Filter-Kriterien kaskadieren

Jörn Bredereck jb at bw-networx.net
Fr Okt 7 15:43:26 CEST 2016 

Hallo Christian,

danke für die Vorlage… dann werde ich mir Amavis in einer ruhigen Minute nochmal zu gemüte führen.

Mit wieviel Last muss ich auf dem Server rechnen? Da rauschen nämlich pro Stunde schon ein paar tausend Mails durch.



Viele Grüße,
Jörn Bredereck

--

******************************
B&W-NetworX GmbH & Co. KG
Landstr. 67a
76547 Sinzheim
Fon: 07221 996388-8
Fax: 07221 996388-1
http://www.bw-networx.net
info at bw-networx.net
-----------------------------
AG Mannheim HRA 521208
Pers. haf. Ges.:
B&W-NetworX Verwaltungs-GmbH
Sitz: 76532 Baden-Baden
AG Mannheim HRB Nr.: 202122
Geschäftsführer:
Jörn Bredereck
Dipl. Ing. Holger Wunsch
******************************


On 7 October 2016 at 15:07:59, Christian Boltz (postfix-users at cboltz.de<mailto:postfix-users at cboltz.de>) wrote:

Hallo Jörn, hallo zusammen,

Am Freitag, 7. Oktober 2016, 10:59:27 CEST schrieb Jörn Bredereck:
> Würde ein 3rd-Party-Tool wie Amavis mein Problem evtl. lösen? Was
> verwendet man da heutzutage? Mein letztes Amavis habe ich vor 8
> Jahren aufgesetzt. Is das immer noch das Filtering-Framework der Wahl
> oder gibts da inzwischen was besseres?

Ich habe jedenfalls immer noch Amavis im Einsatz, und bisher ist mir
auch noch nix besseres über den Weg gelaufen ;-)

Neben den bereits genannten Optionen bietet sich noch der Weg über
Amavis (bzw. genaugenommen über SpamAssassin, das ja von Amavis
eingebunden wird) an.

Ich habe in meiner /etc/mail/spamassassin/local.cf seit Jahren einen
Eintrag, um von Sourceforge an mich relayten Spam zu blocken:


header CB_TO_CBOLTZ_SOURCEFORGE To =~ /MEIN_SF_NAME.users.sourceforge.net/i
describe CB_TO_CBOLTZ_SOURCEFORGE Sent to MEIN_SF_NAME at users.sourceforge.net
score CB_TO_CBOLTZ_SOURCEFORGE 0.001

# X-Spam-Score und einige andere X-Spam-Header werden von Amavis grundsaetzlich ignoriert.
# daher auf X-VA-Spam-Flag filtern ;-)
header CB_COMES_WITH_VA_SPAM_FLAG X-VA-Spam-Flag =~ /YES/i
describe CB_COMES_WITH_VA_SPAM_FLAG Contains X-VA-Spam-Flag: YES header
score CB_COMES_WITH_VA_SPAM_FLAG 1

meta CB_SPAM_RELAYED_BY_SOURCEFORGE (CB_TO_CBOLTZ_SOURCEFORGE && CB_COMES_WITH_VA_SPAM_FLAG)
describe CB_SPAM_RELAYED_BY_SOURCEFORGE Spam sent to MEIN_SF_NAME at users.sourceforge.net
score CB_SPAM_RELAYED_BY_SOURCEFORGE 9


Das war dann im Vergleich zu erfolglosen Diskussionen mit dem SF-Support
die effektivere (und sofort funktionierende) Lösung.


Ach ja, da Spammer gern meine SF-Adresse als Absender benutzt haben,
gibt es auch noch:


# Backscatter von abgewiesenem Sourceforge-Spam
body CB_BODY_COMES_WITH_SPAMFLAG /X-VA-Spam-Flag:[ ]*YES/i
describe CB_BODY_COMES_WITH_SPAMFLAG Contains X-VA-Spam-Flag: YES in body (bounce?)
score CB_BODY_COMES_WITH_SPAMFLAG 0.001

body CB_BODY_COMES_WITH_SPAMSCORE /X-Spam-Score:[ ]*[0-9][0-9]/i
describe CB_BODY_COMES_WITH_SPAMSCORE Contains X-Spam-Score >= 10 in body (bounce?)
score CB_BODY_COMES_WITH_SPAMSCORE 0.001

# already spam-blocked by me?
body CB_BODY_ALREADY_SPAMBLOCKED /host mx.cboltz.de .188.40.126.166.: 554 5.7.0 Reject, id=[0-9-]* - SPAM/i
describe CB_BODY_ALREADY_SPAMBLOCKED Was already spam-blocked by mx.cboltz.de
score CB_BODY_ALREADY_SPAMBLOCKED 3

meta CB_SPAM_BOUNCED_BY_SOURCEFORGE (CB_TO_CBOLTZ_SOURCEFORGE && CB_BODY_COMES_WITH_SPAMSCORE)
describe CB_SPAM_BOUNCED_BY_SOURCEFORGE Spam bounced to MEIN_SF_NAME at users.sourceforge.net
score CB_SPAM_BOUNCED_BY_SOURCEFORGE 10


Ob SF inzwischen den Spam immer noch taggt und weiterleitet oder ob sie
tatsächlich gleich rejecten? Keine Ahnung, interessiert mich auch nicht
wirklich ;-)

Jedenfalls: anhand dieser Beispiele solltest Du Dir die gewünschten
Regeln zusammenbasteln können ;-)


Gruß

Christian Boltz
--
I built version 1.7.1 in my branch.. a bit messy, as most work seems
to have gone into 'replacing autofoo with cmake' (aka one broken build
system for another one). [Dominique Leuenberger in opensuse-factory]

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://de.postfix.org/pipermail/postfix-users/attachments/20161007/76d6eaf3/attachment.html>

Mehr Informationen über die Mailingliste postfix-users