|
|
Hallo,
ich habe einen Reinen Smarthost Mailserver installiert (basierend auf postfix, dovecot, rspamd, clamav). Alle E-Mails werden zur Zustellung weitergegeben an den Smarthost mail.gmx.de. Abgeholt werden die E-Mails von dort per getmail. Hintergrund meiner Installation ist, dass ich lediglich über eine dyndns-Adresse verfüge und das nicht für einen "Voll-Funktions-Mailserver" ausreicht. In diesem Zusammehang bräuchte ich Euere Hilfe bei diesen Fragen: 1. Einsatz von greylisting sinnvoll? rspamd hat die Funktion greylisting. Dabei wird - wenn ich es richtig verstanden habe, die Auslieferung bei E-Mails beim ersten Mal abgelehnt. Beim zweiten Mal wird dann ausgeliefert. Diese Funktion ist in meiner Konstellation (smarthost) nicht sinnvoll sein - oder? 2. Einsatz von DKIM rspamd verfügt auch über die Funktion DKIM. Das ist - wenn ich es richtig verstanden habe- eine Funktion um E-Mails eine höhere Spam-Vertrauenswürdigkeit zu geben. In meiner Konstellation (smarthost) macht das doch gmx - oder? Weiterhin kann ich (wg. nur dyndns) gar keine sinnvollen DKIM-Serverinformationen weitergeben - oder? Somit ist diese Funktion für mich nicht sinnvoll - oder? 3. Action "reject" sinnvoll? rspamd kann als Action auch "reject". In meiner Konstellation würde das bedeuten, dass getmail E-Mails von gmx abholt und diese dann vielleicht "ge-rejected" werden. Das ist vermutlich auch nicht sinnvoll - oder? Was passiert dann eigentlich mit der E-Mail? Besser dürfte für mich ein "rewrite subject" sein, so dass ich die so erkannten E-Mails dann beim Lesen erkennen kann. 4. Wie kann ich die Funktionen greylisting, DKIM und reject in rspamd deaktivieren? Vielen Dank! Tony |
|
|
|
Hallo,
Anton Blau <tony.blue> wrote: > ich habe einen Reinen Smarthost Mailserver installiert (basierend auf > postfix, dovecot, rspamd, clamav). Alle E-Mails werden zur Zustellung > weitergegeben an den Smarthost mail.gmx.de. Abgeholt werden die E-Mails > von dort per getmail. Hintergrund meiner Installation ist, dass ich > lediglich über eine dyndns-Adresse verfüge und das nicht für einen > "Voll-Funktions-Mailserver" ausreicht. > In diesem Zusammehang bräuchte ich Euere Hilfe bei diesen Fragen: > 1. Einsatz von greylisting sinnvoll? Wozu soll das denn gut sein? Du bekommst deine Mails ohnehin nur immer von *einem* Host zugestellt (naemlich vermutlich von localhost, an den dein "getmail" die Mails zustellt, damit sie local eingeordnet werden koennen, zumindest saehe mein setup so aus). Und den Host willst du bestimmt nicht "fuer eine gewisse Zeit aussperren". Wozu sollte also in einem solchen Szenario greylisting gut sein? > rspamd hat die Funktion greylisting. Dabei wird - wenn ich es richtig > verstanden habe, die Auslieferung bei E-Mails beim ersten Mal abgelehnt. > Beim zweiten Mal wird dann ausgeliefert. Die Mail wurde bereits an dein Postfach (beim Mailprovider) ausgeliefert, da ist alles schon passiert. Was soll also *danach* noch sinnvolles mittels greylisting passieren? greylisting ist *ausschliesslich* auf dem Server sinnvoll, der die SMTP-Connections aus der ganzen Welt direkt annnimmt und nirgends sonst. Trifft das auf deinen lokalen Server zu? Nein. Eigentlich haettest du da auch selbst drauf kommen koennen ... > Diese Funktion ist in meiner Konstellation (smarthost) nicht sinnvoll > sein - oder? Nein, siehe oben. > 2. Einsatz von DKIM > rspamd verfügt auch über die Funktion DKIM. Das ist - wenn ich es > richtig verstanden habe- eine Funktion um E-Mails eine höhere > Spam-Vertrauenswürdigkeit zu geben. > In meiner Konstellation (smarthost) macht das doch gmx - oder? Weiterhin > kann ich (wg. nur dyndns) gar keine sinnvollen DKIM-Serverinformationen > weitergeben - oder? > Somit ist diese Funktion für mich nicht sinnvoll - oder? Ich habe keine Ahnung, wie weit verbreitet DKIM wirklich ist. Aber du solltest auf *JEDEN* *FALL* deinen Mailserver so konfigurieren, dass er *gar* *keine* Mails