Don't understand german? Read or subscribe to my english-only feed.

Rejects am Mailserver

Die PDF-Spamwelle dieser Tage hat wohl jeder Mailserver-Admin mitbekommen (siehe Heise: "Nach Bild-Spam nun PDF-Spam"). Ich habe das zum Glück sehr zeitnahe bemerkt und die Welle schon direkt am Mailserver unterbunden. Die Zahlen für die letzten 2 Tage auf einem einzelnen Mailserver sprechen für sich selbst:

# grep -c 'PDF-Spam detected' /var/log/mail.log*
/var/log/mail.log:1006
/var/log/mail.log.0:1272

Dieses Ereignis möchte ich nutzen, um mal ein paar Sätze zu ‘Rejects am Mailserver’ loszuwerden. Ich habe nämlich die iX-Blacklist DNSBL vor ein paar Wochen auf einem meiner Mailserver testweise in Betrieb genommen und wollte natürlich wissen, welche Auswirkungen das auf das Spamfiltern hat.

Auf dem betroffenen Mailserver terminieren mehrere Domains (teilweise mit aktiviertem Catchall-Account). Pro Tag werden ca. 3k-5k Mails empfangen, weitere 3k-4k Mails werden dabei aber schon direkt am Mailserver abgelehnt (der erwähnte ‘Reject’). Es läuft Postfix mit folgender relevanter Konfiguration bezüglich der Rejects:

smtpd_recipient_restrictions =
[...]
  reject_unauth_destination,
  reject_non_fqdn_sender,
  reject_non_fqdn_recipient,
  reject_non_fqdn_hostname,
  reject_unknown_sender_domain,
  reject_unknown_recipient_domain,
  reject_unauth_pipelining,
  reject_invalid_hostname,
[...]
body_checks = regexp:/etc/postfix/body_checks
header_checks = regexp:/etc/postfix/header_checks
[...]
smtpd_helo_required = yes
strict_rfc821_envelopes = yes

Tägliche Reports über die Postfix-Aktivitäten lasse ich mir übrigens von Pflogsumm generieren.

Gemittelt über die letzten Mailserver-Logs sind Rejects mit ‘Domain not found’ (~150 Hits), ‘User unknown’ (~80 Hits) und ‘Need fully-qualified address’ (~50 Hits) wie auch ‘Relay access denied’ (~50 Hits) eigentlich in der Minderheit. Trotz aktiviertem Catchall fange ich aber täglich rund 100 Mails durch Blacklisting von nur ein paar selektiven Mailadressen – wie Usenet-Wegwerfadressen – ab. Dieselbe Anzahl (~100 Mails) weise ich mit manuellen header_checks-Regeln ab. body_checks greift langfristig nicht wirklich, wirkt aber durchaus bei kurzfristigen Trends. Das große Rennen macht aber ‘need fully-qualified hostname’ mit ~2000 Rejects pro Tag.

Zwischen 1k und 2k Mails konnten durch Einsatz der iX-Blacklist DNSBL pro Tag zurückgewiesen werden. Ein durchaus schönes Ergebnis. Aber: die DNSBL war am 13. Juni einem DoS ausgesetzt und leider hat der DNSBL-Betreiber das System auf eine Whitelist umgestellt. Das ist für mich keine wirklich akzeptable Lösung, daher habe ich den Dienst momentan auch wieder deaktiviert. (Gibt es brauchbaren Ersatz?)

Ach ja: an meine Spamcatcher-Mailadressen habe ich in den ~3 Jahren seit ich das betreibe rund 20k(!) Mails erhalten. Da muss ich bei Gelegenheit wohl mal eine eigene Statistik und genauere Recherche dazu machen…

Comments are closed.