ich werde der Spamflut nicht Herr - postfix amavis-new dovecot
Seit Wochen versuche ich nun schon, die Spamflut an meinen account auf einem Server (Ubuntu 16.04 LTS) einzudämmen. Schicke immer manuell täglich allen Junk aus meiner Thunderbird inbox in den Junk-Folder (das sind täglich ca. 70-100, alle der Sorte Nagelpilz, Betriebshaftpflicht, Reichwerdeprogramme, PKV, und andere Dienstleistungen aus dem XXX-Bereich).
Manchmal ist eine Mail dabei, die mit ***** SPAM ***** markiert ist, ich habe aber extra das SPAM-Pattern in ++++ SPAM ++++ geändert, damit ich sehen kann, daß es von meinem lokalen Filter generiert wurde und nicht bereits im Subject vorhanden war, als die Mail eintraf.
Ich habe hier mal so einen Header herausgegriffen (Adressen modifiziert):
Return-Path: spammer@spamsite.com Delivered-To: thatsme@mydomain.org Received: from mail.mydomain.org by mydomain.org (Dovecot) with LMTP id QgXsNmItxlikaQAAXmd1zw for thatsme@mydomain.org; Mon, 13 Mar 2017 06:25:54 +0100 Received: from localhost (localhost [127.0.0.1]) by mail.mydomain.org (Postfix) with ESMTP id D6DD82106AB for thatsme@mydomain.org; Mon, 13 Mar 2017 06:25:54 +0100 (CET) X-Spam-Flag: NO X-Spam-Score: 1.275 X-Spam-Level: * X-Spam-Status: No, score=1.275 required=5 tests=[HTML_MESSAGE=0.001, RDNS_NONE=1.274] autolearn=no autolearn_force=no Received: from mail.mydomain.org ([127.0.0.1]) by localhost (mail.mydomain.org [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id z8AeaCeujJbg for thatsme@mydomain.org; Mon, 13 Mar 2017 06:25:54 +0100 (CET) Received: from www.spamsite.com (unknown [67.231.106.60]) by mail.mydomain.org (Postfix) with ESMTP id 0ACC82106AA for thatsme@mydomain.org; Mon, 13 Mar 2017 06:25:53 +0100 (CET) Date: Sun, 12 Mar 2017 23:25:47 -0600 To: thatsme@mydomain.org From: Megan spammer@spamsite.com Subject: =?utf-8?Q?Having_invested_1000$_i=E2=80=99ve_earned_12000$_for_a_week?= Message-ID: 413bcf25601d2543b66f351d177c82d2@www.spamsite.com X-Priority: 3 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="b1_413bcf25601d2543b66f351d177c82d2" Content-Transfer-Encoding: 8bit
--b1_413bcf25601d2543b66f351d177c82d2 Content-Type: text/plain; charset=us-ascii
Developer wrote application of market trading without human interaction. This application is available to every man. With every new man has downloaded it and installed - it becomes smarter. For year it successfully trades on market making huge income for every owner of the app. Make it in time to become rich. Earn lots of money before app became forbidden!
[ http://www.spamsite.com/menu.php?n=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx... ] It is free and you can get it here
Auch schicke ich mittlerweile immer mal wieder "gute" Mail in einen ham-Ordner zum Lernen.
Nützt alles nichts.
Wäre jetzt dieses Forum ein Platz für derartige Fragen oder gibt es noch was spezielleres?
Grüße
Christoph
Hallo zusammen,
Mon, 13 Mar 2017 10:42:22 +0100 Christoph Kukulies kuku@kukulies.org ==> postfix-users@de.postfix.org :
Seit Wochen versuche ich nun schon, die Spamflut an meinen account auf einem Server (Ubuntu 16.04 LTS) einzudämmen. Schicke immer manuell täglich allen Junk aus meiner Thunderbird inbox in den Junk-Folder (das sind täglich ca. 70-100, alle der Sorte Nagelpilz, Betriebshaftpflicht, Reichwerdeprogramme, PKV, und andere Dienstleistungen aus dem XXX-Bereich).
Manchmal ist eine Mail dabei, die mit ***** SPAM ***** markiert ist, ich habe aber extra das SPAM-Pattern in ++++ SPAM ++++ geändert, damit ich sehen kann, daß es von meinem lokalen Filter generiert wurde und nicht bereits im Subject vorhanden war, als die Mail eintraf.
Ich habe hier mal so einen Header herausgegriffen (Adressen modifiziert):
Return-Path: <spammer@spamsite.com> Delivered-To: thatsme@mydomain.org Received: from mail.mydomain.org by mydomain.org (Dovecot) with LMTP id QgXsNmItxlikaQAAXmd1zw for <thatsme@mydomain.org>; Mon, 13 Mar 2017 06:25:54 +0100 Received: from localhost (localhost [127.0.0.1]) by mail.mydomain.org (Postfix) with ESMTP id D6DD82106AB for <thatsme@mydomain.org>; Mon, 13 Mar 2017 06:25:54 +0100 (CET) X-Spam-Flag: NO X-Spam-Score: 1.275 X-Spam-Level: * X-Spam-Status: No, score=1.275 required=5 tests=[HTML_MESSAGE=0.001, RDNS_NONE=1.274] autolearn=no autolearn_force=no Received: from mail.mydomain.org ([127.0.0.1]) by localhost (mail.mydomain.org [127.0.0.1]) (amavisd-new, port
- with ESMTP id z8AeaCeujJbg for thatsme@mydomain.org; Mon, 13 Mar 2017 06:25:54 +0100 (CET)
Received: from www.spamsite.com (unknown [67.231.106.60]) by mail.mydomain.org (Postfix) with ESMTP id 0ACC82106AA for <thatsme@mydomain.org>; Mon, 13 Mar 2017 06:25:53 +0100 (CET) Date: Sun, 12 Mar 2017 23:25:47 -0600 To: thatsme@mydomain.org From: Megan <spammer@spamsite.com> Subject:=?utf-8?Q?Having_invested_1000$_i=E2=80=99ve_earned_12000$_for_a_week?= Message-ID: 413bcf25601d2543b66f351d177c82d2@www.spamsite.com X-Priority: 3 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="b1_413bcf25601d2543b66f351d177c82d2" Content-Transfer-Encoding: 8bit
--b1_413bcf25601d2543b66f351d177c82d2 Content-Type: text/plain; charset=us-ascii Developer wrote application of market trading without humaninteraction. This application is available to every man. With every new man has downloaded it and installed - it becomes smarter. For year it successfully trades on market making huge income for every owner of the app. Make it in time to become rich. Earn lots of money before app became forbidden!
