Hallo,
hmm, also out of the box ist die Erkennung von PMG etwas behäbig. Zunächst wäre zu klären, ob ein eigener DNS-Server verwandt wird, also entweder auf dem Gateway direkt oder über den zentralen DNS-Server. Wenn nicht, werden einige Blacklists nicht funktionieren, da sie die Nutzbarkeit einschränken, bspw. URIBL. Dann ist es so, dass Spamhaus eine sehr gute Wahl ist, Barracuda aber nachweislich einige false positives hat. Barracuda hat auf Anfrage mal erklärt, wie deren Liste funktioniert: Wenn da nur ein Admin in seiner Barracudainstallation auf "Spam" klickt, ist der Sender auf der Liste, das ist zwar brauchbar, aber eben nicht blind. Ich habe über wochenlanges Finetuning (siehe mein PMG Advanced-Thread) ein Set an Listen mir zusammengesucht. Kann man auch für sich jeweils selbst machen, indem man in der main.cf.in die Blacklists einträgt und zwar nicht als tatsächlichen reject sondern sich ins Log schreiben lässt, wenn sie rejecten würden. So habe ich Listen mit keinerlei false-positives auf 2 gesetzt und Listen mit ganz wenigen false-positives auf 1 (dazu gehört Barracuda, aber noch einige mehr, gerade in DACH eher NiXspam). Alle anderen Listen sind komplett rausgeworfen und ich setze hier auf den eigentlichen Mailscan durch SpamAssassin.
Beim eigentlichen Mailscan durch SpamAssassin ist eine gute Konfiguration Gold wert. Zunächst extrem wichtig ist eben der eigene DNS-Server, damit man nicht in die Usage Limits rennt, anschließend kann man aber mit Pyzor und DCC die Quoten leicht verbessern, mit vorgefertigten Listen ebenfalls, Heinlein ist hier federführend, aber es gibt noch ein paar mehr an Filterlisten für SpamAssassin, auch ist der ClamAV von Haus aus ziemlich schwach, diesen kann man mit zusätzlichen Signaturen stärken, und zu guter Letzt ist natürlich gerade das Anlernen von Spam und Ham extrem wichtig. Dazu kann man das System einfach eine ganze Zeit lang laufen lassen und auch ausgehende Mails sind wichtig, jedoch ist das Lernen von Ham hierbei recht zügig, beim automatischen Lernen von Spam ist SpamAssassin sehr zurückhaltend (was aber auch sehr gut ist, besser, als Nicht-Spam aus Versehen anzulernen). Insoweit macht es Sinn, Spam zu sammeln und dem SpamAssassin mittels sa-learn beizubringen. Für IMAP-Postfächer habe ich hier einen Skript gebaut, für Exchange zeichnet sich hier auch gerade eine Lösung ab (wenn man dahinter Exchange verwendet). Auf keinen Fall sollte man "fremden Spam", den man im Netz beziehen kann, anlernen, denn das führt dazu, dass sich die Bayes-Filter an diesen Spam gewöhnen, der sicherlich nicht jenem entspricht, den man selbst hat. Spam und Ham müssen mindestens 200 Stück angelernt worden sein, damit der Bayes-Filter anfängt, seine Arbeit zu verrichten. In einer 1-Firma-Testinstallation, ohne jetzt selbst Spam oder Ham anzulernen, bin ich nach ca. 6 Monaten Betrieb ohne ausgehende Mails bei 125 Spam und 156.812 Ham, es dürfte also noch eine ganze Weile dauern, dass der Filter loslegt. Manuelles Anlernen zumindest zum Start sehe ich daher als essentiell an.
Mit freundlichen Grüßen
Christian Heutger