ablehnt. In deiner Konfiguration wuerde das besten- falls zu "late bounces" fuehren, und die koennen wieder von Spammern zur Verteilung von Spam verwendet werden. Die Antispam-Massnahmen gehoeren in deiner Konstellation auf den Server deines Mailproviders und nicht auf deinen lokalen Rechner. Wenn du lokal noch Spam aussortieren willst, dann hoechstens "lokal in einen Spam-Ordner verschieben" oder "lokal loeschen" (was natuerlich immer die Gefahr birgt, dass bei Falscheinordnung auch wichtige Mails ohne Vorwarnung geloescht werden koennten) und nichts anderes. > 3. Action "reject" sinnvoll? > rspamd kann als Action auch "reject". Ueberleg doch mal selber, was das in deiner Konfiguration bringen wuerde? Was passiert in der Konfiguration bei einem reject? > In meiner Konstellation würde das bedeuten, dass getmail E-Mails von gmx > abholt und diese dann vielleicht "ge-rejected" werden. Das ist > vermutlich auch nicht sinnvoll - oder? Was passiert dann eigentlich mit > der E-Mail? Ich weiss nicht, wie getmail das handhabt. Im unguenstigsten Fall verbleibt sie in der Mailbox, wird beim naechsten Abruf wieder abgerufen, lokal rejected, was dann ggfs. zum blockieren aller weiteren Mails fuehrt. Im guenstigeren Fall versucht getmail die Mail zu ignorieren und macht mit den weiteren Mails in der Mailbox weiter. Aergerlich ist es trotzdem, weil die Mail bei deinem Mailprovider weiterhin unnoetig Resourcen verschwendet. Wenn getmail daraus einen bounce generieren wuerdest, haettest du den Effekt von "late bounces", und solche sind unbedingft zu vermeiden. > Besser dürfte für mich ein "rewrite subject" sein, so dass ich die so > erkannten E-Mails dann beim Lesen erkennen kann. Oder (falls du das ganze so konfigurieren kannst) das zustellen an ein anderes lokaen (Spam-) Postfach ... > 4. Wie kann ich die Funktionen greylisting, DKIM und reject in rspamd > deaktivieren? Keine Ahnung. Ist rspamd bei dir ueberhaupt ein sinnvolles Werkzeug? Ich setze es nicht ein, und kenne es auch nicht naeher. Tschuess, Juergen Ilse (juergen) |
|
|
Am 15.05.20 um 10:58 schrieb Juergen Ilse:
> Ich habe keine Ahnung, wie weit verbreitet DKIM wirklich ist. > Aber du solltest auf *JEDEN* *FALL* deinen Mailserver so konfigurieren, dass > er *gar* *keine* Mails ablehnt. In deiner Konfiguration wuerde das besten- > falls zu "late bounces" fuehren, und die koennen wieder von Spammern zur > Verteilung von Spam verwendet werden. Könntest du das näher erläutern, wie das funktionieren würde? Wenn eine Mail ge'bounce't wird, was oder wie hat ein Spammer davon? Jan |
|
|
Am 15.05.20 um 11:23 schrieb Jan Novak:
> Am 15.05.20 um 10:58 schrieb Juergen Ilse: > Könntest du das näher erläutern, wie das funktionieren würde? > Wenn eine Mail ge'bounce't wird, was oder wie hat ein Spammer davon? An wen geht denn die Bounce-Message? An den oder die Absender, selbst wenn sie gefakt sind. Multipliziert die Anzahl derer die Sinnlose Nachrichten bekommen. Je nach Einstellung wird zumindest ein Teil der Original-message mit geschickt. = Spam-weiterleitung. Da gebe ich Jürgen recht. Auf dem eigenen lokalen Mailserver sollte alles angenommen werden was von außen rein geschaufelt wird und erst dann Markiert und ggf. passend einsortiert werden (Spam, Virusverdacht o.ä.) aber niemals mit Bounce oder Reject abgelehnt werden. Anders siehts bei einem MTA aus der direkt; oder per dyndns; am Internet hängt. Der kann per Greylisting Spam ausbremsen und ggf. bietet sich die Möglichkeit während des SMTP-Session auf SPAM o. Viren zu testen und den Empfang ab zu lehnen. Die Mail käme in dem Fall überhaupt nicht an. Bei Grenzwertigen Betreff oder Inhalten oder False-Positive vom AV-Scanner kommt legitime mail aber ggf. auch nicht durch. Ist also auch nicht empfehlenswert. Ich glaub auch nicht das es so oft gemacht würde. Wenn die SMTP-Session beendet ist kann der MTA nix mehr ablehnen. Nur noch Bounce oder... :-) Kay |
|
|
