Was kann man noch tun gegen Spam (mit ISPC)

[Till]

Wenn Du Befhle mit mit && kombinierst, wird der 2. Befehl nur ausgeführt wenn der 1. erfolgreich bgeschlossen wird. Kombinierts Du Befehle mit ; dann wird der 2. Befehl auch ausgeführt wenn der erste Fehlgeschlagen ist.

In allen Fällen wird immer erst der erste vollständig abgearbeitet und dann der 2. Wenn Du Befehle starten möchtest und nicht auf die Beendigung warten, dann must Du die Prozesse mit "&> /dev/null" in den Hintergrund schieben.

 

[M. Zink]

Prima das hört sich gut an. Hab das jetzt jedenfalls mal so in die Crontab gebaut und noch paar andere sachen dazu. Mal sehen wie es dann die Tage aussieht mit dem Log.

Die von Spam Assassin antworten im übrigen nicht. Hab auch die Hosten von zwar DNS Blacklisten angeschrieben und auch keine Rückmeldung. Ich glaub irgendwie die wollen nicht das man hilft. Naja egal hauptsache ich bekomm nicht jeden Müll ungefiltert ins Postfach.

Unerwünschte Werbung per Telefon kost übrigens jetzt 250.000 € und es wird diskutiert das der Kunde in jedem Fall zuvor schriftlich zustimmen muss. Mal davon ab das man die Urheber von Mails fast nie findet wie sieht das aus bei Spam per Mail? Ich denke das trifft hier auch zu oder? Weil dann müsste man sich als Forenbetreiber ja auch ne schriftliche Zustimmung holen das man Mails versenden darf oder?

 

[jietoh]

das effektivste mittel was ich kenne gegen spam ist greylisting. wenn du die möglichkeit hast einen "toten" MXer vorzuschalten, dann wirds noch angenehmer. falls du kunden drüber laufen hast, ist das fast das einzige was man machen "darf". ansonsten musst du das dem kunden überlassen, ob und was er als spam ansieht. ist es nur für dich dann siehe posts davor.

betreiber von foren holen sich via agb etc. zuvor die zustimmung dir was schicken zu dürfen.

grüße, jietoh

 

[M. Zink]

Irgendwie habe ich so langsam den Verdacht das bei meinem Server entweder was total verstellt ist oder irgend ein Dienst seine Dienste beendet hat ohne das ich das mit bekomme. Denn ich bekomme jetzt seit 4 Wochen schon sehr viel Spam und das war die ganze Zeit nicht so. Vor allem auch wieder Spam der vor langer Zeit mal kam. Und im Mail Header stand vorher auch immer was drin welchen Score die Mail erreicht hat so das ich wenigstens daran erkennen konnte wieso die Mail durch den Filter gekommen ist aber das ist nicht der Fall.

Amavis ist aktuell das macht bei mir der Cron Job und die Filter in meiner Conf von Postfix laufen auch alle. Hab so ein Teil laufen was täglich ein Log erzeugt über die geblockten Mails und wie viele geblockt wurden und durch welchen Filter und sowas weshalb ich eigentlich davon ausgehe das nicht der ganze Schutz weg sein kann.

Was sollte ich denn nun unternehmen? In den Logs hab ich alles mögliche angeschaut und finde nichts was Probleme macht.

 

[Till]

Setz mal den spam tag level 1 auf z.B. -100, dann solltest Du auf jeden Fall im Headers ehen können, welche Regeln da angeschlagen haben. Es gibt ja auch Regeln mit negativem Score. Oder aber der bayes filter hat was falsches gelernt und hebt daher den score von anderen Regeln teilweise uaf.

 

[M. Zink]

OK muss natürlich jetzt warten bis wieder ne Hand voll Mails eingegangen sind. Ich geb dann Rückmeldung.

