Re: Erfahrungsbericht: spamassassin considered harmful?
Patrick Cornelißen schreibt: > Nur so nebenbei, ohne Betriebsvereinbarung darfst du absichtlich > keine Mails an Mitarbeiter unterdrücken! Wir sind eine kleine Firma und haben das muendlich vereinbart. Ueber den Firmenmailserver laeuft ausserdem nur noch geschaeftliche E-Mail. Fuer private Zwecke hat jeder eine zweite Adresse. Erfahrungsgemaess moechte absolut niemand Spam in den normalen Posteingang ausgeliefert bekommen. Verschiebst Du Spam dagegen automatisch in einen Junk-Ordner, kannst Du Dir sicher sein, dass manche Mitarbeiter nie in diesen Ordner schauen werden. Vor allem nicht, wenn in diesem Ordner staendig neue Nachrichten eintreffen. Irgendwann haben die Leute keine Lust mehr, zu kontrollieren, ob dort eine faelschlicherweise als Spam erkannte Mail abgelegt worden ist. Wir setzen deshalb Greylisting ein und lehnen Nachrichten ab einem bestimmten Spam-Score gleich beim Empfang ab. So ist die Wahrscheinlichkeit am groessten, dass keine "False Positives" unter den wenigen noch durchkommenden Spams verloren gehen. Rechtlich duerften wir damit auf der sicheren Seite sein. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Erfahrungsbericht: spamassassin considered harmful?
Jan Kohnert schreibt: > Andreas Vögele schrieb: > >> [...] Unser Mailer lehnt Nachrichten, deren Spam-Score einen >> bestimmten Schwellwert überschreitet, direkt beim Empfang ab. [...] > > ??? > Du nimmst die Nachricht erst an, testest sie dann über SA/amavisd(-new) und > danach bounced du? Nein, Nachrichten werden von unserem MTA waehrend des SMTP-Dialogs geprueft. Ab einem bestimmten Spam-Score wird der Empfang verweigert. Die Fehlernachricht wird nicht von uns, sondern von der Gegenseite erzeugt. > Fehlermeldungen erzeugen... Aber ich habe sowas schon gelesen,gerade > im Zusamenhang mit amavis/postfix/exim. Die Gegenseite verwendet Postfix und Amavis, wir nicht. Und eigentlich ist es richtig, dass die Gegenseite eine Fehlernachricht versendet, wenn eine Nachricht nicht zugestellt werden kann. Das Problem ist, dass wir uns entschieden haben, den Empfang von eindeutig als Spam erkannten Nachrichten abzulehnen, waehrend die Gegenseite sich entschieden hat, Spam nur als solche zu markieren. Mein Kollege hat seine Weiterleitung inzwischen so geaendert, dass von der Gegenseite eindeutig als Spam erkannte Nachrichten nicht weitergeleitet werden. Allerdings ist unser Spamfilter besser trainiert, so dass ab und zu noch Spam, die die Gegenseite nicht erkannt hat, ankommt. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Erfahrungsbericht: spamassassin considered harmful?
Andreas Vögele schrieb: > Ich überlege gerade, wie ich das mit Exim am besten löse. Anstatt > Spam, die über diesen bestimmten Mailserver hereinkommt, wie in allen > Fällen mit "deny" abzulehnen, könnte ich mit "warn" einen Header > hinzufügen und Nachrichten mit diesem Header später ins Nirvana > befördern. Hm, das sollte funktionieren, ist aber recht umständlich. > Hat jemand eine Idee, wie ich das mit Exim einfacher lösen könnte? Nur so nebenbei, ohne Betriebsvereinbarung darfst du absichtlich keine Mails an Mitarbeiter unterdrücken! -- Bye, Patrick Cornelissen http://www.p-c-software.de ICQ:15885533 signature.asc Description: OpenPGP digital signature
Re: Erfahrungsbericht: spamassassin considered harmful?
