[Postfixbuch-users] Hartnäckigen Spammer loswerden?

[Robert Schetterer]

Hallo Matthias,
ich  benutze so ziemlich alles  was postfix
bietet zur Spamabwehr.
Nun hab ich aber auch Kunden deshalb kann ich nicht immer so wie mochte
und selbst grosse Banken sind zb unfaehig ein im dns aufloesbares helo
zu senden.
Nun kann man sich auf den Standpunkt stellen das man einfach auf die
rfcs besteht , wenn man aber dem 100 Kunden oder wiederum deren Kunden
erklaert hat , dass es für sie besser waere Briefe zu schreiben
weil es ohnehin aussichtslos ist das sie  jemals auch nur halbwegs
begreifen wird wie mail funktioniert, wird man muede und gibt nach.
Ich hatte zb gestern ein ultra super duper system fuer Vorstaende das
Standart maessig FROMs faelscht, das ist natuerlich alles gebounced
weil es ja eigentlich nicht sein kann das jemand der nicht aus meinem
Netzwerk stammt in seinem FROM meine(n) Domain legal nutzt.
Also musste ich genau diesen Server bypassen ( kotz graus )
Argument für dieses Vorgehen war das es so bequem im reply to ist, was
natuerlich keine Erfindung des dortigen Postmaster sondern irgend eines
Marketing fuzzies von dort.
Sobald die wirklich grossen Provider mal auf konforme Mails bestehen
platzen diese Geschaeftsideen ohnehin.

Ende der Legenden, ich habe postgrey und policy weight im Einsatz.
Beide Systeme schlagen bei mir im Normalfall erst dann zu wenn die Mails
die Standart checks die Postfix so hergibt passiert haben.
Um genau zu verstehen wie greylisting funktioniert , lies bitte
die faq dazu , im Prinzip sagt es "einfach komm spaeter wieder"
Spammer verschicken ihre Mails oft nach dem fire und forget Verfahren
so dass diese nicht wiederkehren ( fall erledigt ) , mailserver liefern
die mail nochmals ein , hat der Kontakt einmal erfolgreich stattgefunden
wird das in eine Datenbank geschrieben , so dass kein weiteres
Greylisting mehr erfolgt, für diesen client, from to
Greylisting ist wirklich ein gute Allzweckwaffe und nichts hat unseren
Spam drastischer gesenkt.
Der Nachteil, wenn es denn einer ist, ist die Verzoegerung beim Erstkontakt.

Policy weight , agiert am ehesten vergleichbar mit spamassasin,
es ist eine Art Punkte System, es ueberprueft zb ob der hostname im
helo, mit dem hostname im Dns so wie er im client uebergeben wird
uebereinstimmt, ausserdem schaut er in rbl listen nach , wird ein
gewisser Punktestand ueberschritten weisst er die mails ab, mit einer
message zb fix your helo etc, Vorteil das ganze passiert eigentlich
direkt also keine Verzoegerung, ziemlich genial und zuverlaessig.

Beide Systeme kann man parallel betreiben, aber man muss immer eine
whitelist für beide haben , denn es gibt einfach server die mit
greylisting nicht klarkommen, oder du hast einen der im policy weight
standig abgelehnt wird , und du moechtest den server aber trotzdem
durchlassen.
Es gibt da daemonen die beides kombinieren oder die mit echten
Datenbanken wie mysql arbeiten ( was den Vorteil bietet das man es auch
ueber zb ein Webinterface per User zu steuern )
links alle auf der Postfixsite.
Wenn man wirklich alles ausnutzt was es so gibt , kann man den Spam
erheblich druecken, ich wuerd sagen wir erkennen 98%
davon werden wohl ca 90 % Prozent schon von postfix grey policy erledigt
, der Rest wird vom Spamassasin markiert.
Man kann da auch noch mehr rausholen wenn man per hand header checks
adsl, ppp, dial in clients usw blockt aber vieles geht halt wirklich nur
wenn es dein eigner Server ist und du keine Ruecksicht nehmen musst
die helo checks sind zb sehr effektiv , aber es gibt halt auch
massenhaft server ( vor allem windoofs, typisch ist
exchange2003.intern.srv etc in helos *g ) die halt einfach falsch
konfiguriert sind , manchmal muss
man wirklich genau hinsehen zb hatte ich letzthin einen bei dem ich mit
dig erstmal nicht gesehen hab worans lag, er hatte seinen server mit _
Unterstrich im dns )
Also ich kann vor allem greylisting/policy weight nur empfehlen wir
filtern ca 65000 mails ( oder sagen wir besser spam smtp connects Pro
Stunde auf einer 1 HE celeron 2,4 mit 1 GB RAM damit.
Ausserdem hab ich perl script laufen das so aehnlich funktioniert
wie der perl pop before smtp daemon, das script tailt das maillog mit
und wenn bei bestimmten rejects wird dynamisch eine iptables rule gegen
die Ip gesetzt, diese expired dann , allerdings je oefter der selbe
host fehlermeldungen produziert je laenger wird er beim naechsten mal
gesperrt.
Die Antivirus filtering hab ich so geloest dass ich spampd benutze ,
diesen aber nicht wieder in postfix laufen lassen sondern direkt in
clamsmtp und dann erst wieder retur zu postfix.
Ich habe dieses Setup gewaehlt da der host zuerst nur als backup mx
gedacht war, sonst haette ich wohl amavis benutzt, aber es hat sich
bewaehrt und ist leicht zu konfigurieren auf einer Suse 10
Wie schon erwaehnt sind aber per Hand gepflegte access maps auch eine
gute Waffe, die man schnell scharf machen.

MfG Robert

Matthias Haegele schrieb:
> Robert Schetterer schrieb:
>> Hi,
> 
> Hi!.
> 
>> das ist ziemlich einfach, wenn dein sender gefaked ist
>> probst du jemand der mit der sache nix zu tun hat, wenn du sowas oefter 
>> machst kann das als Angriff gewertet werden und du findest dich auf 
>> einer was weiss ich liste wieder, deshalb ist ein sender verify mit 
> 
> [...]
> 
> Ok. Seither war es halt das wirksamste Mittel gegen Spam (und ist es 
> imho noch), da mein Server nicht so sehr ausgelastet ist und ich die 
> address_verify_map benutze hat es eigentlich prima geklappt bis auf 
> diesen Id*** von heute, aber evtl. muss ich einfach diesen Sender/Domain 
> separat in einer access-map blocken.
> Wie ist es eigentlich wenn der Sender nicht aufgelöst werden kann (DNS 
> oder keine Antwort vom Gegenserver) dann gibt es doch einen 450?.
> 
> Naja, gibt halt keine optimale Lösung man muss sich halt immer den 
> Spammern anpassen und "reagieren", irgendwie sitzen die immer am 
> längeren Hebel.
> 
> Vielleicht setze ich auch noch Greylisting ein, mal sehen.
> 
> btw:
> Was ist eigentlich der Unterschied zwischen postgrey/policyd?.
> Im Prinzip mach ja policyd per default auch greylisting?.
> Hat jemand irgendwo den Policyd als .deb "rumliegen" sehen?.
> 
> Grüsse
> MH
> 
>