Hallo Matthias,
Am 25.09.2016 um 11:04 schrieb Matthias Schmidt:
> Hallo,
>
> erstmals herzlichen Dank für die vielen nützliche Tips :-)
> So konnte ich das Spamaufkommen nochmal heftig runterdrücken :-)
>
> Noch 2 Fragen hätt ich:
> ich hab den Eindruck, dass bei gültiger DKIM die Mails nicht mehr an
> Spamassassin geschickt werden. Oder bin ich da auf dem Holzweg (das sind
> jetzt 95% aller Spammails, wie nie bestellte Newsletter und dergleichen).
Normalerweise kannst du beim Anzeigen des Headers / des Quelltextes
sehen, ob Spamassassin durchlaufen wurde.
Beispiel deine Mail an die Mailingliste:
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on
net01.markus-gonzalez.de
X-Spam-Level:
X-Spam-Status: No, score=0.0 required=3.0 tests=none autolearn=ham
autolearn_force=no version=3.4.1
Daran habe ich gesehen das auf meinem Server, deine Mail über
Spamassasin ausgeliefert wurde an meine Mailbox.
>
> Wo find ich eigentlich eine Dokumentation für die Rules?
> Es gibt zwar was bei Apache (https://wiki.apache.org/spamassassin/Rules), da
> scheint aber nicht alles drin zu sein, so kann ich z.Bsp. CK_HELO_GENERIC
> nicht finden.
> Ich nehm an, dass ich mit spamassassin.heinlein-support.de ein nettes
> deutsches Ruleset laden könnte, würde mir sa-update nicht einen Fehler werfen
> (und ich hab’s noch nicht rausbekommen, wie ich der Systeminstallation von
> perl unter elCapitano etwas nachhelfen kann :(
>
> Noch eins:
> Received: from abts-kk-dynamic-168.66.172.122.airtelbroadband.in (unknown
> [122.171.25.251])
Das besagt die Einlieferung der Mail von einem MUA an einem
Internetzugang mit Dynamischer IP, wie DSL-Anschluss zbsp.
so steht zum beispiel in dem Header deiner Mail:
Received: from localhost (localhost [127.0.0.1])
by mcgregor.admilon.net (Postfix) with ESMTP id 376F79F4D68
for <postfix-users@de.postfix.org>; Sun, 25 Sep 2016 18:05:02 +0900 (JST)
würdest du hier wirklich erzwingen wollen, das alle die einen MUA an
einem dynalischen DSL Anschluss dir keine Mails senden dürfen ?
Es gibt in der tat Restriktionen in Postfix, die dieses unterbinden,
muss ich aber nachschauen, welche das sind. Aber bitte dir nochmal
Gedanken dazu machen, ob das wirklich gewunscht ist ....
> Da ist mir nicht wirklich klar, warum das nicht schon von Postfix durch eines
> dieser Regeln reject_non_fqdn_hostname, reject_invalid_hostname,
> reject_unknown_reverse_client_hostname abgewiesen worden ist.
>
> Dank und Gruss
> Matthias
>
>> Am 22.09.2016 um 16:27 schrieb Hoyer-Reuther, Christian
>> <christian.hoyer-reut...@cac-chem.de>:
>>
>> Hallo,
>>
>> wir haben, u.a. wegen der Ransomware-Problematik, seit längerem folgendes am
>> laufen.
>>
>> Auf dem MX läuft Postfix+Amavis+SA+ClamAV+ESET. In Postfix reject_rbl_client
>> zen.spamhaus.org (blockt viel ab) und ix.dnsbl.manitu.net. Mails mit Banned
>> Files, Viren und Spam ab bestimmtem Wert werden rejected.
