[Postfixbuch-users] Blacklist uceprotect

sebastian sebastian at debianfan.de
Di Dez 16 00:40:00 CET 2008 

Thomas Klein schrieb:
> sebastian at debianfan.de schrieb:
>> Thomas Klein schrieb:
>>> Hallo zusammen,
>>>
>>> ich bekomme von Usern auf verschiedenen Postfix-Servern unabhängiger 
>>> Kunden in letzter Zeit häufiger Meldungen, dass Spams durchrutschen. 
>>> Ich stelle dabei fest, dass die Mails meist von irgendwelchen nicht 
>>> ganz dichten Mailservern oder geknackten Maschinen kommen. Ich habe 
>>> mal die IPs der Spamversendenden in rbls.org überprüft, nur die 
>>> uceprotect Blacklist hat diese Hosts als positiv erkannt.
>>> Habt ihr Erfahrungen mit uceprotect gemacht bzw. verwendet jemand von 
>>> euch diese BL? Ich würde die angebotenen Listen 1&2 erstmal zum Test 
>>> auf einem Server einsetzen.
>>>
>>
>> Ich hab mal das ganze über die Spamassassin Liste laufen lassen - 
>> vielleicht wäre Spamassassin das richtige hierfür - da ist die 
>> Kontrolle über mögliche Fehler besser.
>>
>> Du musst mal googeln - die Betreiber von uceprotect standen mehrfach 
>> unter massiver Kritik ob Ihrer Policy - vor allem Ihrer "raus aus der 
>> Liste"-Policy.
>>
>>
>> ifplugin Mail::SpamAssassin::Plugin::DNSEval
>>
>> # dnsbl-1.uceprotect.net
>> header RCVD_IN_UCEPROTECT1    
>> eval:check_rbl('uceprotect1-lastexternal', 'dnsbl-1.uceprotect.net.',)
>> describe RCVD_IN_UCEPROTECT1    Received via a relay in 
>> dnsbl-1.uceprotect.net
>> tflags RCVD_IN_UCEPROTECT1    net
>>
>> # dnsbl-2.uceprotect.net
>> header RCVD_IN_UCEPROTECT2    
>> eval:check_rbl('uceprotect2-lastexternal', 'dnsbl-2.uceprotect.net.')
>> describe RCVD_IN_UCEPROTECT2    Received via a relay in 
>> dnsbl-2.uceprotect.net
>> tflags RCVD_IN_UCEPROTECT2    net
>>
>> # dnsbl-3.uceprotect.net
>> header RCVD_IN_UCEPROTECT3    
>> eval:check_rbl('uceprotect3-lastexternal', 'dnsbl-3.uceprotect.net.')
>> describe RCVD_IN_UCEPROTECT3    Received via a relay in 
>> dnsbl-3.uceprotect.net
>> tflags RCVD_IN_UCEPROTECT3    net
>>
>> endif
>>
>> score    RCVD_IN_UCEPROTECT1    1.0
>> score    RCVD_IN_UCEPROTECT2    1.0
>> score    RCVD_IN_UCEPROTECT3    1.0
>>
>>
>> Score as you see fit. Remove the appended -lastexternal if you want to 
>> have *all* IPs checked rather than just the last external IP.
>>
>>
>> -- 
>> _______________________________________________
>> Postfixbuch-users -- http://www.postfixbuch.de
>> Heinlein Professional Linux Support GmbH
>>
>> Postfixbuch-users at listen.jpberlin.de
>> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>>
> Hallo zusammen,
> 
> also ich habe mal uceprotect 1+2 über Nacht laufen lassen, muss aber 
> feststellen, dass ein paar Newsletter hängen geblieben sind. Bin 
> inzwischen nicht mehr der Meinung, dass eine Listung in einer dieser BLs 
> einen 100%igen reject nach sich ziehen soll.
> 
> Der Vorschlag von Sebastian war ganz gut, die BLs in Spamassassin 
> einzubinden. Bin aber mit SA nicht so firm.. Habe das Modul 
> Mail::SpamAssassin::Plugin::DNSEval über die CPAN shell installiert, es 
> wird auch über /etc/spamassassin/v320.pre mit dem darin enthaltenen 
> Befehl "loadplugin Mail::SpamAssassin::Plugin::DNSEval" geladen. Aber wo 
> stelle ich den von Sebastian geposteten Code rein? Kann das direkt in 
> der local.cf erfolgen? Bin mal davon ausgegangen dass "ifplugin ....." 
> das Modul lädt und irgendwo auch die passende Configdatei zu finden ist, 
> die in diesem Fall besagt, welche BLs zu checken sind.
> 
> 
> Hier mal ein Beispiel-Auszug aus meinem Logfile:
> postfix/policyd-weight[28569]: weighted check:  NOT_IN_ZEN_SPAMHAUS=-1.5 
> NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 CL_IP_EQ_FROM_MX=-3.1 
> IN_SURBL=4 <client=91.184.56.4> <helo=mail.komm46.com> 
> <from=info at komm46.com> <to=user at meinedomain.de>, rate: -3.6
> 
> Ich bin etwas verwirrt, warum REV_IP_EQ_HELO von polw nicht zugeschlagen 
> hat, da bei der Einlieferung "connect from komm46.com[91.184.56.4]" im 
> Logfile vorzufinden war (das müsste ja der Reverse lookup name sein?!) 
> und lt. polw ja ein anderer helo-name angegeben war. Dieser Fall scheint 
> mir ein Mailserver bzw. eine Maildomain zu sein, die ausschliesslich zum 
> Spam-Zweck gedacht ist....
> 
> Danke & Gruss
> Thomas
> -- 

in die local.cf - einfach unten reinschreiben

Mehr Informationen über die Mailingliste Postfixbuch-users