Schlagwort-Archiv: postfix

Kurztipp: Amavisd-new und Bitdefender for Unices

Nach einem Update auf die 64Bit-Version von Bitdefender for Unices funktionierte die Regex nicht mehr, Nike Air Max 1 Pas Cher die Amavisd-new ( hier 2.6.1 auf Debian Lenny) verwendet, goedkoop nike air max 2017 um aus dem Virenscanner-Output das Scanergebnis zu lesen.Im Syslog erscheint dazu:

Aug 22 14:11:35 www amavis[26474]: (26474-01) (!!)BitDefender av-scanner FAILED: /usr/bin/bdscan unexpected exit 0,  Asics Pas Cher output="BitDefender Antivirus Scanner for Unices v7.90123 Linux-amd64\nCopyright (C) 1996-2009 BitDefender. 

Postfix: Absender bei Mailversand von der Konsole anpassen

Heute war ich mal wieder auf dem Optimierungstripp und wollte endlich mal erreichen, dass die von dem Inhouse-Linux-Server abgesendeten Mails (von Cronjobs usw.) nicht immer mit dem Namen des ausführenden Users erscheinen, sondern mit etwas aussagekräftigerem. Weiterhin werde ich der Vollständigkeit halber gleich auch noch erklären, wie man die Absenderadresse so umschreibt, dass man lokalen Usern mit lokaler Domain wie root@server3 (welche aus dem Internet nicht erreichbar wären) auch vernünftig antworten kann.

Postfix: Absender bei Mailversand von der Konsole anpassen weiterlesen

Anti-Spam-Blacklist ORDB ist am Ende

Wer Spam bekämpft findet in Realtime-Blacklists ein gutes Hilfsmittel zum Aussperren bekannter Spamserver. Fjallraven Kanken Classic Leider ist die Wirksamkeit nur so gut wie die Blacklist selbst. Fjallraven Kanken Backpack Outlet Die schon länger inaktive ORDB (Open Relay Database) wird noch immer von vielen Mailservern abgefragt und das obwohl sie schon längere Zeit keine Einträge mehr enthält. Um auch den letzten Mailserver-Admin davon zu überzeugen, Cheap Nike Shoes Outlet UK dass die Liste nichts mehr bringt, Scarpe Nike haben sie die Betreiber dazu entschlossen, Soldes Fjallraven Kanken nun jede Anfrage als Hit zu beantworten. kanken baratas Die Folge: Mailserver, Tom Brady Michigan Jerseys die keine Gewichtung in den Blacklists haben weisen jede Mail ab. Anwender von policyd und anderen erhalten zwar eine höhere Spamwahrscheinlichkeit, Goedkope Nike Air Max 1 aber die Mails werden nicht grundsätzlich abgelehnt. Air Jordan 11 Die Bitte der Betreiber und auch die logische Schlussfolgerung: Entfernt ordb.org aus Euren Mailservern – es hat keinen Nutzen! Die Standardconfig von policyd-weight enthält die ordb übrigens nicht. Sac à Dos Fjallraven Kanken Generell rate ich auch zu dem Einsatz eines gewichteten Blacklistings – mehr dazu in diesem älteren Beitrag.

Bye Bye Greylisting?

Matthias von adminlife.net hat seit neuestem Greylisting wieder ausgeschaltet, da er die Erfahrung gemacht hat, dass die Spammer sich bereits angepasst haben.

Bye Bye Greylisting! @ adminlife.net

Dies könnte bei mir ja theoretisch auch der Fall sein. Zudem sollte seit der Einrichtung von policyd-weight, die Anforderungen an das eingerichtete sqlgrey nicht mehr so hoch sein. Daher werde ich mal eine intensive Logfile-Analyse bereiben und sehen, wieviel Spam wirklich noch durch sqlgrey abgefangen wird und was durch die Tests von policyd-weight abgefangen wird.

Das Abschaffen von sqlgrey hätte natürlich den Vorteil der unverzögerten Mailzustellung, die man aber – ehrlich gesagt – vielleicht einmal im Monat wirklich braucht.

Meine Erkenntnisse werde ich dann hier posten.

Wie sieht es bei euch aus? Habt ihr sqlgrey/postgrey in Aktion? Hat sich die “Abfangrate” verschlechtert? Welche Kombination von Spamtools setzt ihr ein?

Postfix: optimierte Konfiguration gegen Spam und Missbrauch

In einem früheren Artikel versprach ich, eine Postfix-Konfiguration zu posten, die nach (meinen) neuen Erkentnissen eingerichet ist.