Am 15.05.2020 um 10:58 schrieb Juergen Ilse:
> Hallo, > Anton Blau <tony.blue> wrote: Vielen Dank für die hilfreichen Antworten auf die Fragen 1 - 3. Kann mir vielleicht noch jemand bei diesem Thema weiterhelfen? |
|
|
Anton Blau:
> Hallo, > ich habe einen Reinen Smarthost Mailserver installiert (basierend auf > postfix, dovecot, rspamd, clamav). Alle E-Mails werden zur Zustellung > weitergegeben an den Smarthost mail.gmx.de. Abgeholt werden die E-Mails > von dort per getmail. Hintergrund meiner Installation ist, dass ich > lediglich über eine dyndns-Adresse verfüge und das nicht für einen > "Voll-Funktions-Mailserver" ausreicht. In dieser Konstellation ist rspamd *komplett* überflüssig! Für *eigehende* Mails benutzt Du getmail - damit hat rspamd exakt *nichts* zu tun. Das wäre nur dann relevant, wenn Du Mails direkt per SMTP von anderen Servern bekommen würdest. Insbesondere ist Greylisting, reject usw. für getmail komplett irelevant - getmail holt die Mails woanders ab und packt sie übergibt sie direkt zur Ablage an Dovecot. rspamd ist da überhaupt nicht involviert. [...] > 4. Wie kann ich die Funktionen greylisting, DKIM und reject in rspamd > deaktivieren? Lass rspamd komplett weg, das ist für deine Anwendung schlicht unnötig. Dein Mailserver ist quasi nur ein Proxy für GMX. |
|
|
Jan Novak:
> Am 15.05.20 um 10:58 schrieb Juergen Ilse: > Könntest du das näher erläutern, wie das funktionieren würde? > Wenn eine Mail ge'bounce't wird, was oder wie hat ein Spammer davon? Ein Spammer könnte mit gefälschter Absenderadresse Spam schicken und der Bounce inkl. Teilen des gesendeten geht dann and diese gefäschte Absenderadresse. |
|
|
Am 16.05.2020 um 12:33 schrieb Arno Welzel:
|
|
|
Am 17.05.20 um 22:21 schrieb Anton Blau:
> Am 16.05.2020 um 12:33 schrieb Arno Welzel: >> Anton Blau: >> Lass rspamd komplett weg, das ist für deine Anwendung schlicht unnötig. >> Dein Mailserver ist quasi nur ein Proxy für GMX. > Ich hätte es gerne für antivir + Spamerkennung. Noch mal? Filtert dein Provider nicht schon aus Eigennutz deine Mails? Ist bei mir so und Spam kommt sehr selten am Junkfilter meines TB vorbei. Was Viren angeht: Hast du keine Schlangenölsoftware auf deinem Windows installiert? :-) Avast kann sich z.b. in die Verbindung zum Mailserver ein klinken, oder du erlaubst ihm lokale mails in quarantäne zu stellen (option in TB) dann braucht er sich nicht in die Gesicherte Verbindung rein hacken. Wofür du auch erst mal sein Zertifikat abnicken müsstest. Kay (Linux-Nutzer, Ex Avast-Nutzer/Bezweifler) |
|
|
Kay Martinen <kay> wrote:
[..] > Wofür du auch erst mal sein Zertifikat abnicken müsstest. > Kay > (Linux-Nutzer, Ex Avast-Nutzer/Bezweifler) Der Spamfilter von GMX ist ein schlechter Witz ? nur EIN Grund warum Ich auf Mailbox.org migriert habe. |
|
|
Am 17.05.20 um 23:40 schrieb Clemens Schüller:
> Kay Martinen <kay> wrote: > Der Spamfilter von GMX ist ein schlechter Witz ? nur EIN Grund warum > Ich auf Mailbox.org migriert habe. Na und, kann man den nicht abschalten und den vom TB nehmen. Vielleicht filtern sie ja mehr auf viren. Würde mich auch nicht wundern. :-) Kay |
|
|
Anton Blau:
> Am 16.05.2020 um 12:33 schrieb Arno Welzel: >> Anton Blau: >>> Hallo, >> Lass rspamd komplett weg, das ist für deine Anwendung schlicht unnötig. >> Dein Mailserver ist quasi nur ein Proxy für GMX. > Ich hätte es gerne für antivir + Spamerkennung. rspamd wird für getmail *nicht* benutzt sondern *nur* wenn Mails per SMTP an den Server geschickt werden. Und was soll "Spamerkennung" bringen, wenn die Mail bereits bei GMX angenommen wurde? Die Idee von rspamd ist ja gerade, Mail *nicht* anzunehmen, wenn sie als Spam über einer gewissen Punktezahl eingestuft wurde. Ja rspamd lehnt über die Milter-Schnittstelle in Postfix Mails bereits bei der Zustellung aktiv ab. Aber das geht natürlich nur, wenn man die Mails selbst originär per SMTP bekommt und nicht von einem anderen Host - der sie bereits angenommen hta - per getmail holt. |
