[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: spamassassin und gifs
[Thread Prev] | [Thread Next]
- Subject: Re: spamassassin und gifs
- From: Michael Lestinsky <michael@xxxxxxxxxxxx>
- Date: Sat, 14 Oct 2006 23:34:14 +0200
- To: uugrn@xxxxxxxxxxxxxxx
Hallo Andreas, Am 14.10.2006 schrieb Andreas Krauss: > Falls jemand einen guten Tipp hat :-) hier waere ich sehr dankbar ..... Ich bin mir sicher es laesst sich weiter optimieren, aber ich habe eines der virtuellen Jail-Systeme der UUGRN so konfiguriert, dass es fuer meine Domain als Mail-Filter fungiert[*]. Das Konzept dabei ist folgendes: Sendmail verwendet 3 verschiedene DNS-basierte Blacklists (ORDB, DSBL und sbl.spamhaus.org). Diese drei Blacklistensysteme machten auf mich damals einen nachvollziehbaren Eindruck mit dokumentierten Listing- und Delisting-Regeln. Wenn ich mir meine taegliche Statistik so ansehe, dann ist davon DSBL die am haeufigsten blockierende. Viele Mails werden auch ueber Zombies im Internet verschickt, die keinen echten SMTP-Dialog ausfuehren, sondern irgendwelche daemliche, minimalistische Prozesse, die sich mal ein User eingefangen hat. Die kann man recht effizient ausfiltern, indem man erzwingt, dass der Einlieferer den Begruessungsdialog in der richtigen Reihenfolge ausfuehrt und nicht sofort Daten sendet. | FEATURE(`greet_pause', `10000') dnl 10 seconds Und eine handgepflegte eigene Blacklist schliesst das Ganze ab. Darin sind (mir) bekannte Dialup-Adressen (z.B. schlecht gewartete Windows-Kisten mit intensivem Wurmbefall) und Spamversender und dergleichen eingetragen | FEATURE(access_db, `hash -o -T<TMPF> /etc/mail/access') In dieser access-Datenbank ist auch eine Liste legitimer Empfaengeradressen hinterlegt, die an Catch-all-Boxen adressierten Mist ablehnt (so dass ich mich mit Doppelbounces garnicht erst rumplagen muss). Als Letztes filtere ich die Mails noch ueber die Milter-Schnittstelle mittels ClamAV. Die aktuelle Virenstatistik besagt da: michael@up:/etc/mail> virusstat 46 HTML.Phishing.PB-10 22 HTML.Phishing.Bank-626 1 HTML.Phishing.Auction-144 Wenn eine Mail diese Huerden passiert hat, wird sie an den intern zustaen- digen Server weitergeleitet (per mailertable). Mit Procmail wird eine Mail dann durch bmf (ein Bayes-artiger trainierbarer Filter) gepipet um den bislang unerkannten Rest abzufangen. Danach landet sie in meiner Mailbox, wo ich sie mit meinem Mailclient lese, der jetzt keine eigenen Filter mehr braucht. Da viele Spammer auch ueber Fallback-MXe einliefern, sollte man darauf achten, dass diese die gleichen Filtermethoden verwenden (oder man konfiguriert erst garkeinen Fallback) sonst bekommt man den Schund trotzdem. Die Beobachtung ist, dass die Filterregeln am MX etwa 50% Mails abblocken, und bmf nahezu den gesamten Rest erwischt. Bisserl was huscht durch, aber das wird dann neu trainiert. Bye, Michael [*] weitere UUGRN-Mitglieder koennen diese Konfiguration gerne ebenfalls in Anspruch nehmen. -- Michael Lestinsky http://www.lestinsky.de/michael -- http://mailman.uugrn.org/mailman/listinfo/uugrn