[http://www.spamsite.com/menu.php?n=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx... ] It is free and you can get it here
Auch schicke ich mittlerweile immer mal wieder "gute" Mail in einen ham-Ordner zum Lernen.
Nützt alles nichts.
Wäre jetzt dieses Forum ein Platz für derartige Fragen oder gibt es noch was spezielleres?
wir haben sehr gute Erfahrungen mit dspam und sieve-Regeln in Dovecot gemacht. Der dspam wird nach ca. 2000 trainierten Mails richtig gut. Ich habe das nie quantifiziert, aber gefühlt sind es
95% true positive rate
<<10% false negative rate
Das ist jedoch kontoabhängig. Beim Postmaster ist die false negative rate etwas größer als bei einem "normalen" Postfach.
Wir setzen dspam als persönlichen Filter ein. Jedes Postfach hat seine eigene DB, die das persönliche Spam-Ham-Profil enthält. Trainieren können die Nutzer über das Verschieben nach oder aus dem Spam-Ordner heraus. (dovecot antispam) https://wiki2.dovecot.org/HowTo/Virtual%2BPostfix%2BDspam%2BDovecot
Leider wird dspam nicht mehr weiterentwickelt und in der 16.04.X Version von ubuntu ist es auch nicht mehr dabei. Leider habe ich bisher auch keinen Ersatz für dspam in unserer Konfiguration gefunden.
Wenn ich in diesem Beitrag eine Frage stellen darf: Kennt jemand eine serverbasierte Alternative für dspam mit persönlichen Spamprofilen?
Gruß und Dank Lars
Grüße
Christoph
Am Montag, 13. März 2017, 11:29:43 CET schrieb Lars Täuber:
Leider wird dspam nicht mehr weiterentwickelt und in der 16.04.X Version von ubuntu ist es auch nicht mehr dabei. Leider habe ich bisher auch keinen Ersatz für dspam in unserer Konfiguration gefunden.
Wenn ich in diesem Beitrag eine Frage stellen darf: Kennt jemand eine serverbasierte Alternative für dspam mit persönlichen Spamprofilen?
Eventuell crm114.
Ich bilde mir ein, damals, also vor Jahren schon, mit crm114 client-seitig ein besseres Ergebnis als
95% true positive rate
<<10% false negative rate
gehabt zu haben. crm114 lässt sich mit dovecot-antispam meines Wissens auch serverseitig einsetzen. Ich hab das bislang nicht probiert. Nutze auch immer noch hauptsächlich POP3.
Ansonsten empfehle ich policyd-weight.
Außerdem hab ich auf meinem Server spamassassin, derzeit via spamc, integriert, wobei dieser Perl-basierte Wrapper
spampd - SMTP/LMTP-Proxy-Dämon basierend auf SpamAssassin
wohl effizienter arbeitet.
Spamassassin läuft mit einigen Zusatzregeln, z.B. die von Heinlein Support.
Damit komme ich ganz gut klar, bis auf einige VMs bei OVH und anderen Anbietern, die ich via Sender- oder teilweise auch Header-Checks (auf Received:) manuell blocke.
Schön ist das aber nicht mit dem Spammen. Und ich denke, es ist sinnvoll, es Spammern irgendwann mal wirklich wirksam schwerer zu machen. U.a. durch strengere Auflagen, die Provider verpflichten zeitnah und wirksam auf Spam- Reports zu reagieren, strengere Auflagen für Internet of Things-Hersteller, und vielleicht auch Änderungen an der Art und Weise der Mail-Übertragung an sich. Und dadurch, Spammer im Sinne von Wiedergutmachung wirksam am volkswirtschaftlichen Schaden, den sie verursachen, zu beteiligen. Und dieses Geld dann für Spamschutz auszugeben :).
Soweit ich mal las, sind mittlerweile größer 90% aller Mail Spam-Schrott.
Ciao,
Hallo!
Mon, 13 Mar 2017 14:02:25 +0100 Martin Steigerwald martin@lichtvoll.de ==> postfix-users@de.postfix.org :
Am Montag, 13. März 2017, 11:29:43 CET schrieb Lars Täuber:
Leider wird dspam nicht mehr weiterentwickelt und in der 16.04.X Version von ubuntu ist es auch nicht mehr dabei. Leider habe ich bisher auch keinen Ersatz für dspam in unserer Konfiguration gefunden.
Wenn ich in diesem Beitrag eine Frage stellen darf: Kennt jemand eine serverbasierte Alternative für dspam mit persönlichen Spamprofilen?
Eventuell crm114.
Das kommt mir bekannt vor. Entweder man konnte es nicht mittels lmtp zwischen postfix und dovecot klemmen, oder es hatte keine DB pro Konto. Ich werde es mir aber noch mal genauer anschauen.