So sah meine Konfiguration nach der Einrichtung von sqlgrey aus:

[...]
smtpd_recipient_restrictions =
permit_sasl_authenticated
permit_mynetworks
reject_invalid_hostname
reject_non_fqdn_sender
reject_non_fqdn_recipient
reject_unauth_destination
reject_unknown_sender_domain
reject_unknown_recipient_domain
reject_rbl_client dnsbl.ahbl.org
reject_rbl_client cbl.abuseat.org
reject_rbl_client sbl-xbl.spamhaus.org
reject_rbl_client dul.dnsbl.sorbs.net
reject_rbl_client bl.spamcop.net
check_policy_service inet:127.0.0.1:60000
reject_unknown_client
warn_if_reject reject_unknown_hostname
permit
[...]

Mehrere Hinweise aus der Postfix-Mailgruppe brachten mich jedoch auf folgende Konfiguration, die weiter unten noch genauer erläutere:


#
# restrictions
#
smtpd_helo_required = yes
strict_rfc821_envelopes = yes
disable_vrfy_command = yes
smtpd_delay_reject = yes

#
# Recipient Restrictions
#

smtpd_recipient_restrictions =
    reject_unlisted_sender
    reject_unlisted_recipient
    reject_unknown_sender_domain
    reject_unknown_recipient_domain
    permit_sasl_authenticated
    permit_mynetworks
    reject_invalid_hostname
    reject_non_fqdn_sender
    reject_non_fqdn_recipient
    reject_unauth_destination
    #policyd-weight
    check_policy_service inet:127.0.0.1:60001
    #sqlgrey
    check_policy_service inet:127.0.0.1:60000
    reject_unknown_client
    reject_unknown_hostname
    permit

Es handelt sich hier natürlich nur um einen Ausschnitt aus der main.cf, diese Parameter sind sehr wichtig, wenn es darum geht, welche Mails von Postfix zur Zustellung angenommen werden.

Postfix: optimierte Konfiguration gegen Spam und Missbrauch weiterlesen

policyd-weight: Score-basierte Spamabwehr für Postfix

Es ist immer wieder das gleiche: Sobald man denkt, dass man das System perfekt eingerichtet hat, bekommt/ findet man gleich mehrere Hinweise, die einen daran zweifeln lässt.

Ausgangslage

Bei vielen, die sich halbwegs um einen spamgeschützten Postfix-Mailserver kümmern, wird die Konfiguration ungefähr so aussehen:


[...]
smtpd_recipient_restrictions =
permit_sasl_authenticated
permit_mynetworks
reject_invalid_hostname
reject_non_fqdn_sender
reject_non_fqdn_recipient
reject_unauth_destination
reject_unknown_sender_domain
reject_unknown_recipient_domain
reject_rbl_client dnsbl.ahbl.org
reject_rbl_client cbl.abuseat.org
reject_rbl_client sbl-xbl.spamhaus.org
reject_rbl_client dul.dnsbl.sorbs.net
reject_rbl_client bl.spamcop.net
check_policy_service inet:127.0.0.1:60000
reject_unknown_client
warn_if_reject reject_unknown_hostname
permit
[...]

Anmerkung: Diese Konfiguration hatte ich bereits hier gepostet, wurde von mir nun aber mehrfach verfeinert (siehe weiter unten).

Wie man sehen kann, sind mehrere RBL-Checks (Realtime-Blackhole-List) in der Konfiguration, welche bei jedem SMTP-Connect von anderen Mailservern überprüft werden und bei einem positiven Treffer sofort zum REJECT führen. Dies hat zwar funktioniert, birgt aber die Gefahr, dass man einen legitimen Mailserver ablehnt, weil er durch einen Fehler in einer der RBL landete.

Besser wäre es also doch, wenn man nachschauen könnte, ob der Mailserver in mehr als einer dieser RBLs steht. Mit Boardmitteln von Postfix ist dies vorerst nicht möglich.

Einführung in policyd-weight

Hier kommt policyd-weight als policy-Server ins Spiel und bietet folgende Zusatzfunktionen in der Standardkonfiguration an (Auszug von der Website):

  • Score-basierte Auswertung von RBL/RHSBL
  • Score-basierte Auswertung der Beziehung und Korrektheit von DNS-Einträgen, HELO und MAIL-FROM
  • Caching von a) DNS-Request und b) Score-Ergebnissen (= Beschleunigung und weniger Traffic)
  • eigene, schnelle DNS-Lookup.Routine
  • frei konfigurierbare Scores und RBLs (sinnvolle Standardwerte bereits enthalten)
  • keine Datenbank-Abhängigkeit
  • Einrichtung auch nur für eine Teilmenge von Mails/Mailservern nutzbar (via postfix restriction classes)

Policyd-weight arbeitet als Policy-Server mit Postfix zusammen und entgegen z.B. AMAViS noch auf der Ebene des SMTP-Connects und ist daher in der Lage, Postfix einen REJECT der Verbindung zu empfehlen und die Mail erst gar nicht anzunehmen zu lassen. (Dies ist auch im Hinblick auf die Rechtslage ein wichtiger Unterschied.)

