Alternative zu Spamassassin

bitmuncher

Senior-Nerd
Hi,

meine Mailserver haben immer mehr Probleme aktuellen Spam auszufiltern, was seine Ursache in der immer weiteren Verbreitung von GIFs zu haben scheint. Spamassassin scheint dagegen machtlos zu sein, denn der filtert die nur vereinzelt raus, obwohl ich ihm täglich die neuen Sachen "beibringe" (sa-learn --spam ...). GIFs komplett blocken geht leider nicht, da unsere Designer und Kunden sowas an die Entwickler schicken müssen und auch auf meinen privaten Servern bin ich teilweise auf den Empfang von GIFs angewiesen.
Gibt es einen effektiven Filter gegen Spam-Mails mit GIFs im Anhang und Zufallstext als Body? Idealerweise sollte er zusammen mit Spamassassin einsetzbar sein (also Interface zum Mailserver über amavisd-new). Bitte kein Greylisting, denn das würde die Zustellung der Mails von Neukunden unnötig verzögern und bringt, wie ein Testserver zeigte, auch nicht wirklich Abhilfe, da ständig wechselnde Adressen genutzt werden und die Dinger selten als Massenmail eintrudeln.
 
Diese Mails sollte doch wohl etwas mehr auszeichnen als nur, dass sie eine GIF-Datei im Anhang haben. Dementsprechend könnte man ein paar weitere Regeln definieren, die die Punktzahlen in die Höhe treiben. Vielleicht habt ihr einen Kundenkreis, der sich hauptsächlich auf Deutschland beschränkt? Dann könntest du zum Beispiel schonmal Punkte für Absender-TLDs ungleich .com/.net/.org/.de vergeben.
 
Der Kundenstamm ist international, Länder wie Japan u.ä. habe ich schon geblockt, wo wir ganz sicher keine Kunden haben, aber vieles kommt aus den USA und Brazilien, was ich nicht blocken kann, da wir dort bereits einen Kundenstamm haben und gerade aufbauen. Dadurch, dass Blindtexte als Mailinhalt genutzt werden, ist auch ein Filtern über bestimmte Stichwörter nicht möglich. Da liegt ja das Problem, es gibt nichts, was mir einfällt, wonach ich filtern könnte. Daher hatte ich gehofft, dass es evtl. ein Programm gibt, das (ähnlich wie die Captcha-Auslese-Programme... sorry, weiss gerade nicht wie die heissen) die Inhalte der GIFs überprüfen kann.
 
Ich weiss zwar nicht ob es dir hilft, aber könntest du nicht etwas aus den Trainingsdaten von Thunderbird lernen? (falls du es einsetzt) weil der filtert bei mir die gif mails zu einem sehr großen Teil heraus.

Wenn ich meine "Trainingsdaten" finden sollte, oder mir jemand sagt wo die liegen und da nichts allzu persönliches drinne liegt kann ich dir die ansonsten auch mal zu kommen lassen.
 
Also an der Existenz einer PWNtcha-Software für Mailanhänge zweifle ich.

Als pragmatische Lösung würde mir noch einfallen, generell auf Bildanhänge genügend Punkte zu verteilen, um sie als Spam werten zu lassen, und denjenigen, die euch regulär Bildanhänge zukommen lassen, ein "Schlüsselwort" zu kommunizieren, dass sie in der Betreffzeile unterbringen sollten und auf das du eine Regel mit ausreichend negativer Punktzahl greifen lässt. Zusätzlich kannst du bekannte Kundendomains ja auch Whitelisten, sodass es bei denen auch nicht so schlimm ist, wenn mal einer das Schlüsselwort vergisst.
 
Das klingt nach einer Möglichkeit. Werde ich mal ausprobieren und auf meinem Test-Server ein paar Wochen Probelauf machen. Danke, damit habe ich wenigstens schonmal wieder einen neuen Lösungsansatz.

@Sven: Es geht ja um das serverseitige Filtern und Spamassassin kann meines Wissens nichts mit Thunderbird-Regeln anfangen.
 
Ich wollte ja die regeln nicht direkt übernehmen, sondern nur mal schauen wie es vom prinzip her geregelt ist und ob man das irgendwie übertragen könnte von der Logik her.

Wie gesagt nur ein Gedankengang meiner selbst.
 
@bitchmuncher

Das, was ich bisher als die definitiv beste Loesung getest habe ist den openbsd spamd vor, dem Mailserver bzw. spamfilter zu haben. Dahinter kommt ein Qmail Server mit qpsmtpd der spamassassin und virenfilter, dns blacklisting etc etc macht. danach kommt dann das eigentlich Mailsystem.

