Was kann man noch tun gegen Spam (mit ISPC)

[M. Zink]

Ich habe nun schon so einiges gemacht und versucht um der ganzen Spam Flut habhaft zu werden aber irgendwie funktioniert das alles nicht so perfekt wie ich mir das erhofft habe. Zum einen habe ich die Inhaltsfilter wo ich inzwischen ca. 80 Regeln erstellt habe und dabei sind welche die sind sehr großzügig angelegt und könnten wenn es Dumm kommt sogar wichtige Mails erwischen. Zum anderen sind da die Blacklisten wo ich Mailadressen und teilweise sogar ganze Domains drauf gesetzt hab. Und dann eben noch der normale Filter bei dem ich den Kill Level jetzt schon auf 9 runter gesetzt habe. Und trotzdem erreichen mich alleine auf 2 Mailadressen täglich bis zu 40 Spam Mails. Das liegt daran das die Versender immer eine andere Absenderadresse verwenden und den Text einfach immer wieder ein ganz klein wenig verändern. Der Inhaltsfilter schafft es somit nicht die Mails zu erfassen.

Aber das kann doch so nicht sein oder? Auf dem alten Server hatte ich direkt in der conf vom Postfix irgendwelche Dinge eingetragen und konnte sogar mit irgend so nem Befehl von nem Tool auswerten wie viele Spammails mein Server abgeblockt hat und sowas. Nur auf dem neuen dachte ich mir es ist besser restlos alles mit ISPC zu machen aber irgendwie scheint das leider nicht genug zu sein.

Wie soll ich also nun vorgehen? Hab ich in ISPC noch irgendwelche Möglichkeiten die ich noch nicht gefunden hab oder sollte ich irgendwelche Einstellungen verändern? Oder muss ich doch besser wieder an den confs irgendwelcher Dinge rum basteln damit es besser wird?

Denkt ihr eigentlich es bringt was die Leute anzuschreiben von deren Server z.B. Spam verschickt wird? Weil da sind ein paar dabei wo die IP laut Header auf einem Web Server endet und in diesem Fall kann man ja zumindest davon ausgehen, dass der Server beteiligt ist. Alternative wäre für mich ich fange an alle möglichen IP's und IP Kreise auf meinem Server komplett zu sperren. Aber ob mir das weiter hilft ist auch fraglich.

 

[Till]

Erstmal vorweg, manuell Filter nazulegen brigt grundsätzlich nicht viel. Deshlab mavht das an sich auch keiner. Die Funktion verwendet man an sich nur mal wenn man einen Nwsletter oder so loswerden will, bei dem man sich partout nicht abmelden kann.

Aber das kann doch so nicht sein oder? Auf dem alten Server hatte ich direkt in der conf vom Postfix irgendwelche Dinge eingetragen und konnte sogar mit irgend so nem Befehl von nem Tool auswerten wie viele Spammails mein Server abgeblockt hat und sowas. Nur auf dem neuen dachte ich mir es ist besser restlos alles mit ISPC zu machen aber irgendwie scheint das leider nicht genug zu sein.

Kannst Du doch bei ISPConfig genauso machen. Du kannst Doch beliebige dns Blacklists in der main.cf hinzufügen, um die Mails direkt abzuweisen. Habe bei mir auch einige als Vorfilter drin, um spamassassin zu entlasten.

Des weiteren kannst Du auch beliebige spamassassin Zusatzmodule installieren. Schau Dich einfach mal im spamassassin Wiki um.

Denkt ihr eigentlich es bringt was die Leute anzuschreiben von deren Server z.B. Spam verschickt wird?

Bringt nichts.

 

[M. Zink]

OK dann poste ich mal am besten meine alte conf von Postfix bzw. ich poste am besten nur den Unterschied zum Standard und dann wäre es total toll wenn mir jemand sagt was davon brauchbar ist und wo ich was weg lassen soll bzw. auch wo ich ggf. was hinzu fügen sollte.

Hier erst mal alles was ich damals zum Thema Spam hinzu gefügt hatte.

