Hallo,

Ik heb een VPS met centos 5 en DA. en Exim
Hier heb ik een aantal domeinen op lopen, maar op sommige mail adressen ontvang ik nog al wat spam, ik heb wel het standaard spam filter van mijn DA setup aangezet, maar dit houdt nog niet alles tegen.

Mijn provider zei dat http://mailscanner.info/ erg goed is en veel tegen houd, iemand hier ervaring mee?

Of weet iemand anders een goede oplossing tegen spam?

Bedankt alvast!

http://www.clamav.net/
http://sial.org/howto/clamav/freshclam/
http://www.ijs.si/software/amavisd/
http://spamassassin.apache.org/
...

standaard spamfilter van Da -> spamassassin -> regels updaten

Doe eens:
cat /etc/virtual/use_rbl_domains

Krijg je geen lijst met domeinen te zien, doe dan:

cd /etc/virtual
rm -f use_rbl_domains
ln -s domains use_rbl_domains
/etc/init.d/exim restart

Dat was het makkelijke deel dat 85% van de spam afvangt. Wil je meer, doe dan onderstaande. Je server krijgt het bij meer mailtjes wel drukker. Ik adviseer altijd gewoon Spamexperts voor een domeintje. Maar wil je toch wat meer, ga dan hieronder verder. Ben je n00b, doe dit niet zelf maar zoek iemand die dit even voor je wil doen:


Je zult zien dat het een stuk minder wordt. RBL's staan standaard namelijk niet aan. Wat nu nog door komt, filter je met SpamAssassin. Ook installaeren we ClamAV even voor de virusjes:

mkdir /usr/local/updatescript
cd /usr/local/updatescript
wget http://tools.web4host.net/update.script
chmod 755 update.script
./update.script SPAMASSASSIN
./update.script CLAMAV
nano /etc/crontab

Voeg toe

# Spamassassin regels eens per week updaten
0 0 * * 0 root /root/update-sa.sh >> /dev/null 2>&1

RPMforge Repo toevoegen:
wget http://packages.sw.be/rpmforge-release/rpmforge-release-0.3.6-1.el5.rf.x86_64.rpm LET OP: CentOS 5 64-bits!
rpm -Uhv rpmforge-release-0.3.6-1.el5.rf.x86_64.rpm
yum -y update
yum -y install perl-Razor* perl-Net-Ident perl-IO-Socket* perl-Mail-DKIM perl-Mail-DomainKeys perl-Archive-Tar perl-IO-Zlib perl-Encode-Detect perl-libwww-perl perl-IP-Country perl-DBI perl-Mail-SPF-Query re2c gpg
cpan install Mail::SpamAssassin::Plugin::Rule2XSBody [tig keer openter rammen]

Daarna kun je met het commando sa-update -D (-D voor debug, met output op de console) de regels updaten.
Gebruik hierna: sa-compile om de regels te compileren zodat SpamAssassin minder CPU-intensief is. Kill daarna alle SpamAssassin processen met killall spamd en start SpamAssassin weer met: /usr/bin/spamd -d -c -m 5

Dit gaan we in een crontab zetten:
nano /root/update-sa.sh


#!/bin/sh
sa-update -D --gpgkey D1C035168C1EBC08464946DA258CDB3ABDE9DC10 --channel saupdates.openprotect.com --channel updates.spamassassin.org
sa-compile -D
killall spamd
/usr/bin/spamd -d -c -m 5
Chmod het script met chmod +x /root/update-sa.sh en test hem even.

We gaan nu wat configuratiebestanden aanpassen zodat het een en ander ook met ClamAV enSpamAssassin kan werken.

nano /etc/exim.conf

Zoek "# primary_hostname =" en zet daarboven:

# ClamAV socket
av_scanner = clamd:/tmp/clamd

Zoek "check_message:" en - laat accept staan!" zet tussen deze twee de volgende regels:


deny message = This message contains malformed MIME ($demime_reason)
demime = *
condition = ${if >{$demime_errorlevel}{2}{1}{0}}
deny message = This message contains a virus or other harmful content ($malware_name)
demime = *
malware = *
deny message = This message contains an attachment of a type which we do not accept (.$found_extension)
demime = bat:com:pif:prf:scr:vbs
warn message = X-Antivirus-Scanner: Clean mail though you should still use an Antivirus


Nu moeten we SpamAssassin nog activeren. Zoek naar "spamcheck_director:" en haal de escapes (#) bij deze en de 10-tal regels eronder weg. Exim weet nu de weg naar SpamAssassin te vinden.

Niet huilen als je je systeem om zeep helpt :lovewht:

Edit: nevermind

Je kan er ook voor kiezen je antispam te outsourcen. Dan heb je het extra voordeel dat er een redundante laag voor staat mocht je DA machine tijdelijk onbereikbaar zijn. Velen bieden dit bijvoorbeeld aan (ook aanwezig op WHT). Om maar een paar partijen te noemen ;)

Je kan er ook voor kiezen je antispam te outsourcen. Dan heb je het extra voordeel dat er een redundante laag voor staat mocht je DA machine tijdelijk onbereikbaar zijn. <knip> Om maar een paar partijen te noemen ;)

:innocent:

Mocht spamassassin nog niet voldoende werken kun je ook kijken naar commerciële filters. (heb ik zelf ook in gebruik en ben er zeer tevreden over)

Hij haalt voor vrij veel mailtjes de spam er al wel uit met de standaard settings binnen DA.

Is Spamassassin al optimaal geconfigureerd, of kan het beter? want hij laat toch nog wel het e.e.a. door

Bij cat /etc/virtual/use_rbl_domains krijg ik niks te zien..

Ik krijg dit te zien bij een spam mail:

Spam detection software, running on the system "server1.xxx.nl", has
identified this incoming email as possible spam. The original message
has been attached to this so you can view it (if it isn't spam) or label
similar future email. If you have any questions, see
the administrator of that system for details.

Content preview: Ab sofort wieder zu bestellen: Tresor!!! So gross, dass sogar
Ordner reinpassen! Nur 126,05 Euro. [...]

Content analysis details: (16.0 points, 5.0 required)

pts rule name description
---- ---------------------- --------------------------------------------------
0.6 RCVD_IN_SORBS_WEB RBL: SORBS: sender is a abuseable web server
[62.72.113.122 listed in dnsbl.sorbs.net]
2.0 URIBL_BLACK Contains an URL listed in the URIBL blacklist
[URIs: tools77.com]
1.5 URIBL_JP_SURBL Contains an URL listed in the JP SURBL blocklist
[URIs: tools77.com]
3.5 BAYES_99 BODY: Bayesian spam probability is 99 to 100%
[score: 1.0000]
3.0 RCVD_IN_XBL RBL: Received via a relay in Spamhaus XBL
[62.72.113.122 listed in zen.spamhaus.org]
2.0 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a relay in bl.spamcop.net
[Blocked - see <http://www.spamcop.net/bl.shtml?62.72.113.122>]
3.4 XMAILER_MIMEOLE_OL_A50F8 XMAILER_MIMEOLE_OL_A50F8
0.1 RDNS_NONE Delivered to trusted network by a host with no rDNS

RBL's aanzetten dan. Want spam wil je weren van je server, niet filteren. Nu kan je server misschien drukker zijn met SpamAssassin dan met Apache.
Dan moet je de optimaliseertruck nog doen in SA. Ik heb al wat genoemd met de extra lijst die je kunt toevoegen en (openprotect) en hoe je de definitief autonmatisch kunt updaten.
Ook zou je de RBL's kunnen wijzigen. Dit (http://www.barracudacentral.org/rbl)is wel een goede, al moet je je hiervoor wel even registreren.



# deny using Barracuda Reputation Block List (BRBL)
deny message = Email blocked by Barracuda Reputation Block List (BRBL) - to unblock see http://www.barracudacentral.org/rbl
# only for domains that do want to be tested against RBLs
hosts = !+relay_hosts
domains = +use_rbl_domains
!authenticated = *
dnslists = b.barracudacentral.org

Je kan spam makkelijk tegenhouden zonder dat je die moet verwerken door HELO checks toe te passen, DNSBL's en greylisting.
Met Postfix is dit zeer makkelijk toe te passen.

Dit heeft als voordeel dat je server ontlast wordt, Spamassassin is nogal resource hungry.

Ik heb dit samen met een collega als thesis gemaakt ( + praktische uitwerking om het effect te zien). We hielden met onze setup ongeveer +90% spam tegen, en zijn eigenlijk geen "false positives" tegengekomen.

'url please'

'url please'

:lovewht:

Uitleg Randy

:W::W::W:

Ik zal dat eerdaags eens op een kale vps proberen alvorens alles te verzieken door een typefout :X

Op een nieuwe VPS heb ik dit ingesteld.
Zodra ik nu mail wil verzenden krijg ik smtp fout 451.

Zodra ik het volgende weg haal:

Zoek "check_message:" en - laat accept staan!" zet tussen deze twee de volgende regels:


deny message = This message contains malformed MIME ($demime_reason)
demime = *
condition = ${if >{$demime_errorlevel}{2}{1}{0}}
deny message = This message contains a virus or other harmful content ($malware_name)
demime = *
malware = *
deny message = This message contains an attachment of a type which we do not accept (.$found_extension)
demime = bat:com:pif:prf:scr:vbs
warn message = X-Antivirus-Scanner: Clean mail though you should still use an Antivirus


Werkt het weer goed.

Voor de rest is dus alles goed gegaan, alleen bij bovenstaande gaat het mis...

Iemand een idee?

Tim


Doe eens:
cat /etc/virtual/use_rbl_domains

Krijg je geen lijst met domeinen te zien, doe dan:

cd /etc/virtual
rm -f use_rbl_domains
ln -s domains use_rbl_domains
/etc/init.d/exim restart

Dat was het makkelijke deel dat 85% van de spam afvangt. Wil je meer, doe dan onderstaande. Je server krijgt het bij meer mailtjes wel drukker. Ik adviseer altijd gewoon Spamexperts voor een domeintje. Maar wil je toch wat meer, ga dan hieronder verder. Ben je n00b, doe dit niet zelf maar zoek iemand die dit even voor je wil doen:


Je zult zien dat het een stuk minder wordt. RBL's staan standaard namelijk niet aan. Wat nu nog door komt, filter je met SpamAssassin. Ook installaeren we ClamAV even voor de virusjes:

mkdir /usr/local/updatescript
cd /usr/local/updatescript
wget http://tools.web4host.net/update.script
chmod 755 update.script
./update.script SPAMASSASSIN
./update.script CLAMAV
nano /etc/crontab

Voeg toe

# Spamassassin regels eens per week updaten
0 0 * * 0 root /root/update-sa.sh >> /dev/null 2>&1

RPMforge Repo toevoegen:
wget http://packages.sw.be/rpmforge-release/rpmforge-release-0.3.6-1.el5.rf.x86_64.rpm LET OP: CentOS 5 64-bits!
rpm -Uhv rpmforge-release-0.3.6-1.el5.rf.x86_64.rpm
yum -y update
yum -y install perl-Razor* perl-Net-Ident perl-IO-Socket* perl-Mail-DKIM perl-Mail-DomainKeys perl-Archive-Tar perl-IO-Zlib perl-Encode-Detect perl-libwww-perl perl-IP-Country perl-DBI perl-Mail-SPF-Query re2c gpg
cpan install Mail::SpamAssassin::Plugin::Rule2XSBody [tig keer openter rammen]

Daarna kun je met het commando sa-update -D (-D voor debug, met output op de console) de regels updaten.
Gebruik hierna: sa-compile om de regels te compileren zodat SpamAssassin minder CPU-intensief is. Kill daarna alle SpamAssassin processen met killall spamd en start SpamAssassin weer met: /usr/bin/spamd -d -c -m 5

Dit gaan we in een crontab zetten:
nano /root/update-sa.sh


#!/bin/sh
sa-update -D --gpgkey D1C035168C1EBC08464946DA258CDB3ABDE9DC10 --channel saupdates.openprotect.com --channel updates.spamassassin.org
sa-compile -D
killall spamd
/usr/bin/spamd -d -c -m 5
Chmod het script met chmod +x /root/update-sa.sh en test hem even.

We gaan nu wat configuratiebestanden aanpassen zodat het een en ander ook met ClamAV enSpamAssassin kan werken.

nano /etc/exim.conf

Zoek "# primary_hostname =" en zet daarboven:

# ClamAV socket
av_scanner = clamd:/tmp/clamd

Zoek "check_message:" en - laat accept staan!" zet tussen deze twee de volgende regels:


deny message = This message contains malformed MIME ($demime_reason)
demime = *
condition = ${if >{$demime_errorlevel}{2}{1}{0}}
deny message = This message contains a virus or other harmful content ($malware_name)
demime = *
malware = *
deny message = This message contains an attachment of a type which we do not accept (.$found_extension)
demime = bat:com:pif:prf:scr:vbs
warn message = X-Antivirus-Scanner: Clean mail though you should still use an Antivirus


Nu moeten we SpamAssassin nog activeren. Zoek naar "spamcheck_director:" en haal de escapes (#) bij deze en de 10-tal regels eronder weg. Exim weet nu de weg naar SpamAssassin te vinden.

Niet huilen als je je systeem om zeep helpt :lovewht:

Passen jullie wel een beetje op met die HELO check? Pieterjanklaas ICT mannetjes willen namelijk wel eens .local e.d. in hun HELO laten staan... Dan kun je als provider wel stug zeggen "dan moeten hun zich maar aan de RFC's houden", maar zo werkt dat niet, en de klant ontvangt de mail niet van hun klanten en gaan jou boos bellen...

Hier trouwens bijzonder tevreden met ASSP, maar ook dat kost echt wel de nodige moeit om fatsoenlijk (en dubbel uitgevoerd) te laten draaien.

Edit: Als je Pieter-Jan-Klaas heet, sorry, niet persoonlijk bedoeld :)

Ik heb zelde specs en gebruik een anti spam module in directadmin zelf

Passen jullie wel een beetje op met die HELO check?

Hier staat daarom zelfs .local op een lijstje met niet blokkeren aan de hand van een HELO check. Wel heb ik hier een paar regular expressions ingebruik die veel botnetwerken blokkeren (best prettig ;)). Het begint tegen het punt aan te komen dat we het spamfilter niet meer kunnen trainen :rolleyes:

Overigens gebruiken we een oplossing op basis van opensource software met een beetje veel over capaciteit.

Zou je die HELO epxressions kunnen delen? Probeer ik ze hier ook eens ;-)

Zou je die HELO epxressions kunnen delen? Probeer ik ze hier ook eens ;-)

Een voorbeeld uit een config bestand dat postfix gebruikt (onderstaande is ook op spam-l genoemd en op sdlu zul je vergelijkbare voorbeelden krijgen op verzoek):
/^[A-Z]{5,10}$/ 550 Ask your Mail/DNS-Administrator to correct HELO. (Cutwail)

Daarnaast heb ik een paar vergelijkbare regels (elke regel bevat wel een stukje waarmee ik de regel kan identificeren, namelijk een nummer aan het eind van de regel). Met een combinatie van de juiste HELO checks en greylisting kun je al een groot deel van de rotzooi buiten houden. Het ontlast ons systeem behoorlijk.

Die Email Security van TREND moet ook wel redelijk goed zijn, heb er goede verhalen over gehoord (nog iemand die hier gebruik van maakt?)

een goede tutorial ivm spamassassin vind je op howtoforge voor debian, centos etc
wat bij mij heel goed helpt is het volgende:
- bayes
- dcc
- spf
- dnsrbl
- sare rules (openprotect update channel)
- fuzzyocr image check
- postfix reject_non_fqdn_sender etc.. (zie site postfix, ff googlen)

@tvdh

verander de regel:


# ClamAV socket
av_scanner = clamd:/tmp/clamd


in



# ClamAV socket
av_scanner = clamd:127.0.0.1 3310


Dan werkt het weer ;)

@ LAMP-host

Volgens mij kun je ook tever doordraven in je spam tegenhouden ;) Als er dan toevallig is een server is die iets niet heeft heb je kans dat klant komt klagen waarom mail als spam aangezien wordt ;)

Of begint te roepen dat de mailserver niet werkt (mijn mailtjes komen niet aan!) :)