# Debian Squeeze, Postfix, amavisd-new und ISPconfig frage



## funsurfer (27. Apr. 2011)

Hallo Liebes Forum,

Ich bin mit dem Spamfilter am verzweifeln....
Ich habe alles normal eingerichtet, und auch sa-update führe ich regelmäßig durch. Ich nutze den amavisd-new als smtp Proxy.
Ich ahbe einige custom regeln im spamassassin hinzugefügt, die ich beim alten Server auch eingerichtet habe. auch das greift soweit wunderbar.
Leider bekommen alle Mailkunden hausfenweise Spam, egal wie ich tune und drehe...
hat jemand ein best practise, bzw. eine config die schon funktioniert?

Wäre dafür sehr Dankbar!

LG fun


----------



## Till (27. Apr. 2011)

Ich nutze die ispconfig default config auf meinem Server (debian perfect setup ohne Änderungen) und habe zusätzlich noch ein paar von den üblichen smtp blacklist im postfix konfiguriert. Damit komme ich auf eine Filterrate von etwa 98% ohne false positives.


----------



## funsurfer (27. Apr. 2011)

Zitat von Till:


> Ich nutze die ispconfig default config auf meinem Server (debian perfect setup ohne Änderungen) und habe zusätzlich noch ein paar von den üblichen smtp blacklist im postfix konfiguriert. Damit komme ich auf eine Filterrate von etwa 98% ohne false positives.


Ich habe das default auch probiert, leider mit wenig erfolg... kannst du mir mal deine conf vom Postfix senden? ist das dann auch updatesicher beim ispconfig,oder überschreibt er bei jedem Update wieder die settings?

Die default config nutzt ja leider den contetnfilter und da erzeuge ich zu viele Backscatter... darum läuft bei mir der amavisd als proxy.

LG


----------



## Till (27. Apr. 2011)

Ich nutze die folgenden recipient restrictions:

 smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_invalid_hostname,reject_non_fqdn_hostname,reject_unknown_recipient_domain,reject_non_fqdn_recipient,reject_unauth_destination,reject_non_fqdn_sender,reject_unknown_sender_domain,reject_unknown_recipient_domain,reject_maps_rbl, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, reject_unauth_destination

maps_rbl_domains =
        sbl.spamhaus.org,
        cbl.abuseat.org,
        dul.dnsbl.sorbs.net,
        ix.dnsbl.manitu.net

Die RBL solltest Du aber in der "modernen" schreibweise einbinden. Funktioneiren tut es so aber auch noch unter debian.

Die smtpd recipient restrictions sind nicht updateischer, also lege Dir am besten eine Sicherheitskopie der Zeile an.



> Die default config nutzt ja leider den contetnfilter und da erzeuge ich zu viele Backscatter... darum läuft bei mir der amavisd als proxy.


Wiso dass denn? Es werden in der default config nur nachrichten für existierende adressen angenommen und keinerlei Nachrichten bei spambefund zurückgesendet. Also null backscatter.

Ich vermute mal die schlechte Scanleistung liegt an Deiner Umkonfiguration als proxy. Ich würde Dir raten mal die Default config wieder herzustelllen, die hat sich schließlich auf vielen tausend mailservern bewährt.

Als spam score2 nehme ich 3.501


----------



## funsurfer (27. Apr. 2011)

Zitat von Till:


> Wiso dass denn? Es werden in der default config nur nachrichten für existierende adressen angenommen und keinerlei Nachrichten bei spambefund zurückgesendet. Also null backscatter.
> 
> Als spam score2 nehme ich 3.501


also dazu verweise ich mal hier:

http://www.rootforum.org/forum/viewtopic.php?f=110&t=50886

Ganz grundsätzlich die Standardkonfig:
Spammails an existierenden Empfänger -> SMPT (Postfix) Quitiert mit OK -> Amavisd-new erkennt den Spam und rejected -> Absender bekommt einen bounce. (Bacsactter) -> wie auch im Postfix how to zu lesen ist eine denkbar schlechte Wahl.
Wenn du nicht rejectest bzw. keinen bounce sendest ist auch sehr schlecht. Damit ist die einzige Gute Lösung den Amavisd als SMTP proxy zu nutzen. Das Scanergebnis unterscheidet sich nicht, da ich davor auch die standardkonfig drin hatte und das selbe ergebnis hatte.

