PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Einfaches greylisting für sendmail



suckemdown
20.01.2008, 19:22
Hallo,

auf unserem Linux-Server läuft jetzt schon ziemlich lange sendmail und ich möchte nichts an der Konfiguration ändern, sondern einfach nur ein einfaches Greylisting hinzufügen.

Wie kann ich am schnellsten so etwas realisieren ohne den Kernel neu compilieren, eine neue glibc installieren und dann endgültig den rechner neu installieren zu müssen.

Am besten ein dreizeiler für sendmail.

Vielen Dank,
Sucki

actro
20.01.2008, 19:32
ich empfehle da gerne eine lösung über milter, siehe auch hier:

http://smfs.sourceforge.net/smf-grey.html

wobei dir klar sein muss, dass greylisting nicht die lösung der probleme ist.

a) die neuen bots kennen das uns senden dementsprechend die spams 2mal in gewissen zeiträumen, weil sie die smtp-response auswerten können

b) der traffic ist grösser, was dem internet auf dauer nicht gut tut

eine gepflegte blacklist, wie sie zum beispiel von heise angeboten wird, sowie passende spamassassin-regeln und vernünftige policies in der main.cf sind immer noch das beste mittel imho.

mas
25.02.2008, 21:30
"einfaches Greylisting"

...in der Tat lieber nicht. Damit wird alles verlangsamt und die Bots stellen sich irgendwan drauf ein.

Man sollte *selektiv* Greylisten. Sprich nur Nachrichten mit einer gewissen mittleren Spamwahrscheinlichkeit (spamassassin und scharfe RBLs) werden dem Grelisting unterworfen. Eben was man sich nicht trauen würde zu blocken wegen zu vieler "false positives".

Eindeutig als Spam indentifiziert blockt man hingegen gleich. Eindeutig kein Spam läßt man durch. Der mittlere Bereich wird gegreylisted.

Und das bringt sogar dann noch was, wenn der Spambot nach ner Weile erneut schickt und das greylisting umgeht. Man erkauft sich nämlich Zeit. Und bis dahin ist die Nachricht dann mit ner gewissen Wahrscheinlichkeit bei razor/pyzor gelisted und landet dann auf Spamwahrscheinlichkeit "sehr hoch" und wird somit abgewiesen trotz erfolgreichem greylisting.

homer
25.02.2008, 21:42
Man sollte *selektiv* Greylisten. Sprich nur Nachrichten mit einer gewissen mittleren Spamwahrscheinlichkeit (spamassassin und scharfe RBLs) werden dem Grelisting unterworfen.
Noch mal Einspruch. Wenn der SpamAssassin die Mail schon durchgekaut hat, dann hab ich die Bewertung und brauch nicht mehr greylisten. Das ist ja grade der Witz dran, dass ich meine Ressourcen schone und der Spammer erstmal auf seinen Mails sitzen bleibt und nochmal schicken muss. Dann steht er evtl. schon auf einer Blacklist und wird gleich nach dem Verbindungsversuch geknickt.

Wenn ich den Rotz erstmal auf dem Server hab, noch dazu vom SA bewertet, dann muss ich den nicht nach der Greylisting-Zeit nochmal annehmen und bewerten. Dann lieber eine lokale Blacklist, die ab einem Score von X autmoatisch mit der Spammer-IP gefüttert wird.