Beste wht'ers,

Door een defecte harddisk enkele weken terug moest ik terugvallen op de backups van de dag er voor om de hele server op orde te krijgen. Ik heb toen een nieuwe harddisk in de server gestoken, xen geïnstalleerd, de nodige vps'en aangemaakt, directadmin install en dan de backups teruggezet.

Vroeger kwam er door de configuratie van DA en SA hier en daar nog wel eens een spambericht, echter is dit nu echt aan de hoge kant (50+ spamberichten per uur soms). Vroeger was SA min of meer getrained om spam te herkennen en moest ik af en toe eens een false positive uit de spamfiolder halen. Nu ben ik SA opnieuw aan het trainen, maar de toevloed van spam is op dit moment echt wat te hoog.

Heeft er iemand tips wat ik kan doen om dit tot een "aanvaardbaar" (nuja...spam is niet echt aanvaardbaar maar goed) aantal te krijgen op korte tijd?

Gebruik je al RBL's?

Het updaten van de Spamassassin rules elke nacht scheelt ook een hoop spam.

Kan je niet je oude SA training+config ook terugzetten?

Helaas nu niet meer ... schijf defect :-)

Update naar laatste DirectAdmin versie of handmatige aanpassing in Exim configuratie lost denk ik het probleem voor je op.

Zie: http://www.directadmin.com/features.php?id=1453

Uiteraard draai ik de laatste DA versie. Ook de Exim is reeds aangepast. Geen van beiden helpt dus. Toch bedankt om mee te denken!

RBL wel aangezet dan? Want die houdt een hele hoop tegen.

RBL wel aangezet dan? Want die houdt een hele hoop tegen.
Het is naar mijn weten vrij riskant om die optie aan te zetten. Aangezien ook een hoop legitieme servers (die vanwege een hack o.i.d. wel veel spam sturen) op de lijsten staan. RBL's/PBL's kan je beter gebruiken in combinatie met andere scanmechanieken om per e-mail te beslissen of het spam is of niet. Tenzij je geen moeite hebt met false positives. ;)

Het is naar mijn weten vrij riskant om die optie aan te zetten. Aangezien ook een hoop legitieme servers (die vanwege een hack o.i.d. wel veel spam sturen) op de lijsten staan. RBL's/PBL's kan je beter gebruiken in combinatie met andere scanmechanieken om per e-mail te beslissen of het spam is of niet. Tenzij je geen moeite hebt met false positives. ;)

Wat een contradictie, maar een server die door een hack of wat anders spam begint te versturen is op dat moment geel legitieme server meer en hoort inderdaad op zo een lijst te staan en dus extra spamcount puntjes te krijgen. Naast het feit dat ik zelf liever 1 of 2 false positive e-mails uit de spamfilter/spam folder haal dan iedere dag 3000 spams te verwijderen uit mijn e-mail box (en er zullen waarschijnlijk heel veel mensen zo denken).

Wat een contradictie, maar een server die door een hack of wat anders spam begint te versturen is op dat moment geel legitieme server meer en hoort inderdaad op zo een lijst te staan en dus extra spamcount puntjes te krijgen. Naast het feit dat ik zelf liever 1 of 2 false positive e-mails uit de spamfilter/spam folder haal dan iedere dag 3000 spams te verwijderen uit mijn e-mail box (en er zullen waarschijnlijk heel veel mensen zo denken).
Een extra spamcount puntje is inderdaad de bedoeling. Maar als ik de post van Arieh lees ga ik vanuit dat hij doelt op de 'Use RBL Blocking' optie in 'Administrator Settings'. Deze optie blokkeert hosts die vermeld staan op de lijsten zonder pardon, en gebruikt geen puntensysteem zoals gedaan wordt als deze optie uitstaat. Excuses als mijn post onduidelijk was. :)

Edit: Ik ga er vanuit dat hij dat bedoeld aangezien DirectAdmin standaard al RBLs gebruikt in SpamAssassin, maar de optie die ik noem standaard uit staat.

Het updaten van de Spamassassin rule

Wij hebben geen problemen om dit te blokkeren. Ik maak dan eventueel voor een klant een ignore rule aan maar de bedoeling is dat ze het gewoon fixen.

Ook gebruik ik nog een SPF check en greylisting.

Ondertussen zijn rbl's aangezet...maar zoveel minder spam blijk ik niet te hebben. Misschien een 10/20 tal minder per dag?

Ondertussen zijn rbl's aangezet...maar zoveel minder spam blijk ik niet te hebben. Misschien een 10/20 tal minder per dag?

Hangt natuurlijk ook af van hoeveel e-mails je anders krijgt (procentueel gezien dan), en welke rbl's heb je aangezet want de standaard DA rbl's zijn nu niet echt uitgebreid te noemen.

Had je ook CSF geinstalleerd op DA? Anders moet je daar nog even naar kijken om "Enable IP range blocking using the Spamhaus DROP List" en "Enable IP range blocking using the DShield Block List" in te stellen.

Also recommend using RBLs the well known ones. That helps. Spamassassin is not brilliant but with some tweaking you can eliminated pretty much a huge chunk of spam.