Mein MTA Postfix soll schon vor Spamassassin das "gröbste" an Spammails verhinden. Dazu habe ich folgende Konfiguration erstellt:

smtpd_helo_required = yes

smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_invalid_hostname, reject_unknown_hostname

smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, hash:/etc/postfix/access, reject_rbl_client relays.ordb.org, reject_rbl_client sbl-xbl.spamhaus.org

smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_sender_domain, reject_non_fqdn_sender

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_non_fqdn_hostname, reject_unknown_recipient_domain, reject_invalid_hostname, reject_unknown_sender_domain

Gerade durch die Überprüfung auf das korrekte HELO-Command ist die Anzahl der Spammails in den Postfächern und IMAP-Ordnern seitdem stark zurückgegangen, da die meisten Spammer in den HELO-Commands ungültige und willkürlich gewählte Hostnamen übermitteln. Auch das Abfragen der RBL-Datenbanken bringt einiges.

Es gibt allerdings auch eine Kehrseite: Es kommt des öfteren vor, dass auch "normale" Mails abgewiesen werden, da der übermittelte Host im HELO-Command falsch konfiguriert ist und nicht existiert. Somit sperre ich im Prinzip die fehlerhaft konfigurierten Mailserver aus. Ich frage mich nun, ob das so sinnvoll ist oder nicht.

Noch eine weitere Frage: Fragt ihr auch RBL-Datenbanken auf euern MTAs ab, und wenn ja, welche? Was habt ihr für Erfahrungen gemacht?

Danke.

Es gibt allerdings auch eine Kehrseite: Es kommt des öfteren vor, dass auch "normale" Mails abgewiesen werden, da der übermittelte Host im HELO-Command falsch konfiguriert ist und nicht existiert. Somit sperre ich im Prinzip die fehlerhaft konfigurierten Mailserver aus. Ich frage mich nun, ob das so sinnvoll ist oder nicht.

wenn das ein firmenmailserver wäre, kategorisch nein.

generell ist lt. RFC nicht gefordert, bei HELO oder EHLO korrekte angaben zu machen. insofern würde ich nicht auf HELO oder EHL testen.


-j

Welches RFC ist das denn?

In der Postfix Dokumentation [1] findet sich u.a. das hier:

reject_non_fqdn_hostname
Reject the request when the hostname in the client HELO (EHLO) command is not in fully-qualified domain form, as required by the RFC. The non_fqdn_reject_code specifies the response code to rejected requests (default: 504).

Links:
[1] http://www.postfix.org/uce.html#smtpd_helo_required

Welches RFC ist das denn?


rfc2821.
man muss nichts angeben. wenn man was angibt, sollte das ein fqdn (falls man einen hat) oder die ip-adresse sein. letzteres ist aber nur eine empfehlung, keine bedingung da das argument im protokoll nicht weiterverwendet wird.

-j

Danke, jasper. :)

Die Helo-Restrictions habe ich doch nicht im Einsatz, da einfach zu viele Clients/MTAs mit normalen Mails kein gültiges Helo-Command senden.

Aber was sinnvoll scheint und viele Spam-Mails filtert ist das hier:

smtpd_recipient_restrictions = [...], check_helo_access hash:/etc/postfix/helo_access, [...]
Die Datei /etc/postfix/helo_access sieht so aus:

unseredomain.de REJECT Sorry, but this is our domain.
199.199.199.199 REJECT Sorry, but this is our IP.
localhost REJECT You are not localhost.
127.0.0.1 REJECT You are not localhost.
Wobei 199.199.199.199 durch die IP des eigenen MTAs ersetzt wird. Gleiches gilt für die Domain. Bei vielen Spam-Mails wird beim HELO-Command die Ziel-IP oder Ziel-Domain des MTAs angegeben, was ja definitiv falsch ist.

Des Weiteren habe ich folgende zwei RBL im Einsatz und gute Erfahrungen damit gemacht:

smtpd_recipient_restrictions = [...], reject_rbl_client relays.ordb.org, reject_rbl_client sbl.spamhaus.org, [...]

Noch eine weitere Frage: Fragt ihr auch RBL-Datenbanken auf euern MTAs ab, und wenn ja, welche? Was habt ihr für Erfahrungen gemacht?


Hallo Tomek,

wir lassen auf dynamische IP-Adressen blocken, nutzen einige bekannte DNS-Listen (wobei ich im Detail garnicht weiß ob die alle noch so aktiv sind), und die Blacklist der ix nixspam Kampagne.

relays.ordb.org
cbl.abuseat.org
list.dsbl.org
opm.blitzed.org
sbl.spamhaus.org
dnsbl.sorbs.net (Dyndns-Filter)
ix.dnsbl.manitu.net (ix-Filter)

Gruß
Terran