PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Postfix - Spammer aufspühren und etwas gegen tun



steam
12.12.08, 22:32
Bald werde ich mehr als 50 Personen den Zugang zu meinem Mailserver geben müssen. Bis jetzt war ich allein da. Ich mache mir sorgen über folgendes Szenario:
Durch Trojaner, oder sonst wie, bekommt ein Spammer credentials von einem oder mehreren Mailserver-Benutzer und fängt an durch meinen SMTP sein Werk zu errichten.

Wie schütze ich mich? Wie kann ich mich währen?

Eine Idee war den Anzahl von zu ausgehenden E-Mails zu begrenzen. Weiß jemand, wie ich es mit dem Postfix machen kann?

Hat jemand andere Ideen?

Ständig den Server zu beobachten kommt leider nicht in Frage, schließlich muss man irgendwann arbeiten, essen und schlaffen :)

zyrusthc
12.12.08, 22:34
http://spamassassin.apache.org
http://www.ijs.si/software/amavisd/
http://www.clamav.net

Greeez Oli

steam
12.12.08, 22:47
http://spamassassin.apache.org
http://www.ijs.si/software/amavisd/
http://www.clamav.net

Greeez Oli

Vielen Dank Oli, Du hast aber meine Frage angeblich nicht durchgelesen.
Abgesehen davon, dass ich nicht die eingehende E-Mails nach spam/nicht-spam filtern möchte, ich will sie auch nicht nach viren durchsuchen (clamav, amavis)

Einfach gesagt, was ich erreichen will, dass meine eigene User nicht spammen.

zyrusthc
12.12.08, 22:51
Einfach gesagt, was ich erreichen will, dass meine eigene User nicht spammen.
Kannst Du sie dafür nicht unterschreiben lassen?!
Oder willst Du das entsprechende Dienste nicht Spammen können?


Greeez Oli

steam
12.12.08, 22:53
Kannst Du sie dafür nicht unterschreiben lassen?!
Oder willst Du das entsprechende Dienste nicht Spammen können?


Ich kann sie nichts unterschreiben lassen, ich will nur erreichen, dass durch meinen SMTP nicht gespammt wird. Mich interessiert eine technische Lösung.

zyrusthc
12.12.08, 23:04
Dann nimm SpamAssassin

Greeez Oli

steam
12.12.08, 23:16
Dann nimm SpamAssassin

Greeez Oli

Ok, und wie hilft mir der SpamAssassin zu verhindern, dass meine eigene User nicht spammen? Bis jetzt habe ich den SpamAssassin dafür benutzt um eingehende mails zu bewerten. Ein Link auf den workaround oder kurzes Info wäre hilfreich.

zyrusthc
12.12.08, 23:58
Es gehen ja alle Mails ein in das MTA!
SpamAssassin sitzt bei einem Server vor dem MTA! Somit werden die Mails die von deinen Usern an SpamAssassin gereicht welcher diese klassifiziert und diese dann an das MTA durchreicht.
Und bei einem Client zb. kmail mit SpamAssassin werden die eingehenden/abgerufenden Mails gefiltert.
Einen Workaround liefert dir ein Howto welche es zu Hauf gibt, einfach mal Google bemühen.


Greeez Oli

Newbie314
13.12.08, 00:10
Die Anzahl der Mails pro User und Tag zu begrenzen ist in diesem Zusammenhang übrigens äußerst lästig.. ein Vorstandsmitglied in einem Verein in dem ich aktiv bin war bei der T-Kom. Diese hat damals die Anzahl von Mails pro User auf 100 am Tag begrenzt. Da der Verein deutlich mehr Mitglieder hatte musste er Rundmails an verschiedenen Tagen "in hunderter Paketen" verschicken....

Eine Art Zähler die dir auflistet welcher User an welchem Tag wie viele Mails verschickt hat sobald die Zahl sagen wir über hundert ging... könnte dagegen helfen Missbrauch / Spambots aufzudecken ...

steam
13.12.08, 00:19
Es gehen ja alle Mails ein in das MTA!
SpamAssassin sitzt bei einem Server vor dem MTA! Somit werden die Mails die von deinen Usern an SpamAssassin gereicht welcher diese klassifiziert und diese dann an das MTA durchreicht.
Und bei einem Client zb. kmail mit SpamAssassin werden die eingehenden/abgerufenden Mails gefiltert.


Lieber Oli, ich möchte Dir damit nicht zu nah treten, aber um über etwas zu diskutieren oder Tipps zu geben, muss man die Materie schon ein bisschen verstehen. Spammassassin sitzt leider schon nach dem SMTP, da spamassassin intern über 127.0.0.1:783 (in meinem Setup auf _einem_ Server) und erwartet vom SMTP, der außen auf 110 sitzt, mails. Das ist aber nur die halbe Geschichte. Angenommen, wie Du es sich vorstellst, hat spamassassin die rausgehende Mails als spam markiert (wie schön), diese mails sind aber schon unterwegs, sind schon raus. Somit kann unnötig traffic-volumen, in Gigabytes gemessen, verbraucht, mein SMTP ausgelastet und, was viel schlimme ist, mein schöner-weißer SMTP landet im RBL.
Wie geil!

Ich habe schon etwas google betätigt und das postfix-policyd gefunden. Werde morgen das ding integrieren und schauen, ob es das macht was es verspricht.

zyrusthc
13.12.08, 00:29
Lieber Oli, ich möchte Dir damit nicht zu nah treten, aber um über etwas zu diskutieren oder Tipps zu geben, muss man die Materie schon ein bisschen verstehen. Spammassassin sitzt leider schon nach dem SMTP, da spamassassin intern über 127.0.0.1:783 (in meinem Setup auf _einem_ Server) und erwartet vom SMTP, der außen auf 110 sitzt, mails. Das ist aber nur die halbe Geschichte. Angenommen, wie Du es sich vorstellst, hat spamassassin die rausgehende Mails als spam markiert (wie schön), diese mails sind aber schon unterwegs, sind schon raus. Somit kann unnötig traffic-volumen, in Gigabytes gemessen, verbraucht, mein SMTP ausgelastet und, was viel schlimme ist, mein schöner-weißer SMTP landet im RBL.
Wie geil!
Na gut wenn ich keine Ahnung von der Materie habe, dann zitiere ich mal aus Wikipedia:

Das in Perl geschriebene Programm gibt jeder E-Mail nach bestimmten Regeln Punkte, die anzeigen, wie hoch SpamAssassin die Spamwahrscheinlichkeit einschätzt. Bei Überschreiten eines einstellbaren Schwellenwertes wird die E-Mail als Spam markiert und kann dann zum Beispiel auf Mailserver-Ebene direkt gelöscht, annahmeverweigert, in spezielle Spamordner oder Spamdateien abgelegt, oder einfach nur mit einem Warn-Betreff versehen werden; auch auf Benutzerebene kann als Spam markierte E-Mail mit Hilfe von Filtereinstellungen im Mailprogramm automatisch in einen Spamordner oder in eine Spamdatei („caughtspam“) abgelegt werden und der Lernfunktion des Bayesschen Filters zugeführt werden.
Wer lesen kann .....

Greeez Oli

steam
13.12.08, 00:40
Na gut wenn ich keine Ahnung von der Materie habe, dann zitiere ich mal aus Wikipedia:

Wer lesen kann .....

Greeez Oli

Lesen kannst Du ja, wikipedia ist sehr zu empfehlen wenn man selbst es nicht erklären kann :). Verstehen muss Du aber lernen. Sorry.

Beantworte mir bitte eine frage: wie soll denn mein spamassassin die mail als spam klassifizieren, wenn die mail von einem autorisierten Benutzer und vom $myorigin kommt. Schon mal spamassassin aufgesetzt?

Roger Wilco
13.12.08, 00:59
Beantworte mir bitte eine frage: wie soll denn mein spamassassin die mail als spam klassifizieren, wenn die mail von einem autorisierten Benutzer und vom $myorigin kommt.
Auf dem gleichen Weg, auf dem "externe" Mails geprüft werden.

Der übliche Weg ist MTA -> Filter (SpamAssassin) -> MDA/MTA.


Schon mal spamassassin aufgesetzt?
Ja. Du auch?

Thorashh
13.12.08, 11:12
Moin steam

Die Angelegenheit ist ebenso einfach wie unerfreulich für dich.

Es gibt keine legale Möglichkeit deine User vom Spammen abzuhalten. Du kannst lediglich über entspehende Nutzungsbedingungen/AGB dafür sorgen, das Du den User nach dem Spammen in Regress nehmen kannst.