 

[M. Zink]

Es hat sich dadurch nichts geändert. Allerdings muss ich auch sagen hab ich mir mal ein paar ältere Mails angesehen und da sind auch keine Informationen über die Spam Bewertung mehr drin. Auf dem alten Server war das allerdings so. Kann es sein das bei meinem jetzigen Server den ich nach dem HowTo für den perfekten Server mit Debian Lenny aufgesetzt habe etwas anders läuft und dadurch auch jetzt keine direkten Infos mehr im Header stehen?

 

[Till]

Kann es sein das bei meinem jetzigen Server den ich nach dem HowTo für den perfekten Server mit Debian Lenny aufgesetzt habe etwas anders läuft und dadurch auch jetzt keine direkten Infos mehr im Header stehen?

Nein, an sich nicht.

Überprüf nochmal ob auch wirklich die richtige Policy in den Mailbox-Einstellungen und ggf. auh in den Maildomain Einstellungen gewählt ist.

 

[M. Zink]

OK dann scheint wirklich irgendwo der Wurm drin zu sein.

Einstellungen sehen wie folgt aus (nur die es betrifft)
Main Domain: Spamfilter Normal
Mailbox: Spamfilter Normal
Filtereinstellungen: alles auf NO im ersten Tab, keine Einträge im zweiten Tab, dritter Tab von oben nach unten: 100, 4.5, 9, 0, 0, YES, -leer-, "***SPAM***"

Irgendwas scheint aber zu funktionieren da ich stellenweise Mails bekomme wo das ***SPAM*** im Betreff angehengt wurde. Allerdings selbst bei diesen Mails keine Einträge im Mailheader bezüglich Spam.

ISPC Version ist 3.0.3

P.S.: Zählen fehlende Übersetzungen als Bug?

 

[Till]

Du musst da -100 und nicht 100 eintragen.

P.S.: Zählen fehlende Übersetzungen als Bug?

Nein, da wir ganz einfach keine festen Maintainer für die Übersetzungen haben die schon während der Betapahse die Übersetzungen anpasen. Wenn also jemand mittels language Editor eine komplettierte Übersetzung hat, dann bitte exportieren und mir per email an dev at ispconfig dot org schicken. Dan wird sie beim nächsten Bugfix Release mit veröffentlicht.

 

[M. Zink]

Ich hatte das vorhin geändert und habe jetzt erst mals wieder eine Mail erhalten wo was von Spam drin zu finden ist.

X-Amavis-Alert: BAD HEADER SECTION, Duplicate header field: "Cc"
X-Spam-Flag: NO
X-Spam-Score: 2.906
X-Spam-Level: **
X-Spam-Status: No, score=2.906 tagged_above=-100 required=4.5
tests=[BAYES_80=2, HTML_MESSAGE=0.001, RCVD_IN_PBL=0.905[/quote]Früher war es so, dass 4.5 schon fast zu gering war und man damit je nachdem schon mal ne Mail verloren hat die man eigentlich haben wollte aber dafür gabs auch fast kein Spam mehr. Wie es aussieht hat sich da einiges verändert und der Punktewert hilft einem nicht mehr wirklich weiter oder? Die Mail hat 2 Punkte bekommen wegen Bayes und 0.9 wegen PBL aber ich kann nicht den Wert jetzt auf 2.5 setzen um solche Mails los zu werden dann verliere ich ja jede menge wichtiger Mails.

Ich dreh mit dem Thema echt noch mal durch wenn ich überlege wie lange ich mich schon mit dem Thema Spam beschäftige. Ich hab lokal einen Spamfilter, nutze den Junk Mail vom Exchange, hab auf dem Server den Spamschutz + die Blacklists in der Conf und trotzdem bekomm ich inzwischen pro Tag 50-80 Spam Mails. Das geht so einfach nicht mehr weiter.

Übrigens werden auf meine Domain die das hauptsächlich betrifft täglich ca. 1000-1500 Mails geblockt. Ist also nicht so das der ganze Spam rein kommt. Es kümmt aber trotzdem mehr als ich auf dauer verkrafte!