Ich bilde mir ein, damals, also vor Jahren schon, mit crm114 client-seitig ein besseres Ergebnis als
95% true positive rate
<<10% false negative rate
Mit einem kleinen Skript habe ich mal die Werte meines aktuellen Postfachs ausgelesen:
Seit der Einführung von dspam (vor 626 Tagen): Lesart: true positiv => als Spam erkannt
tp = 4295 / 4577 => 93.83% fn = 284 / 4577 => 6.20% tn = 31454 / 31550 => 99.69% fp = 102 / 31550 => .32%
Also 14,5% aller Mails die unser Postfix (ohne irgendwelche Milter|Amavis|Spamassassin) und Kapsersky durchlassen sind Spam. Ich muss mit 6% falsch erkanntem Spam im "Posteingang" leben. Das sind bei mir 0,9% dieser Mails. Nur 0,3% der Mails landen fälschlicherweise im Spamordner. Ich bin zufrieden.
Ist das hier schon off topic? Gehört soetwas auf die Dovecot Liste?
Ist es unpassend für die Liste nach den Ergebnisse anderer/eurer Spamfilterungen zu fragen?
Grüße Lars
Am Montag, 13. März 2017, 16:50:48 CET schrieb Lars Täuber:
Mon, 13 Mar 2017 14:02:25 +0100
Martin Steigerwald martin@lichtvoll.de ==> postfix-users@de.postfix.org :
Am Montag, 13. März 2017, 11:29:43 CET schrieb Lars Täuber:
Leider wird dspam nicht mehr weiterentwickelt und in der 16.04.X Version von ubuntu ist es auch nicht mehr dabei. Leider habe ich bisher auch keinen Ersatz für dspam in unserer Konfiguration gefunden.
Wenn ich in diesem Beitrag eine Frage stellen darf: Kennt jemand eine serverbasierte Alternative für dspam mit persönlichen Spamprofilen?
Eventuell crm114.
Das kommt mir bekannt vor. Entweder man konnte es nicht mittels lmtp zwischen postfix und dovecot klemmen, oder es hatte keine DB pro Konto. Ich werde es mir aber noch mal genauer anschauen.
DB pro Konto ist zumindest mit Unix-Konten kein Problem, da standardmäßig alles in ~/.crm114 liegt. Mit virtuellen Konten braucht es evtl. eine Anpassung an der Konfiguration. Aber wie dem auch sei, ich nutze es bereits seit Jahren nicht mehr. Ich hab mal einen Linux User Artikel zu KMail + CRM114 geschriebem.
Ich bilde mir ein, damals, also vor Jahren schon, mit crm114 client-seitig ein besseres Ergebnis als
95% true positive rate
<<10% false negative rate
Mit einem kleinen Skript habe ich mal die Werte meines aktuellen Postfachs ausgelesen:
Seit der Einführung von dspam (vor 626 Tagen): Lesart: true positiv => als Spam erkannt
tp = 4295 / 4577 => 93.83% fn = 284 / 4577 => 6.20% tn = 31454 / 31550 => 99.69% fp = 102 / 31550 => .32%
Also 14,5% aller Mails die unser Postfix (ohne irgendwelche Milter|Amavis|Spamassassin) und Kapsersky durchlassen sind Spam. Ich muss mit 6% falsch erkanntem Spam im "Posteingang" leben. Das sind bei mir 0,9% dieser Mails. Nur 0,3% der Mails landen fälschlicherweise im Spamordner. Ich bin zufrieden.
Idealerweise gibts natürlich nullkommanull falsche Positive, aber ja, da sieht ganz oka aus. Und 6,2% durchlassen… naja, ich hab damals keine Stastitik gemacht…
Ist das hier schon off topic? Gehört soetwas auf die Dovecot Liste?
Ist es unpassend für die Liste nach den Ergebnisse anderer/eurer Spamfilterungen zu fragen?
Ich weiß nicht, inwiefern es für Spamfilter-Sachen in Bezug auf freie Software eine eigene gute Mailingliste gibt. Ich bin ansonsten auch auf der postfix- buch-users-Mailingliste. Da kommt das Thema Spam auch immer wieder mal.
Ciao,
Hallo Lars,
* Lars Täuber taeuber@bbaw.de:
Mit einem kleinen Skript habe ich mal die Werte meines aktuellen Postfachs ausgelesen:
Seit der Einführung von dspam (vor 626 Tagen): Lesart: true positiv => als Spam erkannt
tp = 4295 / 4577 => 93.83% fn = 284 / 4577 => 6.20% tn = 31454 / 31550 => 99.69% fp = 102 / 31550 => .32%
Also 14,5% aller Mails die unser Postfix (ohne irgendwelche Milter|Amavis|Spamassassin) und Kapsersky durchlassen sind Spam. Ich muss mit 6% falsch erkanntem Spam im "Posteingang" leben. Das sind bei mir 0,9% dieser Mails. Nur 0,3% der Mails landen fälschlicherweise im Spamordner. Ich bin zufrieden.
Ist das hier schon off topic? Gehört soetwas auf die Dovecot Liste? Ist es unpassend für die Liste nach den Ergebnisse anderer/eurer Spamfilterungen zu fragen?
<moderator-hut>
ich finde es absolut passend, auf dieser Liste über die Ergebnisse/Erfahrungen von Content Filtern zu sprechen. Sie gehören als mailverarbeitende Komponenten mit in den SMTP-Zustellprozess.
Ausführliche Diskussionen zu Open[SPF|DKIM|DMARC] etc. muss man wohl fallweise entscheiden.
Im Grunde hat hier alles Platz, was dem Mailtransport und -filtern zuzurechnen ist.
Dovecot - da gebe ich Dir recht - würde ich als POP/IMAP/SIEVE-Server eher auf seiner eigenen Liste lesen wollen.
