Hallo zusammen,
hier eine Zusammenfassung, wie wir unseren Mailserver Schritt für Schritt gehärtet haben, um Spam drastisch zu reduzieren, ohne legitime Mails (Kunden, Shopsysteme, Zahlungsanbieter usw.) zu verlieren.
Ziel war:
Postscreen blockiert „dummen“ Bot-Traffic, bevor überhaupt eine Mail angenommen wird.
<SPAMHAUS_ZEN>*2
bl.spamcop.net*1
Verwendet wurden:
postscreen_dnsbl_action = enforce
➡️ Eine IP mit schlechtem Ruf wird bereits auf SMTP-Ebene abgewiesen, bevor Rspamd überhaupt arbeiten muss.
✔️ Weniger Last auf Rspamd
✔️ Weniger Queue-Müll
Damit werden typische Spam-Muster erkannt wie:
Zusätzlich aktiv:
Beispiel: vertrauenswürdige Absenderdomains
Für bekannte Anbieter wurden Regeln wie diese erstellt:
PROVIDER_TRUSTED {
priority = high;
from = "@anbieter-domain.de";
apply {
symbols_disabled = ["FUZZY_DENIED"];
actions {
reject = null;
add_header = null;
greylist = null;
}
}
}
✔️ Keine harte Ablehnung
✔️ Keine Greylist
✔️ Keine aggressiven Fuzzy-Treffer
❗ Trotzdem bleiben aktiv:
Kontrolliert wurde über:
tail -f /var/log/rspamd/rspamd.log
tail -f /var/log/mail.log
Wichtig war dabei:
Legitime Mails:
✔️ GMX
✔️ Gmail
✔️ Shop- und Zahlungsanbieter
✔️ Behörden / Geschäftspartner
laufen stabil durch.
Sehr hohem Spam-Schutz
Kaum False Positives
Stabiler Mailzustellung für wichtige Systeme
Wenn Interesse besteht, kann ich die Rspamd-Settings für typische Anbieter (Zahlung, Shops, Versand) als Vorlage zusammentragen.
Viele Grüße
und danke an alle Mitwirkenden hier im Forum
hier eine Zusammenfassung, wie wir unseren Mailserver Schritt für Schritt gehärtet haben, um Spam drastisch zu reduzieren, ohne legitime Mails (Kunden, Shopsysteme, Zahlungsanbieter usw.) zu verlieren.
Ziel war:
- möglichst viel Spam vor Annahme der Mail abweisen
- den Rest intelligent durch Rspamd bewerten lassen
- ⚖️ bekannte seriöse Absender gezielt entschärfen statt global alles aufzuweichen
Stufe 1 – Postscreen vor Postfix
Der erste Filter sitzt vor Postfix und Rspamd:Postscreen blockiert „dummen“ Bot-Traffic, bevor überhaupt eine Mail angenommen wird.
Eingesetzte DNSBLs
postscreen_dnsbl_sites =<SPAMHAUS_ZEN>*2
bl.spamcop.net*1
Verwendet wurden:
- Spamhaus ZEN (IP-Reputation)
- SpamCop (zusätzliche IP-Reputation)
Schwellenwert
postscreen_dnsbl_threshold = 3postscreen_dnsbl_action = enforce
➡️ Eine IP mit schlechtem Ruf wird bereits auf SMTP-Ebene abgewiesen, bevor Rspamd überhaupt arbeiten muss.
Effekt
✔️ Massiv weniger Bot-Spam✔️ Weniger Last auf Rspamd
✔️ Weniger Queue-Müll
Stufe 2 – Rspamd als Inhalts- & Reputationsfilter
Nach Postscreen übernimmt Rspamd die Bewertung echter Mails.Aktivierte RBL/URIBL-Prüfungen
Rspamd prüft unter anderem:| Bereich | Liste |
|---|---|
| Absender-IP | Spamhaus ZEN |
| URLs in Mails | Spamhaus DBL |
| Domains im Body | SURBL / URIBL |
- kompromittierte Webserver mit Spam-Links
- Phishing-Domains
- Malware-Landingpages
⚙️ Bewertungslogik
| Score | Aktion |
|---|---|
| niedrig | zustellen |
| mittel | als Spam markieren |
| hoch | ablehnen (reject) |
- Bayes-Filter
- DKIM/SPF/DMARC-Auswertung
- Fuzzy-Hash gegen bekannte Spamkampagnen
️ Problem: Seriöse Mails wurden zu streng bewertet
Nach der Härtung kam es vor, dass legitime Mails blockiert wurden, z. B.:- Zahlungsanbieter
- Shopsysteme
- Buchhaltungssysteme
- Versanddienstleister
- Technisch legitime Mail
- Aber viele Tracking-Links, HTML-Formatierung
- → FUZZY / URI-Regeln schlugen stark an
Lösung: Gezielte Rspamd-Ausnahmen (statt global abschwächen)
Statt die Spamregeln allgemein zu lockern, wurden selektive Settings-Blöcke angelegt.Beispiel: vertrauenswürdige Absenderdomains
Für bekannte Anbieter wurden Regeln wie diese erstellt:
PROVIDER_TRUSTED {
priority = high;
from = "@anbieter-domain.de";
apply {
symbols_disabled = ["FUZZY_DENIED"];
actions {
reject = null;
add_header = null;
greylist = null;
}
}
}
Wirkung
Für diese Domains:✔️ Keine harte Ablehnung
✔️ Keine Greylist
✔️ Keine aggressiven Fuzzy-Treffer
❗ Trotzdem bleiben aktiv:
- SPF
- DKIM
- DMARC
- RBL-Prüfungen
Tests nach jeder Änderung
Nach jeder Anpassung wurden gezielt Tests gemacht:| Test | Zweck |
|---|---|
| GMX → eigene Domain | normale private Mail |
| Gmail → eigene Domain | große Provider |
| Shop-/Systemmail | HTML + Tracking |
| Testspam mit bekannten Begriffen | Filterwirkung prüfen |
tail -f /var/log/rspamd/rspamd.log
tail -f /var/log/mail.log
Wichtig war dabei:
- Wird Mail angenommen oder schon von Postscreen geblockt?
- Welcher Rspamd-Score entsteht?
- Welche Symbole schlagen an?
Ergebnis nach der Umstellung
| Vorher | Nachher |
|---|---|
| Viele Junk-Mails täglich | Nahezu keine Spam-Mails mehr |
| Hohe Systemlast durch Spam | Deutlich weniger Rspamd-Scans |
| Kunden beschweren sich über Spam | Kunden merken deutliche Verbesserung |
✔️ GMX
✔️ Gmail
✔️ Shop- und Zahlungsanbieter
✔️ Behörden / Geschäftspartner
laufen stabil durch.
Fazit
Die Kombination aus:- Postscreen (IP-Reputation vor Annahme)
- Rspamd (Inhalt + Authentifizierung)
- Gezielten Ausnahmen statt globaler Lockerung
Sehr hohem Spam-Schutz
Kaum False Positives
Stabiler Mailzustellung für wichtige Systeme
Wenn Interesse besteht, kann ich die Rspamd-Settings für typische Anbieter (Zahlung, Shops, Versand) als Vorlage zusammentragen.
Viele Grüße
und danke an alle Mitwirkenden hier im Forum