 

[Till]

Versuch Dich einfach ein bischen zu entspannen Es ist ganz normal dass es mit dem spam filtern mal besser und mal schlechter wird. Die Spammer rüsten auf und finden neue Methoden, dann werden dagegen neue spamfilter Regeln gefunden und dann fängt es wieder von vorne an. Spamassassin ist schon mit das beste was Du bekommen kannst. Wenn Du Deine spamassassin installation feintunen willst, findest Du dazu jede Menge infos und auch alternative Regelsätze und Zusatzplugins auf der spamassassin Webseite.

Spam filtern ist immer nur eine maschinelle Analyse von text und Maschinen könne sowas eben nur bedingt gut. Spammer versuchen Ihre texte so weit wie möglich denen von normalen emails anzunähern, so dass es für den filter immer schwerer wird Unterschiede zu finden um sie von normalen Emails abzugrenzen. Wenn Du eine null oder nahe null false positive Rate haben möchtest, kommen immer ein paar spams durch.

 

[M. Zink]

Naja recht hast Du natürlich. Ich kann von einer Maschine nicht erwarten das sie versteht was ich als Spam betrachte und entsprechend handelt. Allerdings habe ich da auch ein paar andere Gedankengänge weshalb ich das ganze nicht verstehen kann.

Beim File Sharing z.B. gibt es inzwischen hunderte Anwälte und sonstige Einrichtunge und Behörden und weiß der Teufel die alle versuchen möglichst viel davon zu eliminieren. Lime Wire wurde über Gesetzeswege dicht gemacht und Beispiele was mit Leuten passiert die illegale Inhalte runter laden gibt es ohne Ende. Wieso geht man nicht ähnlich agressiv gegen Spam vor? Man kann hier ja nicht mal sagen die Industrie ist nicht betroffen und deshalb zu geringes Interesse. Und das es gegen gültiges Recht verstößt ist doch wohl zumindest hierzulande eindeutig oder? Wenn ich überlege welche Strafen für Spam verhengt werden können frage ich mich echt wieso nicht tagtäglich irgendwelche Spamer hoch genommen werden.

Ich würde sogar einen Schritt weiter gehn, jeder dessen Rechner für ein Bot Netz oder irgendwas missbraucht wird um den Spam voran zu treiben bekommt auch eine Strafe wegen Mittäterschaft. Zu hart? Wieso? Es gibt ein Sprichwort - Unwissenheit schützt vor Strafe nicht! Und jeder der sich heute im Internet umher treibt sollte entsprechende Maßnahmen ergreifen um seinen Rechner und andere zu schützen. Ich spreche hier nicht von den Hackern die wirklich geschützte Rechner knacken und dann was anstellen. Aber ich habe es auch heute noch immer wieder mit Kunden zu tun die keinen Virenschutz und nichts auf dem Rechner haben.

Aber genug OT.

Gibt es denn überhaupt kein unveränderliches Kriterium in einer Mail was in irgend einer Form den tatsächlichen Ursprung ermitteln lässt und somit eindeutig zuzuordnen geht? Mal als Beispiel eine Spam Mail kommt über 3 normale Anwender PC's und mehrere DNS und sonstige Knoten und hat ihren Ursprung auf Server 0815 in Panama. Kann ich dann nicht einen Filter setzen der besagt "Bitte keine Mails mehr von diesem Server, außer die Domain wird tatsächlich auf diesem Server gehostet"? Denn nur die wenigsten Spammails werden tatsächlich über den echten Mailserver des Domaininhabers geschickt. Ich kann z.B. nachweisen, dass mein Server (der neue) noch nie eine Spam Mail verschickt hat aber trotzdem wurde ich schon 2 mal angeschrieben per Mail das über meine Domain Viagra Mails verschickt werden. Den Absender zu maskieren ist nun wirklich nicht schwer das bekommen Skript Kiddies schon hin. Aber irgendwas muss es doch geben in der Mail was nicht zu manipulieren geht oder?

