[postfix-users] ausgehende Mails als Spam markiert
Gerald Nowitzky
whl at igne.de
Mi Jul 23 15:45:48 CEST 2008
Hallo!
Nein, wenn die Headerzeile "X-SMTP-Auth: no" **fehlt**, soll geniced werden,
also ein hoher negativer score dazu.
Bei allen Mails von nicht authentifizierten quellen wird der Header hinzugefügt
und damit **nicht** geniced.
Das Problem ist, dass, wenn die Headerzeile zweimal da ist, auch geniced wird -
(für mich) unerklärlicherweise.
Bis dann!
(Gerald)
Robert Schetterer <robert at schetterer.org> hat am 23. Juli 2008 um 14:58
geschrieben:
> Hallo Gerald,
>
> Gerald Nowitzky schrieb:
> >
> > Hallo!
> > Einen kleinen Kollateralschaden gibts doch:
> >
> > An sich klappt alles bestens. Die Lösung mit dem X-SMTP-Auth scheint
> > aber ein loch zu haben; nämlich wenn ein Spammer eine Mail mit einem
> > "X-SMTP-Auth: no" im Header schickt. Dann sieht es im Header nach dem
> > Postfix so aus:
> >
> > X-SMTP-Auth: no
> > X-SMTP-Auth: no
>
> vieleicht irre ich mich hier ( jemand ders besser weiss moege sich melden )
>
> negativer score ist doch erwuenscht, works as desinged
> wenn das 2 mal drin steht sollte es auch egal sein
> rein technisch
>
> Unschoen ist
> wenn die mail von haus aus schon
> X-SMTP-Auth: no im header enthaelt enthaelt funktioniert die Methode
> halt nicht
> zuverlaessig
>
> aber du koenntest ja auch z.B
>
> X-SMTP-Auth-OK oder sowas verwenden
>
> zuverlaessig kannst du spam flagging nur dann verhindern wenn du deine
> authentifizierten User am Amavis/spamassassin vorbeileitest,
> da sind diverse methoden denkbar
>
> >
> > und das führt, aus irgendeinem Grund, dazu, dass die Mail geniced wird
> > (also einen negativen score bekommt)
> >
> > In der local.cnf des Spamassassin steht:
> >
> > header __NO_SMTP_AUTH X-SMTP-Auth =~ /^no$/
> > meta SMTP_AUTH !__NO_SMTP_AUTH
> > describe SMTP_AUTH Message sent using SMTP Authentication
> > tflags SMTP_AUTH nice
> > score SMTP_AUTH -200
> >
> > Was läuft da schief? Wird das Flag beim Spamassassin wieder invertiert?
> > Kann ich das verhindern?
> > Kann ich irgendwie verhindern, dass das X.SMTP-Auth: no zweimal im
> > Header erscheint - also den Eintrag unterdrücken, wenn er schon da ist?
> >
> > Alternativ könnte ich natürlich einfach auch den Header verändern, aber
> > das ist ja eigentlich keine richtige Lösung.
> >
> > Vielen Dank!
> > (Gerald)
> >
> >
> >
> > Gerald Nowitzky <whl at igne.de> hat am 16. Juli 2008 um 10:38 geschrieben:
> >
> >> Hallo!
> >>
> >> also, erstmal vielen Dank an alle für die ausführlichen und
> >> detaillierten Vorschläge! Ich habe die Lösung von Roland mit dem
> >> zusätzlichen Header bei nicht-authentifizierten Mails verwendet. Die
> >> ist "fälschungssicher", weil da eine Headerzeile bei externen Mails
> >> hinzugefügt wird. Da ein nicht authentifizierter Mail/Spamsender nur
> >> eine gefälschte Headerzeile anfügen kann, aber nicht löschen, kann
> >> diese Funktion auch nicht missbraucht werden.
> >>
> >> "Kollateralschäden" sind mir bisher noch keine bekannt geworden ;-)
> >>
> >> Die Lösung mit dem "smtpd_sasl_authenticated_header = yes" wollte ich
> >> nicht nehmen, weil dann
> >> a) Der Benutzername im Header erscheint
> >> b) Das Erkennungsmerkmal nur bei authetifizierten Mails vorhanden ist,
> >> und damit gefälscht werden kann.
