Neue Spamwelle - Wie beikommen?

  • Moin!


    seit gestern werd ich gerade mit einer neuen Spamwelle überschüttet, die weder Spamassassin noch mein Thunderbird erkennt. Alles Mails in der Art wie:


    Zitat


    DiskLocker is a utility that write protects your local hard disk drive.
    http://img71.imageshack.us/my.php?image=cdo8cuu6.gif
    Konkurrenz.


    Jedesmal ein Link zu ImageShack. Davon ca. 200 - 300 pro Tag.


    Hat jemand ne Idee, wie ich die PdAdmn-Config so modifizieren kann, dass auch dies erkannt wird? Von Greylisting habe ich bis jezt die Finger gelassen, da es eben auch nicht ganz standardkonform ist. Was gibt es da sonst noch für Möglichkeiten?


    cu, Michael




    - Welche Version von pd-admin wird eingesetzt? aktuell
    - Welche Version der Standard-Serverumgebung wird eingesetzt? aktuell
    - Wie sind die problematischen Dienste konfiguriert? standard
    - Welche Logfile-Einträge (zB. Webserver- oder Mail-Logfile) gibt es? keine weltbewegenden :)

  • Prinzipiell haben sich die folgenden Massnahmen bewährt:


    1. SpamAssassin mit Rules Du Jour erweitern.
    2. Mails abweisen, die von Dialup-Adressen eingeliefert werden.
    3. Evt. Mails abweisen, die von IP-Adressen ohne Reverse-Mapping eingeliefert werden (Vorsicht, das kann zu False Positives führen).
    4. Evt. Greylisting
    5. Mit den restlichen Spam-Emails, die durchkommen, den Bayes-Filter trainieren.


    Viele Grüße,
    Daniel Bradler

  • Greylisting sowie Reverse-Mapping könnten problematisch sein, da Kunden z. T. auch Mails von Linux-Workstations bekommen, bei denen Reverse DNS wohl eher nicht eingerichtet ist.


    Dennoch Danke! Jetzt weiss ich, wo ich ansetzen kann. Ich werde es mal ausprobieren :) Die Spamwelle ist auch wieder abgeklungen. Eintagsfliege? Statt 300 Mails sind es jetzt noch 50 / Tag.


    cu, mz

  • Hi


    Zitat

    Original von Daniel Bradler
    1. SpamAssassin mit Rules Du Jour erweitern.
    2. Mails abweisen, die von Dialup-Adressen eingeliefert werden.
    3. Evt. Mails abweisen, die von IP-Adressen ohne Reverse-Mapping eingeliefert werden (Vorsicht, das kann zu False Positives führen).


    hätten Sie zu den Punkten eine Anleitung?


    Oder könnte jemand so nett sein und ein HowTo erstellen? :)


    liebste Grüße
    Stella

  • Ich hoffe mal das wir da in den nächsten Tagen
    etwas Unterstützung bekommen. Ansonsten
    brauchen wir bald 10er Domain Lizenzen um die
    Server last zu verteilen :O


    Uns hat es so derb erwischt wir bekommen pro
    Konto 130 Mails am Tag die
    NICHT GEFILTERT WERDEN

  • Mit den Methoden 2. bis 4. bekommt man die Last gut in den Griff. Eine Anleitung kann ich dazu aus Zeitgründen nicht erstellen, aber bei Google wird sich einiges finden, und Miko hatte ja auch schon etwas zu dem Thema gepostet.


    Die genannten Punkte werden übrigens im Spamfilter von pd-admin 4 umgesetzt (optional einschaltbar).


    Viele Grüße,
    Daniel Bradler

  • In den letzten 2 Wochen habe ich auch ein erhöhtes Spamaufkommen festgestellt. Vor allem Spam mit Bezug auf Aktien ist extrem angestiegen.


    Rules du jour habe ich mir gerade testweise in einer virtuellen Maschine aufgesetzt. Die Einrichtung ist im Prinzip sehr simpel. Lediglich 5 Variablen müssen geändert werden. Der meiste Aufwand fällt hierbei auf die Auswahl der Rulesets.


    Werde wohl die Tage ein Howto hier veröffentlichen.


    Folgende Fragen hätte ich da aber noch an Herrn Bradler bzw euch:


    1. Wie kann ich Spamassassin am besten sauber neustarten? Habe bis jetzt killall spamd verwendet und den Neustart den Deamontools überlassen. Dies scheint mir aber nicht die sauberste Lösung zu sein.


    2. Welche Rulesets sind zu empfehlen? Habe schon gesehen, dass einige kaum bzw. gar nicht mehr gepflegt werden.

  • Hi Leute,


    gibts dazu ein How-to im Forum? BZW: inwiefern ist das bei der aktuellen Version noch aktuell - oder lauft die Spamabwehr momentan gut mit Roundcube?


    Danke!


  • Roundcube ist ein Webmailer ... der hat überhaupt nichts mit Spamabwehr zu tun.


    Der von dir zitierte Absatz von Herrn Bradler ist absoluter nonsens. Damit würde höchstens meine Oma keinen Spam bekommen ... aber die hat ja auch kein Internet.


    Die effektivste Maßnahme ist RBL (spamhaus)


    Damit werden Mails schon vor Spamassasin und Co abgewiesen. Serverlast ist gegen null und Das Spamaufkommen auf unseren Servern war schlagartig um 95% reduziert.

  • Hi,


    ja das ist mir klar, dass Roundcube ein Webmailer ist - jedoch habe ich "gelesen", dass es anscheinend Plugins oder Ähnliches gibt, um die Spams im Roundcube direkt markieren zu lassen, dass es der besucher mitbekommt....


    jedoch vielen Dank für deinen Link zum Beitrag!!!!!


    LG Patrick

  • Zitat

    Original von Shackattack
    Der von dir zitierte Absatz von Herrn Bradler ist absoluter nonsens. Damit würde höchstens meine Oma keinen Spam bekommen ... aber die hat ja auch kein Internet.


    Der Thread ist ja auch noch von 2007! Also Uralt und teilweise ja sowieso in PD-admin V4 umgesetzt.


    Es gibt Plugins die den Header absuchen nach dem X-Spam Flag und die Mail dementsprechend markieren.
    Ich würde sowas aber keinem meiner Kunden empfehlen, sowas führt erfahrungsgemäß nur zu erhöhtem aufkommen an Support-Anfragen weil: der Mailserver kaputt ist denn von XY kam Mail Soundso und die wurde als SPAM markiert.....


    Gruß
    Damaskus

  • 4,0 ist allerdings schon krass. Ich laufe seit einer Weile mit 4,9 nach false positives bei 4,8. Am besten schaust Du Dir die Punkte im Header an bei den Mails, die durchkommen. Wenn die ohnehin alle nur bei 2 liegen, helfen Dir auch die 4,0 nicht. Ist ein bißchen trial and error ... ;)

  • Sorry für die Späte Antwort,


    in den ganzen Mails im Header steht folgendes (also bei allen Banken-SpamMails)


    Code
    Received: (qmail 10001 invoked from network); 29 Jun 2014 15:04:48 -0000Received: by simscan 1.4.0 ppid: 9993, pid: 9997, t: 1.8010s         scanners: clamav: 0.98.3/m:55/d:19141 spam: 3.4.0



    das heißt, dass die SPAM-Score 3.4 ist - oder?


    ok - also kann ich es ohne probleme auf 3.0 einstellen?


    danke!!