Dienstag, 02.11.2010 und bis 18 Uhr exakt 141 Spam Mails durch gekommen und 1744 Spam Mails vom Server aufgehalten.
Das muss aufhören!

 

[Till]

Aber irgendwas muss es doch geben in der Mail was nicht zu manipulieren geht oder?

Das gibt es eben leider nicht. Wenn es das geben würde, dann hätten es bereits alle implementiert und es würde keinen spam mehr geben. Technisch gesehen ist eine Email nichts anderes als eine Textdatei, da kann man alles rein schreiben oder löschen was man will. Es gibt da zwar die Ansätze mit spf, aber es hat sich rausgestellt das spf nicht funktioniert da wahrscheinlich mehr spamversender spf eingerichtet haben als normale domains...

 

[Burge]

Greif auf kostenpflichte sachen zurück wie zb antispameurope die haben richtige ergebnisse aber dazu musst du dein mx umbiegen das alles über deren mailserver geht.

 

[Till]

Ich vermute mal die greifen auf große Mengen an honeypot Adressen zu und nehmen dann checksums zur analyse. Also ähnlich wie die C't mit Ihrem nixspam projekt, nur halt ein paar Nummern größer. Denn das ist meines Wissens nach eine der wenigen Methoden die noch gut funktioniert, da sie eben nicht versucht den Inhalt der Emails zu klassifizieren. Dafür braucht man aber hunderte weltweit verteilte Postfächer um die spam emails zu erhalten.

 

[M. Zink]

Das mit dem Spamsystem hört sich gut an. Allerdings würde das entschieden meinem Rechtsempfinden widersprechen. Ich soll bezahlen damit ich nicht belästigt werde von Leuten die das Gesetz brechen? Nein!

Ich denke die erreichen das mit den tausenden Mailadressen weltweit durch die Kunden selbst. Jeder Kunde bzw. dessen Postfach wird "überwacht" und wenn bei 500 unabhängigen Kunden eine Mail eingeht deren Checksumme gleich ist durch identischen Inhalt dann ist die Spamwahrscheinlichkeit recht hoch denke ich und dann greift der Zusatzschutz.

Ich werde mal rein informativ ein paar Bekannte fragen was die noch so treiben gegen Spam. Einer davon hält Vorlesungen zum Thema IT Sicherheit an FH's und so vielleicht hat der auch bei dem Thema ein wenig Durchblick.

 

[M. Zink]

Ich weiß nicht wie es den anderen hier allen geht aber ich bin echt kurz vorm explodieren was die spammerei betrifft. Eine Hand voll pro Tag ist kein Problem damit kann ich leben. Allerdings bin ich bei einem Postfach inzwischen bei 300-350 Spam Mails pro Tag die trotz der Maßnahmen auf dem Server noch durch kommen. Und ich weiß einfach nicht was ich da noch machen soll. Vor allem frage ich mich langsam was mit den Blacklists usw. überhaupt los ist. Da sind Mails dabei die ich schon seit Wochen erhalte immer von verschiedenen Adressen und auch mit leicht abgewandeltem Wortlaut aber letztenendes geht es immer um irgendwelche Armbanduhren. Jedenfalls ist das nicht auszuhalten. Ich hab einfach keine Zeit mich permanent mit Müll zu beschäftigen und immer wieder mein Postfach zu sortieren. Kürzlich habe ich es gewagt mal 5 Tage keine Mails abzurufen da ich unterwegs war und meinen Exchange runter gefahren hatte und als Dankeschön hab ich dann den halben Tag nichts anderes gemacht wie Mails zu sortieren und die wichtigen Dinge vom Müll zu trennen.