> >>
> >> Nochmal Danke an alle für die ausführliche Hilfe! Ein Problem weniger
> >> auf meiner Liste ;-)
> >>
> >> (Gerald)
> >>
> >>
> >> Roland Scheike <rsbtde at googlemail.com> hat am 15. Juli 2008 um 16:23
> >> geschrieben:
> >>
> >> > Hallo Gerald,
> >> >
> >> > machbar wäre z.B. ein "nicen" der versendeten Mail- d.h. Du ziehst
> >> > einen Score von x ab. Ob das nun soviel ist dass der Spamscanner
> >> > definitiv nicht mal seine Header schreiben kann oder nur ein paar
> >> > wenige Punkte ist Dir überlassen.
> >> >
> >> > Das Prinzip:
> >> > # In /etc/postfix/main.cf:
> >> > smtpd_data_restrictions =
> >> > reject_unauth_pipelining
> >> > permit_sasl_authenticated
> >> > check_client_access regexp:/etc/postfix/add_auth_header.regexp
> >> >
> >> > # In /etc/postfix/add_auth_header.regexp:
> >> > /^/ PREPEND X-SMTP-Auth: no
> >> >
> >> > Somit steht bei allen Mails, die nicht über die Regex gelaufen sind
> >> > der Header X-SMTP-Auth: no
> >> > drin.
> >> >
> >> > Diesen kann man dann zum Prüfen verwenden:
> >> > # In /etc/mail/spamassassin/local.cf:
> >> > header __NO_SMTP_AUTH X-SMTP-Auth =~ /^no$/
> >> > meta SMTP_AUTH !__NO_SMTP_AUTH
> >> > describe SMTP_AUTH Message sent using SMTP Authentication
> >> > tflags SMTP_AUTH nice
> >> > score SMTP_AUTH -25
> >> >
> >> > Dann noch in der /etc/postfix/master.cf die Data-Restrictions wieder
> >> > rausnehmen und gut ists
> >> >
> >> > 127.0.0.1:10025 inet n - n - - smtpd
> >> > -o smtpd_data_restrictions=
> >> > ...
> >> >
> >> > HTH,
> >> > Roland
> >> >
> >> > 2008/7/15 Gerald Nowitzky <whl at igne.de>:
> >> > > Hallo!
> >> > >
> >> > > Ich habe folgendes Problem:
> >> > >
> >> > > Ich betreibe einen Postfix mit Amavis und Spamassassin. Der Server
> >> nimmt
> >> > > Mails für seine Domains entgegen und ist Relay für ausgehende
> >> Mails. Die
> >> > > Nutzer für ausgehende Mails sind nicht in einem Trusted Network,
> >> sondern
> >> > > authentifizieren sich über SASL.
> >> > >
> >> > > Das Problem ist nun, dass auch die ausgehenden Mails, also Mails von
> >> > > Nutzern, die sich über SASL authentifizieren, über den
> >> Spamassassin gehen.
> >> > > Mit entsprechend blödem Inhalt und einer dynamischen IP passiert
> >> es immer
> >> > > wieder, dass eine ausgehende Mail von meinem Spamassassin als Spam
> >> markiert
> >> > > wird und so dem Empfänger zugestellt wird. Gibt es eine
> >> Möglichkeit, das zu
> >> > > verhindern?
> >> > >
> >> > > Vielen Dank für die Hilfe!
> >> > > (Gerald)
> >> > >
> >> > > Hier ist meine master.cf. :10024 / :10025 ist der "umweg" für den
> >> Amavis.
