DNS Blacklist hart reject

Discussion in 'Proxmox Mail Gateway (Deutsch)' started by Janko, Aug 17, 2018.

  1. Janko

    Janko New Member

    Joined:
    May 15, 2011
    Messages:
    26
    Likes Received:
    0
    Hallo liebe Gemeinde,

    bei mir werden Emails derzeit hart rejected wenn der der einliefernde Emailserver auf einer Blacklist steht oder SPF und Co nicht passen.

    Ich möchte jedoch keinen hart Reject sondern lediglich dann eine Verschiebung in die Quarantäne.

    Wie und wo kann ich diese Konstelation wohl am besten umsetzen.

    Bin dankbar für jeden Tipp.
     
  2. heutger

    heutger Active Member

    Joined:
    Apr 25, 2018
    Messages:
    281
    Likes Received:
    69
    Hallo,

    also fangen wir von hinten an: SPF kann ich nur dringend von abraten. Meine Erfahrung mit SPF ist diese, dass SPF genauso gehandhabt wird wie PGP/GnuPG, man probiert mal mit rum und dann vergisst man es und es pflegen große, wirklich große, Websites auf einmal ihre SPF-Records nicht mehr und werden auf einmal geblockt. Das ist natürlich stets erst mal administratives Pech, könnte man meinen, aber ich habe gerade nach bestimmten Datenschutzschulungen gesucht und einen Anbieter wegen einer Frage kontaktiert. Dieser scheint wohl auch einen harten Spamfilter am Laufen zu haben, so dass meine Mail geblockt wurde, ich habe es dann noch einmal versucht, jetzt ist der Anbieter nach erneutem Bounce für mich raus. Will sagen, ja, man kann hart sein, aber wenn dabei potentielle Kunden abgewiesen werden, hört für mich der Spaß einfach auf, dann lieber 2-3 Spammails mehr, viel mehr hilft SPF sowieso nicht. DKIM genau das gleiche, habe schon etliche Tags nun gesehen über SpamAssassin, dass ganz eindeutiger SPAM DKIM-signiert ist, also bringt genauso wenig.

    So, nun zum harten reject: Also SPF rejected (wenn an) grundsätzlich hart und ich weiß auch nicht, wie/ob man das ausschalten kann, fände ich auch schön. Daher habe ich SPF ganz aus. SPF im SpamAssassin läuft hingegen weiter und tagged entsprechend, was dazu führen kann, dass eine Mail über einen bestimmten Wert rutscht, den man vorher in den Regeln festgelegt hat, und damit in die Quarantäne wandert oder als Spam getagged wird (auch hier bin ich kein Freund der Quarantäne sondern des Taggings).

    Die Blacklists ist es genau das gleiche, es gibt hier jedoch drei Möglichkeiten:

    1. Blacklists über die GUI eingestellt (oder über die main.cf.in über eine Templatekopie, siehe Anleitung) werden grundsätzlich erst mal hart rejected. Man kann diese jedoch mit Gewichten versehen (siehe meine Anleitung) also sowas wie *2 usw.

    2. Dann kann man einen Threshold einstellen, dieser Threshold soll seit dem letzten GUI-Update auch in der GUI verfügbar sein, derzeit konnte ich die Option aber noch nicht ausmachen, ich habe derzeit wenig Zeit, aber wenn ich wieder mehr Zeit für PMG-Tests habe, werde ich auch entsprechend mal nachfragen. Der Threshold dient dazu, dass man bspw. erst hart rejected, wenn Mails auf zwei oder mehr Blacklists oder auf entsprechend gewichteten Blacklists auftreten. In meiner Anleitung habe ich das so gemacht, dass ich als vertrauenswürdig eingestufte Blacklists auf *2 gesetzt habe, während ich nicht (mehr) uneingeschränkt vertrauenswürdige eingestufte Blacklists auf *1 bzw. ohne Gewicht gelassen habe, so dass zwei davon mit rejected, eine alleine aber eben nicht.

    3. Man kann die Blacklists auch gar nicht zum rejecten nutzen sondern analog wiederum über die SpamAssassin custom configuration (siehe Anleitung) einfach nur zum taggen einfügen, ab einem erreichten Wert (vgl. den Regeleinstellungen) wandert die Mail dann wieder in die Quarantäne. Ich persönlich finde es sinnvoller, Blacklists, die wirklich vertrauenswürdig sind (dazu fahre ich wochenlange Tests) auch wirklich hart rejecten lassen und eben solche, die wenige, aber existente, false-positives haben sowohl in Summe hart rejecten zu lassen und/oder dann auch noch zu taggen (sofern die Mail durch kommt). Genau das Setup habe ich bei mir gewählt. Mein Ziel ist es, so viel Spam abzublocken wie nötig, so wenig false-positives dabei wie möglich. Wie testet man die Blacklists? Einfach in der main.cf.in (vgl. oben über Templatekopie) warn_if_reject und dann die Blacklist-Reject-Regel einbauen. Anschließend kann man über den Tracker die Mails nachvollziehen, die in die Blacklist gerannt wären und entscheiden. Ist halt eine Aufgabe für einige Zeit. Wenn man meine Anpassung für Subject, From und To umsetzt, sieht man auch die vermeintlich echten Absender (also wie die Mail auch im Mailclient ankommt), denn die typischen E-Mail-Service-Provider wie Mailchimp und Co. nutzen Bounce-Detect-Adressen als technischen Absender, so dass man daraus nicht schließen kann, was das für eine Mail ist und ob sie legitim ist oder nicht.
     
  3. Janko

    Janko New Member

    Joined:
    May 15, 2011
    Messages:
    26
    Likes Received:
    0
    Hi Heutger,

    das ist doch mal eine ausführlicher Bericht!
    Ich danke dir sehr dafür.
    Nun gehe ich mal die Punkte Schritt für Schritt durch.
     
  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.
    Dismiss Notice