Ergebnis 1 bis 6 von 6

Thema: Spamschutz

  1. #1
    Mitglied Avatar von trekkie
    Registriert seit
    18.07.2005
    Ort
    Im Raum Stuttgart
    Beiträge
    526

    Standard Spamschutz

    Wir wollen in der Firma ein neues Anti-Spam-Konzept einführen und das würd' ich hier gerne mal zur Diskussion stellen.

    Unsere bisherige Idee sieht so aus:

    1. Mails gehen ein auf unserem Webserver (steht beim Provider und ist ein Root-Server unter Linux). Dort wird als erste Abwehrfront alles abgewiesen, was in den Blacklisten von spamcop und spamhaus sowie in der ordb zu finden ist, außerdem erfolgt ein Symtax-Check, der prüft, ob es die Mailadresse potentiell geben kann. Das Ganze wird von einer Whitelist gestützt, die automatisch aus den internen Adreßbüchern gefüttert wird. Die Mails sollen dabei möglichst gleich auf SMTP-Ebene abgelehnt werden. NDRs werden nicht erzeugt.

    2. Die verbleibenden Mails werden über den Proxy in der DMZ an den Exchange-Server weitergereicht und dabei mehrstufig auf Viren, Trojaner und Exploits gescannt.

    3. Der verbleibende Rest erreicht den Exchange-Server. Hier soll dann die letzte Filterung per Bayes-Filter stattfinden, wobei die User dann die Möglichkeit haben, per verschieben der Mails zwischen JunkMail- und Posteingangsordner auf den Filter Einfluß zu nehmen. Was hier noch an ungültigen Adressen ankommt, soll dann auch per NDR benachrichtigt werden, es könnt' sich ja mal wer vertippt haben.

    Viel sollte auf dem Exchange-Server dann nicht mehr ankommen, meiner ersten Abschätzung nach (momentan markieren wir die Mails von den Blacklists nur) filtert das Blacklisting zusammmen mit dem Syntax-Chteck momentan ca. 60-70% des Mülls aus.

    Ein paar Fragen sind auch noch offen:

    - macht Greylisting im Schritt 1 Sinn? (Vermutlich ja, aber ich hab' keine Erfahrungen damit...)
    - SPF zum blocken ist wohl noch nicht weit genug verbreitet, aber man könnte den SPAM-Score auf dem Exchange-Server damit anheben...?
    - Macht es Sinn, dynamic IP Ranges auszusperren?

    Das Ganze liegt in der Größenordnung von 250 Usern.

    Ich freu' mich auf Kommentare / Verbesserungsvorschläge / ...

    Gruß
    Trekkie
    Gruß Trekkie

    _________________________________________________
    Das Leben ist ein beschissenes Adventure - Aber die Grafik ist geil!

  2. #2
    Pöhser Purche Avatar von homer
    Registriert seit
    18.07.2005
    Ort
    Deep Down Oberfranken
    Beiträge
    2.931

    Standard

    Zitat Zitat von trekkie
    1. Mails gehen ein auf unserem Webserver [...]
    Aus meiner Erfahrung kann ich sagen, dass Spamcop ziemlich "scharf" blockt. Vorsicht mit der Verwendung, es bleiben viele legitime Mails hängen. Spamhaus und ORDB finde ich soweit OK. Besser als eine Prüfung auf eine "potentiell existierende Adresse" ist eine Prüfung auf eine tatsächlich existierende Adresse.

    Zitat Zitat von trekkie
    2. Die verbleibenden Mails werden über den Proxy in der DMZ an den Exchange-Server weitergereicht und dabei mehrstufig auf Viren, Trojaner und Exploits gescannt.
    Warum soll das erst der Proxy machen? Verleg das doch auf die erste Stufe, Stichwort: clamav, filtert auch die eine oder andere Phising-Mail weg.

    Zitat Zitat von trekkie
    3. Der verbleibende Rest erreicht den Exchange-Server. [...]
    Auch das würd ich in Stufe 1 vom spamassasin erledigen lassen.

