# Was kann man noch tun gegen Spam (mit ISPC)



## M. Zink (6. Juli 2010)

Ich habe nun schon so einiges gemacht und versucht um der ganzen Spam Flut habhaft zu werden aber irgendwie funktioniert das alles nicht so perfekt wie ich mir das erhofft habe. Zum einen habe ich die Inhaltsfilter wo ich inzwischen ca. 80 Regeln erstellt habe und dabei sind welche die sind sehr großzügig angelegt und könnten wenn es Dumm kommt sogar wichtige Mails erwischen. Zum anderen sind da die Blacklisten wo ich Mailadressen und teilweise sogar ganze Domains drauf gesetzt hab. Und dann eben noch der normale Filter bei dem ich den Kill Level jetzt schon auf 9 runter gesetzt habe. Und trotzdem erreichen mich alleine auf 2 Mailadressen täglich bis zu 40 Spam Mails. Das liegt daran das die Versender immer eine andere Absenderadresse verwenden und den Text einfach immer wieder ein ganz klein wenig verändern. Der Inhaltsfilter schafft es somit nicht die Mails zu erfassen.

Aber das kann doch so nicht sein oder? Auf dem alten Server hatte ich direkt in der conf vom Postfix irgendwelche Dinge eingetragen und konnte sogar mit irgend so nem Befehl von nem Tool auswerten wie viele Spammails mein Server abgeblockt hat und sowas. Nur auf dem neuen dachte ich mir es ist besser restlos alles mit ISPC zu machen aber irgendwie scheint das leider nicht genug zu sein.

Wie soll ich also nun vorgehen? Hab ich in ISPC noch irgendwelche Möglichkeiten die ich noch nicht gefunden hab oder sollte ich irgendwelche Einstellungen verändern? Oder muss ich doch besser wieder an den confs irgendwelcher Dinge rum basteln damit es besser wird?

Denkt ihr eigentlich es bringt was die Leute anzuschreiben von deren Server z.B. Spam verschickt wird? Weil da sind ein paar dabei wo die IP laut Header auf einem Web Server endet und in diesem Fall kann man ja zumindest davon ausgehen, dass der Server beteiligt ist. Alternative wäre für mich ich fange an alle möglichen IP's und IP Kreise auf meinem Server komplett zu sperren. Aber ob mir das weiter hilft ist auch fraglich.


----------



## Till (6. Juli 2010)

Erstmal vorweg, manuell Filter nazulegen brigt grundsätzlich nicht viel. Deshlab mavht das an sich auch keiner. Die Funktion verwendet man an sich nur mal wenn man einen Nwsletter oder so loswerden will, bei dem man sich partout nicht abmelden kann.



> Aber das kann doch so nicht sein oder? Auf dem alten Server hatte ich  direkt in der conf vom Postfix irgendwelche Dinge eingetragen und konnte  sogar mit irgend so nem Befehl von nem Tool auswerten wie viele  Spammails mein Server abgeblockt hat und sowas. Nur auf dem neuen dachte  ich mir es ist besser restlos alles mit ISPC zu machen aber irgendwie  scheint das leider nicht genug zu sein.


Kannst Du doch bei ISPConfig genauso machen. Du kannst Doch beliebige dns Blacklists in der main.cf hinzufügen, um die Mails direkt abzuweisen. Habe bei mir auch einige als Vorfilter drin, um spamassassin zu entlasten.

Des weiteren kannst Du auch beliebige spamassassin Zusatzmodule  installieren. Schau Dich einfach mal im spamassassin Wiki um.



> Denkt ihr eigentlich es bringt was die Leute anzuschreiben von deren  Server z.B. Spam verschickt wird?


Bringt nichts.


----------



## M. Zink (6. Juli 2010)

OK dann poste ich mal am besten meine alte conf von Postfix bzw. ich poste am besten nur den Unterschied zum Standard und dann wäre es total toll wenn mir jemand sagt was davon brauchbar ist und wo ich was weg lassen soll bzw. auch wo ich ggf. was hinzu fügen sollte.

Hier erst mal alles was ich damals zum Thema Spam hinzu gefügt hatte.

```
### SPAM ANPASSUNG START ###
disable_vrfy_command = yes
smtpd_delay_reject = yes
smtpd_helo_required = yes
strict_rfc821_envelopes = yes
invalid_hostname_reject_code = 554
multi_recipient_bounce_reject_code = 554
non_fqdn_reject_code = 554
relay_domains_reject_code = 554
unknown_address_reject_code = 554
unknown_client_reject_code = 554
unknown_hostname_reject_code = 554
unknown_local_recipient_reject_code = 554
unknown_relay_recipient_reject_code = 554
unknown_sender_reject_code = 554
unknown_virtual_alias_reject_code = 554
unknown_virtual_mailbox_reject_code = 554
unverified_recipient_reject_code = 554
unverified_sender_reject_code = 554

smtpd_recipient_restrictions =
            permit_sasl_authenticated,
            permit_mynetworks,
            reject_invalid_hostname,
            reject_non_fqdn_hostname,
            reject_non_fqdn_sender,
            reject_unknown_sender_domain,
            reject_unknown_recipient_domain,
            reject_unauth_pipelining,
            reject_unauth_destination,
            reject_unlisted_recipient,
            reject_rbl_client sbl.spamhaus.org,
            reject_rbl_client cbl.abuseat.org,
            reject_rbl_client dnsbl.sorbs.net,
            reject_rbl_client ix.dnsbl.manitu.net,
            permit

smtpd_helo_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    reject_non_fqdn_hostname,
    reject_invalid_hostname,
    permit

### SPAM ANPASSUNG ENDE ###
```
Und hier jetzt noch Unterschiede in beiden conf's die ich mir nicht erklären kann bzw. nicht weiß warum diese Unterschiede da sind.

