Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

wiki:antispam [2010/12/26 22:06] (aktuell)
administrator angelegt
Zeile 1: Zeile 1:
 +<​nowiki>​
 +Also ich bin bei mir schon länger praktisch SPAM frei. Und das auf
 +einigen hundert Domänen die ich bei mir drauf habe. Wenn ich die
 +Statistik anschaue, dann bin ich seit mehr als einem Jahr unter 6%
 +SPAM vom effektivem inbound (die Zahl ist nur deswegen so hoch weil
 +der SPAM-Honeypot ziemlich stark ins Gewicht fällt. Ohne
 +SPAM-Honeypot bin ich locker unter 1%; maximal 2%).
  
 +* Sauber konfiguriertes Postfix blockt relativ viel ab:
 +  * Blocke Absender die eine meiner Domänen verwenden wenn sie nicht
 +über SMTP AUTH authentifiziert sind
 +  * Erzwinge strikte rfc821 envelopes
 +  * HELO/EHLO delay
 +  * Alle die im HELO/EHLO behaupten einer meiner MTA's zu sein,
 +fliegen raus.
 +  * Unbekannte Sender Domänen werden nicht angenommen.
 +  * Nicht FQDN Sender werden nicht angenommen.
 +  * Unbekannte Empfänger werden nicht angenommen.
 +  * Sendende Clients ohne reverse DNS Einträge werden nicht
 +angenommen.
 +  * Unautorisierte Destinationen werden nicht angenommen.
 +  * Unerlaubtes pipelining wird nicht akzeptiert.
 +  * Multi-Empfänger bei Bounces werden nicht akzeptiert.
 +  * usw
 +
 +* Dann noch einige Postfix delegation policies die schön sauber in
 +restriction classes gepackt sind (um Ausnahmen zu erlauben und
 +grössere Flexibilität zu haben):
 +  * SPF
 +  * Greylisting mit SQLgrey und GROSS (ja, ja... zwei Greylisting
 +Lösungen. Hat aber sein Gründe und Berechtigung)
 +  * policyd-weight mit einigen selbst erstellten Checks/​Modulen (S25R
 +(Selective SMTP Rejection), p0f, GeoIP integration (benütze ich um
 +nach Land und/oder Kontinent zu gewichten und um die Distanz vom
 +Sender zum Empfänger zu berechnen und dementsprechend zu gewichten.
 +Das mit der Distanz habe ich eingebaut nachdem ich von SNARE
 +(Spatio-temporal Network-level Automatic Reputation Engine) gelesen
 +habe, usw).
 +  * Eigene Auto-Whitelisting Modul/​Policy
 +  * PPolicy + postfwd aber nur für einige spezielle Domänen
 +
 +* Dann noch einige weitere Optionen in Postfix die in restriction
 +classes gepackt sind:
 +  * Sender Address Verification (wird nur unter ganz bestimmten
 +Umständen gemacht und nicht für alle Sender)
 +  * Restriktionen auf interne Dienste die nur für interne/​angemeldete
 +Benutzer offen ist (aka: Fax Gateway, Anti-Spam HAM/SPAM training
 +alias, etc)
 +
 +* Dann noch einige Milter:
 +  * DCC (Distributed Checksum Clearinghouses)
 +  * DKIM (sowohl signing als auch verifying. Alle Domänen haben
 +eigene DKIM Schlüssel)
 +  * Sender-ID
 +
 +* Dann noch einige weitere Services in Postfix:
 +  * Amavisd-New für Anti-Virus (mit zusätzlichen Datenbanken für
 +ClamAV von Sanesecurity,​ InetMsg, OITC, Julian Field, MSRBL,
 +SecuriteInfo und MalwarePatrol)
 +  * DSPAM 3.9.0 für Anti-Spam (Die BESTE Lösung meiner Meinung nach.
 +Hat den abgerundetsten Umfang an Funktionen) inkl täglichen Spam/Ham
 +feed durch honeypots und andere Mechanismen. Alle Benutzer sind in
 +einer global merged group drin und im Schnitt benötigt DSPAM ca 12ms
 +um ein Mail zu klassifizieren. Bei den meisten Benutzern ist die
 +Erkennungsrate bei 100% oder knapp darunter. FP/FN Rate ist bei
 +niemandem über 2% (bei den meisten Benutzern ist die auch bei 0% oder
 +0.x%)
 +  * CRM114 + OSBF-Lua (nur für einen kleinen Teil an Domänen)
 +
 +* Und dann noch externe Module die bei Bedarf externe Angreifer
 +blocken:
 +  * Fail2Ban mit Filtern um Postfix/​Dovecot directory attacks zu
 +minimieren, IMAP/POP bruteforce Logins zu minimieren, etc
 +  * PSAD um skript kiddies beim Scannen das Leben schwer zu machen
 +  * Sauber aufgesetzter Firewall
 +  * usw
 +
 +Das ist so mal der Grobüberblick. Ich habe noch weitere kleine Sachen
 +die ich nicht erwähnt habe. Hat auch keinen Sinn alles detailliert zu
 +nennen.
 +
 +Beim ganzen Setup war es mir wichtig dass die eingesetzten
 +Komponenten Cluster Fähig sind. Und das sind sie (alle die wichtig
 +sind).
 +
 +Hauptsächlich die enge Konfiguration von Postfix und das angepasste
 +policyd-weight sind schon genügend um locker über 95% vom ganzen SPAM
 +zu blocken.
 +
 +Der Anti-Spam content filter hat praktisch nichts zu tun.
 +
 +DNSxLs setze ich massenweise in policyd-weight ein. Aber keine
 +einzige direkt in Postfix. Das ist mir zu riskant. Wenn DNSxLs dann
 +nur mit Gewichtung. Natürlich setze ich auch DNSWL und auch RHSWL
 +ein.
 +
 +Eine Methode die ich oben nicht erwähnt habe aber von der ich weiss
 +das sie gut ist, ist throtting (bei SMTP. Nicht rate limiting. Das
 +ist was anderes). Diese Methode ist sehr, sehr effektiv. Kann ich nur
 +empfehlen. Leider gibt es dazu keine OSS Lösungen die IMHO sauber
 +genug sind, um sie auf einem stark benützten MTA einzusetzen.
 +</​nowiki>​
Drucken/exportieren
QR-Code
QR-Code wiki:antispam (erstellt für aktuelle Seite)