Der spamd kann greylisting und zudem noch aktiv die spammer aegern so dass sie ueberhaupt dann weniger spam loswerden. Das greylisting ist nicht unbedingt jedermans sache weil sich der Vorgang des einlieferns dadurch verzoegert. Muss man entscheiden obs einem das wert ist. Als resultat habe ich so gut wie keinen Spam mails mehr auf dem eigentlichen System.

Gucks dir einfach mal, ist isi und es reicht ne minimalste Kiste dafuer aus. Kann dir auch noch tips wegen wenns dich interessiert
 
Greylisting kommt bei uns (leider) nicht in Frage. Das würde mir sonst einiges vereinfachen. Die Idee mit einem getrennten Filter-System, das den eigentlichen Mailserver entlastet, finde ich aber recht gut. Aber ist der spamd nicht der Spamassassin? Zumindest nennt sich das Programm-Binary unter Linux auch spamd.
Wenn du ein/e brauchbare/s Doku/Howto für einen solchen Aufbau hast, wäre das super. :) Vor allem das mit QMail klingt vielversprechend, auch wenn ich bisher vor dem immer zurück geschreckt bin, denn in letzter Zeit wird mir immer wieder mitgeteilt, daß der als Forwarder und Filter brauchbarer ist, da er wohl keinen Amavis benötigt um die Filter einzubinden und somit mehrere Filter-Tools verwendbar sind, womit ich bei Postfix einige Probleme habe. Wirklich gut laufen Sachen da nur, wenn sie über Amavis eingebunden sind, der aber enorm Ressourcen frißt.
 
ja, der heisst genauso wie der spamassassin spamdaemon.

Ich habe mit dem openbsd spamd server 4 Maschinen die sich um mail kuemmern.
Das klingt erstmal fett, allerdings bediene ich auch einige tausend Mailboxen ;)

der openbsd spamd steht drauszen im inet, vor der firewall. da laeuft greylisting und somit auch MX records fuer Kunden die damit einverstanden sind.

Der leitet danach weiter an den ersten mailserver in der dmz. dort laeuft ein qmail mit qpsmtpd. qpsmtpd ist in perl geschrieben und ist super flexibel. apache.org nutzt den u.a. auch. Da kannste sehr sehr einfach eigene plugins schreiben. Auf der Kiste wird zudem noch Virenfilterung gemacht.
Hier liegen auch die MX records fuer kunden, die das greylisting nicht moechten.

Fuer ne Spampruefung werden die mails ueber ein getrunctes GBit interface an eine weitere Kiste in nem VLAN geleitet. da laeuft nen normaler spamassassin und nichts anderes. Ich habe ca 12 dummy domains mit catch all adressen die 2 mal taeglich abgegriffen werden und durch den sa-learn gejagt werden. Fuer "ham" mails lade ich regelmaeszig diverse Mailinglisten durch, das klappt ganz gut.

Wenn das Zeug durch ist, wird es an einen weiteren mailserver geleitet. dieser mailserver ist die maschine welche die Kunden zum versenden und pop benutzen. Dort ist wahlweise noch lokal spamassassin am laufen, aber eher zu joekelzwecken und fuer einige domains. Dort laeuft ebenfalls qmail, allerdings mit nem originalen qmail-smtpd und nen umgebauter qmail-scanner als queue script. Den smtpd habe ich jedoch so gepacht das er NUR mail von authentifizierten usern annimmt. am anfang hatte ich naemlich das problem das trotz der MX records auf den anderen maschinen, dort immer noch mail von spammern eingeliefert wurde.

auf jeder dieser kisten laeuft ein komplettes qmail system mit vpopmail. die vpopmail datenbank mache ich ueber MySQL. Auf jeder der Qmail kisten laufen perl daemons die die lokalen systeme anhand der mysql datenbank updaten. dh alle kundeneingaben und emaileinstellungen bedienen immer nur die mysql datenbank.

das ganze ist sicher etwas unorthodox und dirty- aber es tut :)

Die beste Anleitung fuer Qmail imho: www.qmailrocks.org
Qpsmtpd http://smtpd.develooper.com/


Der spamassassin laeuft auf nem aktuellen P4 mit fetter hartware- der hat gut zu tun.
Alle anderen Maschinen sind simple 2.2er celerons mit 2 GB ram..jedoch alles mit (richtigen) scsi raids

Ich hab seit fast 3 jahren keine einzige Mail verloren und seit ich das mit dem spam so hab gibts auch keine klagen mehr wegen spam. bei unserer eigenen domain wuerde ich sagen komme ich auf 99.9% treffer ;)

Wenn du das noch konkreter wissen willst koennen wir mal im irc labern. wenn du beispielcode zb fuer das spamassassin modul haben moechtest ....damit kannste auch fuer jede domain seperat den spamlevel einstellen - und das dynamisch ;)
 
Zurück
Oben