Alte conf

```
mynetworks = 127.0.0.0/8
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
smtpd_sasl_local_domain =
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
smtpd_tls_auth_only = no
smtp_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

virtual_maps = hash:/etc/postfix/virtusertable

mydestination = /etc/postfix/local-host-names
```
Neue conf (gleicher Abschnitt)

```
mynetworks = 127.0.0.0/8 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
html_directory = /usr/share/doc/postfix/html
virtual_alias_domains =
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, mysql:/etc/postfix/mysql-virtual_email2email.cf
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_mailbox_base = /var/vmail
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, reject_unauth_desti$
smtpd_tls_security_level = may
transport_maps = proxy:mysql:/etc/postfix/mysql-virtual_transports.cf
relay_domains = mysql:/etc/postfix/mysql-virtual_relaydomains.cf
relay_recipient_maps = mysql:/etc/postfix/mysql-virtual_relayrecipientmaps.cf
virtual_create_maildirsize = yes
virtual_maildir_extended = yes
virtual_mailbox_limit_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailbox_limit_maps.cf
virtual_mailbox_limit_override = yes
virtual_maildir_limit_message = "The user you are trying to reach is over quota."
virtual_overquota_bounce = yes
proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps$
smtpd_sender_restrictions = check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf
smtpd_client_restrictions = check_client_access mysql:/etc/postfix/mysql-virtual_client.cf
maildrop_destination_concurrency_limit = 1
maildrop_destination_recipient_limit = 1
virtual_transport = maildrop
header_checks = regexp:/etc/postfix/header_checks
mime_header_checks = regexp:/etc/postfix/mime_header_checks
nested_header_checks = regexp:/etc/postfix/nested_header_checks
body_checks = regexp:/etc/postfix/body_checks
content_filter = amavis:[127.0.0.1]:10024
receive_override_options = no_address_mappings
message_size_limit = 0
```
Außerdem ist die Zeile "mydestination" in der alten conf auskommentiert warum auch immer. Ich weiß nicht mehr ob ich das wegen irgendwas damals gemacht hab oder was der Grund war.

Wie dem auch sei, ist meine neue conf mit den Unterschieden zur alten so ok oder muss da was gemacht werden und kann ich den Teil den ich damals wegen den Spammails eingebaut hatte 1:1 so wieder einbauen oder würden da einige Änderungen was bringen?


----------



## Till (7. Juli 2010)

Das mit den antispam settings sollte alles auch mit ISPConfig 3 funktionieren.


----------



## M. Zink (7. Juli 2010)

Meinst Du damit ich kann den Teil mit dem Anti Spam ruhig in die conf von Postfix rein bauen oder gibts in ISPC3 irgendwo einen Bereich wo ich diese Definitionen eintragen kann? Bei ISPC3 gibts so vieles in Sachen Blacklist Whitelist und weiß der Teufel da weiß ich echt noch nicht so ganz bescheid was wo wirklich rein gehört. Mit den 80 Regeln hab ich ja jetzt schon was falsch gemacht wie es aussieht.


----------



## Till (8. Juli 2010)

Du kannst die main.cf direkt editieren.



> Mit den 80 Regeln hab ich ja jetzt schon was falsch gemacht wie es  aussieht.


Nicht wirklich falsch gemacht. Aber Du kannst den Kampf gegen die Spammer mit manuell erstellten Regeln nicht gewinnen.


----------



## M. Zink (8. Juli 2010)

Gibt es eigentlich irgend eine Möglichkeit beim Netzwerkinterface oder sonst wo eine IP so zu sperren, das die nicht weiter als bis zur Netzwerkkarte oder so kommt? Weil ich hab irgendwie auch das Gefühl das gewisse Bots meine Webseiten durchforsten nach Mailadressen und nen Tag später oder so bekomm ich plötzlich mal wieder ne Spammail die ich vorher nie hatte.


----------



## Till (8. Juli 2010)

Schau mal in die ISPConfig FAQ:

http://www.faqforge.com/linux/how-to-block-access-to-a-server-by-ip-address-on-linux/


----------



## Laubie (8. Juli 2010)

Zitat von M. Zink:


> Gibt es eigentlich irgend eine Möglichkeit beim Netzwerkinterface oder sonst wo eine IP so zu sperren, das die nicht weiter als bis zur Netzwerkkarte oder so kommt? Weil ich hab irgendwie auch das Gefühl das gewisse Bots meine Webseiten durchforsten nach Mailadressen und nen Tag später oder so bekomm ich plötzlich mal wieder ne Spammail die ich vorher nie hatte.


du solltest aber auch prinzipiell NIE deine Emailadresse frei im I-Net veröffentlichen!

Es gibt zig gute Möglichkeiten, die Emailadresse zu verschlüsseln (Java Script o.ä.) oder du bastelst dir ein Kontaktformular.

