[Postfixbuch-users] spammer direkt blocken
Thomas Krieger
postfixusers at home.tom-krieger.de
Mo Mai 29 12:04:31 CEST 2006
Am Montag, 29. Mai 2006 11:59 schrieb Ralf Petry:
> Am Montag, den 29.05.2006, 10:45 +0200 schrieb Ralf Petry:
> > Am Montag, den 29.05.2006, 10:18 +0200 schrieb Thomas Krieger:
> > > Am Montag, 29. Mai 2006 10:07 schrieb Sandy Drobic:
> > > > Ralf Petry wrote:
> > > > > Am Montag, den 29.05.2006, 08:54 +0200 schrieb Matthias Haegele:
> > > > >> Ralf Petry schrieb:
> > > > >>> hy,
> > > > >>> ich habe immer mal wieder einen spammer (bei jedem überfall ein
> > > > >>> anderer), der einzelne postfächer zumüllt. gibt es nicht eine
> > > > >>> möglichkeit, den direkt abzuschmettern?
> > > > >>> es laufen postfix, amavisd-new und spamassassin.
> > > > >>> danke für hilfreiche hinweise im voraus.
> > > > >>
> > > > >> Hmm. Wenn du eindeutige Merkmale hast die den Spammer
> > > > >> identifizieren, ja (z.B. regex die auf die Nachricht zutrifft
> > > > >> etc.).
> > > > >> Dazu müssten wir aber schon mehr wissen ...
> > > > >
> > > > > das ding läuft in unregelmässigen abständen überfallartig ab, es
> > > > > ist von überfall zu überfall ein anderes mailkonto, das zugespammt
> > > > > wird und es ist ein anderer absender (naja - wen wunderts).
> > > > > diesmal ist in der from-zeile (im pine auf dem server, auf den ich
> > > > > gerade konnektiert bin) zu lesen: UEAGEOMPKB at source-one.com
> > > > > Mein Anliegen: genau diesen Absender angeben und Postfix sagen zu
> > > > > können, dass es die Mail von dem Absender direkt in die Tonne
> > > > > schmeisst. Ich weiss, dass man Spam nicht einfach löschen darf,
> > > > > aber meine User stöhnen schon, wenn sie an einem Tag 600 solcher
> > > > > Mails erhalten. schöne grüsse, und danke, ralf.
> > > >
> > > > Ralf, du musst schon etwas detaillierter nachschauen. (^-^)
> > > > Kommen die Mails alle vom gleichen Client,
> >
> > ja
> >
> > > dnyamische ip/statische ip, mit
> > >
> > > > gleichem Absender, nur innerhalb einer kurzen Zeitspanne/verteilt
> > > > über einen größeren Zeitraum?
> > > > Mit welchem HELO/EHLO melden die sich?
> > > >
> > > > Ziel sollte es auf jeden Fall sein, die Mails gar nicht erst
> > > > anzunehmen, sondern direkt abzuweisen mit einer entsprechenden
> > > > Restriktion.
> >
> > genauhau.
> >
> > > > Eine Abwehr kann nur funktionieren, wenn du weisst, wo der Hebel
> > > > anzusetzen ist. Know thy enemy!
> >
> > in abwandlung: nicht nur: kenne deinen feind, sondern auch: besiege
> > deinen feind.
> >
> > > Würde nicht schon folgendes reichen?
> > >
> > > smtpd_sender_restrictions = hash:/etc/postfix/access
> > >
> > > /etc/postfix/access:
> > > UEAGEOMPKB at source-one.com 554 Your IP address was blocked
> > > because it was origin of spam. Please contact <your at email.tld> if you
> > > think this behaviour is not justified!
> >
> > na, genau so was habe ich doch gesucht.
> > ich probiere es gleich aus.
>
> sodele, ausprobiert. tut. tut gut. eine frage hätte ich aber doch noch:
> mit dieser massnahme wird eine mail an den absender geschickt. das ist
> m.e. eigentlich banane. ich will sie einfach nur nicht haben. gibts
> nicht etwas wie bsw. discard?
> in /etc/postfix/access:
> UEAGEOMPKB at source-one.com Discard
>
> danke, mfg, ralf.
>
> > anschliessend lasse ich mir von meinem chef viel bildungsurlaub geben
> > und mache noch mal die postfixdoku durch. (obwohl, bildungsurlaub gibts
> > ja eh nicht. schon gar nicht bezahlt...).
> > danke und gruss, ralf.
Mir ist hier nur REJECT und OK geläufig.
Ciao
Thomas
Mehr Informationen über die Mailingliste Postfixbuch-users