</moderator-hut>
p@rick
Am 13.03.2017 um 16:50 schrieb Lars Täuber:
Ist es unpassend für die Liste nach den Ergebnisse anderer/eurer Spamfilterungen zu fragen?
clamav milter mit sanesecurity spamassassin als milter ( inkl. aktuellen Regeln ) und ansonsten spamhouse rbl ) inklusive postfix best practice ,sollten dir den standard spam von Leib halten, den Rest musst du dir gesondert ansehen und dann entscheiden was Sinn macht.
Best Regards MfG Robert Schetterer
Hallo!
Mon, 13 Mar 2017 19:31:18 +0100 Robert Schetterer rs@sys4.de ==> postfix-users@de.postfix.org :
Am 13.03.2017 um 16:50 schrieb Lars Täuber:
Ist es unpassend für die Liste nach den Ergebnisse anderer/eurer Spamfilterungen zu fragen?
clamav milter mit sanesecurity spamassassin als milter ( inkl. aktuellen Regeln ) und ansonsten spamhouse rbl ) inklusive postfix best practice ,sollten dir den standard spam von Leib halten,
Wo kann ich denn diese "best practice" nachlesen? Das habe ich nun schon des öfteren gelesen, ohne dass ich wusste was es bedeutet.
den Rest musst du dir gesondert ansehen und dann entscheiden was Sinn macht.
Mir ist klar, dass jedes Unternehmen mit seiner Nutzerstruktur andere Ergebnisse hat. Aber gibt es dazu Zahlen, wie gut diese Einstellungen sind? Bisher ging ich davon aus, dass unsere Ergebnisse ganz gut sind, und der Aufwand (Manpower & Rechenpower) das noch wesentlich zu verbessern sich nicht lohnt.
Wir setzen bisher nur auf: * greylisting auf port 10023
main.cf: smtpd_helo_required = yes smtpd_helo_restrictions = check_helo_access btree:/etc/postfix/helo_access reject_non_fqdn_helo_hostname reject_invalid_helo_hostname permit_mynetworks reject_unknown_helo_hostname
smtpd_sender_restrictions = reject_non_fqdn_sender permit_mynetworks check_sender_access btree:/etc/postfix/sender_access reject_unknown_sender_domain check_sender_mx_access cidr:/etc/postfix/bogon_networks.cidr check_sender_ns_access cidr:/etc/postfix/bogon_networks.cidr reject_unverified_sender
smtpd_relay_restrictions = check_recipient_access pcre:/etc/postfix/recipient_access reject_unknown_recipient_domain permit_mynetworks reject_unverified_recipient reject_unauth_destination check_policy_service inet:localhost:10023 defer_unauth_destination
zum Nutzer hin: * kaspersky * dspam
Danke und Gruß Lars
Am 15.03.2017 um 15:03 schrieb Lars Täuber:
Hallo!
Mon, 13 Mar 2017 19:31:18 +0100 Robert Schetterer rs@sys4.de ==> postfix-users@de.postfix.org :
Am 13.03.2017 um 16:50 schrieb Lars Täuber:
Ist es unpassend für die Liste nach den Ergebnisse anderer/eurer Spamfilterungen zu fragen?
clamav milter mit sanesecurity spamassassin als milter ( inkl. aktuellen Regeln ) und ansonsten spamhouse rbl ) inklusive postfix best practice ,sollten dir den standard spam von Leib halten,
Wo kann ich denn diese "best practice" nachlesen? Das habe ich nun schon des öfteren gelesen, ohne dass ich wusste was es bedeutet.
das meint , "pseudo" standards beim Einrichten von Postfix die sich im realen Umfeld bewaehrt haben
lies mal z.b
http://jimsun.linxnet.com/misc/postfix-anti-UCE.txt
den Rest musst du dir gesondert ansehen und dann entscheiden was Sinn macht.
Mir ist klar, dass jedes Unternehmen mit seiner Nutzerstruktur andere Ergebnisse hat. Aber gibt es dazu Zahlen, wie gut diese Einstellungen sind? Bisher ging ich davon aus, dass unsere Ergebnisse ganz gut sind, und der Aufwand (Manpower & Rechenpower) das noch wesentlich zu verbessern sich nicht lohnt.
