Hallo,
also fangen wir von hinten an: SPF kann ich nur dringend von abraten. Meine Erfahrung mit SPF ist diese, dass SPF genauso gehandhabt wird wie PGP/GnuPG, man probiert mal mit rum und dann vergisst man es und es pflegen große, wirklich große, Websites auf einmal ihre SPF-Records nicht mehr und werden auf einmal geblockt. Das ist natürlich stets erst mal administratives Pech, könnte man meinen, aber ich habe gerade nach bestimmten Datenschutzschulungen gesucht und einen Anbieter wegen einer Frage kontaktiert. Dieser scheint wohl auch einen harten Spamfilter am Laufen zu haben, so dass meine Mail geblockt wurde, ich habe es dann noch einmal versucht, jetzt ist der Anbieter nach erneutem Bounce für mich raus. Will sagen, ja, man kann hart sein, aber wenn dabei potentielle Kunden abgewiesen werden, hört für mich der Spaß einfach auf, dann lieber 2-3 Spammails mehr, viel mehr hilft SPF sowieso nicht. DKIM genau das gleiche, habe schon etliche Tags nun gesehen über SpamAssassin, dass ganz eindeutiger SPAM DKIM-signiert ist, also bringt genauso wenig.
So, nun zum harten reject: Also SPF rejected (wenn an) grundsätzlich hart und ich weiß auch nicht, wie/ob man das ausschalten kann, fände ich auch schön. Daher habe ich SPF ganz aus. SPF im SpamAssassin läuft hingegen weiter und tagged entsprechend, was dazu führen kann, dass eine Mail über einen bestimmten Wert rutscht, den man vorher in den Regeln festgelegt hat, und damit in die Quarantäne wandert oder als Spam getagged wird (auch hier bin ich kein Freund der Quarantäne sondern des Taggings).
Die Blacklists ist es genau das gleiche, es gibt hier jedoch drei Möglichkeiten:
1. Blacklists über die GUI eingestellt (oder über die main.cf.in über eine Templatekopie, siehe Anleitung) werden grundsätzlich erst mal hart rejected. Man kann diese jedoch mit Gewichten versehen (siehe meine Anleitung) also sowas wie *2 usw.
2. Dann kann man einen Threshold einstellen, dieser Threshold soll seit dem letzten GUI-Update auch in der GUI verfügbar sein, derzeit konnte ich die Option aber noch nicht ausmachen, ich habe derzeit wenig Zeit, aber wenn ich wieder mehr Zeit für PMG-Tests habe, werde ich auch entsprechend mal nachfragen. Der Threshold dient dazu, dass man bspw. erst hart rejected, wenn Mails auf zwei oder mehr Blacklists oder auf entsprechend gewichteten Blacklists auftreten. In meiner Anleitung habe ich das so gemacht, dass ich als vertrauenswürdig eingestufte Blacklists auf *2 gesetzt habe, während ich nicht (mehr) uneingeschränkt vertrauenswürdige eingestufte Blacklists auf *1 bzw. ohne Gewicht gelassen habe, so dass zwei davon mit rejected, eine alleine aber eben nicht.
3. Man kann die Blacklists auch gar nicht zum rejecten nutzen sondern analog wiederum über die SpamAssassin custom configuration (siehe Anleitung) einfach nur zum taggen einfügen, ab einem erreichten Wert (vgl. den Regeleinstellungen) wandert die Mail dann wieder in die Quarantäne. Ich persönlich finde es sinnvoller, Blacklists, die wirklich vertrauenswürdig sind (dazu fahre ich wochenlange Tests) auch wirklich hart rejecten lassen und eben solche, die wenige, aber existente, false-positives haben sowohl in Summe hart rejecten zu lassen und/oder dann auch noch zu taggen (sofern die Mail durch kommt). Genau das Setup habe ich bei mir gewählt. Mein Ziel ist es, so viel Spam abzublocken wie nötig, so wenig false-positives dabei wie möglich. Wie testet man die Blacklists? Einfach in der main.cf.in (vgl. oben über Templatekopie) warn_if_reject und dann die Blacklist-Reject-Regel einbauen. Anschließend kann man über den Tracker die Mails nachvollziehen, die in die Blacklist gerannt wären und entscheiden. Ist halt eine Aufgabe für einige Zeit. Wenn man meine Anpassung für Subject, From und To umsetzt, sieht man auch die vermeintlich echten Absender (also wie die Mail auch im Mailclient ankommt), denn die typischen E-Mail-Service-Provider wie Mailchimp und Co. nutzen Bounce-Detect-Adressen als technischen Absender, so dass man daraus nicht schließen kann, was das für eine Mail ist und ob sie legitim ist oder nicht.
