Spamassassin /. Blacklist lässt gesperrte Spam Emails durch

[jahlives]

ablehnen und/oder verwerfen ist aus der Sicht des SMTP Protokolls dasselbe. Die RFCs definieren haarklein, dass das System welches ablehnt/verwirft dies irgendwie dem Sender bekannt geben muss. Es gibt zwei grundsätzlich unterschiedliche Stadien wo du ablehnen kannst.
Lehnt dein Mailserver ab BEVOR er sein finales ok für den Empfang der Mail gegeben hat, dann erfolgt diese Fehlermeldung direkt in der SMTP Session mit welcher der sendende Server mit deinem Server verbunden ist d.h. dein Server sagt dem anderen Server abgelehnt und damit wird es zur Aufgabe des sendenden Servers dem Absender eine Fehlermeldung per Mail zuzusztellen.
NACH dem finalen ok ist es jedoch der Job DEINES Servers Fehlermeldungen für abgelehnte Mails zu versenden. Und hier kommt das Problem des SA auf der DS. Der SA-Filter kommt erst nach dem finalen ok deines Servers zum Einsatz. Ergo lehnt dein SA-Filter ab muss dein Server den Absender informieren.
Und bevor du fragst: nein es geht mit der Firmware einfach nicht anders ;-)
So hat es Synology implementiert. Es ist bei "normalen" Server möglich den SA Filter VOR dem finalen ok einzubauen. Aber das erfordert spezielle Filter welche den Spamassassin einbinden. Das ist in der Firmware definitiv nicht dabei.
Schreib einen Feature Request an Synology und sag ihnen sie sollen den Spamassassin als sogenannten PreQueue-Filter einbauen. Das könnten sie mit Milterimplementation des Filters

 

[491810]

Okay. Ich habe ja jetzt die Astaro am Laufen, die den Job des SMTP-Proxy übernimmt. Damit habe ich schon mal Ärger vom Knie.
Ich habe aber mal eine Verständnisfrage zum Spamassassin, wo ich derzeit nicht wirklich durchblicke - vielleicht kannst Du helfen!?

Emails als Spam zu flaggen mache ich ja unter "Sicherheit" in "Spamassassin-Einstellungen" im Bereich "Kundenspezifischer Spamfilter".
Wenn ich dort aber anstelle "conrad@elektronik.de-at-ch.com" (weil es ettliche Variationen davon gibt) den Spam anstelle über das Feld
"Von:-Adresse enthält" gleich alle Emails der Domain "de-at-ch.com" als Spam markieren lassen möchte geht wenigstens das im Synology?

Ich habe dann "de-at-ch.com" im Feld "Von:-Adressen enthält diese Domäne" eingetragen. Die Hilfe gibt jetzt aber (leider) nicht her, ob
ich da nur "de-at-ch.com" oder mit wildcards "*@de-at-ch.com" bzw "*.de-at-ch.com" eintragen muss. Funktioniert derzeit nämlich nicht.

Oder arbeitet der Spamfilter genauso wie meine Astaro? Dort kann ich nämlich laut Hilfe nur wildcards vor dem @-Zeichen verwenden, d.h.
ich kann also "*@elektronik.de-at-ch.com" sperren aber nicht "*@*.de-at-ch.com" eintragen. Kannst Du mir dazu noch was sagen? Dank Dir.

 

[jahlives]

der SA müsste *@*.domain.tld eigentlich akzeptieren. Allerdings keine Ahnung ob das auch der DSM akzeptiert
Aber da du ja die Post direkt am SMTP annimmst, solltest du das Blacklisting im Postfix machen. Der kann nämlich vor dem finalen ok ablehnen
Dazu die Datei /volumeX/@appstore/MailServer/etc/sender_access erstellen und

domain.tld REJECT Play somewhere else

dann mit postmap die Datei konvertieren (domain.tld matched auch Subs von domain.tld)
In main.cf trägst du bei smtpd_sender_restrictions das Filterfile ein

smtpd_sender_restrictions = check_sender_access hash:/volumeX/@appstore/MailServer/etc/sender_access,
..... RESTLICHE RESTRIKTIONEN

postfix restarten et voilà

telnet 192.168.199.34 25
Trying 192.168.199.34...
Connected to 192.168.199.34.
Escape character is '^]'.
220 localnet ESMTP Postfix
EHLO localhost
250-localnet
250-PIPELINING
250-SIZE 10485760
250-ETRN
250-STARTTLS
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
MAIL FROM: <test@test.domain.tld>
250 2.1.0 Ok
RCPT TO: <jonny@english.com>
554 5.7.1 <test@test.domain.tld>: Sender address rejected: Play somewhere else

abgelehnt während des SMTP Dialogs und damit das Problem des sendenden Servers und nicht deines Servers

 

[491810]

Dank Dir für die Erklärung. Ich bin jetzt leider nur ein doofer Sysadmin, der in seiner Vergangenheit mehr Windoof als Linux gemacht hat.
Kannst Du mir kurz sagen, WIE ich dass "dann mit postmap die Datei konvertiere"? Kannst Du mir da mal mit dem Befehl aushelfen? Danke.
Ach ja ... und wie restarte ich den postfix? Würde den MailServer in der GUI restarten da ich jetzt ad hoc leider den Befehl dafür nicht weiß.

 

[jahlives]

/volumeX/@appstore/MailServer/sbin/postmap /volumeX/@appstore/MailServer/etc/sender_access
/volumeX/@appstore/MailServer/scripts/PostfixDaemon.sh stop
/volumeX/@appstore/MailServer/scripts/PostfixDaemon.sh start

 

[491810]

Dank Dir. Wenn man die Befehle kennt bzw. weiß, in welchem Ordner die PostfixDaemon.sh liegt ist alles einfacher.
Letzte Frage ... muss ich das jetzt bei jeder Änderung neu "konvertieren" oder nur in der sender_access abspeichern?
Wenn ich von konvertieren rede, dann würde es ja bedeuten, dass der Postfix so "plain" nix damit in der Datei anfangen kann, oder?
Muss ich - sollte es ohne oder mit erneuter "Konvertierung" klappen - auch immer wieder den postfix extra restarten?

 

[jahlives]

ja nach jeder Änderung an sender_access musst du postmap machen, weil postfix nutzt genaugenommen nicht die Datei sender_access sondern die durch postmap generierte sender_access.db
Danach musst du entweder postfix restarten oder es dürfte auch reichen ein

/volumeX/@appstore/MailServer/sbin/postfix reload

zu machen

 

[491810]

Prima. Dank Dir für die Anleitung. Dann weiß ich jetzt bescheid, wie ich damit umgehe.