[Postfixbuch-users] Was ist aktuell wirksam gegen Spam?

[Stefan Förster]

Hallo Christian,

* Christian Garling <christian at cg-networks.de> wrote:
> bringen Mechanismen wie greylisting und policy-weight noch die große
> Abhilfe gegen Spam? Gibt es inzwischen andere empfohlene Maßnahmen, die
> man ergreifen sollte?

Ich verwende Whitelists für die Role-Accounts wie abuse, postmaster
etc. und einige große Freemailer bzw. Kunden (client check, nicht
sender). Ansonsten habe ich selektives Greylisting, policyd-weight und
Checks von Client/Sender-MX/Sender-NS auf ein oder mehrere Treffer aus
der Spamhaus-DROP-Liste, der Bogon-Networks-Liste under der
Wildcard-MX-Liste. Unbekannte sender-Domains weise ich ab, ebenso
ungültige HELO-Hostnames oder solche, die nicht fully qualified sind
(letzteres war eine harte Entscheidung, ist bis jetzt aber gut
gegangen). Die Ablehungsrate liegt bei um die 94%, die Zahl der
ankommenden Verbindungen pro Tag schwankt stark, zwischen zwei und
zwölf Millionen ist alles dabei.

> Meine Einstellungen im Postfix schmeissen schon eine ganze Menge raus,
> aber es kommt immer viel Spam durch. Zur Zeit läuft AVG Antivirus mit
> Spamcatcher auf dem betreffenden System, wird aber in Kürze aufgrund der
> schlechten Erkennungsrate gegen AMaVis mit SpamAssassin ausgetauscht. Eine
> Sache die mir bei diesem Gespann auch immer noch etwas unklar ist, wo man
> da whitelisten muss. Trägt man die Adressen in amavisd.conf oder in
> SpamAssassins local.cf ein? Wird die local.cf eigentlich noch benutzt oder
> überschreibt die amavisd.conf die Werte sowieso?

Ich teste derzeit ein zweistufiges Spamfilter-Setup: Einmal ein dspam
mit einer Pro-Benutzer-Bayes-Datenbank und einmal einen Spamassassin
mit einer globalen Bayes-Datenbank für alle Nutzer. In der
Anfangsphase wird dabei der dspam von Spamassassin trainiert (lernen
der Mails, die im Spamfolder landen oder vom User in den Lern-Ordner
verschoben werden).

Die Whitelist für die Role-Accounts habe ich in amavisd-new definiert
(diese werden also nicht nur von Postfix selbst immer angenommen,
sondern auch nich gecheckt). Aufgrund meines Setups muß kein
explizites Whitelisting in dspam erfolgen.

Ob ein Benutzer Spamfilterung wünscht oder nicht wird direkt in den
Tabellen vermerkt, die auch Postfix nutzt (virtual_mailbox_domains)
und mittels entsprechender Views auf die Konfigurationen der beiden
Spam-Filter abgebildet.

Bei 180 bis 250 Mails pro Minute, die durch die Postfix-Restriktionen
rutschen, läuft das System stabil bei einer Last von 6.0 bis 7.0. Die
Erkennungsrate beträgt je nach Benutzer zwischen 98% und 99,7%,
allerdings ist noch keine der dspam-Instanzen fertig trainiert. Der
Schönheitsfehler ist, daß momentan dspam auch Mails checkt, die Viren
enthalten - na ja, man kann nicht alles haben :)

Die MXe leiten nur weiter (kein IMAP lokal) und sind je ein
DualOpteron mit 2GB RAM, RAID-1 SATA-Platten (sw-raid). Ich fahre je
400 smtpd-Listener. Würde ich in SA die externen Tests deaktiveren,
würde sich der Durchsatz leicht um den Faktor drei bis vier erhöhen
lassen.


Ciao
Stefan
-- 
Stefan Förster     http://www.incertum.net/     Public Key: 0xBBE2A9E9