Diese Vorteile sprechen ja deutlich für den Einsatz von policyd-weight und daher nahm ich mir auch gleich die Installation vor, welche im Folgenden beschreiben werde.

policyd-weight: Score-basierte Spamabwehr für Postfix weiterlesen

Mail-Logs im Auge behalten

Ich habe mir, nachdem ich der Postfix-Mailgruppe mehrere Hinweise las, die diversen Tools zur Logfile-Analyse angesehen und mich danach entschieden, ein paar auf regelmäßiger Basis einzusetzen.

Folgende Tools sind nun bei mir im Einsatz:

  • pflogsumm: Postfix-Logs analysieren und zusammengefasst ausgeben (englische Version / deutsche Version)
    Es läuft nächtlich als cron, analysiert den vorherigen Tag und wird mir via Mail zugesendet.
  • mailgraph: Postfix-Logs graphisch darstellen (z.B. ACCEPTs, REJECTs, BOUNCEs usw.) (Beispielausgabe)
  • queuegraph: Postfix-Queue-Belastung wird graphisch aufbereitet
  • couriergraph: Courier-Logs graphisch darstellen (z.B. LOGINs)
    Die *graph-Tools sind jeweils eine Kombination aus Perl-Script (laufen als cron (queuegraph) oder daemon (mailgraph/couriergraph)) und Web-CGI für die Ausgabe im Web.

Sämtliche Tools sind zwar als Debian-Pakete erhältlich, aber die deutsche Pflogsumm-Version kann man derzeit nur über den o.g. Download installiert werden.

Fragen? Probleme? Immer her damit, denn dafür sind die Comments da…

sqlgrey: einfaches und robustes Greylisting

Spam nervt und stiehlt jedem Nutzer täglich Zeit. Um zu vermeiden, dass wir eines Tages nur noch mit dem Löschung von dubiosen Angeboten beschäftigt sind, müssen wir uns immer wieder mit Gegenmaßnahmen befassen. Eine dieser Gegenmaßnahmen ist Greylisting.

Was ist Greylisting?

Das Wort Greylisting entstand aus den Wörtern Blacklisting (in diesem Kontext: permanentes Verbot einer E-Mailadresse) und Whitelisting (permanente Erlaubnis für eine E-Mailadresse) und bezieht sich auf die Mischung dieser beiden Verfahren. Das Verfahren funktioniert vereinfacht wie folgt:

  1. Ein dem Mailserver unbekannter Absender (freund@absender.tld) möchte gern ein Mail an person1@mailserver.tld senden.
  2. Der Mailserver (mit installiertem Greylisting) aber lehnt die Übermittlung nach Erhalt der Absender und Zieladresse unter Angabe eines temporären Fehlers ab (meist mit einer Greylisting-Erklärung für das Logfile).
  3. Der Mailserver trägt die IP des Absendermailserver ( absender.tld, 123.123.123.123 ) zusammen mit dem Absender (freund@absender.tld) und der Zieladresse (person1@mailserver.tld) in seine Datenbank ein.
  4. Ein vernüftig konfigurierter Mailserver wird innerhalb der nächsten 10 bis 60 Minuten eine erneute Zustellung versuchen. So ist es auch und so versucht der Mailserver von freund@absender.tld erneut, die Mail an person1@mailserver.tld zu übergeben.
  5. Der Zielmailserver schaut nun wiederum in seine Datenbank, ob ihm diese Kombination aus Quell-IP (wahlweise auch Quell-Subnetz), Absender und Adressat bereits bekannt ist. Da dem in diesem Fall so ist, nimmt er die Mail an und bestätigt die Annahme.

Die Idee hinter dieser “Verkomplizierung” der Mailzustellung ist, dass die Spammaschinen entweder das Handling von temporären Fehlern ausgeschaltet oder dieses in Ihren Mailprogrammen/ -servern gar nicht implementiert haben, um den Durchsatz zu erhöhen.

Wie kann ich Greylisting einsetzen?

Da Greylisting wie oben erläutert noch vor der Annahme der Mail geschehen muss, kann man dieses entweder direkt im Mailserver integrieren (z.B. Plugin) oder alternativ dem Mailserver als Proxy vorschalten.
sqlgrey: einfaches und robustes Greylisting weiterlesen

Postfix-User unter sich

Dies kam gerade über die Postfix-Users-Mailingliste:

Weißt Du, nike air max femme pas cher man soll ja eigentlich keine Leute auf öffentlichen Mailinglisten beschimpfen, Air Max 2017 Goedkoop sie kratzen oder ihnen Tiernamen geben. Maglie New Orleans Pelicans Aber die traumwandlerische Sicherheit, nike air max 2016 grijs mit der Du den relevanten Teil des Logs weggeschnitten hast, Adidas Pas Cher ist schon beeindruckend. Chaussures Under Armour Also, fjallraven occasion Du Hängebauchschwein, nike air max 1 homme fühl Dich beschimpft und gekratzt 😉

Eigentlich ist die Liste ja “nur” ein Quell unerschöpflich scheinender Erfahrungen (und Probleme),