im subject steht, spamflut usw , d.h du willst was tun logischerweise wird es ab einem gewissen Punkt ( nach den ueblichen Methoden ) immer schwieriger, das geht nur ueber taegliche log analyse Mail ist heute nichts mehr fuer Laien oder Nebenher Admins wenn man es ernst nimmt
Wir setzen bisher nur auf:
- greylisting auf port 10023
main.cf: smtpd_helo_required = yes smtpd_helo_restrictions = check_helo_access btree:/etc/postfix/helo_access reject_non_fqdn_helo_hostname reject_invalid_helo_hostname permit_mynetworks reject_unknown_helo_hostname
smtpd_sender_restrictions = reject_non_fqdn_sender permit_mynetworks check_sender_access btree:/etc/postfix/sender_access reject_unknown_sender_domain check_sender_mx_access cidr:/etc/postfix/bogon_networks.cidr check_sender_ns_access cidr:/etc/postfix/bogon_networks.cidr reject_unverified_sender
smtpd_relay_restrictions = check_recipient_access pcre:/etc/postfix/recipient_access reject_unknown_recipient_domain permit_mynetworks reject_unverified_recipient reject_unauth_destination check_policy_service inet:localhost:10023 defer_unauth_destination
zum Nutzer hin:
- kaspersky
- dspam
Danke und Gruß Lars
sieht erstmal gar nicht schlecht aus, ist aber sicher noch erheblich erweiterungsfaehig
Best Regards MfG Robert Schetterer
Hi,
was bei mir immernoch erstaunlich viel bringt ist greylisting (trotz postscreen, spamassassin etc.). Ich hab das aber sehr selektiv in Betrieb:
smtpd_recipient_restrictions = reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_non_fqdn_sender, reject_unknown_sender_domain, permit_mynetworks, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, reject_unauth_destination, reject_unverified_recipient, check_client_access pcre:$config_directory/greylisting.pcre,
smtpd_restriction_classes = greylisting
greylisting = permit_dnswl_client list.dnswl.org, permit_dnswl_client swl.spamhaus.org, check_policy_service inet:127.0.0.1:10026
/etc/postfix/greylisting.pcre: # these look like IPs or are domain names with lots of labels /(-.+){4}$/ greylisting /(..+){4}$/ greylisting # these look like dynamically assigned hostnames /(^|[0-9.x_-])(abo|br(e|oa)dband|cabel|(hk)?cablep?|catv|cbl|cidr|d?client2?|cust(omer)?s?|dhcp|dial?(in|up)?|d[iu]p|[asx]?dsld?|dyn(a(dsl|mic)?)?|home|in-addr|modem(cable)?|(di)?pool|ppp|ptr|rev|static|user|YahooBB[0-9]{12}|c[[:alnum:]]{6,}(.[a-z]{3})?.virtua|[1-9]Cust[0-9]+|AC[A-Z][0-9A-F]{5}.ipt|pcp[0-9]{6,}pcs|S0106[[:alnum:]]{12,}.[a-z]{2})[0-9.x_-]/ greylisting # these do not have a matching hostname->rdns mapping /^unknown$/ greylisting # these are countries with higher than average spam appearance /.br$/ greylisting /.cn$/ greylisting /.hk$/ greylisting /.id$/ greylisting /.in$/ greylisting /.kz$/ greylisting /.ru$/ greylisting /.th$/ greylisting /.tw$/ greylisting /.ua$/ greylisting /.vn$/ greylisting
And then there is a postgrey instance running on 127.0.0.1:10026
hth André
Ich habe eine postgrey zwar laufen, wird aber wohl nicht im Eingriff sein, oder?
Wie sieht der postgrey Eintrag in der master.cf bei Dir aus? 1200 ? Ss 0:00 postgrey --pidfile=/var/run/postgrey.pid --daemonize --inet=127.0.0.1:60000 --delay=120 --max-age=20
Zumindest nicht auf dem port. Würde es reichen, in Deinem Beispiel die 10026 auf 60000 zu ändern?
Grüße Christoph
And then there is a postgrey instance running on 127.0.0.1:10026
hth André
Darf ich meine Frage noch mal erneuern? :
Und vielleicht noch folgendes hinzufügen: Wenn ich den Eintrag von André versuche zu realisieren, bekomme ich
wenn ich versuche , eine Email an postfix-users zu schicken.
Dies ist im Moment meine main.cf.: myhostname = mail.mydomain.org mydomain = mydomain.org myorigin = $mydomain smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) biff = no
append_dot_mydomain = no
readme_directory = no
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 mydestination = local, localhost.localdomain, localhost
mailbox_size_limit = 51200000 message_size_limit = 51200000 recipient_delimiter = inet_interfaces = all inet_protocols = all
##### TLS parameters ###### smtpd_tls_cert_file=/etc/postfix/ssl/mail.mydomain.org.crt smtpd_tls_key_file=/etc/postfix/ssl/mail.mydomain.org.key smtpd_use_tls=yes smtpd_tls_auth_only=yes smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
###### SASL Auth ###### smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth smtpd_sasl_auth_enable = yes
smtpd_restriction_classes = internal
internal = permit_mynetworks, permit_sasl_authenticated, reject
###### Use Dovecot LMTP Service to deliver Mails to Dovecot ###### ##virtual_transport = spamass-dovecot virtual_transport = lmtp:unix:private/dovecot-lmtp ##### Only allow mail transport if client is authenticated or in own network (PHP Scripts, ...) ###### ##### allow mail sending if Client is authenticated or in own network (PHP scripts, ...) , block spam servers ###### ##### smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination # CPK - 2017-03-15 smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, check_client_access hash:/etc/postfix/access, check_sender_access hash:/etc/postfix/sender_access, reject_unauth_destination, reject_rbl_client zen.spamhaus.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client sbl.spamhaus.org, reject_rbl_client dul.dnsbl.sorbs.net, permit # -smtpd_recipient_restrictions = # - permit_mynetworks, # - reject_non_fqdn_recipient, # - reject_unknown_recipient_domain, # - reject_non_fqdn_sender, # - reject_unknown_sender_domain, # - reject_invalid_helo_hostname, # - reject_non_fqdn_helo_hostname, # - reject_unauth_destination, # - reject_unverified_recipient, # - check_client_access pcre:$config_directory/greylisting.pcre,
greylisting = permit_dnswl_client list.dnswl.org, permit_dnswl_client swl.spamhaus.org, check_policy_service inet:127.0.0.1:60000
# - smtpd_restriction_classes = greylisting
#++ CPK 2017-02-21 disable_vrfy_command = yes smtpd_delay_reject = yes smtpd_helo_required = yes smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_hostname, reject_invalid_hostname, permit smtpd_error_sleep_time = 1s smtpd_soft_error_limit = 10 smtpd_hard_error_limit = 20 ###### MySQL Connection ######
virtual_alias_maps = mysql:/etc/postfix/virtual/mysql-aliases.cf virtual_mailbox_maps = mysql:/etc/postfix/virtual/mysql-maps.cf virtual_mailbox_domains = mysql:/etc/postfix/virtual/mysql-domains.cf local_recipient_maps = $virtual_mailbox_maps
content_filter=smtp-amavis:[127.0.0.1]:10024 compatibility_level = 2
smtpd_client_restrictions = reject_rbl_client sbl.spamhaus.org, check_client_access hash:/etc/postfix/blacklist smtpd_sender_restrictions = hash:/etc/postfix/access debug_peer_list = 91.200.0.0/16
-----
Wenn ich versuche, den mit # - auskommentierten Teil zu aktivieren, bekomme ich o.a. Fehler.