Grüße
Laubie


----------



## M. Zink (8. Juli 2010)

@Till
Danke für den Tip!
@Laubie
Da hast Du natürlich recht. Speziell wenn es eine Mailadresse ist die wirklich sauber bleiben soll muss man die ganz einfach geheim halten. Aber das Problem fängt ja schon da an das einige Mailadressen einfach eindeutig sind. Das heißt wenn Du die Domain www.blabla.de hast dann versuchen die Bots sofort info@blabla.de oder webmaster@blabla.de und ich habe einige Mailadressen die genau nach dem System angelegt sind und schon hab ich den Salat. Mailadressen wie meinen Vornamen @ domain . de gebe ich natürlich nicht einfach so im Netz preis. Allerdings auch hier gehen die Probleme schon damit los, dass z.B. Freunde die Mailadresse kennen und meinen sie müssten mich bei Facebook oder sonst wo einladen und schnallen nicht das ich längst dort angemeldet bin. Hat zur Folge das ich auch auf diesen Adressen langsam stück für stück irgend einen Spam Müll bekomme den ich dort nie wollte.

Wie dem auch sei, ich hab meine Erweiterung der conf wieder eingebaut und restlos alle eigenen Regeln in ISPC erst mal entfernt. Und siehe da, von 50 Spammails pro Tag zwischen 8 und 17 Uhr bin ich für heute schon mal auf 0 runter 

Die Tage behalt ich das noch im Auto und filtere ggf. vereinzelte Dinge noch von Hand und dann ist das Thema hoffentlich vom Tisch.


----------



## Laubie (9. Juli 2010)

Zitat von M. Zink:


> @Till
> Danke für den Tip!
> @Laubie
> Da hast Du natürlich recht. Speziell wenn es eine Mailadresse ist die wirklich sauber bleiben soll muss man die ganz einfach geheim halten. Aber das Problem fängt ja schon da an das einige Mailadressen einfach eindeutig sind. Das heißt wenn Du die Domain www.blabla.de hast dann versuchen die Bots sofort info@blabla.de oder webmaster@blabla.de und ich habe einige Mailadressen die genau nach dem System angelegt sind und schon hab ich den Salat. Mailadressen wie meinen Vornamen @ domain . de gebe ich natürlich nicht einfach so im Netz preis. Allerdings auch hier gehen die Probleme schon damit los, dass z.B. Freunde die Mailadresse kennen und meinen sie müssten mich bei Facebook oder sonst wo einladen und schnallen nicht das ich längst dort angemeldet bin. Hat zur Folge das ich auch auf diesen Adressen langsam stück für stück irgend einen Spam Müll bekomme den ich dort nie wollte.


ok  dann ist ja gut.
Ich hab auch nur ~15 Domains. Da kommt aber kaum Spam an. wahrscheinlich zu uninteressant 


> Wie dem auch sei, ich hab meine Erweiterung der conf wieder eingebaut und restlos alle eigenen Regeln in ISPC erst mal entfernt. Und siehe da, von 50 Spammails pro Tag zwischen 8 und 17 Uhr bin ich für heute schon mal auf 0 runter
> 
> Die Tage behalt ich das noch im Auto und filtere ggf. vereinzelte Dinge noch von Hand und dann ist das Thema hoffentlich vom Tisch.


Na dann ist ja alles super 
Grüße
Laubie


----------



## stefanw (9. Juli 2010)

Btw. kennt jemand eine Möglichkeit die Anzahl von eingehenden EMails die von einer IP kommen, z. B. pro Minute auf 5 zu beschränken


----------



## M. Zink (9. Juli 2010)

Soweit ich mich auskenne kannst Du mit Quota lediglich die Datenmenge insgesamt einschränken aber nicht die Anzahl an Mails pro IP. Wenn das Quota erreicht ist werden keine Mails mehr angenommen bis der Zyklus eben um ist. Frag mich aber nicht wo das eingestellt werden muss ich glaub in ISPC3 gibts da sogar was aber ich glaube das geht nur auf die Postfachgröße auf dem Server und nicht die empfangene Datenmenge.


----------



## M. Zink (12. Sep. 2010)

Ich weiß nicht warum aber seit ein paar Tagen hat sich das Spam Aufkommen was durch meinen Server durch kommt wieder dramatisch erhöht. Wir sprechen nicht von 1-2 Mails die Woche sondern von bis zu 30-40 pro Tag die früher nicht durch gekommen sind. Auffällig ist das es meistens Mails sind die angeblich von meinen eigenen Mailadressen sind. Allerdings im Header sieht man dann das dies nicht so ist.

Die Frage ist ob ich ggf. veraltete Blacklists verwende oder was da los ist. Folgende Einträge hab ich in meiner Conf drin.



> reject_rbl_client sbl.spamhaus.org,
> reject_rbl_client cbl.abuseat.org,
> reject_rbl_client dnsbl.sorbs.net,
> reject_rbl_client ix.dnsbl.manitu.net,


Was habt ihr denn da so für welche im Einsatz und gibt es nicht irgendwo ne Liste wo ich neue her holen kann oder so?


----------



## Till (12. Sep. 2010)

> Ich weiß nicht warum aber seit ein paar Tagen hat sich das Spam  Aufkommen was durch meinen Server durch kommt wieder dramatisch erhöht.


Das ist normal und passiert regelmäßig, die Spammer finden irgend was neues und es dauert ein paar tage, bis es dafür neue spamassassin Regeln gibt und bis die bayes Filter im amavisd das gelernt haben. das ist ein ewiges Katz und Maus Speil zwischen Spammern und Mailserver Admins.

Schau mal in den email header, welche Regeln da gegriffen haben und welchen score die Emails haben. Außerdem schai mal mit sa-update nach, ob der spamassassin auch aktuelle Regeln hat.