### SPAM ANPASSUNG START ###
disable_vrfy_command = yes
smtpd_delay_reject = yes
smtpd_helo_required = yes
strict_rfc821_envelopes = yes
invalid_hostname_reject_code = 554
multi_recipient_bounce_reject_code = 554
non_fqdn_reject_code = 554
relay_domains_reject_code = 554
unknown_address_reject_code = 554
unknown_client_reject_code = 554
unknown_hostname_reject_code = 554
unknown_local_recipient_reject_code = 554
unknown_relay_recipient_reject_code = 554
unknown_sender_reject_code = 554
unknown_virtual_alias_reject_code = 554
unknown_virtual_mailbox_reject_code = 554
unverified_recipient_reject_code = 554
unverified_sender_reject_code = 554

smtpd_recipient_restrictions =
            permit_sasl_authenticated,
            permit_mynetworks,
            reject_invalid_hostname,
            reject_non_fqdn_hostname,
            reject_non_fqdn_sender,
            reject_unknown_sender_domain,
            reject_unknown_recipient_domain,
            reject_unauth_pipelining,
            reject_unauth_destination,
            reject_unlisted_recipient,
            reject_rbl_client sbl.spamhaus.org,
            reject_rbl_client cbl.abuseat.org,
            reject_rbl_client dnsbl.sorbs.net,
            reject_rbl_client ix.dnsbl.manitu.net,
            permit

smtpd_helo_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    reject_non_fqdn_hostname,
    reject_invalid_hostname,
    permit

### SPAM ANPASSUNG ENDE ###

Und hier jetzt noch Unterschiede in beiden conf's die ich mir nicht erklären kann bzw. nicht weiß warum diese Unterschiede da sind.

Alte conf

mynetworks = 127.0.0.0/8
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
smtpd_sasl_local_domain =
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
smtpd_tls_auth_only = no
smtp_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

virtual_maps = hash:/etc/postfix/virtusertable

mydestination = /etc/postfix/local-host-names

Neue conf (gleicher Abschnitt)

mynetworks = 127.0.0.0/8 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
html_directory = /usr/share/doc/postfix/html
virtual_alias_domains =
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, mysql:/etc/postfix/mysql-virtual_email2email.cf
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_mailbox_base = /var/vmail
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, reject_unauth_desti$
smtpd_tls_security_level = may
transport_maps = proxy:mysql:/etc/postfix/mysql-virtual_transports.cf
relay_domains = mysql:/etc/postfix/mysql-virtual_relaydomains.cf
relay_recipient_maps = mysql:/etc/postfix/mysql-virtual_relayrecipientmaps.cf
virtual_create_maildirsize = yes
virtual_maildir_extended = yes
virtual_mailbox_limit_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailbox_limit_maps.cf
virtual_mailbox_limit_override = yes
virtual_maildir_limit_message = "The user you are trying to reach is over quota."
virtual_overquota_bounce = yes
proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps$
smtpd_sender_restrictions = check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf
smtpd_client_restrictions = check_client_access mysql:/etc/postfix/mysql-virtual_client.cf
maildrop_destination_concurrency_limit = 1
maildrop_destination_recipient_limit = 1
virtual_transport = maildrop
header_checks = regexp:/etc/postfix/header_checks
mime_header_checks = regexp:/etc/postfix/mime_header_checks
nested_header_checks = regexp:/etc/postfix/nested_header_checks
body_checks = regexp:/etc/postfix/body_checks
content_filter = amavis:[127.0.0.1]:10024
receive_override_options = no_address_mappings
message_size_limit = 0

Außerdem ist die Zeile "mydestination" in der alten conf auskommentiert warum auch immer. Ich weiß nicht mehr ob ich das wegen irgendwas damals gemacht hab oder was der Grund war.

Wie dem auch sei, ist meine neue conf mit den Unterschieden zur alten so ok oder muss da was gemacht werden und kann ich den Teil den ich damals wegen den Spammails eingebaut hatte 1:1 so wieder einbauen oder würden da einige Änderungen was bringen?

 

[Till]

Das mit den antispam settings sollte alles auch mit ISPConfig 3 funktionieren.

 

[M. Zink]

Meinst Du damit ich kann den Teil mit dem Anti Spam ruhig in die conf von Postfix rein bauen oder gibts in ISPC3 irgendwo einen Bereich wo ich diese Definitionen eintragen kann? Bei ISPC3 gibts so vieles in Sachen Blacklist Whitelist und weiß der Teufel da weiß ich echt noch nicht so ganz bescheid was wo wirklich rein gehört. Mit den 80 Regeln hab ich ja jetzt schon was falsch gemacht wie es aussieht.

 

[Till]

Du kannst die main.cf direkt editieren.

Mit den 80 Regeln hab ich ja jetzt schon was falsch gemacht wie es aussieht.

Nicht wirklich falsch gemacht. Aber Du kannst den Kampf gegen die Spammer mit manuell erstellten Regeln nicht gewinnen.