    Zitat Zitat von trekkie
    - Macht es Sinn, dynamic IP Ranges auszusperren?
    Kommt auf Deine Kunden an. Wenn da ein paar einen eigenen Mailserver im Haus haben, der direkt per SMTP ins Internet schickt werden diese Mails geknickt. Ich würd mal beobachten, welche legitimen Mails woher kommen.

    Zitat Zitat von trekkie
    Das Ganze liegt in der Größenordnung von 250 Usern.
    Ich freu' mich auf Kommentare / Verbesserungsvorschläge / ...
    Hatte ich im alten Forum schonmal erwähnt:
    [Link nur für registrierte Mitglieder sichtbar. ]
    Die Installation kümmert sich um den ganzen Kram von wegen Userprüfung, Virenscan und Spambewertung und knickt ggf. die Mailübertragung im SMTP-Protokoll. Mit etwas Tining kriegt man das sicher auch an die Userbase vom Exchange angebunden. Wir nutzen das Teil "as is" uns brauchen daher nix externes anbinden.

    Sarkasmus. Weil es illegal ist, dumme Leute zu schlagen.

  3. #3
    Mitglied Avatar von trekkie
    Registriert seit
    18.07.2005
    Ort
    Im Raum Stuttgart
    Beiträge
    526

    Standard

    Zitat Zitat von Homer
    Warum soll das erst der Proxy machen? Verleg das doch auf die erste Stufe, Stichwort: clamav, filtert auch die eine oder andere Phising-Mail weg.
    Hm. Eigentlich hast Du ja schon recht, aber der Virenscanner hat erst vor kurzem Geld gekostet und das soll eigentlich nicht in den Wind geschossen sein. Was man schon hat...

    Zitat Zitat von Homer
    Auch das würd ich in Stufe 1 vom spamassasin erledigen lassen.
    Dabei frage ich mich aber, wie das gehen könnte. Der User hat dann keinen Einfluß auf den Bayes-Filter, weshalb es schwierig bis unmöglich sein dürfte, false-positives loszuwerden. Außerdem könnte sich das rechtlich mit dem Thema Archivierung beißen...

    Zitat Zitat von Homer
    toaster
    Danke für den Tipp, werd's mir anschauen.

    Zitat Zitat von Homer
    Mit etwas Tuning kriegt man das sicher auch an die Userbase vom Exchange angebunden.
    Damit müßte aber eine Userliste mit Mailadressen raus auf den ersten Proxy. Direkte Ankopplung geht nich, da ich keine Lust habe, das AD nach außen zu öffnen - prinzipiell kennt die Firewall bei uns nur HTTP, FTP und SMTP, und auch das nur ausgehend (außer SMTP natürlich, da darf aber nur der Webserver) mit Umweg über den DMZ-Proxy und das soll eigentlich auch so bleiben.

    Wäre zu überlegen, ob man einen Export aus dem AD als Textfile hochladen könnte. Die Idee gefällt mir, ist aber auch potentiell gefährlich, da dann eine Adressenliste auf dem Webserver rumliegt... Hm...
    Vielleicht sollte ich generell noch hinzufügen, daß wir eine 100%-Microsoft-Bude sind, soll heißen, daß außer bei mir kein Linux-Skill und auch kein Bestreben da ist, zu wechseln. Der Linux-Server beim Provider kommt da sehr gelegen...

    Alles andere ist auf Microsoft aufgebaut, auch der DMZ-Proxy ist ein nach allen Regeln der Kunst gehärteter Windows 2000 - Server.

    Gruß
    Trekkie
    Gruß Trekkie

    _________________________________________________
    Das Leben ist ein beschissenes Adventure - Aber die Grafik ist geil!

  4. #4
    Pöhser Purche Avatar von homer
    Registriert seit
    18.07.2005
    Ort
    Deep Down Oberfranken
    Beiträge
    2.931

    Standard

    Zitat Zitat von trekkie
    Vielleicht sollte ich generell noch hinzufügen, daß wir eine 100%-Microsoft-Bude sind
    Mein herzliches Beileid. Ich arbeite hier immer erfolgreicher daran, Mickeysoft zumindest von den Servern wegzubekommen.

    Klar, wenn der Virenscanner schon mal da ist, muss man nicht auf ein anderes Produkt umsteigen. Allerdings würde sich Eurer Scanner sicher auch in die von mir vorgeschlagene Lösung einbauen lassen, sofern dieser unter Linux als Command-Line-Tool läuft.