Thorsten Haude schreibt: > Moin, > > * Andreas Vögele wrote (2005-10-26 21:39): >>Ich habe gerade ein ähnliches Problem. Einer unserer Mitarbeiter >>leitet seine Mail von einem externen Account an seinen Account bei uns >>weiter. Unser Mailer lehnt Nachrichten, deren Spam-Score einen >>bestimmten Schwellwert überschreitet, direkt beim Empfang ab. Leider >>erzeugt der Mailserver auf der anderen Seite eine Fehlernachricht, die >>wieder an unseren Mailserver weitergeleitet wird. > > Klingt unvernünftig. Was sagt der Admin des anderen Server dazu? Hm, einige Administratoren dort tragen T-Shirts von Sun und haben Kraft dieser Textilie immer Recht. Neulich hat mich einer dieser Sonnenkoenige zum Beispiel darueber aufgeklaert, dass es eine Sache des Teufels sei, zu pruefen, ob eine Absenderadresse einen aufloesbaren Domainnamen enthaelt. Meine Erwiderung, dass er alternativ die Konfiguration seines MTA bzw. DNS in Ordnung bringen koennte, hat ihn so in Rage versetzt, dass ich mir nicht sicher bin, ob er mir noch einmal eine Audienz gewaehren wird :-) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Erfahrungsbericht: spamassassin considered harmful?
Andreas Vögele schrieb: > Ich habe gerade ein ähnliches Problem. Einer unserer Mitarbeiter > leitet seine Mail von einem externen Account an seinen Account bei uns > weiter. Unser Mailer lehnt Nachrichten, deren Spam-Score einen > bestimmten Schwellwert überschreitet, direkt beim Empfang ab. Leider > erzeugt der Mailserver auf der anderen Seite eine Fehlernachricht, die > wieder an unseren Mailserver weitergeleitet wird. Da die > Fehlernachricht einen Teil der ursprünglichen Nachricht enthält, wird > sie wieder als Spam erkannt und folglich wieder abgelehnt. Das geht > dann einige Male so hin und her. ??? Du nimmst die Nachricht erst an, testest sie dann über SA/amavisd(-new) und danach bounced du? Das ist zwar möglich, man sollte es aber [tm], wenn man der Postfix-Liste in diesen Dingen vertrauen darf, nicht unbedingt machen. Enweder du nimmst sie oder bounced direkt. Ich würde, falls du amavis verwendest, discarden, wenn du nicht unbedingt die Mails weiterleiten mußt (die armen Provider müssen ja leider ;) ). Die Nachrichten landen dann in einem Quarantäne-Ordner, von dem du sie dann (un)gesehen löschen kannst. Aber ganz davon abgesehen: Ein Bounce ist ein Bounce und darf eigentlich keine Fehlermeldungen erzeugen... Aber ich habe sowas schon gelesen,gerade im Zusamenhang mit amavis/postfix/exim. MfG Jan -- OpenPGP Public-Key Fingerprint: 0E9B 4052 C661 5018 93C3 4E46 651A 7A28 4028 FF7A pgpkeoAkhCSpK.pgp Description: PGP signature
Re: Erfahrungsbericht: spamassassin considered harmful?
Moin, * Andreas Vögele wrote (2005-10-26 21:39): >Ich habe gerade ein ähnliches Problem. Einer unserer Mitarbeiter >leitet seine Mail von einem externen Account an seinen Account bei uns >weiter. Unser Mailer lehnt Nachrichten, deren Spam-Score einen >bestimmten Schwellwert überschreitet, direkt beim Empfang ab. Leider >erzeugt der Mailserver auf der anderen Seite eine Fehlernachricht, die >wieder an unseren Mailserver weitergeleitet wird. Klingt unvernünftig. Was sagt der Admin des anderen Server dazu? (Wenigstens kostet das in diesem Fall die Resourcen der Gegenseite.) Thorsten -- Be alert - Some terrorists look normal. pgpU6abg63ks5.pgp Description: PGP signature
Re: Erfahrungsbericht: spamassassin considered harmful?