Grüße Christoph
Am 14.03.2017 um 11:01 schrieb Christoph Kukulies:
Ich habe eine postgrey zwar laufen, wird aber wohl nicht im Eingriff sein, oder?
Wie sieht der postgrey Eintrag in der master.cf bei Dir aus? 1200 ? Ss 0:00 postgrey --pidfile=/var/run/postgrey.pid --daemonize --inet=127.0.0.1:60000 --delay=120 --max-age=20
Zumindest nicht auf dem port. Würde es reichen, in Deinem Beispiel die 10026 auf 60000 zu ändern?
Grüße Christoph
And then there is a postgrey instance running on 127.0.0.1:10026
hth André
Hier ist mal meine main.cf (ohne greylisting). Vielleicht fällt jemand etwas auf, was vielleicht eine Ursache dafür sein kann, daß ich den Eindruck habe, als greife mein Spamfilter überhaupt nicht.
Grüße
Christoph
main.cf:
myhostname = mail.myhost.org mydomain = myhost.org myorigin = $mydomain smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) biff = no
append_dot_mydomain = no
readme_directory = no
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 mydestination = local, localhost.localdomain, localhost
mailbox_size_limit = 51200000 message_size_limit = 51200000 recipient_delimiter = inet_interfaces = all inet_protocols = all
##### TLS parameters ###### smtpd_tls_cert_file=/etc/postfix/ssl/mail.myhost.org.crt smtpd_tls_key_file=/etc/postfix/ssl/mail.myhost.org.key smtpd_use_tls=yes smtpd_tls_auth_only=yes smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
###### SASL Auth ###### smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth smtpd_sasl_auth_enable = yes
smtpd_restriction_classes = internal
internal = permit_mynetworks, permit_sasl_authenticated, reject
###### Use Dovecot LMTP Service to deliver Mails to Dovecot ###### ##virtual_transport = spamass-dovecot virtual_transport = lmtp:unix:private/dovecot-lmtp ##### Only allow mail transport if client is authenticated or in own network (PHP Scripts, ...) ###### ##### allow mail sending if Client is authenticated or in own network (PHP scripts, ...) , block spam servers ###### ##### smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, check_client_access hash:/etc/postfix/access, check_sender_access hash:/etc/postfix/sender_access, reject_unauth_destination, reject_rbl_client zen.spamhaus.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client sbl.spamhaus.org, reject_rbl_client dul.dnsbl.sorbs.net, permit #++ CPK 2017-02-21 disable_vrfy_command = yes smtdp_delay_reject = yes smtpd_helo_required = yes smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_hostname, reject_invalid_hostname, permit smtpd_error_sleep_time = 1s smtpd_soft_error_limit = 10 smtpd_hard_error_limit = 20 ###### MySQL Connection ######
virtual_alias_maps = mysql:/etc/postfix/virtual/mysql-aliases.cf virtual_mailbox_maps = mysql:/etc/postfix/virtual/mysql-maps.cf virtual_mailbox_domains = mysql:/etc/postfix/virtual/mysql-domains.cf local_recipient_maps = $virtual_mailbox_maps
content_filter=smtp-amavis:[127.0.0.1]:10024 compatibility_level = 2
smtpd_client_restrictions = reject_rbl_client sbl.spamhaus.org, check_client_access hash:/etc/postfix/blacklist smtpd_sender_restrictions = hash:/etc/postfix/access debug_peer_list = 91.200.0.0/16
Am 13.03.2017 um 20:59 schrieb André Keller:
Hi,
was bei mir immernoch erstaunlich viel bringt ist greylisting (trotz postscreen, spamassassin etc.). Ich hab das aber sehr selektiv in Betrieb:
smtpd_recipient_restrictions = reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_non_fqdn_sender, reject_unknown_sender_domain, permit_mynetworks, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, reject_unauth_destination, reject_unverified_recipient, check_client_access pcre:$config_directory/greylisting.pcre,
smtpd_restriction_classes = greylisting
greylisting = permit_dnswl_client list.dnswl.org, permit_dnswl_client swl.spamhaus.org, check_policy_service inet:127.0.0.1:10026
/etc/postfix/greylisting.pcre: # these look like IPs or are domain names with lots of labels /(-.+){4}$/ greylisting /(..+){4}$/ greylisting # these look like dynamically assigned hostnames /(^|[0-9.x_-])(abo|br(e|oa)dband|cabel|(hk)?cablep?|catv|cbl|cidr|d?client2?|cust(omer)?s?|dhcp|dial?(in|up)?|d[iu]p|[asx]?dsld?|dyn(a(dsl|mic)?)?|home|in-addr|modem(cable)?|(di)?pool|ppp|ptr|rev|static|user|YahooBB[0-9]{12}|c[[:alnum:]]{6,}(.[a-z]{3})?.virtua|[1-9]Cust[0-9]+|AC[A-Z][0-9A-F]{5}.ipt|pcp[0-9]{6,}pcs|S0106[[:alnum:]]{12,}.[a-z]{2})[0-9.x_-]/ greylisting # these do not have a matching hostname->rdns mapping /^unknown$/ greylisting # these are countries with higher than average spam appearance /.br$/ greylisting /.cn$/ greylisting /.hk$/ greylisting /.id$/ greylisting /.in$/ greylisting /.kz$/ greylisting /.ru$/ greylisting /.th$/ greylisting /.tw$/ greylisting /.ua$/ greylisting /.vn$/ greylisting
And then there is a postgrey instance running on 127.0.0.1:10026
hth André
TEST. Wieso kriege ich bounces von der postfix-users Liste:
The mail system
postfix-users@listen.jpberlin.de: host mx1.jpberlin.de[91.198.250.10] said: 577 5.1.1postfix-users@listen.jpberlin.de: Recipient address rejected: undeliverable address: host ilpostino.jpberlin.de[213.203.238.6] said: 550 5.1.1postfix-users@listi.jpberlin.de: Recipient address rejected: User unknown in local recipient table (in reply to RCPT TO command) (in reply to RCPT TO command)
Sorry, hatte wohl einen falschen Adressaten angegeben. Verwechselt mit postfixbuch-users...