Danke aber für deine Konfiguration. Ich werd das mal testen. Schön wäre aber dazu auch eine updatesichere Konfiguration 


LG


----------



## funsurfer (27. Apr. 2011)

Und das seltsame ist, dass ich laufend andere Checks habe...

z.b. mail1:
--------------------------------------
X-Virus-Scanned: Debian amavisd-new at mail.domain.tld
X-Spam-Flag: NO
X-Spam-Score: -4.208
X-Spam-Level:
X-Spam-Status: No, score=-4.208 tagged_above=-100 required=5
    tests=[BAYES_00=-1.9, HTML_MESSAGE=0.001, LOTS_OF_MONEY=0.001,
    RCVD_IN_DNSWL_MED=-2.3, T_RP_MATCHES_RCVD=-0.01] autolearn=ham
--------------------------------------
Mail2:
--------------------------------------
X-Virus-Scanned: Debian amavisd-new at mail.domain.tld
X-Spam-Flag: YES
X-Spam-Score: 13.062
X-Spam-Level: *************
X-Spam-Status: Yes, score=13.062 tagged_above=-100 required=5
    tests=[BAYES_99=3.5, GENERIC_IXHASH=0.5, HELO_DYNAMIC_IPADDR=1.951,
    HTML_MESSAGE=0.001, HTML_TAG_BALANCE_BODY=1.157,
    MIME_QP_LONG_LINE=0.001, RCVD_IN_BRBL_LASTEXT=1.449,
    RCVD_IN_PBL=3.335, RCVD_IN_XBL=0.375, RDNS_NONE=0.793] autolearn=no
--------------------------------------
Mail3:
--------------------------------------
X-Virus-Scanned: Debian amavisd-new at mail.domain.tld
 X-Spam-Flag: YES
 X-Spam-Score: 14.087
 X-Spam-Level: **************
 X-Spam-Status: Yes, score=14.087 tagged_above=-100 required=5
         tests=[BAYES_99=3.5, GENERIC_IXHASH=0.5, NIXSPAM_IXHASH=0.5,
         RCVD_IN_BL_SPAMCOP_NET=1.347, RCVD_IN_BRBL_LASTEXT=1.449,
         RCVD_IN_NiX=1, RCVD_IN_PBL=3.335, RCVD_IN_RP_RNBL=1.31,
         RCVD_IN_SORBS_WEB=0.77, RCVD_IN_XBL=0.375, UNPARSEABLE_RELAY=0.001]
         autolearn=no

Man beachte mal BAYES_99 mal BAYES_00 dann autolearn.on dann off....

:/

Ich kenn mich nicht mehr aus....

Danke für die Hilfe


----------



## Till (27. Apr. 2011)

> also dazu verweise ich mal hier:
> 
> http://www.rootforum.org/forum/viewt...?f=110&t=50886
> 
> ...


Das ist aber nicht die Konfiguration von ISPConfig. Spams werden per default niemals rejected sondern immer akzeptiert und markiert. Spams nach dem ersten blacklist Level (der schon ca. 80 - 90% der spams ausgesiebt hat) zu rejecten ist doch selbstmord und macht heute niemand mehr.

Somit tritt bei einem ispconfig setup auch kein Backscatter auf.


----------



## Till (27. Apr. 2011)

Zu Deinen Checks, was ist denn das für eine Whitelist: RCVD_IN_DNSWL_MED? Die hab ich bei mir glaube ich nicht drin.

Zum Thema autolearn gibt es ausführliche Infos auf der spamassassin bzw. amavisd Seite wenn ich mich recht erinnere. Die Entscheidung ob autolearn yes por no ist etwas komplexer und liegt nicht nur am score.


----------



## funsurfer (27. Apr. 2011)

Dann landen 80%-90% der Spammails bei euch im Spamfilter, und werden markiert? Das wäre dann bei uns ca, 100 - 200 mails am Tag...

Und die müssten dann gelöscht werden...


Ich habe den ersten Spam2l bei 7 und den den SpamKill, der dann Spams löscht bei 15 bzw. als proxy rejected.

Diese WL ist wohl beim sa-update reingekommen...

http://wiki.apache.org/spamassassin/Rules/RCVD_IN_DNSWL_MED

Kann ich die SORBS liste eigentlich auch bewusst weglassen?

die konfiguration ist in /var/lib/spam.... oder?

LG


----------



## Till (27. Apr. 2011)

> Dann landen 80%-90% der Spammails bei euch im Spamfilter, und werden markiert? Das wäre dann bei uns ca, 100 - 200 mails am Tag...
> 
> Und die müssten dann gelöscht werden...


Die werden automatisch in einen Ordner aussortiert und dann nach 30 Tagen gelöscht. So dass jeder user im Falle dass er meint dass eine Email verloren gegangen ist, dort nachsehen kann. Ansonsten entsteht für die User keinerlei Arbeit.



> Ich habe den ersten Spam2l bei 7 und den den SpamKill, der dann Spams löscht bei 15 bzw. als proxy rejected.


Den 2er Level kannst Du meiner meinung nach ruhig runter setzen. Ich hab ihn wie gesagt bei 3.501 stehen und hab bei einem Mailaufkommen von meheren hundert mails pro Tag in meinem postfach seit Monaten keine false positives gehabt.



> Kann ich die SORBS liste eigentlich auch bewusst weglassen?


Müsste gehen, indem Du den Score der Regel auf 0 setzt.