Moin, * Joerg Rossdeutscher wrote (2005-10-26 20:17): >Ich neige aber eigentlich eher dazu, dass das Versenden von >Spam-Benachrichtigungen an sich eine Fehlkonfiguration ist, weil sie >sowieso meist Unbekannte trifft, daher selbst Spam ist und ein solcher >Mailloop dann die "gerechte" Konsequenz für zwei inkompetente Admins >ist. > >Meinungen? Letzteres. Ich ärgere mich über Bounces mehr als über Spam: das eine stört von Natur aus, und man könnte ebensogut ärgerlich auf ein Cholerabakterium sein; das andere wird von Idioten verschickt, die es eigentlich besser wissen müßten. (Übrigens sollte man Cholera und Spam gleichermaßen ausrotten.) Thorsten -- We don't say Einstein was a really smart guy and we should come up with a better theory of relativity. We build on top of his good ideas and have new exciting quests. - Linus Torvalds pgpqQsxvueqHo.pgp Description: PGP signature
Re: Erfahrungsbericht: spamassassin considered harmful?
Joerg Rossdeutscher schreibt: > Statt das ganze ordnungsgemäss als Bounce zu erkennen, sprang > wiederum unser Mailserver sofort auf die Test-Zeichenkette an und > antwortete mit einer Fehlermeldung, in der, man ahnt es schon, die > Test-Zeichenkette zitiert wurde. Woraufhin der US-Server... worauhin > der deutsche Server... US... D... US... D... Ich habe gerade ein ähnliches Problem. Einer unserer Mitarbeiter leitet seine Mail von einem externen Account an seinen Account bei uns weiter. Unser Mailer lehnt Nachrichten, deren Spam-Score einen bestimmten Schwellwert überschreitet, direkt beim Empfang ab. Leider erzeugt der Mailserver auf der anderen Seite eine Fehlernachricht, die wieder an unseren Mailserver weitergeleitet wird. Da die Fehlernachricht einen Teil der ursprünglichen Nachricht enthält, wird sie wieder als Spam erkannt und folglich wieder abgelehnt. Das geht dann einige Male so hin und her. Ich überlege gerade, wie ich das mit Exim am besten löse. Anstatt Spam, die über diesen bestimmten Mailserver hereinkommt, wie in allen Fällen mit "deny" abzulehnen, könnte ich mit "warn" einen Header hinzufügen und Nachrichten mit diesem Header später ins Nirvana befördern. Hm, das sollte funktionieren, ist aber recht umständlich. Hat jemand eine Idee, wie ich das mit Exim einfacher lösen könnte? -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Erfahrungsbericht: spamassassin considered harmful?
On Wednesday 26 October 2005 20:17, Joerg Rossdeutscher wrote: > Ich neige aber eigentlich eher dazu, dass das Versenden von > Spam-Benachrichtigungen an sich eine Fehlkonfiguration ist, weil sie > sowieso meist Unbekannte trifft, daher selbst Spam ist und ein solcher > Mailloop dann die "gerechte" Konsequenz für zwei inkompetente Admins > ist. > > Meinungen? Korrekt. Bounces aufgrund von Spam oder Viren zu verschicken ist m.E. totaler Blödsinn. Die treffen - wie du schon richtig sagst - eigentlich immer den falschen. (Es hat mich oft genug selbst getroffen, dass ich mitterlerweile überdurchschnittlich ungehalten über so etwas bin.) Also bei Spam oder Viren entweder wegwerfen, in Quarantäne stellen oder taggen und durchlassen. Wenn schon, dann direkt an der Haustür (MTA-Ebene) ablehnen, damit der korrekte Versender sich die Nase stößt. Aber bloß keine Annahmen aufgrund des Mail-Headers auf den tatsächlichen Absender machen. Meine Policy: - diverse Sicherheitsmaßnahmen am MTA - Viren in den Müll - Rest taggen und zustellen Gruß, Christoph -- ~ ~ ".signature" [Modified] 1 line --100%--1,48 All
Erfahrungsbericht: spamassassin considered harmful?
