Re: spamassassin und gifs

Autor: Michael Lestinsky <michael_at_lestinsky.de>
Datum: 14.10.2006
Hallo Andreas,

Am 14.10.2006 schrieb Andreas Krauß:
> Falls jemand einen guten Tipp hat :-) hier wäre ich sehr dankbar .....

Ich bin mir sicher es lässt sich weiter optimieren, aber ich habe eines
der virtuellen Jail-Systeme der UUGRN so konfiguriert, dass es für meine
Domain als Mail-Filter fungiert[*]. Das Konzept dabei ist folgendes:

Sendmail verwendet 3 verschiedene DNS-basierte Blacklists (ORDB, DSBL und
sbl.spamhaus.org). Diese drei Blacklistensysteme machten auf mich damals
einen nachvollziehbaren Eindruck mit dokumentierten Listing- und
Delisting-Regeln. Wenn ich mir meine tägliche Statistik so ansehe, dann
ist davon DSBL die am häufigsten blockierende.

Viele Mails werden auch über Zombies im Internet verschickt, die keinen
echten SMTP-Dialog ausführen, sondern irgendwelche dämliche,
minimalistische Prozesse, die sich mal ein User eingefangen hat. Die kann
man recht effizient ausfiltern, indem man erzwingt, dass der Einlieferer
den Begrüßungsdialog in der richtigen Reihenfolge ausführt und nicht
sofort Daten sendet.

| FEATURE(`greet_pause', `10000')  dnl 10 seconds

Und eine handgepflegte eigene Blacklist schließt das Ganze ab. Darin sind
(mir) bekannte Dialup-Adressen (z.B. schlecht gewartete Windows-Kisten mit
intensivem Wurmbefall) und Spamversender und dergleichen eingetragen

| FEATURE(access_db, `hash -o -T<TMPF> /etc/mail/access')

In dieser access-Datenbank ist auch eine Liste legitimer Empfängeradressen
hinterlegt, die an Catch-all-Boxen adressierten Mist ablehnt (so dass ich
mich mit Doppelbounces garnicht erst rumplagen muss).

Als Letztes filtere ich die Mails noch über die Milter-Schnittstelle mittels
ClamAV. Die aktuelle Virenstatistik besagt da:

michael@up:/etc/mail> virusstat 
  46 HTML.Phishing.PB-10
  22 HTML.Phishing.Bank-626
   1 HTML.Phishing.Auction-144

Wenn eine Mail diese Hürden passiert hat, wird sie an den intern zustän-
digen Server weitergeleitet (per mailertable). Mit Procmail wird eine 
Mail dann durch bmf (ein Bayes-artiger trainierbarer Filter) gepipet um 
den bislang unerkannten Rest abzufangen. Danach landet sie in meiner 
Mailbox, wo ich sie mit meinem Mailclient lese, der jetzt keine eigenen
Filter mehr braucht.

Da viele Spammer auch über Fallback-MXe einliefern, sollte man darauf
achten, dass diese die gleichen Filtermethoden verwenden (oder man
konfiguriert erst garkeinen Fallback) sonst bekommt man den Schund
trotzdem.

Die Beobachtung ist, dass die Filterregeln am MX etwa 50% Mails abblocken,
und bmf nahezu den gesamten Rest erwischt. Bisserl was huscht durch, aber
das wird dann neu trainiert.

Bye,
Michael

[*] weitere UUGRN-Mitglieder können diese Konfiguration gerne ebenfalls in
Anspruch nehmen.

-- 
Michael Lestinsky			http://www.lestinsky.de/michael


-- 
http://mailman.uugrn.org/mailman/listinfo/uugrn


Received on Sun Oct 15 00:02:14 2006

Dieses Archiv wurde generiert von hypermail 2.1.8.

Weitere Links: