Counter
«
»

Spamassassin: Zeit für neuere Regeln

16. März 2008 | Autor: Joern

Mein Spamassassin-Setup hat sich in der letzten Zeit nicht geändert. Natürlich versuchen die Spammer immer etwas neues. Mir ist auch aufgefallen das Blacklisten immer ineffektiver werden, das der Geocities-Spam wieder zunahm und vermehrt Spam für ‘günstige’ Software immer öfters durchkam ohne erkannt zu werden.

Bei den ersten beiden gab es schnelle Abhilfe, denn Spamassassin kann sehr gut auf Inhalte reagieren, daher ist die Sache mit den Blacklisten nicht so schlimm und wird intern durch die Bayes-DB, Razor und DCC abgefangen. Besser (für die Systemlast) wäre es natürlich der Spam würde schon vor dem Annehmen abgelehnt und nicht erst durch eine resscourcen-intensive Verarbeitung in Spamassassin.

Komischerweise waren die Scores für den Software-Spam sehr niedrig – kein DNS-Blacklist, nur ein bischen Inhalts-Scores. Auf der Suche nach Abhilfe bin ich auf das Sought-Regelwerk gestoßen, das mir seitdem gute Dienste erweisst. Es ist nicht etwas fundamental Neues, sondern bringt oft die Extra-Punkte um eine Mail vom Ham- zum Spam-Status zu schubsen.

So sieht das dann bei mir aus:

horatio:# wget http://yerp.org/rules/GPG.KEY
horatio:# sa-update --import GPG.KEY
horatio:# echo sought.rules.yerp.org >> /etc/spamassassin/sare-sa-update-channels.txt
horatio:# echo 6C6191E3 >> /etc/spamassassin/keys
Schlagworte: , ,

12 Kommentare zu „Spamassassin: Zeit für neuere Regeln“

  • gnokii:
    16.März 2008 um 12:32

    na vor der Annahme heißt Greylisten ;) Ein zweischneidiges Schwert, dass über kurz oder lang zwar auch stumpf wird. Aber die Kosten der Spammer auch mal erhöht, nur wenn Spam aus Kostengründen uninteressant wird wird man der Sache ja mal Herr.

  • martin:
    16.März 2008 um 12:53

    Vor der Abnahme ablehnen, heißt nicht Greylisting, sondern ist State-of-the-Art. Übrigens auch _mit_ Spamassassin. ;-)

  • Joern:
    16.März 2008 um 13:22

    @gnokii: Greylisting hab ich nie für ne tolle Idee gehalten. Es verändert den Sofort-Charakter von Email und ist sehr leicht zu umgehen.

    @martin: Ich würde den Spam lieber sofort im Aufbau abwürgen, aber so ist es besser als nichts.

  • besn:
    16.März 2008 um 15:52

    @joern: kann dir nur zustimmen, haben greylisting bei meinem arbeitgeber im einsatz, das spamaufkommen ist zwar ein wenig gesunken (fürs erste, bis die spammer das greylisting “lernen”), dafür sind alle mails die nicht von @firma.at kommen 15-30 minuten delayed, ist nicht besonders lustig dem kunden am telefon zu erklären das ich sein wichtiges mail erst in einer halben stunde bearbeiten kann weil dem sein mailserver mir das mail erst nochmal schicken muss.

  • martin:
    16.März 2008 um 16:04

    @Joern: Im Verbindungsaufbau kannst Du natürlich auch schon Spam abwürgen, mit Greylisting, RBL-Checks, DNS-Checks auf gültige Absenderdomain und so. Vorm Verbindungsabbau kann dann die Ablehung aufgrund des Spamassassin-Score erfolgen. Spam zu taggen und darauf zu hoffen, daß die User die unvermeidbaren False-Positives schon selbst finden werden, halte ich für nicht mehr zeitgemäß.

  • Stefan:
    16.März 2008 um 18:59

    @Martin:
    Die Mittel sind aber auch mit den von Dir genannten Mitteln leider begrenzt, Spam schon vor der Annahme abzulehnen.

    Und Greylisting halte ich hierbei für den falschen Weg (siehe Anmerkung von besn).

    DKIM würde imho, wenn es sich durchsetzen sollte, eine (zumindest kurzzeitige) Verbesserung bringen, Spam schon vor der Annahme zu blocken.

    Aber sobald die Mail angenommen ist, bleibt nur das taggen, da ein Ausfiltern sonst zu Datenschutzproblemen führen würde (da Zensur).

    Helfen würde es, wenn die Gesetzgebung hier ein wenig lockerer würde, und Spam als Bedrohung für die IT-Infrastruktur einer Firma ansehen würde, dann könnte man angenommene und erkannte Spam-Mails mit der Begründung “Notwehr” droppen und wäre immer noch rechtssicher (hört sich vllt. lustig an, wäre aber möglich).

    Und mir wäre es auch recht, wenn jeder betroffene Mitarbeiter in der Firma eine Einverständniserklärung unterschreiben müsste und dann auf dieser Basis gedroppt werden dürfte.

    Das wäre zwar auch kein Allheilmittel, weil die Mail-Server weiterhin mit dem ganzen Spam-Geraffel beschäftigt wären, aber immerhin ein Anfang, denke ich.

    Gruß
    Stefan

  • martin:
    17.März 2008 um 05:11

    Der Unterschied zwischen Ablehnen und Verwerfen ist also noch immer größtenteils unbekannt. *seufz*

  • Stefan:
    17.März 2008 um 08:45

    Der Unterschied ist mir wohlbekannt.

    Wenn angenommener Spam einfach verworfen werden dürfte, wäre das eine erhebliche Arbeitserleichterung sowohl für die an der Bearbeitung beteiligten Server, als auch für den Empfänger der Nachrichten.

    Und aus diesem Grund wäre das die von mir bevorzugte Variante.

  • gnokii:
    17.März 2008 um 11:26

    Wer lesen kann, warum ich Greylisting doch einsetze ist klar im Vorteil ^^

  • Joern:
    17.März 2008 um 13:41

    @gnokii: Fünf Euro ins Phrasenschwein.

  • Tagebuch eines Internetjunkies » Neue Regeln f:
    17.März 2008 um 19:03

    [...] Howto basiert auf der Anleitung von Jörn Seemann. no [...]

  • jd:
    20.März 2008 um 13:36

    … danke für den tip! … ich habe mich beim greylisting übringens entschieden selektiv vorzugehen … greylisting nur bei rbl eintrag in bestimmte listen.

    desweiteren bei hohem spamscore … und wenn rdns, helo und ptr nicht zusammenpassen … ist ganz erfolgreich bisher.

    vor allem aber sorgt es dafür das erstmal pauschal es möglich ist, das jede mail ankommen kann. eine zusätzliche userwhitelist tut ihr übriges zu der erfolgreichen umsetzung.

Archiv

Contact Us | Terms of Use | Trademarks | Privacy Statement
Copyright © 2009 EDV - Ende der Vernunft. All Rights Reserved.

Powered by WordPress and Dusty City WordPress Theme created by Blogging Inside.