aktuelle rbl / spam Lösung

kai · 4. Oktober 2022

Auf dem Altsystem hatte ich rblspp, also das Plugin für qmail-spp, im Einsatz und war bisher eigentlich ganz zufrieden. (siehe v4 und Antispammechanismen)

Zusätzlich lief dann noch dnscache, damit nicht alle Anfragen immer zu den rbl Servern gehen.

Welche rbl Lösung ist bei euch im Einsatz und wie ist die integriert?

tbc233 · 5. Oktober 2022

Ich hab schon vor längerem aufgegeben, hier selbst herum zu justieren. Ich finde es geht einfach zu viel Zeit drauf um ein zufriedenstellendes Ergebnis zu erzielen (und es auch aufrecht zu erhalten).

Daher hab ich vor ein paar Jahren entschieden, dass Leute machen zu lassen, die das hauptberuflich tun und mach das - je nach individuellem Kundenbedarf - über spamexperts.com

Die machen einen guten Job und die Preise sind fair. Integriert wird das ganze via MX Eintrag je Domain.

Eisenherz · 5. Oktober 2022

Also wir nutzen auch SpamExperts. Kann ich wirklich nur empfehlen. Die Kunden sind sehr zufrieden und die Preise sind wirklich in Ordnung.

kai · 6. Oktober 2022

OK, eine externe Lösung kommt nicht in Frage.

Daher habe ich meine alte Lösung wieder reaktiviert. Aufzufinden aber nur noch auf archive.org: https://web.archive.org/web/20…t:80/tomislavr/qmail.html

Bash

cd /usr/local/src/
wget http://cr.yp.to/ucspi-tcp/ucspi-tcp-0.88.tar.gz
tar xfz ucspi-tcp-0.88.tar.gz
wget https://web.archive.org/web/20110927094120if_/http://xs3.b92.net/tomislavr/ucspi-tcp-0.88.errno.patch
wget https://web.archive.org/web/20110927092504if_/http://xs3.b92.net/tomislavr/ucspi-rss.diff
wget https://web.archive.org/web/20120125055408if_/http://xs3.b92.net/tomislavr/ucspi-tcp-0.88-rblspp.patch
patch -p0 < ucspi-tcp-0.88.errno.patch
patch -p0 < ucspi-rss.diff
patch -p0 < ucspi-tcp-0.88-rblspp.patch

cd ucspi-tcp-0.88
make
strip rblspp
cp -a rblspp /var/qmail/plugins/
cd ..

wget https://web.archive.org/web/20110927094110if_/http://xs3.b92.net/tomislavr/ifauthskip.c
gcc ifauthskip.c -o ifauthskip
strip ifauthskip
cp -a ifauthskip /var/qmail/plugins/

wget https://web.archive.org/web/20120509201612if_/http://xs3.b92.net/tomislavr/authlogger.c
gcc authlogger.c -o authlogger
strip authlogger
cp -a authlogger /var/qmail/plugins/

Alles anzeigen

Und dann die Plugins und RBL einbinden:

Achtung! Die allowlist list.dnswl.org braucht bei Hetzner zwingend einen eigenen resolver (s. unten unbound installieren und in /etc/resolv.conf einbinden)

Code: /var/qmail/control/greylist

[connection]

[auth]
plugins/authlogger

[helo]

[mail]

[rcpt]
plugins/ifauthskip
:plugins/rblspp -a list.dnswl.org -r eigenercode.zen.dq.spamhaus.net -r dnsbl-1.uceprotect.net -r dnsbl.dronebl.org -r eigenercode.combined.mail.abusix.zone
/opt/pdadmin/bin/smtp_greylist.pl

[data]

Alles anzeigen

kai · 8. Oktober 2022

Und weiter geht es mit...