----------



## M. Zink (12. Sep. 2010)

Kann ich denn selbst dazu beitragen diese Listen aktuell zu halten? Es könnte ja sein das irgend einer meint seinen Spam Müll nur bei mir abladen zu müssen und dann bekomme ich das Zeug auch in 100 Jahren noch weil es dann natürlich nie auf ne Liste kommt.

Das mit sa-update hab ich gemacht. Hat 3-4 Sekunden gedauert aber ich kann nicht sagen ob irgendwas passiert ist. Es kam keine Meldung. Sollte ich dieses sa-update in einen cronjob packen und ein mal am Tag ausführen lassen oder so?


----------



## Till (12. Sep. 2010)

> Kann ich denn selbst dazu beitragen diese Listen aktuell zu halten?


Keine Ahnung, Du kannst die ja mal an das spamassassin projekt wenden. Es wird ja von der apache foundation wntwickelt.



> Es könnte ja sein das irgend einer meint seinen Spam Müll nur bei mir  abladen zu müssen und dann bekomme ich das Zeug auch in 100 Jahren noch  weil es dann natürlich nie auf ne Liste kommt.


Das ist sehr unwahrscheinlich.



> Sollte ich dieses sa-update in einen cronjob packen und ein mal am Tag ausführen lassen oder so?


Ja. Und danach amavisd neu starten.


----------



## M. Zink (13. Sep. 2010)

OK dann werd ich das mal machen. Wie oft sollte das laufen? Ein mal pro Woche oder lieber täglich? Wie müsste der Eintrag in der Crontab aussehen damit beides in einer Zeile passiert?

Wegen Spam Assassin werd ich mich mal die Tage informieren wie das läuft und fragen ob man da durch einfache Anpassungen auf dem Server helfen kann in Form von Meldungen oder so.


----------



## Till (15. Sep. 2010)

Zitat von M. Zink:


> OK dann werd ich das mal machen. Wie oft sollte das laufen? Ein mal pro Woche oder lieber täglich? Wie müsste der Eintrag in der Crontab aussehen damit beides in einer Zeile passiert?


Ich würde es einmal pro Tag laufen lassen. Du kannst meherer Befehle mit && verketten, also in etwa so:

/usr/bin/sa-update && /etc/init.d/amavis restart


----------



## M. Zink (16. Sep. 2010)

Mal kurz ne zwischenfrage wenn wir grade Befehle kombinieren. Wenn ich wie in diesem Fall zwei sachen machen lasse wird dann immer erst der erste Befehl ausgeführt und gewartet bis der komplett durch is und danach der zweite oder kann es passieren das wenn der erste sehr lange dauert der zweite schon gestartet wird bevor der erste fertig ist?


----------



## Till (16. Sep. 2010)

Wenn Du Befhle mit mit && kombinierst, wird der 2. Befehl nur ausgeführt wenn der 1. erfolgreich bgeschlossen wird. Kombinierts Du Befehle mit ; dann wird der 2. Befehl auch ausgeführt wenn der erste Fehlgeschlagen ist.

In allen Fällen wird immer erst der erste vollständig abgearbeitet und dann der 2. Wenn Du Befehle starten möchtest und nicht auf die Beendigung warten, dann must Du die Prozesse mit "&> /dev/null" in den Hintergrund schieben.


----------



## M. Zink (16. Sep. 2010)

Prima das hört sich gut an. Hab das jetzt jedenfalls mal so in die Crontab gebaut und noch paar andere sachen dazu. Mal sehen wie es dann die Tage aussieht mit dem Log.

Die von Spam Assassin antworten im übrigen nicht. Hab auch die Hosten von zwar DNS Blacklisten angeschrieben und auch keine Rückmeldung. Ich glaub irgendwie die wollen nicht das man hilft. Naja egal hauptsache ich bekomm nicht jeden Müll ungefiltert ins Postfach.

Unerwünschte Werbung per Telefon kost übrigens jetzt 250.000 € und es wird diskutiert das der Kunde in jedem Fall zuvor schriftlich zustimmen muss. Mal davon ab das man die Urheber von Mails fast nie findet wie sieht das aus bei Spam per Mail? Ich denke das trifft hier auch zu oder? Weil dann müsste man sich als Forenbetreiber ja auch ne schriftliche Zustimmung holen das man Mails versenden darf oder?


----------



## jietoh (27. Sep. 2010)

das effektivste mittel was ich kenne gegen spam ist greylisting. wenn du die möglichkeit hast einen "toten" MXer vorzuschalten, dann wirds noch angenehmer. falls du kunden drüber laufen hast, ist das fast das einzige was man machen "darf". ansonsten musst du das dem kunden überlassen, ob und was er als spam ansieht. ist es nur für dich dann siehe posts davor.

betreiber von foren holen sich via agb etc. zuvor die zustimmung dir was schicken zu dürfen.

grüße, jietoh


----------



## M. Zink (2. Nov. 2010)

Irgendwie habe ich so langsam den Verdacht das bei meinem Server entweder was total verstellt ist oder irgend ein Dienst seine Dienste beendet hat ohne das ich das mit bekomme. Denn ich bekomme jetzt seit 4 Wochen schon sehr viel Spam und das war die ganze Zeit nicht so. Vor allem auch wieder Spam der vor langer Zeit mal kam. Und im Mail Header stand vorher auch immer was drin welchen Score die Mail erreicht hat so das ich wenigstens daran erkennen konnte wieso die Mail durch den Filter gekommen ist aber das ist nicht der Fall.

