[Postfixbuch-users] spam erkennungsraten verbessern

Marcel Hartmann (privat) mail at marcel-hartmann.com
Mo Sep 6 12:44:04 CEST 2010 

  Am 05.09.2010 12:33, schrieb Florian Pritz:
> On 05.09.2010 12:29, spamvoll at googlemail.com wrote:
>> X-Spam-Status: No, score=5.617 tagged_above=2 required=6.2
>> 	tests=[BAYES_00=-1.9
> Bayes besser trainieren (da muss man aufpassen also bisschen einlesen
> bitte) und required auf die empfohlenen 5 setzen.
>
> Außerdem könntest du fehlende rDNS gleich von postfix ablehnen lassen.
> Wenn du da einen FcrDNS check machst bist du unglaublich viel los.
Also den rDNS checken halte ich für sehr sinnvoll ebenso nur FQDN 
erlauben, dann spamhaus und dialup dns blacklists, header checks von 
russen, japanern und kroaten etc. blocken was man eh net will generell 
ablehnen und das bayes trainieren. sa-learn --spam/--ham

nur wie filtert man am besten --spam --ham btw. trainiert den --ham ???

Bisher habe ich ein postfach spam at domain.tld. Alle SPAMs schicke ich da 
per imap rein (Natürlicn ur die die bei meinen postfächern ankommen!) 
und die lasse ich nachts mit sa-learn --spam in bayes als spam 
trainieren. Das macht er auch. Aber den ham aller virtuellen domain 
postfächer die mir nicht gehören, wie mache ich das denn mal am besten.

Das autolearn in bayes würde ja alle Mails, die SPAM sind aber eine 
geringe Score haben (Siehe Beispiel am Ende dieser Mail!) als --HAM 
trainieren und immer wieder durchlassen. Das ist genau das Problem das 
ich habe.

Ich sollte sicher noch die header/body checks von peer nutzen wo Wörter 
wie viagra und konsorten, also alles was sowiso verdächtig ist private 
krankenversicherung usw. usf. blocken. Was auch sinn macht denke ich, je 
nachdem was man da alles so rein bekommt.

Ich suche auch seit längerem nach einer "guten" Lösung das Problem in 
den Griff zu bekommen, ich habe glücklicherweise eine SPAM Adresse 
(Meine private leider) wo jede Menge neuer SPAM generell ankommt, aber 
autolearn in bayes/amavisd und mein spam postfach das sa-learn --spam * 
abends macht, reicht da einfach nicht aus, und meine mails die kein SPAM 
sind als --ham zu lernen, da weiss ich nicht ob das recht und guten 
einfluss auf die anderen virtuellen domains und deren Postfächer hat die 
mir nicht gehören.

Ich habe das greylisting eingebunden, das DKIM gedöhns vom amavisd-new, 
bayes Filtering in SPAMASSASSIN mit autolearn, und natürlich auch die 
beiden anderen namens: rayzor2, DCC und phyzor. Dazu nutze ich noch das 
DNSRBL Krams wie z.B.: -> smtpd_helo_required = yes,  
reject_non_fqdn_recipient, reject_non_fqdn_sender,  
reject_unknown_sender_domain,  reject_unknown_recipient_domain, 
reject_unauth_destination, reject_multi_recipient_bounce,  
reject_non_fqdn_hostname und reject_invalid_hostname. Dazu verbiete ich 
absender die meine ip oder domain als absender verwenden sowie apostroph 
Adressen aus Ralf seiner Website Tutorials und das FcrDNS bastele ich 
jetzt mal ein nach Florian Pritz seinem Vorschlag.

Wenn Ihr mir dann noch einen Tipp geben könnt wie ich das mit dem 
sa-learn --ham in den Griff bekomme, wäre ich sehr dankbar.
Ich habe in der besagten Mailbox täglich an die 50 SPAM Mails liegen die 
ich als [SPAM] markiert haben will. Die sehen etwa so aus:

Return-Path: <info at schnellerduenn.com>
Delivered-To: mail at marcel-hartmann.com

X-Amavis-Alert: BAD HEADER SECTION, Non-encoded 8-bit data (char E4 hex):
	Subject: So bek\344mpfen Sie Ihre [...]
X-Spam-Flag: NO
X-Spam-Score: 0.96
X-Spam-Level:
X-Spam-Status: No, score=0.96 required=3.5 tests=[BAYES_20=-0.001,
	RAZOR2_CHECK=0.922, SUBJECT_NEEDS_ENCODING=0.049,
	T_RP_MATCHES_RCVD=-0.01]autolearn=no
Received: from mail.schnellerduenn.com (schnellerduenn.com [91.184.55.153])
	by mx02.insentic.de (Postfix) with ESMTP id 525FFDCDFC
	for<mail at marcel-hartmann.com>; Sun,  5 Sep 2010 20:38:52 +0200 (CEST)
Date: Sun, 5 Sep 2010 20:38:52 +0200
From: "Information"<info at schnellerduenn.com>
To: mail at marcel-hartmann.com
Subject: So bekämpfen Sie Ihre Fettleibigkeit
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
Message-Id:<20100905183852.E4D15C47871 at mail.schnellerduenn.com>

Damit gehen Sie den einfachsten Weg http://www.schnellerduenn.com

Ein Score von 0.96 das ich nicht lache! :-( Da habe ich sicher was 
falsch konfiguriert, hat da jemand einen Rat für mich zur Hand? Docus 
lesen kann ich selber ich brauche nur Stichwörter von Euch wenn Ihr Zeit 
habt mir diese Infos zu schreib0rn! :-)

Danke allen im Voraus!

Gruss,
Marcel

-- 
Marcel Hartmann // Frontend- und Webdeveloper
E-Mail:            mail at marcel-hartmann.com

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20100906/72280091/attachment.html>

Mehr Informationen über die Mailingliste Postfixbuch-users