Eigenen Spamhaus DQS Account nutzen

Bash

cd /usr/local/src/
wget https://github.com/spamhaus/spamassassin-dqs/archive/refs/tags/v1.2.2.tar.gz
tar xfz v1.2.2.tar.gz
cd spamassassin-dqs-1.2.2/
sed -i -e 's/your_DQS_key/EIGENERKEY/g' sh.cf
sed -i -e 's/your_DQS_key/EIGENERKEY/g' sh_hbl.cf
vi sh.pre (loadplugin      Mail::SpamAssassin::Plugin::SH SH.pm)

sh hbltest.sh
cd /usr/local/pd-admin2/etc/mail/spamassassin/
cp /usr/local/src/spamassassin-dqs-1.2.2/SH.pm .
cp /usr/local/src/spamassassin-dqs-1.2.2/sh.cf .
cp /usr/local/src/spamassassin-dqs-1.2.2/sh_scores.cf .
cp /usr/local/src/spamassassin-dqs-1.2.2/sh.pre .

Alles anzeigen

Weiter geht es mit Spamassasin...

Eigenen Caching DNS installiere via apt install unbound (bei Bedarf auch für alle Resolves nutzen via /etc/resolv.conf)

DCC installieren / nutzen

Bash

cd /usr/local/src/
wget https://www.dcc-servers.net/dcc/source/dcc.tar.Z
uncompress dcc.tar.Z
tar xf dcc.tar
cd dcc-2.3.168/
CFLAGS="-O2 -fstack-protector" DCC_CFLAGS="-O2 -fstack-protector" ./configure && make && make install
useradd -m -U -d /var/dcc -s /bin/sh dcc
chown -hR dcc:dcc /var/dcc
su - -c '/var/dcc/libexec/dccifd' dcc
vi /usr/local/pd-admin2/etc/mail/spamassassin/v310.pre (DCC einkommentieren)

Install Pyzor

Bash

apt install python3-venv python3-pip
pip install pyzor
vi /usr/local/pd-admin2/etc/mail/spamassassin/v310.pre (Pyzor einkommentieren)

Weitere Änderungen an Spamassasin

Code: local.cf

# 2014-04-25
#skip_rbl_checks 1
report_safe 0
#score URIBL_BLACK 0
#score URIBL_RED 0
#score URIBL_GREY 0
#score URIBL_BLOCKED 0
#score *_SURBL 0


# own changes
use_bayes 0
required_score 4.5
skip_rbl_checks 0
dns_available yes
dns_server 127.0.0.1

remove_header all Level
add_header all Status "_YESNO_, score=_SCORE_ tests=_TESTSSCORES_"

# own uri blacklisting
uri MY_URIBL m'^https?://[^\.]{3,}\.(guenstig\-rezeptfrei\.com|guenstig\-gekauft\.nl|apothekediskret24\.nl|guenstigapotheke24\.nl|garantiertepreise\.nl|hartimwinter\.nl|garantiertgeliefert\.nl|go\-spring\.shop|heutekaufen\.shop|kaufensicher\.nl)\b'i
describe MY_URIBL blacklisted url
score MY_URIBL 4.5

# scores
score URIBL_BLACK 4.5
#score URIBL_PH_SURBL 0 0.001 0 0.610
score URIBL_PH_SURBL 0 2.5 0 2.5

# Mail::SpamAssassin::Plugin::TxRep
use_txrep 1

# DCC https://cwiki.apache.org/confluence/display/SPAMASSASSIN/UsingDcc
use_dcc 1
dcc_home /var/dcc
dcc_timeout 8
#score DCC_REPUT_00_12 0 -0.8 0 -0.4
score DCC_REPUT_00_12 0 -0.4 0 -0.4

# http://msbl.org/ebl-implementation.html
header HASHBL_EMAIL eval:check_hashbl_emails('ebl.msbl.org')
describe HASHBL_EMAIL Message contains email address found on EBL
priority HASHBL_EMAIL -100 # required priority to launch async lookups early
tflags HASHBL_EMAIL net

# https://www.intra2net.com/de/support/antispam/blacklist.php_dnsbl=rcvd_in_uceprotect2.html
header   RCVD_IN_UCEPROTECT2  eval:check_rbl_txt('uceprotect2-lastexternal','dnsbl-2.uceprotect.net.')
describe RCVD_IN_UCEPROTECT2  Listed in dnsbl-2.uceprotect.net (open relay/proxy/dialup)
tflags   RCVD_IN_UCEPROTECT2  net
score    RCVD_IN_UCEPROTECT2  2

