Ist das normal?

christian usenet at schani.com
Do Jun 20 18:40:17 CEST 2024


Ich seh schon, es geht nicht nur mir so.

Seit Februar 2024 verwende ich RSPAMD als Spamfilter, vorher fast 15 
Jahre lang ASSP, ein Perl basierender Spamfilter mit eigenen Regeln und 
externen Abfragen. Der lief zwar einigermaßen, gab aber nur wenige Infos 
aus und war Pflegebedürftig.

RSPAMD ist deutlich leistungsfähiger und anpassbarer. Obwohl die 
Dokumentation sehr schwierig, gewöhnungsbedürftig und teils Fehlerhaft 
ist kann man sich einarbeiten und durch "try and error" einiges erreichen.

 > Was meinst Du den genau mit MX-Reputation? Das ganz normale RBL-
 > Scoring des rspamd - hast Du daran getuned? Abonnierst Du irgendeinen
 > RBL-Dienst (was ja i.d.R. ab Mailmenge/Zeiteinheit verpflchtend ist)?

Ich prüfe immer mit senderscore.com. Da bekomme ich einen % Satz wie die 
Domain oder IP gewichtet ist. Dann hab ich einen Anhaltspunkt.

> Am 19.06.24 um 15:15 schrieb Daniel via Postfixbuch-users:
> Hi,
> was ich mich gerade Frage ist, wo kann ich checken, warum ein Sender 
> Bayes_Spam Punkte von rspamd bekommt.
> Ich checke immer hier: http://www.anti-abuse.org/multi-rbl-check/
> 

BAYES_SPAM und BAYES_HAM Infos kommen nicht von extern sondern werden 
normalerweise lokal selber angelernt. Entweder mit autolearn oder mit 
rspamc learn_spam  oder rspamc learn_ham. Da lernst Du dir die Scores an.
rspamd.com hat damit nichts zu tun.
rspamd.com bietet dir Fuzzy an, was auch recht gut ist.

Ich verwende RBL´s von verschiedenen Anbietern, aber die Ergebnisse sind 
nur ein Anhaltspunkt und nur ein kleiner Teil meines Gesamtscorings.

Etwa 20 Test werden durchlaufen und erst dann kommt es zum Gesamtwert.

Alleine Bayes und senderscore und RBL´s würden viele Fehler verursachen.
Dazu kommen natürlich noch eigene Filter die nach Begriffen suchen
Teleskopleitern, Küchenmesser, Prostata uvm.

Dann sammle ich gute und schlechte Emailadressen und gebe denen Scores 
mit. Genau so mit Domains.

Ein guter Start sind die ASN Listen die man gleich mal Filtern kann.
https://emretosunkaya.com/bad-asn-list-to-block-in-your-web-firewall-to-harden-against-malicious-attacks/

Das nimmt schon 90% vom Spam weg, ohne das ich die rejecte, sondern nur 
einen schlechten score gebe. Aber 100% Trefferquote bis jetzt.

Die Standard Dinge wie Virenscanner und FileExtensions, die ich 
natürlich erst mal nicht an den Kunden ausliefere sondern nur Informiere 
das was gekommen ist. Meist klärt sich das ohnehin wenn man den Absender 
ließt.

Ich habe sehr häufig Kunden die von Weltweit Emails erhalten mit Dateien 
wo man nicht genau weis was dahintersteckt, aber wichtig für sie sind 
(Forschungsunterlagen).

Durch die user settings in RSPAMD kann ich Kombinationen auch auf 
Durchmarsch stellen. z.B. bekommen USER automatisierte Lieferaufträge , 
Lagerbestände und Statusbenachrichtigungen. Immer vom Selben Absender, 
selber IP und selben Empfänger. Nur wenn diese Kombination stimmt, kann 
ich Tests abschalten und Emails durchwinken, Ressourcen sparen, Abfragen 
sparen und Annahmezeit auf 10ms Reduzieren.

Aber auch Kunden untereinander der gleichen Domain, oder befreundeten 
Domain bekommen dadurch Vorteile. Da fällt dann Bayes weg und externe 
Abfragen usw.. Der Vorteil ist das man den Auth User schnelle 
Reaktionszeiten geben kann. Es ist ein Unterschied ob eine kleine Email 
mit ein paar Zeilen 5 Sekunden beim Senden braucht oder nur 0,1 
Sekunden. Es fühlt sich einfach besser an für den Nutzer.

Das finde ich an RSPAMD Klasse

Aber jetzt zu Thema
Dann hat man wieder Leute die warten auf Unterlagen von der Unteren 
Naturschutzbehörde wegen Bauunterlagen und die kommen nicht weil die 
Domain die sendet überall auf allen BlackListen steht und eine schlechte 
Reputation hat.
Gleichzeitig bekommen meine User aber von Ihrem Verband (Landeskirche) 
100 Emails am Tag wovon 60 Spam sind, die natürlich in Spam abgelegt 
werden sollten. Der Sender ist natürlich gehackt aber keiner macht was.

OK, ich kann das handeln, aber nur wenn ich es weis und mein Kunde sagt 
das er auf was wartet. Das meine ich was zur Zeit immer mehr wird. Also 
das Bewusstsein das man einen Mailserver nicht nur installiert und dann 
läuft das Ding, sondern das ein MTA Arbeit bedeutet. Meist sind in den 
Ämtern nur irgendwelche Microsoft Konstellationen mit Exchange Gedöns. 
Ich kenn mich mit M$ gar nicht aus. Aber eine befreundeter IT´ler in der 
Stadtverwaltung sagt mir das sie sich mit dem Ding überhaupt nicht 
beschäftigen - außer Neustarts. Jetzt fragt den mal nach DNS Einträgen 
wie SPF DKIM oder DMARC  :-)

Naja kommt Zeit kommt Rat, ist ja noch alles Neuland :-)

Schwitzt nicht so sehr bei der Schwüle

Christian







Mehr Informationen über die Mailingliste Postfixbuch-users