Hallo, mir ist heute was passiert... das muss ich einfach mal mit anderen teilen. Kann man mit einer Mail das halbe Internet runterreissen? Folgendes ist passiert: Ich installiere gerade einen neuen Mailserver. Auf dem kommt "natürlich" spamassassin zum Einsatz. Dieser soll die Mails nur taggen und durchlassen, zwecks finaler (eigenverantwortlicher) Filterung auf den Client-Rechner, allesamt Macs. Aufgrund der bekannten Problematik von Spam-Benachrichtigungen an den "Absender" (Der meistens gar nicht der Absender ist...) soll keine Benachrichtigung erfolgen. Da ich aber noch beim konfigurieren bin, war dieses Feature *noch* eingeschaltet. Es gibt eine Zeichenkette, die man in eine Mail schreiben kann, und die jeder Spamfilter als Spam auswerten soll, so ähnlich wie das "Eicar"-File, auf das jeder Virenscanner anspringen soll. Näheres in der FAQ von spamassassin: http://spamassassin.apache.org/gtube/ Mit Hilfe dieser Zeichenkette wollte ich den Spamfilter testen. Da der Test von aussen stattfinden sollte, schrieb ich eine Mail über einen anderen Webserver unserer Firma in den USA, auf den ich Zugriff habe, den ich aber nicht verwalte. Dieser leitet Mails an mich auf meinen deutschen Account weiter. Die Jungs haben allerdings auf ihrem Server Spam-Benachrichtigungen aktiviert. Jetzt passierte folgendes: Ich schickte meine Spam-Mail an den US-Server. Ich hatte vergessen, dass das dumm ist, denn bereits deren Spamfilter erkennt ja den Testspam als solchen, verweigert bereits die Einlieferung und schickte die bekannte Fehlermeldung zurück. Dabei zitierte es meine Mail - mit der "Spamtest-Zeichenkette" drin. Statt das ganze ordnungsgemäss als Bounce zu erkennen, sprang wiederum unser Mailserver sofort auf die Test-Zeichenkette an und antwortete mit einer Fehlermeldung, in der, man ahnt es schon, die Test-Zeichenkette zitiert wurde. Woraufhin der US-Server... worauhin der deutsche Server... US... D... US... D... Mit anderen Worten: Ein richtig schöner Mail-Loop. Zwar nicht so rasend schnell, aber binnen zehn Minuten kamen 100 Mails zusammen. Dank meiner Root-Rechte auf beiden Kisten haben ich beiderseits den spamassassin-Daemon beendet, bis die Server alles ausgeliefert hatten. Hätte ich keine root-Rechte gehabt, wäre das übel ausgegangen. Für mich ist das kein Problem. Ich habe die spamassassin-Bounces bereits deaktiviert und werde unserem US-Admin raten, das auch zu tun. Für mich sieht es aber so aus, als könnte jeder User, der eine Mail senden kann, die Absendeadresse fälschen (oder sogar bloß das Reply-To setzen) und dann zwischen zwei beliebigen fremden Mailservern, die beide Spam-Benachrichtigungen verschicken, einen Mail-Loop erzeugen. Ist das einen Bug- oder sogar Securityreport wert? Offensichtlich wird falsch davon ausgegangen, dass ein Bounce niemals als Spam erkannt wird. Ich neige aber eigentlich eher dazu, dass das Versenden von Spam-Benachrichtigungen an sich eine Fehlkonfiguration ist, weil sie sowieso meist Unbekannte trifft, daher selbst Spam ist und ein solcher Mailloop dann die "gerechte" Konsequenz für zwei inkompetente Admins ist. Meinungen? Gruß, Ratti -- -o) fontlinge | Fontmanagement for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/ signature.asc Description: This is a digitally signed message part