[Debian] Spamfilter

[Tuinkabouter !!]

Ik ber er in het afgelopen najaar ook al mee aan het kloten geweest, maar het wil nog steeds niet: een spamfilter met evt antivirus inbouwen bij postfix.

Ik heb toen een howto gevolgd uit LinuxMagazine, op laatst was ik zover, dat er iig geen mail meer gebounced werd, maar er werd ook niks gefilterd, het had dus allemaal weinig nut. Daar is een kapotte hdd van de server overheen gegaan.

Ik heb nu een week vakantie en wil er weer mee bezig omdat de hoeveelheid spam een beetje uit de hand aan het lopen is. MS Outlook doet er ook niet al te veel aan, dus dan maar zelf weer bezig.

Mijn vraag is dus: Hoe pruts ik een filtertje in elkaar die het doet, evt met antivirus. Of als iemand dat voor mij zou willen doen tegen een vergoeding is het ook goed.

Ik wil het liefst alleen pakketten gebruiken uit debian stable (http.us.debian.org), ik ga iig niet upgraden naar testing/unstable

[Enlightenment]

Debian STABLE is zoiets als een jaar oud, dus dat zal mogelijk wel problemen kunnen geven.

Heeft Debian ook DSPAM?

[Tuinkabouter !!]

Code:

Computerdokter:~# apt-cache search DSPAM
Computerdokter:~# apt-cache search spam
exim - An MTA (Mail Transport Agent)
exim-tls - Exim Mailer - with TLS (SSL) support
mailman - Powerful, web-based mailing list manager
sendmail - A powerful, efficient, and scalable Mail Transport Agent
drac - Dynamic Relay Authorization Control (pop-before-smtp)
drac-dev - Dynamic Relay Authorization Control (development files)
lg-issue62 - Issue 62 of the Linux Gazette.
lg-issue66 - Issue 66 of the Linux Gazette.
lg-issue67 - Issue 67 of the Linux Gazette.
libmail-bulkmail-perl - Platform independent mailing list module
libroxen-cloakingdevice - Mailto mutilation module for the Roxen Challenger web server
mailfilter - A program that filters your incoming e-mail to help remove spam.
mailscanner - An email virus scanner and spam tagger.
opensp - OpenJade group's SGML parsing tools
pop-before-smtp - watch log for pop/imap auth, notify Postfix to allow relay
pop3browser - Allows to check a pop3 mailbox before downloading any mail.
razor - spam-catcher using a collaborative filtering network
sauce - SMTP defence software against spam
smtp-refuser - Simple spam-block with refusal message
smtpd - Mail proxy for firewalls with anti-spam and anti-relay features
sp - James Clark's SGML parsing tools
spamassassin - Perl-based spam filter using text analysis
spamfilter - Filter spam from incoming mail
ucspi-tcp-src - Source only package for building ucspi-tcp binary package
Computerdokter:~#

Zoals je kunt zien geen DSPAM, en een zoekactie op clamav levert ook niks op. Ik ga ze wel van source compilen, maar moet nog even weg. Ik zal vanavond later kijken

[Orion]

Citaat:

Enlightenment schreef op 27-02-2004 @ 18:14:
Debian STABLE is zoiets als een jaar oud, dus dat zal mogelijk wel problemen kunnen geven.

Heeft Debian ook DSPAM?

Het kan iig wel..

ik heb email van Endoria (draait Debian AFAIK) en dat wordt ook gescand met DSPAM

[Tuinkabouter !!]

Iemand wees mij op mailscanner. Daar ben ik gisteravond mee aan het spelen geweest, maar deze draait op de Exim MTA ipv postfix, en Exim krijg ik niet aan de gang, dus ik ben weer terug gegaan naar postfix.

Is er hier niemand die al een postfix + SpamAsassin aan het draaien heeft en zo ja -> zou deze persoon zn config files willen posten? ik weet dat het de makkelijke manier is maar ik kom er zelf niet uit. Evt overstappen op bijv exim is niet zo'n punt, als het maar werkt.

[JelmerBarhorst]

Ikzelf draai postfix, amavis (koppeling naar virusscanner) en via procmail spamassassin en vilpul's razor.

Hoe je het moet configureren is allemaal perfect gedocumenteerd (zie bijv /usr/share/doc/spamassassin/)

Wat voor mij trouwens erg veel spam tegenhoud, zijn de DNS blocklists van spamhaus.org.

