von: Christopher Stolzenberg xchris89x@googlemail.com An: Mailing-Liste der deutschsprachigen Postfix Gemeinschaft postfix-users@de.postfix.org Betreff: [postfix-users] Alternative zu postgrey
Hi,
Hallo,
heute musste jemand in der Firma wo ich Postgrey installiert habe ein Mitarbeiter über 4 Stunden auf eine Mail warten...
kann mal immer vorkommen.
deswegen wurde mir gesagt das die Lösung mit Mails erstmal abweisen unprofessionell und auf Dauer nicht akzeptabel ist...
Da verwechselst Du was. Von Abweisen kann keine Rede sein. Es ist keine Abweisung (5xx Fehler) sondern ein temporärer Fehler (4xx).
Was soll ich nun machen? Gibt es noch Möglichkeiten die genauso gut sind? Mit Postgrey konnte ich in dieser Umgebung den Spam fast auf 0 reduzieren und jetzt soll ich´s wieder abschalten aber gleichzeitig dafür sorgen das die Spammails weiterhin so niedrig bleiben...
Selektives Greylisting kann ich Dir empfehlen.
Als Blacklists habe ich im Einsatz: ix.dnsbl.manitu.net und zen.spamhaus.org.
Habe bei mir mehr im Einsatz. Aber nicht in Postfix direkt (das ist mir zu kritisch), sondern über policyd-weight. Habe das policyd-weight zudem noch um das Regelwerk von S25R (http://gabacho.reto.jp/en/anti-spam/) erweitert, Gewichtung nach Kontinent/Land (mit Hilfe von GeoIP), Gewichtung nach Betriebssystem (mit Hilfe von p0f (http://lcamtuf.coredump.cx/p0f.shtml)), Gewichtung nach Distanz (das habe ich eingebaut nach dem ich von SNARE (http://www.technologyreview.com/communications/23086/) gelesen habe), Gewichtung nach ASN, usw
Zudem sperre ich für jeweils 600 Sekunden noch mit fail2ban (http://www.fail2ban.org/) die unverbesserlichen Spammer/Bots mit eigenen Filtern wenn sie gewisse Fehler machen (z.B. directory attacks, zu viele SMTP Fehler, etc).
Das zusammen fängt bei mir den grössten Teil von Spams ab.
Wenn Du offen bist für eine neuere Greylisting Lösung, dann würde ich Dir nahe legen Dir mal GROSS (http://code.google.com/p/gross/) an zu schauen. Das kann mit DNSBL/RHBL/DNSWL etc intern ein selektives Greylisting machen ohne dass Du jetzt was innerhalb von Postfix mit Restriction Classes machen musst.
thx
Chris
Steve
participants (11)
-
Christopher Stolzenberg -
David Bletgen -
Helmut Weigel -
Jan P. Kessler -
lst_hoe02@kwsoft.de -
Morten P.D. Stevens -
Patrick Ben Koetter -
Ralf Hildebrandt -
Robert Schetterer -
Steve -
Uwe Driessen