 

[M. Zink]

Gibt es eigentlich irgend eine Möglichkeit beim Netzwerkinterface oder sonst wo eine IP so zu sperren, das die nicht weiter als bis zur Netzwerkkarte oder so kommt? Weil ich hab irgendwie auch das Gefühl das gewisse Bots meine Webseiten durchforsten nach Mailadressen und nen Tag später oder so bekomm ich plötzlich mal wieder ne Spammail die ich vorher nie hatte.

 

[Till]

Schau mal in die ISPConfig FAQ:

http://www.faqforge.com/linux/how-to-block-access-to-a-server-by-ip-address-on-linux/

 

[Laubie]

Gibt es eigentlich irgend eine Möglichkeit beim Netzwerkinterface oder sonst wo eine IP so zu sperren, das die nicht weiter als bis zur Netzwerkkarte oder so kommt? Weil ich hab irgendwie auch das Gefühl das gewisse Bots meine Webseiten durchforsten nach Mailadressen und nen Tag später oder so bekomm ich plötzlich mal wieder ne Spammail die ich vorher nie hatte.

du solltest aber auch prinzipiell NIE deine Emailadresse frei im I-Net veröffentlichen!

Es gibt zig gute Möglichkeiten, die Emailadresse zu verschlüsseln (Java Script o.ä.) oder du bastelst dir ein Kontaktformular.

Grüße
Laubie

 

[M. Zink]

@Till
Danke für den Tip!
@Laubie
Da hast Du natürlich recht. Speziell wenn es eine Mailadresse ist die wirklich sauber bleiben soll muss man die ganz einfach geheim halten. Aber das Problem fängt ja schon da an das einige Mailadressen einfach eindeutig sind. Das heißt wenn Du die Domain www.blabla.de hast dann versuchen die Bots sofort info@blabla.de oder webmaster@blabla.de und ich habe einige Mailadressen die genau nach dem System angelegt sind und schon hab ich den Salat. Mailadressen wie meinen Vornamen @ domain . de gebe ich natürlich nicht einfach so im Netz preis. Allerdings auch hier gehen die Probleme schon damit los, dass z.B. Freunde die Mailadresse kennen und meinen sie müssten mich bei Facebook oder sonst wo einladen und schnallen nicht das ich längst dort angemeldet bin. Hat zur Folge das ich auch auf diesen Adressen langsam stück für stück irgend einen Spam Müll bekomme den ich dort nie wollte.

Wie dem auch sei, ich hab meine Erweiterung der conf wieder eingebaut und restlos alle eigenen Regeln in ISPC erst mal entfernt. Und siehe da, von 50 Spammails pro Tag zwischen 8 und 17 Uhr bin ich für heute schon mal auf 0 runter

Die Tage behalt ich das noch im Auto und filtere ggf. vereinzelte Dinge noch von Hand und dann ist das Thema hoffentlich vom Tisch.

 

[Laubie]

@Till
Danke für den Tip!
@Laubie
Da hast Du natürlich recht. Speziell wenn es eine Mailadresse ist die wirklich sauber bleiben soll muss man die ganz einfach geheim halten. Aber das Problem fängt ja schon da an das einige Mailadressen einfach eindeutig sind. Das heißt wenn Du die Domain www.blabla.de hast dann versuchen die Bots sofort info@blabla.de oder webmaster@blabla.de und ich habe einige Mailadressen die genau nach dem System angelegt sind und schon hab ich den Salat. Mailadressen wie meinen Vornamen @ domain . de gebe ich natürlich nicht einfach so im Netz preis. Allerdings auch hier gehen die Probleme schon damit los, dass z.B. Freunde die Mailadresse kennen und meinen sie müssten mich bei Facebook oder sonst wo einladen und schnallen nicht das ich längst dort angemeldet bin. Hat zur Folge das ich auch auf diesen Adressen langsam stück für stück irgend einen Spam Müll bekomme den ich dort nie wollte.

ok dann ist ja gut.
Ich hab auch nur ~15 Domains. Da kommt aber kaum Spam an. wahrscheinlich zu uninteressant

Wie dem auch sei, ich hab meine Erweiterung der conf wieder eingebaut und restlos alle eigenen Regeln in ISPC erst mal entfernt. Und siehe da, von 50 Spammails pro Tag zwischen 8 und 17 Uhr bin ich für heute schon mal auf 0 runter

Die Tage behalt ich das noch im Auto und filtere ggf. vereinzelte Dinge noch von Hand und dann ist das Thema hoffentlich vom Tisch.

