Wie sperre ich neue Open / SMTP Spam Server in Spamassassin?

[491810]

Hi,

ich habe mir den Zarafa installiert und lasse alle POP3 Emails über den Spamassassin/Antivirus des MailServers scannen ehe sie zurück ins Zarafa-Postfach gehen.
Nun nervt es mich trotz 123 (!) DNSBL-Server und der gesamten Palette von 41 (!) Spamassassin-Regeln, dass ich dennoch offensichtliche Spams erhalten tue.

Ich habe die IP Adresse des SMTP Servers der die SPAM Email verschickt hat auf dnsbl.info geprüft und sie wird von allen 79 (!) DNSBL-Servern als "nicht gelistet"
angezeigt. Also anscheinend ein recht neuer oder unbekannter Server. Da ich diesen aber nun kenne möchte ich ihn gerne sperren. Kann ich das irgendwo eintragen?

Ich nehme mal an, dass die Eintragung als "Kundenspezifische Filterregel" im Spamassassin mit dem Eintrag "Von-Adresse enthält diese Domäne" nicht funktioniert, oder?
Ich will ja nicht den gefälschten Absender sperren (das kann ich natürlich darüber hinaus sinnvollerweise tun) sondern die DNS bzw. IP-Adresse des SPAM SMTP Server.

Kann mir hier mal jemand sagen, wo ich diesen Eintrag vornehme (bitte mit Dateipfad der zu editierenden Datei)? Oder geht das irgendwie in der GUI der Synology DS???

 

[jahlives]

ne via Spamassassin kann das nicht gehen, weil Synology den SA als sogn Post-Queue-Filter implementiert hat d.h. zum Zeitpunkt wo dein SA zum Einsatz kommt hat dein Postfix (SMTP) die Mail bereits aktzeptiert. Sowas würde ich in der Firewall eintragen. Sonst trägt man das in die smtpd_client_restrictions des Postfix ein. Wobei das imho nicht so viel Sinn macht, denn wieso sollte sich dieser Spamserver überhaupt an einen Port bei dir verbinden dürfen

 

[491810]

ne via Spamassassin kann das nicht gehen, weil Synology den SA als sogn Post-Queue-Filter implementiert hat d.h. zum Zeitpunkt wo dein SA zum Einsatz kommt hat dein Postfix (SMTP) die Mail bereits aktzeptiert. Sowas würde ich in der Firewall eintragen. Sonst trägt man das in die smtpd_client_restrictions des Postfix ein. Wobei das imho nicht so viel Sinn macht, denn wieso sollte sich dieser Spamserver überhaupt an einen Port bei dir verbinden dürfen

Gut ... ich muss vorne weg schicken, dass ich jetzt kein Linux Guru bin ... als gelernter FISI mit Schwerpunkt Windows und Abschlussarbeit in "Linux Firewall auf Basis ipchains" habe ich doch ein recht passables Verständnis von Firewall-Regeln und kenne mich auch mit Email headern u.a. Sicherheitsrelevanten Themen aus. Ich nahm daher an, dass der Spamassassin ggf. in den header schaut und dort u.a. auch den "Received from" auslesen kann - also den SPAM SMTP Server von dem die Email aus verschickt worden ist. Da die Absendeadressen nicht wirklich sinnvoll sperrbar sind, da man ja alles mögliche als Absender angeben kann (so z.B. auch reale Emailadressen) wollte ich einfach die noch nicht in einem von mir gelisteten DNSBL geflaggten SMTP Server einfach manuell sperren. Damit kämen dann nicht nur die erhalten Spam nicht mehr durch sondern generell keine Spam mehr, die dieser Server ins Netz "bläst". Mir ist klar, dass man dies nicht via GUI einstellen kann. Ggf. geht dies aber durch direkten Eintrag in die passende .cfg/.cf via Telnet???

 

[jahlives]

(Fast) ALLE Header einer Mail können gefälscht sein. Daher würde es nicht viel Sinn machen, diese Sperre im SA zu machen. Das muss das Program machen, welches die TCP-Verbindung mit dem Client hat und daher recht sicher sein kann, dass die Client IP nicht gefälscht ist oder eben die Firewall, welche auch recht sicher sein kann keine gefälschte IP zu bekommen (zumindest bei TCP Verbindungen)

 

[491810]

Ja ... ich weiß, dass natürlich auch der Header komplett gefälscht sein kann. Ich muss jedoch dazusagen, dass diese Email jetzt leider sehr offensichtlich sind und der Absendeserver immer der selbe ist aber in keiner DNSBL auf www.dnsbl.info gesperrt ist. Die kommen beide von der Domäne emms.com. Wenn ich von der Kommandozeile einen tracert auf die IP-Adressen machen löst mir der DNS diese auch 1:1 als die URL auf, als die sie angegeben sind: smtpqazf.emms.com und smtpfadc.emms.com. Leider sind beide URLs bzw IP-Adressen in keiner einzigen DNSBL gesperrt - was mich bei dem offensichtlichen Spam sehr wundert. Auch keine andere Regel des Spamassassin hat hier gegriffen. Erschien wohl "zu sehr" wie ein normaler "Newsletter" eines Providers (E+, O2, u.a.) auszusehen, um Alarm zu schlagen. Da ich aber des öfteren Spams von Absendern mit so eineindeutigen Fake-Emailadresse wie diesen oder auch newsletter@conrad.de.cc, u.a. erhalte wollte ich die SMTP Server diirekt sperren. WIE MACHE ICH DAS NUN? In welchem cfg muss ich die IP-Adresse eintragen, damit sie a.) entweder als "[SPAM]" markiert oder - noch besser - direkt beider Abholung gelöscht oder abgewiesen werden??? Vielen Dank für die Hilfe.