Amavis ist aktuell das macht bei mir der Cron Job und die Filter in meiner Conf von Postfix laufen auch alle. Hab so ein Teil laufen was täglich ein Log erzeugt über die geblockten Mails und wie viele geblockt wurden und durch welchen Filter und sowas weshalb ich eigentlich davon ausgehe das nicht der ganze Schutz weg sein kann.

Was sollte ich denn nun unternehmen? In den Logs hab ich alles mögliche angeschaut und finde nichts was Probleme macht.


----------



## Till (2. Nov. 2010)

Setz mal den spam tag level 1 auf z.B. -100, dann solltest Du auf jeden Fall im Headers ehen können, welche Regeln da angeschlagen haben. Es gibt ja auch Regeln mit negativem Score. Oder aber der bayes filter hat was falsches gelernt und  hebt daher den score von anderen Regeln teilweise uaf.


----------



## M. Zink (2. Nov. 2010)

OK muss natürlich jetzt warten bis wieder ne Hand voll Mails eingegangen sind. Ich geb dann Rückmeldung.


----------



## M. Zink (2. Nov. 2010)

Es hat sich dadurch nichts geändert. Allerdings muss ich auch sagen hab ich mir mal ein paar ältere Mails angesehen und da sind auch keine Informationen über die Spam Bewertung mehr drin. Auf dem alten Server war das allerdings so. Kann es sein das bei meinem jetzigen Server den ich nach dem HowTo für den perfekten Server mit Debian Lenny aufgesetzt habe etwas anders läuft und dadurch auch jetzt keine direkten Infos mehr im Header stehen?


----------



## Till (2. Nov. 2010)

Zitat von M. Zink:


> Kann es sein das bei meinem jetzigen Server den ich nach dem HowTo für den perfekten Server mit Debian Lenny aufgesetzt habe etwas anders läuft und dadurch auch jetzt keine direkten Infos mehr im Header stehen?


Nein, an sich nicht.

Überprüf nochmal ob auch wirklich die richtige Policy in den Mailbox-Einstellungen und ggf. auh in den Maildomain Einstellungen gewählt ist.


----------



## M. Zink (2. Nov. 2010)

OK dann scheint wirklich irgendwo der Wurm drin zu sein.

Einstellungen sehen wie folgt aus (nur die es betrifft)
Main Domain: Spamfilter Normal
Mailbox: Spamfilter Normal
Filtereinstellungen: alles auf NO im ersten Tab, keine Einträge im zweiten Tab, dritter Tab von oben nach unten: 100, 4.5, 9, 0, 0, YES, -leer-, "***SPAM***"

Irgendwas scheint aber zu funktionieren da ich stellenweise Mails bekomme wo das ***SPAM*** im Betreff angehengt wurde. Allerdings selbst bei diesen Mails keine Einträge im Mailheader bezüglich Spam.

ISPC Version ist 3.0.3

P.S.: Zählen fehlende Übersetzungen als Bug?


----------



## Till (2. Nov. 2010)

Du musst da -100 und nicht 100 eintragen.



> P.S.: Zählen fehlende Übersetzungen als Bug?


Nein, da wir ganz einfach keine festen Maintainer für die Übersetzungen haben die schon während der Betapahse die Übersetzungen anpasen. Wenn also jemand mittels language Editor eine komplettierte Übersetzung hat, dann bitte exportieren und mir per email an dev at ispconfig dot org schicken. Dan wird sie beim nächsten Bugfix Release mit veröffentlicht.


----------



## M. Zink (2. Nov. 2010)

Ich hatte das vorhin geändert und habe jetzt erst mals wieder eine Mail erhalten wo was von Spam drin zu finden ist.



> X-Amavis-Alert: BAD HEADER SECTION, Duplicate header field: "Cc"
> X-Spam-Flag: NO
> X-Spam-Score: 2.906
> X-Spam-Level: **
> ...


----------



## Till (2. Nov. 2010)

Versuch Dich einfach ein bischen zu entspannen  Es ist ganz normal dass es mit dem spam filtern mal besser und mal schlechter wird. Die Spammer rüsten auf und finden neue Methoden, dann werden dagegen neue spamfilter Regeln gefunden und dann fängt es wieder von vorne an. Spamassassin ist schon mit das beste was Du bekommen kannst. Wenn Du Deine spamassassin installation feintunen willst, findest Du dazu jede Menge infos und auch alternative Regelsätze und Zusatzplugins auf der spamassassin Webseite.

Spam filtern ist immer nur eine maschinelle Analyse von text und Maschinen könne sowas eben nur bedingt gut. Spammer versuchen Ihre texte so weit wie möglich denen von normalen emails anzunähern, so dass es für den filter immer schwerer wird Unterschiede zu finden um sie von normalen Emails abzugrenzen. Wenn Du eine null oder nahe null false positive Rate haben möchtest, kommen immer ein paar spams durch.


----------



## M. Zink (2. Nov. 2010)

Naja recht hast Du natürlich. Ich kann von einer Maschine nicht erwarten das sie versteht was ich als Spam betrachte und entsprechend handelt. Allerdings habe ich da auch ein paar andere Gedankengänge weshalb ich das ganze nicht verstehen kann.

