Hallo Matthias,
Am 25.09.2016 um 11:04 schrieb Matthias Schmidt: > Hallo, > > erstmals herzlichen Dank für die vielen nützliche Tips :-) > So konnte ich das Spamaufkommen nochmal heftig runterdrücken :-) > > Noch 2 Fragen hätt ich: > ich hab den Eindruck, dass bei gültiger DKIM die Mails nicht mehr an > Spamassassin geschickt werden. Oder bin ich da auf dem Holzweg (das sind > jetzt 95% aller Spammails, wie nie bestellte Newsletter und dergleichen). Normalerweise kannst du beim Anzeigen des Headers / des Quelltextes sehen, ob Spamassassin durchlaufen wurde. Beispiel deine Mail an die Mailingliste: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on net01.markus-gonzalez.de X-Spam-Level: X-Spam-Status: No, score=0.0 required=3.0 tests=none autolearn=ham autolearn_force=no version=3.4.1 Daran habe ich gesehen das auf meinem Server, deine Mail über Spamassasin ausgeliefert wurde an meine Mailbox. > > Wo find ich eigentlich eine Dokumentation für die Rules? > Es gibt zwar was bei Apache (https://wiki.apache.org/spamassassin/Rules), da > scheint aber nicht alles drin zu sein, so kann ich z.Bsp. CK_HELO_GENERIC > nicht finden. > Ich nehm an, dass ich mit spamassassin.heinlein-support.de ein nettes > deutsches Ruleset laden könnte, würde mir sa-update nicht einen Fehler werfen > (und ich hab’s noch nicht rausbekommen, wie ich der Systeminstallation von > perl unter elCapitano etwas nachhelfen kann :( > > Noch eins: > Received: from abts-kk-dynamic-168.66.172.122.airtelbroadband.in (unknown > [122.171.25.251]) Das besagt die Einlieferung der Mail von einem MUA an einem Internetzugang mit Dynamischer IP, wie DSL-Anschluss zbsp. so steht zum beispiel in dem Header deiner Mail: Received: from localhost (localhost [127.0.0.1]) by mcgregor.admilon.net (Postfix) with ESMTP id 376F79F4D68 for <postfix-users@de.postfix.org>; Sun, 25 Sep 2016 18:05:02 +0900 (JST) würdest du hier wirklich erzwingen wollen, das alle die einen MUA an einem dynalischen DSL Anschluss dir keine Mails senden dürfen ? Es gibt in der tat Restriktionen in Postfix, die dieses unterbinden, muss ich aber nachschauen, welche das sind. Aber bitte dir nochmal Gedanken dazu machen, ob das wirklich gewunscht ist .... > Da ist mir nicht wirklich klar, warum das nicht schon von Postfix durch eines > dieser Regeln reject_non_fqdn_hostname, reject_invalid_hostname, > reject_unknown_reverse_client_hostname abgewiesen worden ist. > > Dank und Gruss > Matthias > >> Am 22.09.2016 um 16:27 schrieb Hoyer-Reuther, Christian >> <christian.hoyer-reut...@cac-chem.de>: >> >> Hallo, >> >> wir haben, u.a. wegen der Ransomware-Problematik, seit längerem folgendes am >> laufen. >> >> Auf dem MX läuft Postfix+Amavis+SA+ClamAV+ESET. In Postfix reject_rbl_client >> zen.spamhaus.org (blockt viel ab) und ix.dnsbl.manitu.net. Mails mit Banned >> Files, Viren und Spam ab bestimmtem Wert werden rejected. >> >> Banned Files: >> 386|ace|bat|bin|chm|class|cmd|cnt|com|cpl|do|drv|exe|f|fxp|gadget|hlp|hpj|hta|inf|ins|isp|its|jar|js|jse|kix|lnk|mht|mhtm|mhtml|msh|msh1|msh2|mshxml|msh1xml|msh2xml|msi|msp|mst|ocx|ole|pif|prf|ps1|ps1xml|ps2|ps2xml|psc1|psc2|reg|rm|scf|scr|sct|shb|shm|shs|swf|sys|vb|vbe|vbp|vbs|vbx|vsmacros|vxd|ws|wsc|wsf|wsh|xbap|xl|xnk|xsl >> >> SA-Channels updates.spamassassin.org und spamassassin.heinlein-support.de >> >> Auf dem MTA dahinter läuft auch nochmal Postfix+Amavis+SA+ClamAV+ESET. >> Banned Files sind hier alle MS Office Formate außer DOC und DOCX. Im ClamAV >> ist die Option OLE2BlockMacros auf true gesetzt, damit werden MS Office >> Dateien mit Makro von ClamAV als Virus eingestuft. Mails mit Banned Files >> und Viren werden discarded und per $banned_quarantine_to bzw. >> $virus_quarantine_to in ein Quarantäne-Postfach eingeliefert. Dort werden >> sie nach Einschätzung/Prüfung und ggf. Nachfrage beim Empfänger entweder in >> das Postfach des Empfängers verschoben oder gelöscht. Bei ca. 10-30 Mails >> pro Tag in der Quarantäne ist der Aufwand noch vertretbar, bei deutlich mehr >> wäre das natürlich irgendwann nicht mehr machbar. >> >> Zusätzlich sind natürlich per GPO auf den Clients die MS Office >> Makroeinstellungen entsprechend abgesichert, und die User werden von Zeit zu >> Zeit sensibilisiert. >> >> Ich habe hier noch mehrere Mails daliegen, bei denen ich den starken >> Verdacht habe, dass man sich mit den Anhängen (XLSX mit zufälligen Namen) >> einen Verschlüsselungstrojaner einfängt; bei diesen Mails hat allerdings >> ClamAV _keine_ Makros erkannt. Eventuell sind da ja Links drin. >> >> Wichtig ist noch das Thema 7z und verschlüsselte Archive, wenn man Amavis >> 2.10.0 oder älter im Einsatz hat (Debian Jessie hat z.B. 2.10.0). Amavis >> interpretiert hier nämlich die Ausgabe von 7z bei verschlüsselten Dateien >> falsch und bekommt daher nicht mit, dass es eine verschlüsselte Datei ist. >> Damit kommt dann $undecipherable_subject_tag nicht zur Anwendung, d.h. der >> Betreff der Mail wird nicht mit "UNCHECKED" markiert und der User bekommt >> nicht mit, dass der Anhang nicht geprüft werden konnte. In 2.11.0 ist das >> behoben, auf der Amavis-Mailingliste gibt es einen Thread dazu --> >> https://lists.amavis.org/pipermail/amavis-users/2016-September/004456.html >> >> Gruß >> Christian >> >>> -----Original Message----- >>> From: postfix-users [mailto:postfix-users-bounces+christian.hoyer- >>> reuther=cac-chem...@de.postfix.org] On Behalf Of Matthias Schmidt >>> Sent: Thursday, September 22, 2016 7:14 AM >>> To: postfix-users@de.postfix.org >>> Subject: Spamassasin, Zips u.a. >>> >>> - das grössere Problem ist, dass nach wie vor Mails durchkommen mit: >>> Hallo + mehr oder weniger korrekte Anrede >>> In der Anlage befindet sich die gewünschte Rechnung/Dokument (oder >>> dergleichen) >>> (…) >>> und dann hängt da ein zip oder ein Word doc dran freilich mit der >>> ausdrücklichen Bemerkung, Macros sollen doch bitte aktiviert sein. >>> >>> Jeder auf der Liste hier weiss, was da drin ist ;-) >>> >>> Wie kann ich sowas effektiv abfangen (ohne jetzt den Leuten verbieten zu >>> wollen Dokumente zu empfangen ;-) >>> oder zumindest mit dem SPAM-Tag versehen lassen. Diese “Freunde” mit ihrer >>> Ramsoftware schaffen es ja immer wieder selbst den Spamassasin >>> auszutricksen. >