> die konfiguration ist in /var/lib/spam.... oder?


ja.


----------



## mare (28. Apr. 2011)

Zitat von Till:


> Das ist aber nicht die Konfiguration von ISPConfig. Spams werden per default niemals rejected sondern immer akzeptiert und markiert. Spams nach dem ersten blacklist Level (der schon ca. 80 - 90% der spams ausgesiebt hat) zu rejecten ist doch selbstmord und macht heute niemand mehr.
> 
> Somit tritt bei einem ispconfig setup auch kein Backscatter auf.


Die ISP-Config Einstellung sind soweit io. Allerding kann ich mit der og. Argumentation überhaupt nicht übereinstimen.

Mit einer ordentlichen Policy ist das Rejecten von Mails überhaupt kein Problem und - zumindest bei uns - gängige Praxis. 
Durch ein automatischen Whitelisting alles ausgehenden Mails wird zusätzlich abgesichert, dass laufender E-Mailverkehr nicht durch einen false positiv - Wenn es mal eins geben sollte - unterbrochen wird. 

Ansonsten werden verschieden Black und Whitelisten per Scoring zusammengefasst und dann im Worst Cast auch rejected. (Neben ca. 100 anderen Faktoren. Selektives Greylisting bei verdächtigen Einlieferungsversuchen. Mails mit stimmiger Serverkonfiguration werden sofort angenommen.)

Damit erzeut eine evtl. Fehlentscheidung einen Fehler auf der Gegenseite und man kann dort sofort reagieren. Was nützt mir ein SPAM-Ordner den 
1. ich permantent durchsuchen muß, ob nicht doch eine wichtige Mail dabei ist und 
2. nach einigen Woche keiner mehr wirklich anschaut und evtl. wichtige Mails liegen bleiben und die klassische ICH HAB DIE MAIL VERSCHICKT --> BEI MIR IST NICHTS ANGEKOMMEN Situation entsteht.

Wir fahren diese Policy seit Jahren und auch die Kunden sind damit überaus zufrieden.

Da ich aber jetzt keine Werbung machen möchte kann ich das System gern per PM Anfrage vorstellen. Außer Till ist mit einem Link einverstanden.

PS: Seit wir selbst ISPConfig einsetzen gibt es auch ein Exportscript für das ISP-Config System (Um dem Mailfilter die gültigen Domains und Adressen automatisch mitzuteilen.).


----------



## Till (28. Apr. 2011)

Du kannst das auch gerne als Link posten, wenn Du möchtest.


----------



## mare (29. Apr. 2011)

OK, danke

--> www.das-saubere-postfach.de


----------



## funsurfer (30. Apr. 2011)

Zitat von mare:


> Die ISP-Config Einstellung sind soweit io. Allerding kann ich mit der og. Argumentation überhaupt nicht übereinstimen.
> 
> Mit einer ordentlichen Policy ist das Rejecten von Mails überhaupt kein Problem und - zumindest bei uns - gängige Praxis.
> Durch ein automatischen Whitelisting alles ausgehenden Mails wird zusätzlich abgesichert, dass laufender E-Mailverkehr nicht durch einen false positiv - Wenn es mal eins geben sollte - unterbrochen wird.
> ...


Der Meinung bin ich auch 

Ich habe nun das ganze mit einigen BL am laufen.
Ergebniss: 90% besser, nachjustiert wird noch.
Schön wäre, diese Postfix Configuration updatesicher einzubinden 
Ich werd mir noch was überlegen.

LG


----------



## Laubie (1. Mai 2011)

Kann man auch Blacklists im ISPConfig bequem eintragen, oder muss ich da selber in die Konfiguration schreiben?

Wenn letzteres, könnte jmd. der nen Account dafür hat, das ja mal in die Feature-Requests schreiben 

Grüße
Laubie


----------



## funsurfer (1. Mai 2011)

Zitat von Laubie:


> Kann man auch Blacklists im ISPConfig bequem eintragen, oder muss ich da selber in die Konfiguration schreiben?
> 
> Wenn letzteres, könnte jmd. der nen Account dafür hat, das ja mal in die Feature-Requests schreiben
> 
> ...


Postfix Blacklists kannst du nat. auch bewuem im ISPConfig erstellen/bearbeiten. Was nicht geht sind rbl-listen und dergleichen.

Das musst du derzeit von hand in der Config machen. Und das ist noch nicht updatesicher...


----------



## F4RR3LL (2. Mai 2011)

ich hab mir einfach ein kleines script geschrieben mit ner liste an echo s die ich ausführen lasse um nach einem update die configs wieder so zu haben wie ich mir das vorstelle... somit ist das nach einem update mit einem befehl erledigt.
Geht bestimmt auch eleganter ... naja funzt 
Einziger Nachteil .... ich bekomme nicht mit wenn zB auf einmal auch in der default config ein https im vhost von ispconfig möglich ist ... aber ok damit kann ich leben.


----------