 

[jahlives]

ich dachte die Mails kommen direkt bei deinem Server an. Gemäss deinen Headern holst du sie aber per fetchmail ab. In dem Fall kannst du eigentlich nur markieren. Wie hoch "sieht" denn dein SA die Punktzahl bei solchen Mails?
So wie ich das sehe wird das schwierig mit einer Filterung. Denn die IP des Hops ändert sich. Der Absenderdomain wird sich wohl auch immer ändern (also fällt auch ein blacklist_from auf die Schnauze).
Der einzige Weg den ich sehe ist es diese Mails in einen speziellen Ordner zu verschieben und dann immer wieder mal mit sa-learn an den Spamassassin als Spam verfüttern. Das trainiert die sogn Bayes Filter des SA. Das sind imho die einzigen Filter die hier zuvberlässig greifen könnten. Allerdings setzt das trainierte Bayes Filter voraus.
Such dir mal das Konfigfile von SA und füge folgende zwei Zeilen an (bei mir in /var/packages/MailServer/target/etc/MailScanner/spam.assassin.prefs.conf)

add_header all Status "_YESNO_, score=_SCORE_ required=_REQD_ tests=_TESTS_ shortcircuit=_SCTYPE_ autolearn=_AUTOLEARN_ version=_VERSION_"
add_header all Report "_REPORT_"

so siehst du wie genau SA eine solche Mail sieht. Allerdings musst Du natürlich erst wieder eine erhalten. Der Report ist v.a. interessant weil er dir zeigt welche Tests angeschlagen haben und wo du allenfalls das Scoring raufdrehen könntest, um solche Mails zu erwischen

 

[491810]

Sorry, ich dachte es war klar, dass der Zarafa die Emails abholt, an den Spamassassin übergibt, filter und ins Zarafa-Postfach transferiert. Habe ich mich wohl nicht klar genug ausgedrückt. *my-fault*
Wie Du richtig bemerkt hast können sich natürlich andauernd die From-Emailadresse ändern. Dies tut es aber recht wenig. Emails von den genannten "Fake"-Domänen erhalte ich jetzt schon sehr lange.
Gut ... ich muss dazu sagen, dass ich diese schon sehr lange über mein 1&1_Postfach erhalte ... der Zarafa/Spamassassin erhält diese seit seiner "Inbetriebnahme" erst seit gut zwei Tagen - also kurz.
Ich bin aber bei diesen offensichtlichen Spams davon ausgegangen, dass mein Spamfilter bei all den DNSBL-Servern und Spamassassin-Regeln diese sofort rausfilter. Habe die Absender jetzt gesperrt.
Es würde mich mich aber dennoch freuen, wenn Du mir darüber hinaus mal erklären kannst, WO ich die SPAM SMTP Server mit "blacklist_from sperren kann. In welcher Datei müsste ich die eintragen???
Anbei übrigens auch mal ein Screenshot meiner Einstellungen im Spamassassin. Ich habe die Standardregeln weitestgehend belassen aber den "Lern"-Schwellwert von default "8" auf nun "5" herabgesetzt:

Anhang anzeigen 15999

 

[jahlives]

eintragen müsstest du das in die selbe Datei wie die add header. Du kannst dort auch mit Wildcards arbeiten also z.B. *@DOMAIN.tld
Trag auch gleich die beiden add header ein. Das hilft ungemein wenn man false negative bekommt und sehen will wo man noch drehen könnte. Nach einem restart des Spamassassin prüfe zuerst ob deine Anpassungen am Konfigfile noch vorhanden sind

 

[491810]

Die beiden "add_header" sind bereits eingetragen ... ich glaube aber, Du hast mich dennoch etwas mißverstanden (?).
Ich möchte gerne den SPAM SMTP Server sperren. Dessen IP-Adresse wäre dann ja keine @domäne sondern folgende:

- smtpfadc.emms.com (82.98.93.143)
- smptpqazf.emms.com (62.146.115.106)
- mail58.zenarc.de (91.211.10.59)

... und wie all die anderen offenen (SPAM) SMTP Server sich dann auch nennen, die ich jeweils separat sperren möchte.

 

[jahlives]

beim blacklist_from geht es nur um den Absender. Nicht um die IP eines Hops. Mir wäre im Spamassassin nichts bekannt was die IP eines Hops blocken könnte.

 

[491810]

Dann geht es Dir wie mir. Den Absender kann ich ja via Synology GUI blockieren - was ich ja auch bereits gemacht habe.
Aber ob und WIE man den IP Hop - also den spammenden "offenen" SMTP Server - zu blockieren ist hier die "K-Frage". ;-)

 

[jahlives]

Dann geht es Dir wie mir.

ne nicht wirklich ;-) Bei mir kommt die Post für alle Domains direkt an meinen Servern an. Damit habe ich die SRC IP und kann damit einfach die Firewall füttern oder meine Postfix Blocklisten ergänzen.
Zudem sind meine Bayes Filter gut trainiert ;-) Die sind sehr effektiv wenn sie auf den Spam, den DU erhälst, eingeschossen sind
Vielleicht bringt es was wenn du es mit eigenen SA-Regeln probierst --> http://wiki.apache.org/spamassassin/WritingRules
Damit könntest nach der entsprechenden Received Zeile suchen und Punkte vergeben

 

[491810]

Sag mal ... ich kann wohl auch mit der Blacklist Funktion den Email-Client der die Spams versendet (also den Open Spam SMTP Server) sperren:
MaiLServer > "Black und White List" > "Erstellen" > "IP-Adresse von Mail-Client"
Wenn ich hier den DNS-Namen oder die IP-Adresse angebe, dann müsste wir doch genau das erreicht haben (, oder?). Sag mal wie Du das siehst!