Hier mein eigenliches Anliegen:
Ubuntu 16.04.2 LTS,postgrey, MX_nolisting, postfix, amavis_new, clamav, spamassassin, dovecot:
Ich habe immer noch das Problem, daß zu viele Mails in der Inbox landen und erst mein Mailclient (Thunderbird) ist dann günstigenfalls in der Lage, SPAM zu markieren.
Manchmal ist eine Mail dabei, die im Subj: mit *****SPAM***** markiert ist (kommt von /etc/spamassassin/local.cf), manchmal eine mit +++SPAM+++ - so habe ich es in /etc/amavis/conf.d/20-debian_defaults eingetragen, damit man überhaupt mal sehen kann, wer was und ob überhaupt was macht. Einmal war bereits ein false positive dabei. Aber sehr sehr selten, daß überhaupt eine Mail getaggt wird.
Arbeiten da zwei Mechanismen "gegeneinander"?
Ich lerne dauernd noch an, indem ich den mit Flämmchen versehen Thunderbird junk in junk kopiere und sa_learn drüberlaufen lasse. Nahezu ohne Erfolg. Es kommen vor allem Emails gleichen Typus durch. Entweder diese BU oder Betriebshaftpflicht, KV oder die Frauenname, 5 Zeilen Tätigkeits- oder sonstige Merkmale und eine Zeile mit einem Link.
Grüße Christoph Am 06.04.2017 um 10:56 schrieb Christoph P.U. Kukulies:
TEST. Wieso kriege ich bounces von der postfix-users Liste:
The mail systempostfix-users@listen.jpberlin.de: host mx1.jpberlin.de[91.198.250.10] said: 577 5.1.1postfix-users@listen.jpberlin.de: Recipient address rejected: undeliverable address: host ilpostino.jpberlin.de[213.203.238.6] said: 550 5.1.1postfix-users@listi.jpberlin.de: Recipient address rejected: User unknown in local recipient table (in reply to RCPT TO command) (in reply to RCPT TO command)
Am 06.04.2017 um 11:04 schrieb Christoph P.U. Kukulies:
Sorry, hatte wohl einen falschen Adressaten angegeben. Verwechselt mit postfixbuch-users...
Hier mein eigenliches Anliegen:
Ubuntu 16.04.2 LTS,postgrey, MX_nolisting, postfix, amavis_new, clamav, spamassassin, dovecot:
Ich habe immer noch das Problem, daß zu viele Mails in der Inbox landen und erst mein Mailclient (Thunderbird) ist dann günstigenfalls in der Lage, SPAM zu markieren.
Manchmal ist eine Mail dabei, die im Subj: mit *****SPAM***** markiert ist (kommt von /etc/spamassassin/local.cf), manchmal eine mit +++SPAM+++
- so habe ich es in /etc/amavis/conf.d/20-debian_defaults eingetragen,
damit man überhaupt mal sehen kann, wer was und ob überhaupt was macht. Einmal war bereits ein false positive dabei. Aber sehr sehr selten, daß überhaupt eine Mail getaggt wird.
Arbeiten da zwei Mechanismen "gegeneinander"?
Ich lerne dauernd noch an, indem ich den mit Flämmchen versehen Thunderbird junk in junk kopiere und sa_learn drüberlaufen lasse. Nahezu ohne Erfolg. Es kommen vor allem Emails gleichen Typus durch. Entweder diese BU oder Betriebshaftpflicht, KV oder die Frauenname, 5 Zeilen Tätigkeits- oder sonstige Merkmale und eine Zeile mit einem Link.
das klingt etwas nach deutschen spam
da gibts ein paar extra rulesets
http://zmi.at/x/70_zmi_german.cf
clamav wuerde ich mit sanesecurity erweitern razor , pyzor , dcc helfen auch nolisting kannst du in die Tonne treten postscreen ist nicht in deiner Aufzaehlung enthalten
Grüße Christoph Am 06.04.2017 um 10:56 schrieb Christoph P.U. Kukulies:
TEST. Wieso kriege ich bounces von der postfix-users Liste:
The mail systempostfix-users@listen.jpberlin.de: host mx1.jpberlin.de[91.198.250.10] said: 577 5.1.1postfix-users@listen.jpberlin.de: Recipient address rejected: undeliverable address: host ilpostino.jpberlin.de[213.203.238.6] said: 550 5.1.1postfix-users@listi.jpberlin.de: Recipient address rejected: User unknown in local recipient table (in reply to RCPT TO command) (in reply to RCPT TO command)
Best Regards MfG Robert Schetterer
Die Vornamen und Texte der Damen sind allesamt engl.,
christy@boostmart.com -> biblestudydiary.com jeanne@bryair.com.br -> host3.delairindia.com
Der Versicherungsspam eindeutig deutsch, habe aber im Moment kein Muster zur Hand.
Was macht postscreen in der Kette?
Grüße Christoph
Am 06.04.2017 um 11:14 schrieb Robert Schetterer:
Am 06.04.2017 um 11:04 schrieb Christoph P.U. Kukulies:
Sorry, hatte wohl einen falschen Adressaten angegeben. Verwechselt mit postfixbuch-users...