Beim File Sharing z.B. gibt es inzwischen hunderte Anwälte und sonstige Einrichtunge und Behörden und weiß der Teufel die alle versuchen möglichst viel davon zu eliminieren. Lime Wire wurde über Gesetzeswege dicht gemacht und Beispiele was mit Leuten passiert die illegale Inhalte runter laden gibt es ohne Ende. Wieso geht man nicht ähnlich agressiv gegen Spam vor? Man kann hier ja nicht mal sagen die Industrie ist nicht betroffen und deshalb zu geringes Interesse. Und das es gegen gültiges Recht verstößt ist doch wohl zumindest hierzulande eindeutig oder? Wenn ich überlege welche Strafen für Spam verhengt werden können frage ich mich echt wieso nicht tagtäglich irgendwelche Spamer hoch genommen werden.

Ich würde sogar einen Schritt weiter gehn, jeder dessen Rechner für ein Bot Netz oder irgendwas missbraucht wird um den Spam voran zu treiben bekommt auch eine Strafe wegen Mittäterschaft. Zu hart? Wieso? Es gibt ein Sprichwort - Unwissenheit schützt vor Strafe nicht! Und jeder der sich heute im Internet umher treibt sollte entsprechende Maßnahmen ergreifen um seinen Rechner und andere zu schützen. Ich spreche hier nicht von den Hackern die wirklich geschützte Rechner knacken und dann was anstellen. Aber ich habe es auch heute noch immer wieder mit Kunden zu tun die keinen Virenschutz und nichts auf dem Rechner haben.

Aber genug OT.

Gibt es denn überhaupt kein unveränderliches Kriterium in einer Mail was in irgend einer Form den tatsächlichen Ursprung ermitteln lässt und somit eindeutig zuzuordnen geht? Mal als Beispiel eine Spam Mail kommt über 3 normale Anwender PC's und mehrere DNS und sonstige Knoten und hat ihren Ursprung auf Server 0815 in Panama. Kann ich dann nicht einen Filter setzen der besagt "Bitte keine Mails mehr von diesem Server, außer die Domain wird tatsächlich auf diesem Server gehostet"? Denn nur die wenigsten Spammails werden tatsächlich über den echten Mailserver des Domaininhabers geschickt. Ich kann z.B. nachweisen, dass mein Server (der neue) noch nie eine Spam Mail verschickt hat aber trotzdem wurde ich schon 2 mal angeschrieben per Mail das über meine Domain Viagra Mails verschickt werden. Den Absender zu maskieren ist nun wirklich nicht schwer das bekommen Skript Kiddies schon hin. Aber irgendwas muss es doch geben in der Mail was nicht zu manipulieren geht oder?

Dienstag, 02.11.2010 und bis 18 Uhr exakt 141 Spam Mails durch gekommen und 1744 Spam Mails vom Server aufgehalten.
Das muss aufhören!


----------



## Till (2. Nov. 2010)

> Aber irgendwas muss es doch geben in der Mail was nicht zu manipulieren geht oder?


Das gibt es eben leider nicht. Wenn es das geben würde, dann hätten es bereits alle implementiert und es würde keinen spam mehr geben. Technisch gesehen ist eine Email nichts anderes als eine Textdatei, da kann man alles rein schreiben oder löschen was man will. Es gibt da zwar die Ansätze mit spf, aber es hat sich rausgestellt das spf nicht funktioniert da wahrscheinlich mehr spamversender spf eingerichtet haben als normale domains...


----------



## Burge (2. Nov. 2010)

Greif auf kostenpflichte sachen zurück wie zb antispameurope die haben richtige ergebnisse aber dazu musst du dein mx umbiegen das alles über deren mailserver geht.


----------



## Till (2. Nov. 2010)

Ich vermute mal die greifen auf große Mengen an honeypot Adressen zu und nehmen dann checksums zur analyse. Also ähnlich wie die C't mit Ihrem nixspam projekt, nur halt ein paar Nummern größer. Denn das ist meines Wissens nach eine der wenigen Methoden die noch gut funktioniert, da sie eben nicht versucht den Inhalt der Emails zu klassifizieren. Dafür braucht man aber hunderte weltweit verteilte Postfächer um die spam emails zu erhalten.


----------



## M. Zink (3. Nov. 2010)

Das mit dem Spamsystem hört sich gut an. Allerdings würde das entschieden meinem Rechtsempfinden widersprechen. Ich soll bezahlen damit ich nicht belästigt werde von Leuten die das Gesetz brechen? Nein!

Ich denke die erreichen das mit den tausenden Mailadressen weltweit durch die Kunden selbst. Jeder Kunde bzw. dessen Postfach wird "überwacht" und wenn bei 500 unabhängigen Kunden eine Mail eingeht deren Checksumme gleich ist durch identischen Inhalt dann ist die Spamwahrscheinlichkeit recht hoch denke ich und dann greift der Zusatzschutz.

Ich werde mal rein informativ ein paar Bekannte fragen was die noch so treiben gegen Spam. Einer davon hält Vorlesungen zum Thema IT Sicherheit an FH's und so vielleicht hat der auch bei dem Thema ein wenig Durchblick.