> >> > >
> >> > > smtp inet n - n - - smtpd
> >> > > -o content_filter=smtp-amavis:[127.0.0.1]:10024
> >> > > pickup fifo n - - 60 1 pickup
> >> > > cleanup unix n - - - 0 cleanup
> >> > > qmgr fifo n - n 300 1 qmgr
> >> > > #qmgr fifo n - - 300 1 oqmgr
> >> > > tlsmgr unix - - - 1000? 1 tlsmgr
> >> > > rewrite unix - - - - -
> >> trivial-rewrite
> >> > > bounce unix - - - - 0 bounce
> >> > > defer unix - - - - 0 bounce
> >> > > trace unix - - - - 0 bounce
> >> > > verify unix - - - - 1 verify
> >> > > flush unix n - - 1000? 0 flush
> >> > > proxymap unix - - n - - proxymap
> >> > > smtp unix - - - - - smtp
> >> > > relay unix - - - - - smtp
> >> > > -o fallback_relay=
> >> > > showq unix n - - - - showq
> >> > > error unix - - - - - error
> >> > > discard unix - - - - - discard
> >> > > local unix - n n - - local
> >> > > virtual unix - n n - - virtual
> >> > > lmtp unix - - n - - lmtp
> >> > > anvil unix - - - - 1 anvil
> >> > > scache unix - - - - 1 scache
> >> > > maildrop unix - n n - - pipe
> >> > > flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
> >> > > uucp unix - n n - - pipe
> >> > > flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail
> >> > > ($recipient)
> >> > > ifmail unix - n n - - pipe
> >> > > flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop
> >> ($recipient)
> >> > > bsmtp unix - n n - - pipe
> >> > > flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender
> >> > > $recipient
> >> > > scalemail-backend unix - n n - 2 pipe
> >> > > flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store
> >> > > ${nexthop} ${user} ${extension}
> >> > > mailman unix - n n - - pipe
> >> > > flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
> >> > > ${nexthop} ${user}
> >> > >
> >> > > procmail unix - n n - 5 pipe
> >> > > flags=R user=nobody argv=/usr/bin/procmail -t -m
> >> > > /opt/open-xchange/etc/admindaemon/procmailrc ${sender} ${user}
> >> ${recipient}
> >> > > smtp-amavis unix - - n - 2 smtp
> >> > > -o smtp_data_done_timeout=1200
> >> > > -o smtp_send_xforward_command=yes
> >> > > -o disable_dns_lookups=yes
> >> > > -o max_use=20
> >> > > 127.0.0.1:10025 inet n - n - - smtpd
> >> > > -o content_filter=procmail:spamcheck
> >> > > -o local_recipient_maps=
> >> > > -o relay_recipient_maps=
> >> > > -o smtpd_restriction_classes=
> >> > > -o smtpd_delay_reject=no
> >> > > -o smtpd_client_restrictions=permit_mynetworks,reject
> >> > > -o smtpd_helo_restrictions=
> >> > > -o smtpd_sender_restrictions=
> >> > > -o smtpd_recipient_restrictions=permit_mynetworks,reject
> >> > > -o mynetworks_style=host
> >> > > -o mynetworks=127.0.0.0/8
> >> > > -o strict_rfc821_envelopes=yes
> >> > > -o smtpd_error_sleep_time=0
> >> > > -o smtpd_soft_error_limit=1001
> >> > > -o smtpd_hard_error_limit=1000
> >> > > -o smtpd_client_connection_count_limit=0
> >> > > -o smtpd_client_connection_rate_limit=0
> >> > > -o
> >> > >
> >> receive_override_options=no_header_body_checks,no_unknown_recipient_checks
> >> > > smtps inet n - n - - smtpd
> >> > > -o smtpd_tls_wrappermode=yes
> >> > > -o content_filter=smtp-amavis:[127.0.0.1]:10024
> >> > >
> >> > > _______________________________________________
> >> > > postfix-users mailing list
> >> > > postfix-users at de.postfix.org
> >> > > http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
> >> > >
> >> > >
> >> > _______________________________________________
> >> > postfix-users mailing list
> >> > postfix-users at de.postfix.org
> >> > http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
> >> >
> >
> >
> >
> >
> > ------------------------------------------------------------------------
> >
> > _______________________________________________
> > postfix-users mailing list
> > postfix-users at de.postfix.org
> > http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
>
>
> --
> Best Regards
>
> MfG Robert Schetterer
>
> Germany/Munich/Bavaria
> _______________________________________________
> postfix-users mailing list
> postfix-users at de.postfix.org
> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://de.postfix.org/pipermail/postfix-users/attachments/20080723/3bd60be9/attachment-0001.htm
More information about the postfix-users
mailing list