# https://www.intra2net.com/de/support/antispam/blacklist.php_dnsbl=rcvd_in_uceprotect3.html
header   RCVD_IN_UCEPROTECT3 eval:check_rbl_txt('uceprotect3-lastexternal', 'dnsbl-3.uceprotect.net.')
describe RCVD_IN_UCEPROTECT3 Network listed in dnsbl-3.uceprotect.net (bad networks)
tflags   RCVD_IN_UCEPROTECT3 net
score    RCVD_IN_UCEPROTECT3 1

# https://www.intra2net.com/de/support/antispam/blacklist.php_dnsbl=rcvd_in_spamrats_all.html
header   RCVD_IN_SPAMRATS_ALL  eval:check_rbl('spamratsall-lastexternal','all.spamrats.com.')
describe RCVD_IN_SPAMRATS_ALL  Sender listed in spamratsall
tflags   RCVD_IN_SPAMRATS_ALL  net
score    RCVD_IN_SPAMRATS_ALL  2

Alles anzeigen

Novel312 · 16. Januar 2023

Hallo,

sorry, ich weiß nicht, ob das Thema hierher passt.

Zur Zeit kommen jeden Tag mehr als 20 Spam-E-mails durch, obwohl der Spamfilter eingeschaltet ist.

Ich habe mittlerwiele mehr als 20 Zeilen in der Blacklist. Ich würde gerne die TLD ".shop" komplett sperren, der Eintrag @*.shop verschwindet aber beim Speichern.

Was ist falsch?

Danke!!!

Gruß Novell312

Sumeragi · 16. Januar 2023

Wenn man sich unsicher ist, am besten einfach einen neuen Thread erstellen

Man kann keine Wildcard Einträge wie @*.shop anlegen. Am besten ist es sich zunächst die Mail-Header der Mails anzuschauen. Eventuell kommt der Spam von einem Server, den man dann blocken kann.

mkpd15 · 18. Februar 2025

Ein kurzes Update in dieser Sache im Jahre 2025.

Habe erfolgreich spamassassin mit

1) DQS (Spamhaus)

2) DCC

3) Pyzor

4) Razor

unter Debian 12 (Bookworm) im Einsatz mit se-6.458

Die Schritte zur Installation Konfiguration wie eingangs beschrieben sind größtenteils noch gültig.

Meine größte Hürde letztlich war bei Hetzner die Robot Firewall für UDP Ports freizuschalten um

DCC und Pyzor zum Laufen zu bekommen.

Der Rest war verhältnismäßig einfach zu bewerkstelligen (DCC: schon lange nichts mehr selbst kompiliert )

Aber viel wichtiger, ich sehe auf dieser Maschine nun deutlich weniger Spam.

Hier die wesentlichen Zeilen der SA local.cf:

Code

# 2014-04-25
#skip_rbl_checks 1
report_safe 0
#score URIBL_BLACK 0
#score URIBL_RED 0
#score URIBL_GREY 0
#score URIBL_BLOCKED 0

# own changes
skip_rbl_checks 0

use_dcc 1
dcc_home /var/dcc
dcc_timeout 10

use_razor2 1
razor_config /usr/local/pd-admin2/etc/mail/spamassassin/.razor/razor-agent.conf
razor_timeout 10

use_pyzor 1
pyzor_options --homedir /usr/local/pd-admin2/etc/mail/spamassassin/.pyzor
pyzor_timeout 20

# most is spam...
blacklist_from *.shop

Alles anzeigen

monderka · 19. Februar 2025

Hallo,

ich verwende eine riesige Liste an blacklist_from Sperren in dieser form:

blacklist_from *@*.shop
blacklist_from *@*.*.shop
blacklist_from *@*.*.*.shop

Das funktioniert soweit ganz gut, man muss halt ständig nacharbeiten.

kai 8. Oktober 2022