----------



## M. Zink (12. Dez. 2010)

Ich weiß nicht wie es den anderen hier allen geht aber ich bin echt kurz vorm explodieren was die spammerei betrifft. Eine Hand voll pro Tag ist kein Problem damit kann ich leben. Allerdings bin ich bei einem Postfach inzwischen bei 300-350 Spam Mails pro Tag die trotz der Maßnahmen auf dem Server noch durch kommen. Und ich weiß einfach nicht was ich da noch machen soll. Vor allem frage ich mich langsam was mit den Blacklists usw. überhaupt los ist. Da sind Mails dabei die ich schon seit Wochen erhalte immer von verschiedenen Adressen und auch mit leicht abgewandeltem Wortlaut aber letztenendes geht es immer um irgendwelche Armbanduhren. Jedenfalls ist das nicht auszuhalten. Ich hab einfach keine Zeit mich permanent mit Müll zu beschäftigen und immer wieder mein Postfach zu sortieren. Kürzlich habe ich es gewagt mal 5 Tage keine Mails abzurufen da ich unterwegs war und meinen Exchange runter gefahren hatte und als Dankeschön hab ich dann den halben Tag nichts anderes gemacht wie Mails zu sortieren und die wichtigen Dinge vom Müll zu trennen.

Entweder brauche ich neue Listen mit denen ich arbeiten kann ober ich brauch irgendwelche anderen Möglichkeiten das Spamaufkommen zu reduzieren. Wenn mal paar durch kommen kein Problem. Aber das hier geht alles entschieden zu weit!

Ach ja, der Server scheint schon zu merken das eine Mail Spam ist. Er schreibt ja noch kackendreist ***Spam*** vor den Betreff! Wie bringt ich der bekloppten Blechbüchse bei diese Mails direkt zu killen und gar nicht erst weiter zu schicken?

Wieso gibt es eigentlich keine Möglichkeit eine Art Steuerzentrale für so einen Server zu installieren mit der ich z.B. das gesamte Thema Spam an einer einzigen Stelle einstelle und dort von mir aus mit 30 Parametern das Feintuning mache? Ist zwar schön das Linux so viele Möglichkeiten bietet aber es nervt einfach wenn man für eine Einstellung durch 5 Confs und mehrere andere Dinge durch muss. Selbst in ISPC ist mir das ganze einfach schon zu viel. Ist es wichtig eine Spam Mail über 100 Wege finden zu können und noch weitere 100 Wege zu finden wie damit umgegangen werden soll? Mir genügt ein Weg sie zu finden und dann einfach löschen und weg. Gut, so einfach wird es nicht gehn klar. Aber ich hab grade schon fast 30 Minuten gebraucht nur um zu sehen wie die Filtereinstellungen in ISPC sind und welche Filter ich in den Confs nutze. Echt unglaublich wie viel Zeit das Thema Email kostet das geht so einfach nicht weiter.


----------



## Burge (12. Dez. 2010)

och ich denke es wird noch schlimmer entweder nihmst dir ein dienstleister der das für dich macht oder du lernst hast configis tunen ist halt wie alles im leben. Entweder zahlen und keine stress oder keine geld und genervt oder nerd und spass dran.


----------



## F4RR3LL (13. Dez. 2010)

Also ich habs so gehalten ... zuallererst KEIN Catch All. Das ist mal am wichtigsten.
Weiterhin nutze nie info postmaster usw als postfach, da kommt meist Müll.
Sollte zwar vorhanden sein... allerdings nicht auf das private Postfach lenken.
Wenn das mal erledigt ist hat man schonmal einen Haufen Spam weniger.
Spam löschen ist halt ein Problem. Wie Till schon schrieb. Es sind txt Dateien, und ein zu restriktives entmüllen hat sehr schnell mal viele false positives dabei. Das will man ja auch nicht. Und zum Schluss. Wenn eine Mailadresse einmal soweit versaut ist, aufgrund von X Ursachen, sei es das Klartextposten auf Webseiten etc. 
Neue Adresse nehmen und den Nutzerkreis klein halten. 
Getrennte Mailaddys für Forenregistrationen und ähnliches , Geschäftliches und Privates.
Ich hab mir das vor 1 Jahr alles entsprechend geteilt. Arbeite jetzt mit 7 Mailadressen. 
Die Privaten sind alle 100% Spamfrei, info postmaster und co werden zugemüllt, Geschäftliches und somit bekannte Mail addy wird bedingt zugespammt. 
Interessant jedoch, die Mailadresse die ich nutze zum registrieren in Foren und anderen Sachen bekommt am meisten Müll.
Da ich allerdings weiß das dort keine *normalen* Mails ankommen kann ich mir das sortieren sparen und großzügig löschen.
Denn eines ist klar, Spam verhindern wirst Du nicht können. Dazu lohnt sich der Aufwand allein einfach nicht. Man kann ihn nur mindern und versuchen durch angepasstes Verhalten Arbeit mit dem Spam zu vermindern. So sehe ich das 

//EDIT: Natürlich hab ich auch meine Configs nachgebessert. Habe aber weder Lust noch Zeit mich damit dauernd auseinanderzusetzen. Daher der obige Lösungsansatz der bei mir prima funktioniert und ich habe weitesgehend Ruhe von dem Thema.


----------



## M. Zink (18. Jan. 2011)

Naja ihr habt alle recht. Es ist fast nicht möglich spam ganz los zu werden.

Wie bewertet ihr denn dnsbl-milter? Hilft der und wenn ja wie installiere ich den auf meinen Debian Server?


----------



## Till (19. Jan. 2011)

Ich denke der macht doch das gleiche wie die eingebaute dnsbl-Funktion des amavisd. Ich würde daher keinerlei positiven Effekt auf das Filterverhalten erwarten. Der einzige effekt dürfte eine Verlangsamung der Mailauslieferung sein, da Du ja die dnsbl Listen 2 mal hintereinander abfragst, das Ergebnis verbessert das aber nicht.