Hier mein eigenliches Anliegen:
Ubuntu 16.04.2 LTS,postgrey, MX_nolisting, postfix, amavis_new, clamav, spamassassin, dovecot:
Ich habe immer noch das Problem, daß zu viele Mails in der Inbox landen und erst mein Mailclient (Thunderbird) ist dann günstigenfalls in der Lage, SPAM zu markieren.
Manchmal ist eine Mail dabei, die im Subj: mit *****SPAM***** markiert ist (kommt von /etc/spamassassin/local.cf), manchmal eine mit +++SPAM+++
- so habe ich es in /etc/amavis/conf.d/20-debian_defaults eingetragen,
damit man überhaupt mal sehen kann, wer was und ob überhaupt was macht. Einmal war bereits ein false positive dabei. Aber sehr sehr selten, daß überhaupt eine Mail getaggt wird.
Arbeiten da zwei Mechanismen "gegeneinander"?
Ich lerne dauernd noch an, indem ich den mit Flämmchen versehen Thunderbird junk in junk kopiere und sa_learn drüberlaufen lasse. Nahezu ohne Erfolg. Es kommen vor allem Emails gleichen Typus durch. Entweder diese BU oder Betriebshaftpflicht, KV oder die Frauenname, 5 Zeilen Tätigkeits- oder sonstige Merkmale und eine Zeile mit einem Link.
das klingt etwas nach deutschen spam
da gibts ein paar extra rulesets
http://zmi.at/x/70_zmi_german.cf
clamav wuerde ich mit sanesecurity erweitern razor , pyzor , dcc helfen auch nolisting kannst du in die Tonne treten postscreen ist nicht in deiner Aufzaehlung enthalten
Grüße Christoph Am 06.04.2017 um 10:56 schrieb Christoph P.U. Kukulies:
TEST. Wieso kriege ich bounces von der postfix-users Liste:
The mail systempostfix-users@listen.jpberlin.de: host mx1.jpberlin.de[91.198.250.10] said: 577 5.1.1postfix-users@listen.jpberlin.de: Recipient address rejected: undeliverable address: host ilpostino.jpberlin.de[213.203.238.6] said: 550 5.1.1postfix-users@listi.jpberlin.de: Recipient address rejected: User unknown in local recipient table (in reply to RCPT TO command) (in reply to RCPT TO command)
Best Regards MfG Robert Schetterer
Am 06.04.2017 um 12:04 schrieb Christoph P.U. Kukulies:
Die Vornamen und Texte der Damen sind allesamt engl.,
christy@boostmart.com -> biblestudydiary.com jeanne@bryair.com.br -> host3.delairindia.com
Der Versicherungsspam eindeutig deutsch, habe aber im Moment kein Muster zur Hand.
Was macht postscreen in der Kette?
sorry das sprengt die liste
siehe z.b
https://dokuwiki.nausch.org/doku.php/centos:mail_c7:spam_3
https://blog.schaal-24.de/mail/postscreen-im-kampf-gegen-spam/
Grüße Christoph
Am 06.04.2017 um 11:14 schrieb Robert Schetterer:
Am 06.04.2017 um 11:04 schrieb Christoph P.U. Kukulies:
Sorry, hatte wohl einen falschen Adressaten angegeben. Verwechselt mit postfixbuch-users...
Hier mein eigenliches Anliegen:
Ubuntu 16.04.2 LTS,postgrey, MX_nolisting, postfix, amavis_new, clamav, spamassassin, dovecot:
Ich habe immer noch das Problem, daß zu viele Mails in der Inbox landen und erst mein Mailclient (Thunderbird) ist dann günstigenfalls in der Lage, SPAM zu markieren.
Manchmal ist eine Mail dabei, die im Subj: mit *****SPAM***** markiert ist (kommt von /etc/spamassassin/local.cf), manchmal eine mit +++SPAM+++
- so habe ich es in /etc/amavis/conf.d/20-debian_defaults eingetragen,
damit man überhaupt mal sehen kann, wer was und ob überhaupt was macht. Einmal war bereits ein false positive dabei. Aber sehr sehr selten, daß überhaupt eine Mail getaggt wird.
Arbeiten da zwei Mechanismen "gegeneinander"?
Ich lerne dauernd noch an, indem ich den mit Flämmchen versehen Thunderbird junk in junk kopiere und sa_learn drüberlaufen lasse. Nahezu ohne Erfolg. Es kommen vor allem Emails gleichen Typus durch. Entweder diese BU oder Betriebshaftpflicht, KV oder die Frauenname, 5 Zeilen Tätigkeits- oder sonstige Merkmale und eine Zeile mit einem Link.
das klingt etwas nach deutschen spam
da gibts ein paar extra rulesets
http://zmi.at/x/70_zmi_german.cf
clamav wuerde ich mit sanesecurity erweitern razor , pyzor , dcc helfen auch nolisting kannst du in die Tonne treten postscreen ist nicht in deiner Aufzaehlung enthalten
Grüße Christoph Am 06.04.2017 um 10:56 schrieb Christoph P.U. Kukulies:
TEST. Wieso kriege ich bounces von der postfix-users Liste:
The mail systempostfix-users@listen.jpberlin.de: host mx1.jpberlin.de[91.198.250.10] said: 577 5.1.1postfix-users@listen.jpberlin.de: Recipient address rejected: undeliverable address: host ilpostino.jpberlin.de[213.203.238.6] said: 550 5.1.1postfix-users@listi.jpberlin.de: Recipient address rejected: User unknown in local recipient table (in reply to RCPT TO command) (in reply to RCPT TO command)
Best Regards MfG Robert Schetterer
Best Regards MfG Robert Schetterer
participants (7)
-
André Keller -
Christoph Kukulies -
Christoph P.U. Kukulies
-
Lars Täuber -
Martin Steigerwald -
Patrick Ben Koetter -
Robert Schetterer