Spamschutz

[trekkie]

Wir wollen in der Firma ein neues Anti-Spam-Konzept einführen und das würd' ich hier gerne mal zur Diskussion stellen.

Unsere bisherige Idee sieht so aus:

1. Mails gehen ein auf unserem Webserver (steht beim Provider und ist ein Root-Server unter Linux). Dort wird als erste Abwehrfront alles abgewiesen, was in den Blacklisten von spamcop und spamhaus sowie in der ordb zu finden ist, außerdem erfolgt ein Symtax-Check, der prüft, ob es die Mailadresse potentiell geben kann. Das Ganze wird von einer Whitelist gestützt, die automatisch aus den internen Adreßbüchern gefüttert wird. Die Mails sollen dabei möglichst gleich auf SMTP-Ebene abgelehnt werden. NDRs werden nicht erzeugt.

2. Die verbleibenden Mails werden über den Proxy in der DMZ an den Exchange-Server weitergereicht und dabei mehrstufig auf Viren, Trojaner und Exploits gescannt.

3. Der verbleibende Rest erreicht den Exchange-Server. Hier soll dann die letzte Filterung per Bayes-Filter stattfinden, wobei die User dann die Möglichkeit haben, per verschieben der Mails zwischen JunkMail- und Posteingangsordner auf den Filter Einfluß zu nehmen. Was hier noch an ungültigen Adressen ankommt, soll dann auch per NDR benachrichtigt werden, es könnt' sich ja mal wer vertippt haben.

Viel sollte auf dem Exchange-Server dann nicht mehr ankommen, meiner ersten Abschätzung nach (momentan markieren wir die Mails von den Blacklists nur) filtert das Blacklisting zusammmen mit dem Syntax-Chteck momentan ca. 60-70% des Mülls aus.

Ein paar Fragen sind auch noch offen:

- macht Greylisting im Schritt 1 Sinn? (Vermutlich ja, aber ich hab' keine Erfahrungen damit...)
- SPF zum blocken ist wohl noch nicht weit genug verbreitet, aber man könnte den SPAM-Score auf dem Exchange-Server damit anheben...?
- Macht es Sinn, dynamic IP Ranges auszusperren?

Das Ganze liegt in der Größenordnung von 250 Usern.

Ich freu' mich auf Kommentare / Verbesserungsvorschläge / ...

Gruß
Trekkie

[homer]

1. Mails gehen ein auf unserem Webserver [...]

Aus meiner Erfahrung kann ich sagen, dass Spamcop ziemlich "scharf" blockt. Vorsicht mit der Verwendung, es bleiben viele legitime Mails hängen. Spamhaus und ORDB finde ich soweit OK. Besser als eine Prüfung auf eine "potentiell existierende Adresse" ist eine Prüfung auf eine tatsächlich existierende Adresse.

2. Die verbleibenden Mails werden über den Proxy in der DMZ an den Exchange-Server weitergereicht und dabei mehrstufig auf Viren, Trojaner und Exploits gescannt.

Warum soll das erst der Proxy machen? Verleg das doch auf die erste Stufe, Stichwort: clamav, filtert auch die eine oder andere Phising-Mail weg.

3. Der verbleibende Rest erreicht den Exchange-Server. [...]

Auch das würd ich in Stufe 1 vom spamassasin erledigen lassen.

- Macht es Sinn, dynamic IP Ranges auszusperren?

Kommt auf Deine Kunden an. Wenn da ein paar einen eigenen Mailserver im Haus haben, der direkt per SMTP ins Internet schickt werden diese Mails geknickt. Ich würd mal beobachten, welche legitimen Mails woher kommen.

Das Ganze liegt in der Größenordnung von 250 Usern.
Ich freu' mich auf Kommentare / Verbesserungsvorschläge / ...

Hatte ich im alten Forum schonmal erwähnt:
[Link nur für registrierte Mitglieder sichtbar. ]
Die Installation kümmert sich um den ganzen Kram von wegen Userprüfung, Virenscan und Spambewertung und knickt ggf. die Mailübertragung im SMTP-Protokoll. Mit etwas Tining kriegt man das sicher auch an die Userbase vom Exchange angebunden. Wir nutzen das Teil "as is" uns brauchen daher nix externes anbinden.

[trekkie]

Warum soll das erst der Proxy machen? Verleg das doch auf die erste Stufe, Stichwort: clamav, filtert auch die eine oder andere Phising-Mail weg.

Hm. Eigentlich hast Du ja schon recht, aber der Virenscanner hat erst vor kurzem Geld gekostet und das soll eigentlich nicht in den Wind geschossen sein. Was man schon hat...

