Spamfilterung

Jens Kleikamp j.kleikamp at codes-concepts.com
Mon Aug 4 21:13:32 CEST 2008 

Technik samEDVtechnik schrieb:
> Hallo an Alle,
>  
> ich bin gerade am Probieren um eine ordentliche Spamfilterung beim Kolab
> Server 2.2.0 hinzubekommen.
>  
> Das Lernen mit SA-LEARN funktioniert schon automatisiert.
>  
> Auch den Score habe ich schon schön im Griff.
>  
> Ich habe gelesen, dass es im Internet sogenannte kostenlose „Blacklist“
> Server gibt.
>  
> Meine Fragen:
>  
> Kann ich solche Listen auf meinem Kolab Server einbinden?
> Wo und wie müssen diese eingetragen werden?
> Mit welchen Listen habt ihr die besten Erfahrungen gemacht?
>  
> Es wäre echt toll, wenn jemand seine Erfahrungen kundtun könnte. Oder wo
> kann ich näheres darüber erfahren?
>  
> Herzlichen Dank für Eure Hilfe.
>  
> Beste Grüße
>  
> Andreas Stehli
Hallo Andreas

Interessantes Thema.

Beim Kolab hat man 2 Möglichkeiten solche Listen einzubinden. Entweder 
direkt in den Postfix oder über Spamassassin.
Die erste Variante ist im Kolab Wiki beschrieben und ist sehr rabiat, da 
die Mails garnicht erst angenommen werden falls eine Blacklist anspringt.

Die zweite Variante über den Spamassassin ist die bessere wie ich finde. 
Hier kannst du die Listen denen du voll vertraust höher scoren lassen 
als andere.

Ich selber verwende folgende Listen

dnsbl-1.uceprotect.net
dnsbl-2.uceprotect.net
dnsbl-3.uceprotect.net
zen.spamhaus.org
list.dsbl.org
psbl.surriel.com
bl.spamcop.net

Einige dieser Listen setzt Spamassassin über das Plugin 
Mail::SpamAssassin::Plugin::DNSEval von Hause aus ein, z.B. spamhaus, 
spamcop.
Die anderen habe ich über die local.cf nachgetragen.


Als weitere Maßnahmen gegen Spam hat sich als Hilfreich erwiesen weitere 
Spamassassin Rules einzubinden.

Mit sa-update kann man sehr elegant den SA erweitern bzw. auf dem 
aktuellsten Stand halten, zumindest was die Regeln betrifft.
Z.B. :

sa-update --nogpg --channelfile /etc/sare.channels.txt

/etc/sare.channels.txt:
updates.spamassassin.org
saupdates.openprotect.com
sought.rules.yerp.org
70_sare_stocks.cf.sare.sa-update.dostech.net
70_sare_adult.cf.sare.sa-update.dostech.net
70_sare_spoof.cf.sare.sa-update.dostech.net
70_sare_bayes_poison_nxm.cf.sare.sa-update.dostech.net
70_sare_genlsubj_x30.cf.sare.sa-update.dostech.net
70_sare_oem.cf.sare.sa-update.dostech.net
70_sare_random.cf.sare.sa-update.dostech.net
70_sare_specific.cf.sare.sa-update.dostech.net
70_zmi_german.cf.zmi.sa-update.dostech.net
88_FVGT_Bayes_Poison.cf.sare.sa-update.dostech.net
88_FVGT_Tripwire.cf.sare.sa-update.dostech.net
88_FVGT_rawbody.cf.sare.sa-update.dostech.net
88_FVGT_subject.cf.sare.sa-update.dostech.net
chickenpox.cf.sare.sa-update.dostech.net


Der beste Rule-Channel neben dem default ist mit Abstand der von Justin 
Mason (sought.rules.yerp.org). Die Rules aus diesem Channel werden 
täglich automatisiert aktualisiert. Leider ist der Server seit ein paar 
Tagen down. Auf der Maillingliste von SA kann man allerdings lesen das 
Justin Mason gerade nur einen Server-Umzug vornimmt und bald wieder 
alles wie gewohnt läuft. Puh!
Siehe auch: http://www.rulesemporium.com/


Desweiteren hat es sehr geholfen den Virenscanner Clamav mit 
zusätzlichen Signaturen auszustatten.
Hier ist folgender Link interessant: 
http://www.sanesecurity.com/clamav/usage.htm
Dort stehen auch ein paar nette kleine Scripte zum download bereit 
welche einem das updaten dieser Signaturen erleichern.

Ansonsten habe ich noch Razor und DCC installiert.

Mit diesen Maßnahmen und weiteren Tips aus dem Kolab Wiki hab ich den 
Spam nahezu auf "minus null" reduzieren können :) Worüber ich mich 
täglich sehr freue, da ich eine lange Zeit einen sehr schlechten 
Spamfilter ertragen musste.



Mit besten Grüßen
Jens Kleikamp