Filter-Kriterien kaskadieren

Christian Boltz postfix-users at cboltz.de
Fr Okt 7 15:01:05 CEST 2016 

Hallo Jörn, hallo zusammen,

Am Freitag, 7. Oktober 2016, 10:59:27 CEST schrieb Jörn Bredereck:
> Würde ein 3rd-Party-Tool wie Amavis mein Problem evtl. lösen? Was
> verwendet man da heutzutage? Mein letztes Amavis habe ich vor 8
> Jahren aufgesetzt. Is das immer noch das Filtering-Framework der Wahl
> oder gibts da inzwischen was besseres?

Ich habe jedenfalls immer noch Amavis im Einsatz, und bisher ist mir 
auch noch nix besseres über den Weg gelaufen ;-)

Neben den bereits genannten Optionen bietet sich noch der Weg über 
Amavis (bzw. genaugenommen über SpamAssassin, das ja von Amavis 
eingebunden wird) an.

Ich habe in meiner /etc/mail/spamassassin/local.cf seit Jahren einen 
Eintrag, um von Sourceforge an mich relayten Spam zu blocken:


header    CB_TO_CBOLTZ_SOURCEFORGE      To =~ /MEIN_SF_NAME.users.sourceforge.net/i
describe  CB_TO_CBOLTZ_SOURCEFORGE      Sent to MEIN_SF_NAME at users.sourceforge.net
score     CB_TO_CBOLTZ_SOURCEFORGE      0.001

# X-Spam-Score und einige andere X-Spam-Header werden von Amavis grundsaetzlich ignoriert.
# daher auf X-VA-Spam-Flag filtern ;-)
header    CB_COMES_WITH_VA_SPAM_FLAG    X-VA-Spam-Flag =~ /YES/i
describe  CB_COMES_WITH_VA_SPAM_FLAG    Contains X-VA-Spam-Flag: YES header
score     CB_COMES_WITH_VA_SPAM_FLAG    1

meta      CB_SPAM_RELAYED_BY_SOURCEFORGE          (CB_TO_CBOLTZ_SOURCEFORGE && CB_COMES_WITH_VA_SPAM_FLAG)
describe  CB_SPAM_RELAYED_BY_SOURCEFORGE          Spam sent to MEIN_SF_NAME at users.sourceforge.net
score     CB_SPAM_RELAYED_BY_SOURCEFORGE          9


Das war dann im Vergleich zu erfolglosen Diskussionen mit dem SF-Support 
die effektivere (und sofort funktionierende) Lösung.


Ach ja, da Spammer gern meine SF-Adresse als Absender benutzt haben,
gibt es auch noch:


# Backscatter von abgewiesenem Sourceforge-Spam
body      CB_BODY_COMES_WITH_SPAMFLAG   /X-VA-Spam-Flag:[   ]*YES/i
describe  CB_BODY_COMES_WITH_SPAMFLAG   Contains X-VA-Spam-Flag: YES in body (bounce?)
score     CB_BODY_COMES_WITH_SPAMFLAG   0.001

body      CB_BODY_COMES_WITH_SPAMSCORE  /X-Spam-Score:[     ]*[0-9][0-9]/i
describe  CB_BODY_COMES_WITH_SPAMSCORE  Contains X-Spam-Score >= 10 in body (bounce?)
score     CB_BODY_COMES_WITH_SPAMSCORE  0.001

# already spam-blocked by me?
body      CB_BODY_ALREADY_SPAMBLOCKED   /host mx.cboltz.de .188.40.126.166.: 554 5.7.0 Reject, id=[0-9-]* - SPAM/i
describe  CB_BODY_ALREADY_SPAMBLOCKED   Was already spam-blocked by mx.cboltz.de
score     CB_BODY_ALREADY_SPAMBLOCKED   3

meta      CB_SPAM_BOUNCED_BY_SOURCEFORGE          (CB_TO_CBOLTZ_SOURCEFORGE && CB_BODY_COMES_WITH_SPAMSCORE)
describe  CB_SPAM_BOUNCED_BY_SOURCEFORGE          Spam bounced to MEIN_SF_NAME at users.sourceforge.net
score     CB_SPAM_BOUNCED_BY_SOURCEFORGE          10


Ob SF inzwischen den Spam immer noch taggt und weiterleitet oder ob sie
tatsächlich gleich rejecten? Keine Ahnung, interessiert mich auch nicht
wirklich ;-)

Jedenfalls: anhand dieser Beispiele solltest Du Dir die gewünschten 
Regeln zusammenbasteln können ;-)


Gruß

Christian Boltz
-- 
I built version 1.7.1 in my branch.. a bit messy, as most work seems
to have gone into 'replacing autofoo with cmake' (aka one broken build
system for another one). [Dominique Leuenberger in opensuse-factory]

Mehr Informationen über die Mailingliste postfix-users