>>
>> Banned Files:
>> 386|ace|bat|bin|chm|class|cmd|cnt|com|cpl|do|drv|exe|f|fxp|gadget|hlp|hpj|hta|inf|ins|isp|its|jar|js|jse|kix|lnk|mht|mhtm|mhtml|msh|msh1|msh2|mshxml|msh1xml|msh2xml|msi|msp|mst|ocx|ole|pif|prf|ps1|ps1xml|ps2|ps2xml|psc1|psc2|reg|rm|scf|scr|sct|shb|shm|shs|swf|sys|vb|vbe|vbp|vbs|vbx|vsmacros|vxd|ws|wsc|wsf|wsh|xbap|xl|xnk|xsl
>>
>> SA-Channels updates.spamassassin.org und spamassassin.heinlein-support.de
>>
>> Auf dem MTA dahinter läuft auch nochmal Postfix+Amavis+SA+ClamAV+ESET.
>> Banned Files sind hier alle MS Office Formate außer DOC und DOCX. Im ClamAV
>> ist die Option OLE2BlockMacros auf true gesetzt, damit werden MS Office
>> Dateien mit Makro von ClamAV als Virus eingestuft. Mails mit Banned Files
>> und Viren werden discarded und per $banned_quarantine_to bzw.
>> $virus_quarantine_to in ein Quarantäne-Postfach eingeliefert. Dort werden
>> sie nach Einschätzung/Prüfung und ggf. Nachfrage beim Empfänger entweder in
>> das Postfach des Empfängers verschoben oder gelöscht. Bei ca. 10-30 Mails
>> pro Tag in der Quarantäne ist der Aufwand noch vertretbar, bei deutlich mehr
>> wäre das natürlich irgendwann nicht mehr machbar.
>>
>> Zusätzlich sind natürlich per GPO auf den Clients die MS Office
>> Makroeinstellungen entsprechend abgesichert, und die User werden von Zeit zu
>> Zeit sensibilisiert.
>>
>> Ich habe hier noch mehrere Mails daliegen, bei denen ich den starken
>> Verdacht habe, dass man sich mit den Anhängen (XLSX mit zufälligen Namen)
>> einen Verschlüsselungstrojaner einfängt; bei diesen Mails hat allerdings
>> ClamAV _keine_ Makros erkannt. Eventuell sind da ja Links drin.
>>
>> Wichtig ist noch das Thema 7z und verschlüsselte Archive, wenn man Amavis
>> 2.10.0 oder älter im Einsatz hat (Debian Jessie hat z.B. 2.10.0). Amavis
>> interpretiert hier nämlich die Ausgabe von 7z bei verschlüsselten Dateien
>> falsch und bekommt daher nicht mit, dass es eine verschlüsselte Datei ist.
>> Damit kommt dann $undecipherable_subject_tag nicht zur Anwendung, d.h. der
>> Betreff der Mail wird nicht mit "UNCHECKED" markiert und der User bekommt
>> nicht mit, dass der Anhang nicht geprüft werden konnte. In 2.11.0 ist das
>> behoben, auf der Amavis-Mailingliste gibt es einen Thread dazu -->
>> https://lists.amavis.org/pipermail/amavis-users/2016-September/004456.html
>>
>> Gruß
>> Christian
>>
>>> -----Original Message-----
>>> From: postfix-users [mailto:postfix-users-bounces+christian.hoyer-
>>> reuther=cac-chem...@de.postfix.org] On Behalf Of Matthias Schmidt
>>> Sent: Thursday, September 22, 2016 7:14 AM
>>> To: postfix-users@de.postfix.org
>>> Subject: Spamassasin, Zips u.a.
>>>
>>> - das grössere Problem ist, dass nach wie vor Mails durchkommen mit:
>>> Hallo + mehr oder weniger korrekte Anrede
>>> In der Anlage befindet sich die gewünschte Rechnung/Dokument (oder
>>> dergleichen)
>>> (…)
>>> und dann hängt da ein zip oder ein Word doc dran freilich mit der
>>> ausdrücklichen Bemerkung, Macros sollen doch bitte aktiviert sein.
>>>
>>> Jeder auf der Liste hier weiss, was da drin ist ;-)
>>>
>>> Wie kann ich sowas effektiv abfangen (ohne jetzt den Leuten verbieten zu
>>> wollen Dokumente zu empfangen ;-)
>>> oder zumindest mit dem SPAM-Tag versehen lassen. Diese “Freunde” mit ihrer
>>> Ramsoftware schaffen es ja immer wieder selbst den Spamassasin
>>> auszutricksen.
>