[Manuzhai]

Ik hoor de laatste tijd niet erg positieve verhalen over SpamAssassin... Zelf gebruik ik al een redelijke tijd POPFile. Is meer aan de client-side, maar wel zeer effectief: vrijwel geen false positives (5 per jaar, ofzo) en bijna geen spam (5 per maand, denk ik).

[dystopia]

Zoals Jelmer al min of meer aangeeft zijn verschillende methodes gezamelijk effectief. Jelmer geeft aan zowel een "slimme" wordlist filter zoals bijvoorbeeld SpamAssasin te gebruiken gezamelijk met een "dns blocklist" (aka RBL). Goed punt!

Ik raad 5 methodes aan, waarvan er al 2 -de eerste 2- zijn toegelicht. Sommige zijn op MTA-niveau, anderen op MUA-niveau.

1) Een "slim" filter. Lees 1 van de vele reviews hierover. Lees een test, enz. Via Google enzo kun je meer reviews vinden. Let ook even op de datum enzo het is goed mogelijk dat er in de tussentijd het een en ander is veranderd.
2) RBL. Spamfilters op basis van bijvoorbeeld dynamisch IP, DNS (geen reverse DNS, geen MX record), of gewoon bekende IP's van spammers. Heb je Xs4all, kun je de RBL's gewoon uit hun lijsten halen en zelf gebruiken in je MTA. Anders wil ik ze wel ff copy/pasten en je kunt zelf zoeken. Bijv Spamhaus heeft een lijst, en Google is handig. Je kunt ook meerdere van deze lijsten in combinatie met elkaar gebruiken
3) Tarpitting. Dat houdt in dat wanneer iemand een X messages verstuurd binnen een Y aantal seconden diegene's connectie genegeerd wordt en de connectie met de MTA open blijft zo is er een patch voor Qmail die dit doet (voor Postfix vast ook wel). Zelfde effect; andere methode: dit effect in combinatie met IP's uit methode van punt 2 kan dmv bijv "spamd", die noemde je al op in je lijst. Bij beide is het effect aan de kant van de spammer een crashende, of laggende e-mail "client". Vecht terug
4) Wanneer je bij een provider in zee gaat, zoek eerst uit op bijv Spamvrij of ze wel 'ns gespammed hebben en of ze dat nog steeds doen. Zulke gasten wil je niet financieren, of wel soms? Plus, sommige andere (grote) ISP's kunnen dmv eerdergenoemde methodes in punt 2 e-mail van jou(w ISP) blokkeren met alle gevolgen van dien.
5) Lijkt logisch, maar ga zelf niet een "open relay" opzetten. Een "open relay" is een MTA die van heel internet commando's accepteert die het versturen van mail mogelijk maken. Normaal gesproken ontvangt een MTA enkel mail van iedereen (exclusief bijv anti-spam maatregelen zoals eerder aangegeven). Een "open relay" echter maakt geen onderscheid tussen mensen die wel mail mogen versturen en mensen die dat niet mogen; iedereen mag het. Dat zorgt er voor dat je MTA misbruikt gaat worden door dezelfde eikels die je haat: spammers. Dus, een maatregel om dat te voorkomen is zet indien mogelijk een authenticatie in je SMTP server alvorens men deze mag gebruiken. Hier zijn verschillende methodes en patches voor afhankelijk per MTA (ik ben geen Postfix kenner). Wat je ook kunt doen is aangeven dat alleen 127.0.0.1 (localhost) mag mailen en vervolgens alleen vanaf command-line of vanaf een web-mail op die kist mailen. Dan heb je nl. een authenticatie op niveau voor command-line, of voor de web-mail user is ingelogd. Twijfel je aan je configuratie? Er zijn verschillende "open relay scanners" te vinden op het internet...

For the record, afkortingen:
MTA = Mail Transfer Agent = SMTP server = server die mail verstuurt en ontvangt. Qmail, Postfix, Sendmail zijn alledrie een voorbeeld van MTA's. Exim komt standaard met Debian.
MUA = Mail User Agent = client die de mail verstuurt en ontvangt van een SMTP / POP / IMAP server, of locale mailbox op server. Voorbeeld: Pine, Mutt, Outlook, Hotmail, enz.
RBL = een "blacklist", precieze afkorting weet ik even zo gauw niet.

Ik gebruik enkel RBL's (MTA uitbesteed) en dat houdt het meeste tegen, behalve spam van mailinglists. Punt 5 is niet van toepassing, punt 4 klopt. Punt 3 weet ik niet of mijn ISP dat doet. Punt 1 kan ik, als ik wil, zelf doen (ook mbt die mailinglists).

Succes!