----------



## M. Zink (19. Jan. 2011)

Naja ich bin nicht sicher ob Amavisd wirklich seine Dienste tut. Und ich hab schon an so vielen Stellen nach Anleitung irgendwas gemacht das ich nicht mehr weiß wie ich das überhaupt kontrolliere. Ich hab z.B. eine Mailadresse die ich im Moment dazu nutze mal zu testen welchen Spam Score usw. man da fest stellen kann. Ich hab eine GMX Mail Adresse da landen pro Tag sicher an die 100 Spam Mails und diese lasse ich per Fetch Mail von meinem Server abrufen. Eigentlich sollte er ja dann die Mails die aufgrund von Amavisd oder sonstigem gefiltert werden raus hauen oder zumindest anhand der config von ISPC die Mail markieren. Beides wird aber nicht getan und die Mails werden 1:1 zugestellt.

Jetzt habe ich seit 3 Tagen bei DF einen managed Exchange einfach weil ich testen wollte wie gut oder schlecht deren Spam Schutz klappt und allgemein weil mich das Thema Hosted/Managed Exchange interessiert. Und siehe da, gestern 8 Uhr morgens bis heute 8 Uhr morgens hatte ich genau diese GMX Adresse von dem Exchange abholen lassen. Ich dachte 80% Spam schafft der zu filtern oder vielleicht mit Glück auch 85% aber ob ihr es glaubt oder nicht von 104 eigegangenen Mails (alle Spam) sind genau 5 Mails durch gekommen! Grandiose Leistung muss ich sagen. Und alleine wegen dem Punkt überlege ich schon ob es nicht Sinn macht die 13 Euro im Monat auszugeben und restlos alle Mailkonten von dem abholen zu lassen.

Aber zurück zum Thema. Ich dachte dieser Spam Schutz DNSBL-Milter arbeitet irgendwie anders und würde deshalb ggf. mehr Spam filtern. Aber wenn der auch nichts anderes macht wie die DNSBL nutzen kann es ja so gesehen nicht besser sein.

Noch mal kurz und knapp. Welches Log gibt Aufschluss ob mein Amavisd überhaupt läuft und ob er regelmäßig updated? Ich update mit SA-Update und anschließend /etc/init.d/amavisd restart. Und wo genau muss ich irgendwann mal die DNSBL eingetragen haben? Denn ich hab unter /var/log/ ein spam.log welches von irgendwas erzeugt wird (kein plan was ich da gemacht hatte) und laut diesem Log hab ich mehrere DNSBL wovon aber 2 scheinbar nicht arbeiten oder nur 1 von 1000 Mails als Spam erkennen.

@Till
Dürfte ich dir nur um absolut sicher zu sein mal irgendwelche Logs zeigen damit du ggf. ganz sicher sagen kannst ob soweit alles gut ist oder ob ich irgendwo nen Fehler hab? Danke schon mal falls ja


----------



## Kayaro (20. Jan. 2011)

Zitat von M. Zink:


> Naja ihr habt alle recht. Es ist fast nicht möglich spam ganz los zu werden.


Kann ich so nicht sagen. Bei mir aufm Root ist bisher nicht eine einzige Spammail durchgekommen! Dort läuft zwar kein ISPConfig aber ein anderen Pannel was den Spamschutz mit postgrey arbeitet. Die Trefferquote ist sehr gut. Eventuell wäre es ja möglich diese methode einzubinden?


----------



## F4RR3LL (20. Jan. 2011)

Postgrey wäre so ziemlich das letzte was ich mir auf dem Server installieren würde... ich mag es mal gar nicht.


----------



## Till (20. Jan. 2011)

> Ich hab eine GMX Mail Adresse da landen pro Tag sicher an die 100 Spam Mails und diese lasse ich per Fetch Mail von meinem Server abrufen. Eigentlich sollte er ja dann die Mails die aufgrund von Amavisd oder sonstigem gefiltert werden raus hauen oder zumindest anhand der config von ISPC die Mail markieren. Beides wird aber nicht getan und die Mails werden 1:1 zugestellt.


Gut dass Du das jetzt mal erwähnst. Denn es handelt sich in dem Fall ja garnicht um emails die bei Deinem Server zugestellt werden sondern um emails die bei GMX zugestellt werden und die Du dann nur nachher mit getmail rüber ziehst. D.h aus Sicht von amavisd sind es alles lokale emails, absender ist 127.0.0.1. In dem Falle greifen alle netzwerkbasierten und IP basierten Filter schonmal garnicht, also alle dnsbl Filter können nicht angewendet werden sowie razor, dcc etc., da die Emails garnicht bei Dir durch den Absender abgeliefert wurden. Diese Methode kannst Du also zum testen von amavisd nicht verwenden. Damit Du emails effektiv filterst, müssen die Emails schon an Deinen server gesendet werden.

Ein Greylisting Daemon wie Kayaro empfohlen hat greift da auch nicht, da die emails vom absender 127.0.0.1 kommen und nicht vom ursprünglichen Absender.

Außerdem habe ich die Erfahrung gemacht, je mehr Du am amvisd setup rumbastelst, um so schlechter filtert es. Ichs etze z.B. bei mir ein unverändertes amavisd setup ein und die Filterrate bei direkt an meinen Server gesendeten Mails ist > 95% bei 0 false positives.

Eine Datei /var/log/spam.log ist mir nicht bekannt, muss also von irgend einer anderen Software sein. Amavisd loggt ins mail.log.

dnsbl musst Du im amavisd nicht eintragen, die sind immer drin und aktuell.


----------