    Der spamassasin auf dem Server macht natürlich in Deinem Fall auch wenig Sinn.

    Die Userliste muss aber doch nicht irgendwo im Webspace rumliegen. Die wird exporiert, in die Mailkonfig eingebaut und evtl. noch als Backup hinterlegt, damit man im Fehlerfall prüfen kann, was schief gelaufen ist. Die Unterbrechung des SMTP-Dialogs erspart auf jeden Fall die lästigen NDRs an evtl. unbeteiligte "Absender".

    Sarkasmus. Weil es illegal ist, dumme Leute zu schlagen.

  5. #5
    Mitglied Avatar von trekkie
    Registriert seit
    18.07.2005
    Ort
    Im Raum Stuttgart
    Beiträge
    526

    Standard

    Zitat Zitat von Homer
    Mein herzliches Beileid. Ich arbeite hier immer erfolgreicher daran, Mickeysoft zumindest von den Servern wegzubekommen.
    Danke . Meine Vorstöße in diese Richtung sind bisher immer gescheitert. Na ja, Wenigstens bin ich NT4 mittlerweile losgeworden...

    Zitat Zitat von Homer
    Allerdings würde sich Eurer Scanner sicher auch in die von mir vorgeschlagene Lösung einbauen lassen, sofern dieser unter Linux als Command-Line-Tool läuft.
    Leider nicht. Das Tool heißt GFI MailSecurity und läuft nur unter Windoof. Ich bin damit eigentlich sehr zufrieden, jedenfalls ist seitdem wir darauf umgestiegen sind kein einziger Virus mehr bis zum Virenscanner auf dem Exchange-Server durchgeschlagen, geschweige denn bis zu den Clients. Dank mehrerer Scan-Engines ist das Ding ziemlich undurchlässig. Der Exploit-Scanner ist im übrigen auch sehr hilfreich.

    Gruß
    Trekkie
    Gruß Trekkie

    _________________________________________________
    Das Leben ist ein beschissenes Adventure - Aber die Grafik ist geil!

  6. #6
    Pöhser Purche Avatar von homer
    Registriert seit
    18.07.2005
    Ort
    Deep Down Oberfranken
    Beiträge
    2.931

    Standard

    Zitat Zitat von trekkie
    Danke . Meine Vorstöße in diese Richtung sind bisher immer gescheitert. Na ja, Wenigstens bin ich NT4 mittlerweile losgeworden...
    Holla, ich hab da noch so eine Uralt-Gurke rumstehen. Updaten lohnt nicht/zu aufwändig, also läuft er, bis die Hardware den Geist aufgibt. Dann werd ich das Zeugs da drauf auf Linux umbiegen müssen.

    Zitat Zitat von trekkie
    Leider nicht. Das Tool heißt GFI MailSecurity und läuft nur unter Windoof.
    Schade. Aber ein kleiner clamav als Vor-Scanner schadet sicher auch nicht. Merkt doch keiner

    Sarkasmus. Weil es illegal ist, dumme Leute zu schlagen.

Ähnliche Themen

  1. Meinung zum spamschutz bei web.de
    Von benutzer im Forum 4.1 Vorbeuge gegen Spam
    Antworten: 4
    Letzter Beitrag: 14.09.2004, 12:17
  2. Spamschutz ohne wenn und aber
    Von nasevoll im Forum 4.1 Vorbeuge gegen Spam
    Antworten: 4
    Letzter Beitrag: 26.03.2004, 13:31
  3. Die Rattenfänger von Hammeln - Spamschutz
    Von goa24 im Forum 4.2 Diskussion
    Antworten: 0
    Letzter Beitrag: 16.11.2003, 16:52
  4. Mailadressen mit Spamschutz auf Blacklist
    Von J. R. im Forum 4.2 Diskussion
    Antworten: 1
    Letzter Beitrag: 26.06.2003, 11:12
  5. [Heise] Web.de zieht bei Spamschutz nach
    Von Eniac im Forum 4.2 Diskussion
    Antworten: 4
    Letzter Beitrag: 25.06.2003, 13:09

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen