Also ich bin bei mir schon länger praktisch SPAM frei. Und das auf einigen hundert Domänen die ich bei mir drauf habe. Wenn ich die Statistik anschaue, dann bin ich seit mehr als einem Jahr unter 6% SPAM vom effektivem inbound (die Zahl ist nur deswegen so hoch weil der SPAM-Honeypot ziemlich stark ins Gewicht fällt. Ohne SPAM-Honeypot bin ich locker unter 1%; maximal 2%). * Sauber konfiguriertes Postfix blockt relativ viel ab: * Blocke Absender die eine meiner Domänen verwenden wenn sie nicht über SMTP AUTH authentifiziert sind * Erzwinge strikte rfc821 envelopes * HELO/EHLO delay * Alle die im HELO/EHLO behaupten einer meiner MTA's zu sein, fliegen raus. * Unbekannte Sender Domänen werden nicht angenommen. * Nicht FQDN Sender werden nicht angenommen. * Unbekannte Empfänger werden nicht angenommen. * Sendende Clients ohne reverse DNS Einträge werden nicht angenommen. * Unautorisierte Destinationen werden nicht angenommen. * Unerlaubtes pipelining wird nicht akzeptiert. * Multi-Empfänger bei Bounces werden nicht akzeptiert. * usw * Dann noch einige Postfix delegation policies die schön sauber in restriction classes gepackt sind (um Ausnahmen zu erlauben und grössere Flexibilität zu haben): * SPF * Greylisting mit SQLgrey und GROSS (ja, ja... zwei Greylisting Lösungen. Hat aber sein Gründe und Berechtigung) * policyd-weight mit einigen selbst erstellten Checks/Modulen (S25R (Selective SMTP Rejection), p0f, GeoIP integration (benütze ich um nach Land und/oder Kontinent zu gewichten und um die Distanz vom Sender zum Empfänger zu berechnen und dementsprechend zu gewichten. Das mit der Distanz habe ich eingebaut nachdem ich von SNARE (Spatio-temporal Network-level Automatic Reputation Engine) gelesen habe, usw). * Eigene Auto-Whitelisting Modul/Policy * PPolicy + postfwd aber nur für einige spezielle Domänen * Dann noch einige weitere Optionen in Postfix die in restriction classes gepackt sind: * Sender Address Verification (wird nur unter ganz bestimmten Umständen gemacht und nicht für alle Sender) * Restriktionen auf interne Dienste die nur für interne/angemeldete Benutzer offen ist (aka: Fax Gateway, Anti-Spam HAM/SPAM training alias, etc) * Dann noch einige Milter: * DCC (Distributed Checksum Clearinghouses) * DKIM (sowohl signing als auch verifying. Alle Domänen haben eigene DKIM Schlüssel) * Sender-ID * Dann noch einige weitere Services in Postfix: * Amavisd-New für Anti-Virus (mit zusätzlichen Datenbanken für ClamAV von Sanesecurity, InetMsg, OITC, Julian Field, MSRBL, SecuriteInfo und MalwarePatrol) * DSPAM 3.9.0 für Anti-Spam (Die BESTE Lösung meiner Meinung nach. Hat den abgerundetsten Umfang an Funktionen) inkl täglichen Spam/Ham feed durch honeypots und andere Mechanismen. Alle Benutzer sind in einer global merged group drin und im Schnitt benötigt DSPAM ca 12ms um ein Mail zu klassifizieren. Bei den meisten Benutzern ist die Erkennungsrate bei 100% oder knapp darunter. FP/FN Rate ist bei niemandem über 2% (bei den meisten Benutzern ist die auch bei 0% oder 0.x%) * CRM114 + OSBF-Lua (nur für einen kleinen Teil an Domänen) * Und dann noch externe Module die bei Bedarf externe Angreifer blocken: * Fail2Ban mit Filtern um Postfix/Dovecot directory attacks zu minimieren, IMAP/POP bruteforce Logins zu minimieren, etc * PSAD um skript kiddies beim Scannen das Leben schwer zu machen * Sauber aufgesetzter Firewall * usw Das ist so mal der Grobüberblick. Ich habe noch weitere kleine Sachen die ich nicht erwähnt habe. Hat auch keinen Sinn alles detailliert zu nennen. Beim ganzen Setup war es mir wichtig dass die eingesetzten Komponenten Cluster Fähig sind. Und das sind sie (alle die wichtig sind). Hauptsächlich die enge Konfiguration von Postfix und das angepasste policyd-weight sind schon genügend um locker über 95% vom ganzen SPAM zu blocken. Der Anti-Spam content filter hat praktisch nichts zu tun. DNSxLs setze ich massenweise in policyd-weight ein. Aber keine einzige direkt in Postfix. Das ist mir zu riskant. Wenn DNSxLs dann nur mit Gewichtung. Natürlich setze ich auch DNSWL und auch RHSWL ein. Eine Methode die ich oben nicht erwähnt habe aber von der ich weiss das sie gut ist, ist throtting (bei SMTP. Nicht rate limiting. Das ist was anderes). Diese Methode ist sehr, sehr effektiv. Kann ich nur empfehlen. Leider gibt es dazu keine OSS Lösungen die IMHO sauber genug sind, um sie auf einem stark benützten MTA einzusetzen.

Drucken/exportieren
QR-Code
QR-Code wiki:antispam (erstellt für aktuelle Seite)