Hallo, erstmals herzlichen Dank für die vielen nützliche Tips :-) So konnte ich das Spamaufkommen nochmal heftig runterdrücken :-)
Noch 2 Fragen hätt ich: ich hab den Eindruck, dass bei gültiger DKIM die Mails nicht mehr an Spamassassin geschickt werden. Oder bin ich da auf dem Holzweg (das sind jetzt 95% aller Spammails, wie nie bestellte Newsletter und dergleichen). Wo find ich eigentlich eine Dokumentation für die Rules? Es gibt zwar was bei Apache (https://wiki.apache.org/spamassassin/Rules), da scheint aber nicht alles drin zu sein, so kann ich z.Bsp. CK_HELO_GENERIC nicht finden. Ich nehm an, dass ich mit spamassassin.heinlein-support.de ein nettes deutsches Ruleset laden könnte, würde mir sa-update nicht einen Fehler werfen (und ich hab’s noch nicht rausbekommen, wie ich der Systeminstallation von perl unter elCapitano etwas nachhelfen kann :( Noch eins: Received: from abts-kk-dynamic-168.66.172.122.airtelbroadband.in (unknown [122.171.25.251]) Da ist mir nicht wirklich klar, warum das nicht schon von Postfix durch eines dieser Regeln reject_non_fqdn_hostname, reject_invalid_hostname, reject_unknown_reverse_client_hostname abgewiesen worden ist. Dank und Gruss Matthias > Am 22.09.2016 um 16:27 schrieb Hoyer-Reuther, Christian > <[email protected]>: > > Hallo, > > wir haben, u.a. wegen der Ransomware-Problematik, seit längerem folgendes am > laufen. > > Auf dem MX läuft Postfix+Amavis+SA+ClamAV+ESET. In Postfix reject_rbl_client > zen.spamhaus.org (blockt viel ab) und ix.dnsbl.manitu.net. Mails mit Banned > Files, Viren und Spam ab bestimmtem Wert werden rejected. > > Banned Files: > 386|ace|bat|bin|chm|class|cmd|cnt|com|cpl|do|drv|exe|f|fxp|gadget|hlp|hpj|hta|inf|ins|isp|its|jar|js|jse|kix|lnk|mht|mhtm|mhtml|msh|msh1|msh2|mshxml|msh1xml|msh2xml|msi|msp|mst|ocx|ole|pif|prf|ps1|ps1xml|ps2|ps2xml|psc1|psc2|reg|rm|scf|scr|sct|shb|shm|shs|swf|sys|vb|vbe|vbp|vbs|vbx|vsmacros|vxd|ws|wsc|wsf|wsh|xbap|xl|xnk|xsl > > SA-Channels updates.spamassassin.org und spamassassin.heinlein-support.de > > Auf dem MTA dahinter läuft auch nochmal Postfix+Amavis+SA+ClamAV+ESET. Banned > Files sind hier alle MS Office Formate außer DOC und DOCX. Im ClamAV ist die > Option OLE2BlockMacros auf true gesetzt, damit werden MS Office Dateien mit > Makro von ClamAV als Virus eingestuft. Mails mit Banned Files und Viren > werden discarded und per $banned_quarantine_to bzw. $virus_quarantine_to in > ein Quarantäne-Postfach eingeliefert. Dort werden sie nach > Einschätzung/Prüfung und ggf. Nachfrage beim Empfänger entweder in das > Postfach des Empfängers verschoben oder gelöscht. Bei ca. 10-30 Mails pro Tag > in der Quarantäne ist der Aufwand noch vertretbar, bei deutlich mehr wäre das > natürlich irgendwann nicht mehr machbar. > > Zusätzlich sind natürlich per GPO auf den Clients die MS Office > Makroeinstellungen entsprechend abgesichert, und die User werden von Zeit zu > Zeit sensibilisiert. > > Ich habe hier noch mehrere Mails daliegen, bei denen ich den starken Verdacht > habe, dass man sich mit den Anhängen (XLSX mit zufälligen Namen) einen > Verschlüsselungstrojaner einfängt; bei diesen Mails hat allerdings ClamAV > _keine_ Makros erkannt. Eventuell sind da ja Links drin. > > Wichtig ist noch das Thema 7z und verschlüsselte Archive, wenn man Amavis > 2.10.0 oder älter im Einsatz hat (Debian Jessie hat z.B. 2.10.0). Amavis > interpretiert hier nämlich die Ausgabe von 7z bei verschlüsselten Dateien > falsch und bekommt daher nicht mit, dass es eine verschlüsselte Datei ist. > Damit kommt dann $undecipherable_subject_tag nicht zur Anwendung, d.h. der > Betreff der Mail wird nicht mit "UNCHECKED" markiert und der User bekommt > nicht mit, dass der Anhang nicht geprüft werden konnte. In 2.11.0 ist das > behoben, auf der Amavis-Mailingliste gibt es einen Thread dazu --> > https://lists.amavis.org/pipermail/amavis-users/2016-September/004456.html > > Gruß > Christian > >> -----Original Message----- >> From: postfix-users [mailto:postfix-users-bounces+christian.hoyer- >> [email protected]] On Behalf Of Matthias Schmidt >> Sent: Thursday, September 22, 2016 7:14 AM >> To: [email protected] >> Subject: Spamassasin, Zips u.a. >> >> - das grössere Problem ist, dass nach wie vor Mails durchkommen mit: >> Hallo + mehr oder weniger korrekte Anrede >> In der Anlage befindet sich die gewünschte Rechnung/Dokument (oder >> dergleichen) >> (…) >> und dann hängt da ein zip oder ein Word doc dran freilich mit der >> ausdrücklichen Bemerkung, Macros sollen doch bitte aktiviert sein. >> >> Jeder auf der Liste hier weiss, was da drin ist ;-) >> >> Wie kann ich sowas effektiv abfangen (ohne jetzt den Leuten verbieten zu >> wollen Dokumente zu empfangen ;-) >> oder zumindest mit dem SPAM-Tag versehen lassen. Diese “Freunde” mit ihrer >> Ramsoftware schaffen es ja immer wieder selbst den Spamassasin >> auszutricksen.
signature.asc
Description: Message signed with OpenPGP using GPGMail
