Ist Spamhaus ZEN RBL list sinnvoll bzw. permit_sasl_authenticated sicher ?

So Mai 1 22:59:18 CEST 2016

Hallo Winfried,

da kommt jetzt ja ganz schön viel beisammen… und das ist auch alles nicht ganz einfach. Aber mal so zum wesentlichen…

Deine User solltest Du auf Port 587 (Submission) verschieben. Dort lässt Du nur sasl_authenticated zu und hast dann eigentlich Ruhe.

Auf Port 25 sollten nur noch andere Mailserver reinkommen und somit nur Mails an Deine Domain einliefern dürfen. Viele Spammer fliegen raus.

Je nach Postfix-Version würde ich postscreen empfehlen, welches RBL filtern und auch sonst den verbundenen Client prüfen kann. Google hilft weiter.

Bei den RBL-Listen gibt es vieles was sich kombinieren ließe. Ich habe inzwischen Postscreen mit diversen RBL-Listen und dahinter den Amavis mit ClamAV und Spamassassin. Für Deutschland haben sich manitu und inps.de als gut herausgestellt. Postscreen kann aber Listen unterschiedlich bewerten und das kombinierte Ergebnis dann zur Entscheidung verwenden.

Für beide Clam und SA gibt’s auch Spam-Listen. Für SA gibts eine vom Heinlein-Support und von zmi.at. Da sind zB falsche Telekom- und Amazon-Rechnungen gelistet. Für Clam schau mal nach clamav-unofficial-sigs auf Github. Das Script aktualisiert autom. von einer ganzen Reihe an Portalen. Lässt sich ganz frei konfigurieren.

2-3 Emails pro Woche kommen da noch durch. Da bin ich noch am optimieren…

Achso… Spam ablehnen und nicht markieren. Auch hierzu hat Heinlein was veröffentlicht… Mehr <https://www.heinlein-support.de/vortrag/spam-quarantaene-und-tagging-der-grosse-irrtum>

Philon

> Am 01.05.2016 um 12:04 schrieb Winfried Ritsch <ritsch at algo.mur.at>:
> 
> Hallo,
> 
> Habe Kolab-16 auf Centos7 aufgesetzt und versucht möglichst alle empfohlenen 
> Sicherheiststufen beizubehalten (da ich kein postfix spezialist bin und denke 
> Kolab hat gute vorgaben).
> 
> Allerdings bekam ich die Meldung das ein user aus einen fremden Netz nicht 
> über meinen outgoing mail-server (relay) an eine externe email addresse senden 
> darf:
> 
> user at myhost.xx -> somwhere at gmail.xx via mail,myhost.xx  über TLS 
> authentifiziert.
> 
> Da dieser seine privaten emails nicht über den Firma outgoing senden will, 
> habe ich meine policy verändert und erlaube dies indem ich zu
> 
> /etc/postfix/main.cf: 
> 
> smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_pipelining, 
> reject_rbl_client zen.spamhaus.org, reject_non_fqdn_recipient, 
> reject_invalid_helo_hostname, reject_unknown_recipient_domain, 
> reject_unauth_destination, check_policy_service 
> unix:private/recipient_policy_incoming, permi
> 
> permit_sasl_authenticated  hinzugefügt habe.
> 
> Begründung: wenn sich jemand authentifizieren kann lass ich ihn auch senden, da 
> ich alle meine User kenne.
> 
> Nun konnte ein User trotzdem nicht senden,  da reject_rbl_client 
> zen.spamhaus.org ein reject lieferte, da sein Provider in der RBL Liste war. 
> Meine Vermutung, damit ja jeder die email outgoing und damit nur zugelassen 
> den account des providers verwenden kann.
> 
> Ich habe nun "reject_rbl_client zen.spamhaus.org" entfernt bin mir aber 
> unsicher ob dies wirklich gut ist oder ich was übersehen habe.
> 
> Folgende Fragen:
> 
> a) habe ich dabei was falsch gemacht, speziell bei  permit_sasl_authenticated 
> ?
> 
> b) Gibt es eine Grund warum Kolab rbl liste von spamhaus verwendet, bzw. habe  
> ich jetzt ein relevant erhöhtes Sicherheitsrisiko ?
> 
> Falls jemand damit auskennt, wäre ich um eine Meinung dankbar .
> 
> mfG 
> Winfried Ritsch
> 
> -- 
> ---- Atelier Algorythmics ----
> Winfried Ritsch
> Leitnergasse 7a, 
> A-8010 Graz
> Austria
> mobil: ++43 664 2439369
> http://algo.mur.at/
> --------------------------------------
> _______________________________________________
> users-de mailing list
> users-de at lists.kolab.org
> https://lists.kolab.org/mailman/listinfo/users-de

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.kolab.org/pipermail/users-de/attachments/20160501/03ff12a2/attachment.html>