Auch das würd ich in Stufe 1 vom spamassasin erledigen lassen.

Dabei frage ich mich aber, wie das gehen könnte. Der User hat dann keinen Einfluß auf den Bayes-Filter, weshalb es schwierig bis unmöglich sein dürfte, false-positives loszuwerden. Außerdem könnte sich das rechtlich mit dem Thema Archivierung beißen...

toaster

Danke für den Tipp, werd's mir anschauen.

Mit etwas Tuning kriegt man das sicher auch an die Userbase vom Exchange angebunden.

Damit müßte aber eine Userliste mit Mailadressen raus auf den ersten Proxy. Direkte Ankopplung geht nich, da ich keine Lust habe, das AD nach außen zu öffnen - prinzipiell kennt die Firewall bei uns nur HTTP, FTP und SMTP, und auch das nur ausgehend (außer SMTP natürlich, da darf aber nur der Webserver) mit Umweg über den DMZ-Proxy und das soll eigentlich auch so bleiben.

Wäre zu überlegen, ob man einen Export aus dem AD als Textfile hochladen könnte. Die Idee gefällt mir, ist aber auch potentiell gefährlich, da dann eine Adressenliste auf dem Webserver rumliegt... Hm...

Vielleicht sollte ich generell noch hinzufügen, daß wir eine 100%-Microsoft-Bude sind, soll heißen, daß außer bei mir kein Linux-Skill und auch kein Bestreben da ist, zu wechseln. Der Linux-Server beim Provider kommt da sehr gelegen...

Alles andere ist auf Microsoft aufgebaut, auch der DMZ-Proxy ist ein nach allen Regeln der Kunst gehärteter Windows 2000 - Server.

Gruß
Trekkie

[homer]

Vielleicht sollte ich generell noch hinzufügen, daß wir eine 100%-Microsoft-Bude sind

Mein herzliches Beileid. Ich arbeite hier immer erfolgreicher daran, Mickeysoft zumindest von den Servern wegzubekommen.

Klar, wenn der Virenscanner schon mal da ist, muss man nicht auf ein anderes Produkt umsteigen. Allerdings würde sich Eurer Scanner sicher auch in die von mir vorgeschlagene Lösung einbauen lassen, sofern dieser unter Linux als Command-Line-Tool läuft.

Der spamassasin auf dem Server macht natürlich in Deinem Fall auch wenig Sinn.

Die Userliste muss aber doch nicht irgendwo im Webspace rumliegen. Die wird exporiert, in die Mailkonfig eingebaut und evtl. noch als Backup hinterlegt, damit man im Fehlerfall prüfen kann, was schief gelaufen ist. Die Unterbrechung des SMTP-Dialogs erspart auf jeden Fall die lästigen NDRs an evtl. unbeteiligte "Absender".

[trekkie]

Mein herzliches Beileid. Ich arbeite hier immer erfolgreicher daran, Mickeysoft zumindest von den Servern wegzubekommen.

Danke . Meine Vorstöße in diese Richtung sind bisher immer gescheitert. Na ja, Wenigstens bin ich NT4 mittlerweile losgeworden...

Allerdings würde sich Eurer Scanner sicher auch in die von mir vorgeschlagene Lösung einbauen lassen, sofern dieser unter Linux als Command-Line-Tool läuft.

Leider nicht. Das Tool heißt GFI MailSecurity und läuft nur unter Windoof. Ich bin damit eigentlich sehr zufrieden, jedenfalls ist seitdem wir darauf umgestiegen sind kein einziger Virus mehr bis zum Virenscanner auf dem Exchange-Server durchgeschlagen, geschweige denn bis zu den Clients. Dank mehrerer Scan-Engines ist das Ding ziemlich undurchlässig. Der Exploit-Scanner ist im übrigen auch sehr hilfreich.

Gruß
Trekkie

[homer]

Danke . Meine Vorstöße in diese Richtung sind bisher immer gescheitert. Na ja, Wenigstens bin ich NT4 mittlerweile losgeworden...

Holla, ich hab da noch so eine Uralt-Gurke rumstehen. Updaten lohnt nicht/zu aufwändig, also läuft er, bis die Hardware den Geist aufgibt. Dann werd ich das Zeugs da drauf auf Linux umbiegen müssen.

Leider nicht. Das Tool heißt GFI MailSecurity und läuft nur unter Windoof.

Schade. Aber ein kleiner clamav als Vor-Scanner schadet sicher auch nicht. Merkt doch keiner