|
|
Am 18.05.2020 um 10:24 schrieb Arno Welzel:
> Anton Blau: >> Am 16.05.2020 um 12:33 schrieb Arno Welzel: >>> Anton Blau: > Und was soll "Spamerkennung" bringen, wenn die Mail bereits bei GMX > angenommen wurde? Die Idee von rspamd ist ja gerade, Mail *nicht* > anzunehmen, wenn sie als Spam über einer gewissen Punktezahl eingestuft > wurde. Ja rspamd lehnt über die Milter-Schnittstelle in Postfix Mails > bereits bei der Zustellung aktiv ab. Aber das geht natürlich nur, wenn > man die Mails selbst originär per SMTP bekommt und nicht von einem > anderen Host - der sie bereits angenommen hta - per getmail holt. Die Spamerkennung sollte so laufen, dass in den Schitten getmail - postfix - rspamd die E-Mail erhält. Rspamd sollte dort dann die erkannten Spam-Mails im Header oder Subject markieren. Anschließend geht das E-Mail an dovecot weiter, der das so markierte E-Mail per Sieve automatisiert in einen Spam-Ordner verschiebt. Dazu habe ich in der /etc/postfix/main.cf .... virtual_transport = lmtp:unix:private/dovecot-lmtp .... milter_protocol = 6 milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen} milter_default_action = accept smtpd_milters = inet:127.0.0.1:11332 non_smtpd_milters = inet:127.0.0.1:11332 .... aufgenommen. Daraus erhoffe ich die Vorteile: + bessere Spamerkennung durch rspamd + automatisches Lernen per Sieve-Script + Antivirusprüfung Sehe ich das falsch? Vielen Dank! Tony |
|
|
Am 20.05.20 um 13:00 schrieb Anton Blau:
> Am 18.05.2020 um 10:24 schrieb Arno Welzel: > Die Spamerkennung sollte so laufen, dass in den Schitten getmail - > postfix - rspamd die E-Mail erhält. Rspamd sollte dort dann die > erkannten Spam-Mails im Header oder Subject markieren. Anschließend geht > das E-Mail an dovecot weiter, der das so markierte E-Mail per Sieve > automatisiert in einen Spam-Ordner verschiebt. > Dazu habe ich in der /etc/postfix/main.cf > ... > smtpd_milters = inet:127.0.0.1:11332 Ich bin da nicht so bewandert aber das sieht mir danach aus als ob du den rspamd damit in eben genau die smtp-verbindung einklinkst so das er eben greylisting machen kann und auch wird. Das ist aber offensichtlich die Falsche Richtung wie dir oben ja schon erklärt wurde und du selbst es auch sagst. Sprich: Nicht beim smtp-empfang, sondern zwischen MTA(Postfix) und deinem LDA (dovecot) soll er arbeiten. aus rspamd wird dann rspamc! > Daraus erhoffe ich die Vorteile: > + bessere Spamerkennung durch rspamd + automatisches Lernen per > Sieve-Script > + Antivirusprüfung Und das nette Webinterface das er wohl mit liefern soll spielt keine rolle? :-) > Sehe ich das falsch? Ich würde sagen: Ja. Lese dir besser mal dies hier durch (1) und da vor allem ganz unten unter LDA integration. Was sich in dem genannten beispiel da auf fetchmail bezieht kann ich allerdings nicht erkennen. Aber Prinzipiell sieht das so aus wie das setup das du eher brauchst. Kay (1) |
|
|
Am 20.05.2020 um 13:36 schrieb Kay Martinen:
[..] > Aber Prinzipiell sieht das so aus wie das setup das du eher brauchst. > Kay > (1) Ich habe nun getmail in fetchmail getauscht, da ich nirgendwo eine Konfiguration für getmail + rspamc gefunden habe. Mit der angegebenen Konfiguration aus erhalte ich leider die Fehlermeldung: fetchmail -v -a -k -f /etc/fetchmailrc fetchmail: WARNUNG: Vom Betrieb mit root-Rechten wird abgeraten. fetchmail:/etc/fetchmailrc:19: syntax error bei /usr/lib/dovecot/deliver Die gesamte /etc/fetchmailrc sieht so aus: set postmaster "postmaster" set nobouncemail set logfile /var/log/mail/fetchmail.log defaults bad-header accept poll pop.gmx.net with proto pop3 user 'mein_gmx_name' there with password 'secret' is 'mein_lokaler_name' here ssl fetchall mda "/usr/bin/rspamc --mime --exec "/usr/lib/dovecot/deliver -d %T"" Die Fehlermeldung bleibt bestehen, wenn ich das "%T" mit dem dovecot Benutzername ersetze. Was stimmt hier nicht? Ich freue mich über alle Tipps! Vielen Dank! Tony |
|