Na dann ist ja alles super
Grüße
Laubie

 

[stefanw]

Btw. kennt jemand eine Möglichkeit die Anzahl von eingehenden EMails die von einer IP kommen, z. B. pro Minute auf 5 zu beschränken

 

[M. Zink]

Soweit ich mich auskenne kannst Du mit Quota lediglich die Datenmenge insgesamt einschränken aber nicht die Anzahl an Mails pro IP. Wenn das Quota erreicht ist werden keine Mails mehr angenommen bis der Zyklus eben um ist. Frag mich aber nicht wo das eingestellt werden muss ich glaub in ISPC3 gibts da sogar was aber ich glaube das geht nur auf die Postfachgröße auf dem Server und nicht die empfangene Datenmenge.

 

[M. Zink]

Ich weiß nicht warum aber seit ein paar Tagen hat sich das Spam Aufkommen was durch meinen Server durch kommt wieder dramatisch erhöht. Wir sprechen nicht von 1-2 Mails die Woche sondern von bis zu 30-40 pro Tag die früher nicht durch gekommen sind. Auffällig ist das es meistens Mails sind die angeblich von meinen eigenen Mailadressen sind. Allerdings im Header sieht man dann das dies nicht so ist.

Die Frage ist ob ich ggf. veraltete Blacklists verwende oder was da los ist. Folgende Einträge hab ich in meiner Conf drin.

reject_rbl_client sbl.spamhaus.org,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client ix.dnsbl.manitu.net,

Was habt ihr denn da so für welche im Einsatz und gibt es nicht irgendwo ne Liste wo ich neue her holen kann oder so?

 

[Till]

Ich weiß nicht warum aber seit ein paar Tagen hat sich das Spam Aufkommen was durch meinen Server durch kommt wieder dramatisch erhöht.

Das ist normal und passiert regelmäßig, die Spammer finden irgend was neues und es dauert ein paar tage, bis es dafür neue spamassassin Regeln gibt und bis die bayes Filter im amavisd das gelernt haben. das ist ein ewiges Katz und Maus Speil zwischen Spammern und Mailserver Admins.

Schau mal in den email header, welche Regeln da gegriffen haben und welchen score die Emails haben. Außerdem schai mal mit sa-update nach, ob der spamassassin auch aktuelle Regeln hat.

 

[M. Zink]

Kann ich denn selbst dazu beitragen diese Listen aktuell zu halten? Es könnte ja sein das irgend einer meint seinen Spam Müll nur bei mir abladen zu müssen und dann bekomme ich das Zeug auch in 100 Jahren noch weil es dann natürlich nie auf ne Liste kommt.

Das mit sa-update hab ich gemacht. Hat 3-4 Sekunden gedauert aber ich kann nicht sagen ob irgendwas passiert ist. Es kam keine Meldung. Sollte ich dieses sa-update in einen cronjob packen und ein mal am Tag ausführen lassen oder so?

 

[Till]

Kann ich denn selbst dazu beitragen diese Listen aktuell zu halten?

Keine Ahnung, Du kannst die ja mal an das spamassassin projekt wenden. Es wird ja von der apache foundation wntwickelt.

Es könnte ja sein das irgend einer meint seinen Spam Müll nur bei mir abladen zu müssen und dann bekomme ich das Zeug auch in 100 Jahren noch weil es dann natürlich nie auf ne Liste kommt.

Das ist sehr unwahrscheinlich.

Sollte ich dieses sa-update in einen cronjob packen und ein mal am Tag ausführen lassen oder so?

Ja. Und danach amavisd neu starten.

 

[M. Zink]

OK dann werd ich das mal machen. Wie oft sollte das laufen? Ein mal pro Woche oder lieber täglich? Wie müsste der Eintrag in der Crontab aussehen damit beides in einer Zeile passiert?

Wegen Spam Assassin werd ich mich mal die Tage informieren wie das läuft und fragen ob man da durch einfache Anpassungen auf dem Server helfen kann in Form von Meldungen oder so.

 

[Till]

OK dann werd ich das mal machen. Wie oft sollte das laufen? Ein mal pro Woche oder lieber täglich? Wie müsste der Eintrag in der Crontab aussehen damit beides in einer Zeile passiert?

Ich würde es einmal pro Tag laufen lassen. Du kannst meherer Befehle mit && verketten, also in etwa so:

/usr/bin/sa-update && /etc/init.d/amavis restart

 

[M. Zink]

Mal kurz ne zwischenfrage wenn wir grade Befehle kombinieren. Wenn ich wie in diesem Fall zwei sachen machen lasse wird dann immer erst der erste Befehl ausgeführt und gewartet bis der komplett durch is und danach der zweite oder kann es passieren das wenn der erste sehr lange dauert der zweite schon gestartet wird bevor der erste fertig ist?