1. Du musst die an dich übergebenen eMails in jedem Fall ausliefern.
2. Du darfst vom Inhalt der eMails keine Kenntnis nehmen. Das schließt auch ein automatisches Scannen mit ein. Spamassassin auf ausgehende Mails fällt also aus.
3. Selbst wenn 1. oder 2. nicht wären: Du kannst SPAM nicht sicher erkennen, da die meisten Anti-SPAM Maßnahmen bei ausgehenden Mails nicht greifen.

steam
13.12.08, 11:38
Moin steam
Die Angelegenheit ist ebenso einfach wie unerfreulich für dich.

Moin, Thorashh. Vielen Dank für Deine Antwort.
Spamassassin kommt leider nicht in frage. Es geht aber nicht um Legalität und AGB's. Ich stelle nicht meine Benutzer als Personen unter verdacht, sondern ihre credentials. Es kann ja jemand sein, der einfach einen Trojan schnappt und somit seinen Account kompromittiert. Er konnte ja nichts dafür, auch wenn er unterschrieben hat, ist der Schaden schon entstanden. Und ich möchte erreichen, dass der Schaden ja nicht entsteht, oder minimiert wird.
Die Idee mit der Begrenzung des Anzahl von ausgehenden Mails pro account/zeit scheint mir also die beste zu sein, wenn niemand hier eine weitere Idee/Erfahrung hat.

Newbie314
13.12.08, 12:35
Informiere deine Kunden wenn du so etwas tust.... ich würde ziemlich sauer (evtl. mit Rechtsanwalt) reagieren wenn mein Provider plötzlich auf diese Idee käme... und dabei vielleicht noch "vergisst" mich rechtzeitig zu informieren.... zumal ich einigen Aufwand treibe um meinen PrivatPC Viren- und Trojanerfrei zu halten.

Insgesamt ist es allerdings eine gute Idee Kunden von deren Konto große Anzahlen von Mails ausgehen darüber (per Mail ? ) zu informieren.. Manchen Leuten ist es sogar egal wenn ihr System infiziert ist .... den Traffic bezahlt schließlich der ISP ....

steam
13.12.08, 12:47
Informiere deine Kunden wenn du so etwas tust.... ich würde ziemlich sauer (evtl. mit Rechtsanwalt) reagieren wenn mein Provider plötzlich auf diese Idee käme... und dabei vielleicht noch "vergisst" mich rechtzeitig zu informieren.... zumal ich einigen Aufwand treibe um meinen PrivatPC Viren- und Trojanerfrei zu halten.

Insgesamt ist es allerdings eine gute Idee Kunden von deren Konto große Anzahlen von Mails ausgehen darüber (per Mail ? ) zu informieren.. Manchen Leuten ist es sogar egal wenn ihr System infiziert ist .... den Traffic bezahlt schließlich der ISP ....

Das sind keine Kunden und ich bin kein Provider. Das sind Leute die keinen Cent für den Service zahlen. Sie wissen auch, dass der Server unter meiner Gewalt ist. Ich will nur den möglichen Schaden minimieren, der bei dem wachsenden Anzahl von logins auch wachsen kann.

Newbie314
13.12.08, 14:23
Well... they get what they pay for ... in that case it is something entirely different.

With the stupid law of "Vorratsdatenspeicherung" you should make sure that you are not classified as "provider" in a legal sense. As far as I know you are not when you do not charge anything for your service .... ;)

steam
13.12.08, 14:29
With the stupid law of "Vorratsdatenspeicherung" you should make sure that you are not classified as "provider"...

ist mir ziemlich Schnuppe, da der Server in Russland steht, unter einer russischen domain fungiert beim russischen hoster. Und, wie Du es gemerkt hast, habe ich nicht nach rechtlichen sondern einer technischen Lösung des Problems gefragt.

Roger Wilco
13.12.08, 14:52
Und, wie Du es gemerkt hast, habe ich nicht nach rechtlichen sondern einer technischen Lösung des Problems gefragt.
Dazu wurden ja schon einige Möglichkeiten genannt.

kabeldesigner
19.12.08, 14:28
dafür gibt es eine eigentlich recht einfache lösung (meiner Meinung nach). Ich habe einen Router auf dem postfix/amavisd-new/spamassassin läuft und einen internen Mail-Server. Der Router akzeptiert nur Mails vom internen Mail-Server und am internen Mail-Server müssen sich die Leute mit Ihrem Mail-Programm anmelden. Wenn ein Bot also versucht spam über den Router zu senden läuft er gegen eine Wand, da dieser die Mails ja nicht annimmt...

Roger Wilco
19.12.08, 18:53
Damit hast du aber das Problem mit den ausgespähten Zugangsdaten eines Benutzers, wie im ersten Beitrag beschrieben, nicht gelöst.