Entweder brauche ich neue Listen mit denen ich arbeiten kann ober ich brauch irgendwelche anderen Möglichkeiten das Spamaufkommen zu reduzieren. Wenn mal paar durch kommen kein Problem. Aber das hier geht alles entschieden zu weit!

Ach ja, der Server scheint schon zu merken das eine Mail Spam ist. Er schreibt ja noch kackendreist ***Spam*** vor den Betreff! Wie bringt ich der bekloppten Blechbüchse bei diese Mails direkt zu killen und gar nicht erst weiter zu schicken?

Wieso gibt es eigentlich keine Möglichkeit eine Art Steuerzentrale für so einen Server zu installieren mit der ich z.B. das gesamte Thema Spam an einer einzigen Stelle einstelle und dort von mir aus mit 30 Parametern das Feintuning mache? Ist zwar schön das Linux so viele Möglichkeiten bietet aber es nervt einfach wenn man für eine Einstellung durch 5 Confs und mehrere andere Dinge durch muss. Selbst in ISPC ist mir das ganze einfach schon zu viel. Ist es wichtig eine Spam Mail über 100 Wege finden zu können und noch weitere 100 Wege zu finden wie damit umgegangen werden soll? Mir genügt ein Weg sie zu finden und dann einfach löschen und weg. Gut, so einfach wird es nicht gehn klar. Aber ich hab grade schon fast 30 Minuten gebraucht nur um zu sehen wie die Filtereinstellungen in ISPC sind und welche Filter ich in den Confs nutze. Echt unglaublich wie viel Zeit das Thema Email kostet das geht so einfach nicht weiter.

 

[Burge]

och ich denke es wird noch schlimmer entweder nihmst dir ein dienstleister der das für dich macht oder du lernst hast configis tunen ist halt wie alles im leben. Entweder zahlen und keine stress oder keine geld und genervt oder nerd und spass dran.

 

[F4RR3LL]

Also ich habs so gehalten ... zuallererst KEIN Catch All. Das ist mal am wichtigsten.
Weiterhin nutze nie info postmaster usw als postfach, da kommt meist Müll.
Sollte zwar vorhanden sein... allerdings nicht auf das private Postfach lenken.
Wenn das mal erledigt ist hat man schonmal einen Haufen Spam weniger.
Spam löschen ist halt ein Problem. Wie Till schon schrieb. Es sind txt Dateien, und ein zu restriktives entmüllen hat sehr schnell mal viele false positives dabei. Das will man ja auch nicht. Und zum Schluss. Wenn eine Mailadresse einmal soweit versaut ist, aufgrund von X Ursachen, sei es das Klartextposten auf Webseiten etc.
Neue Adresse nehmen und den Nutzerkreis klein halten.
Getrennte Mailaddys für Forenregistrationen und ähnliches , Geschäftliches und Privates.
Ich hab mir das vor 1 Jahr alles entsprechend geteilt. Arbeite jetzt mit 7 Mailadressen.
Die Privaten sind alle 100% Spamfrei, info postmaster und co werden zugemüllt, Geschäftliches und somit bekannte Mail addy wird bedingt zugespammt.
Interessant jedoch, die Mailadresse die ich nutze zum registrieren in Foren und anderen Sachen bekommt am meisten Müll.
Da ich allerdings weiß das dort keine *normalen* Mails ankommen kann ich mir das sortieren sparen und großzügig löschen.
Denn eines ist klar, Spam verhindern wirst Du nicht können. Dazu lohnt sich der Aufwand allein einfach nicht. Man kann ihn nur mindern und versuchen durch angepasstes Verhalten Arbeit mit dem Spam zu vermindern. So sehe ich das

//EDIT: Natürlich hab ich auch meine Configs nachgebessert. Habe aber weder Lust noch Zeit mich damit dauernd auseinanderzusetzen. Daher der obige Lösungsansatz der bei mir prima funktioniert und ich habe weitesgehend Ruhe von dem Thema.