---

Hej

Jeg har en maskine med Postfix 2 der fungerer som transport for et
domæne. Det gør den blandt andet for at fungere som spamfilter.

Det betyder at den umiddelbart tager imod al email til mit domæne. Nu
er det imidlertid sådan at nogle af de adresser der får meget spam
ikke længere findes på "den anden side" af min Postfix.

Mails til disse adresser vil jeg gerne enten slette (aflevere til
/dev/null) eller afvise i SMTP-fasen. Hvordan gør jeg lettest det når
jeg vil gøre det på min Postfix-kasse der fungerer som transport?

--
Jacob

---

On Wed, 12 Nov 2003 13:07:45 +0100, Jacob Bunk Nielsen <spam@bunk.cc>
wrote:

>Hej
>
>Jeg har en maskine med Postfix 2 der fungerer som transport for et
>domæne. Det gør den blandt andet for at fungere som spamfilter.
>
>Det betyder at den umiddelbart tager imod al email til mit domæne. Nu
>er det imidlertid sådan at nogle af de adresser der får meget spam
>ikke længere findes på "den anden side" af min Postfix.
>
>Mails til disse adresser vil jeg gerne enten slette (aflevere til
>/dev/null) eller afvise i SMTP-fasen. Hvordan gør jeg lettest det når
>jeg vil gøre det på min Postfix-kasse der fungerer som transport?

I main.cf:

smtpd_recipient_restrictions =
   check_recipient_access hash:/etc/postfix/recipient_checks,

Og i /etc/postfix/recipient_checks:
meget-spammet-adresse@domæne.com   REJECT

---

Brian Albertsen <BrianNOSPAM2@albertsen.org> writes:

> I main.cf:
>
> smtpd_recipient_restrictions =
>    check_recipient_access hash:/etc/postfix/recipient_checks,
>
> Og i /etc/postfix/recipient_checks:
> meget-spammet-adresse@domæne.com   REJECT

Når jeg prøver ovenstående, så hænger forbindelserne til min
Postfix-boks bare, og efter lidt ventetid bliver mailen afleveret til
min backup-MX uanset hvem på mit domæne jeg sender til.

Udkommenterer jeg linjen i main.cf, så virker alt igen, og jeg kan så
også få masser af spam :-\

Er du sikker på at ovenstående bør virke når min Postfix er
konfigureret som transport for det pågældende domæne?

--
Jacob

---

Jacob Bunk Nielsen wrote:

> Når jeg prøver ovenstående, så hænger forbindelserne til min
> Postfix-boks bare, og efter lidt ventetid bliver mailen afleveret til
> min backup-MX uanset hvem på mit domæne jeg sender til.
>
> Udkommenterer jeg linjen i main.cf, så virker alt igen, og jeg kan så
> også få masser af spam :-\
>
> Er du sikker på at ovenstående bør virke når min Postfix er
> konfigureret som transport for det pågældende domæne?

Det er korrekt nok, dog bruger jeg følgende:

iseekyou@emax.dk 556 User unknown

har du lavet en "postmap /etc/postfix/recipient_checks" som root?

--
Take Care
Kim Emax - master|minds: http://www.masterminds.dk
http://www.emax.dk - http://www.ayianapa.dk
Køb din vin online på http://www.gmvin.dk,
Danmarks måske mest avancerede VinWebShop

---

"Kim Emax" <newsgroup@remove-emax.dk> writes:

> har du lavet en "postmap /etc/postfix/recipient_checks" som root?

Ja, det havde jeg. Problemet er også løst, hvis du læser videre i
tråden.

--
Jacob - www.bunk.cc
It's the thought, if any, that counts!

---

Jacob Bunk Nielsen skrev i -dk.edb.system.unix:

> Hej
>
> Jeg har en maskine med Postfix 2 der fungerer som transport for et
> domæne. Det gør den blandt andet for at fungere som spamfilter.
>
> Det betyder at den umiddelbart tager imod al email til mit domæne. Nu
> er det imidlertid sådan at nogle af de adresser der får meget spam
> ikke længere findes på "den anden side" af min Postfix.
>
> Mails til disse adresser vil jeg gerne enten slette (aflevere til
> /dev/null)

Hvis du bruger procmail kan du i procmailrc skrive

:0
* ^X-Mailer: The Bat
* ^From: admin@milli.dk
/dev/null

Ovenstående fanger en virus/orm der altid sender med The Bat som X-Mailer,
og admin@domæne.land og så bliver den smit i /dev/null.



> eller afvise i SMTP-fasen. Hvordan gør jeg lettest det når
> jeg vil gøre det på min Postfix-kasse der fungerer som transport?

I min mail.cf har jeg bl.a. nedestående, som jeg bruger til at
tillade/afvise modtagelse af mail.


# definere hvilke IP der er mine.
mynetworks = 192.168.0.100, 127.0.0.1, 80.163.26.15


# afgør først om mail skal afvises, eller godkendes efter RCPT TO: er
# behandlet.
smtpd_delay_reject=yes


# Nedestående er EN LANG LINIE

smtpd_recipient_restrictions = permit_mynetworks, check_recipient_access
hash:/etc/postfix/accesslist.cf, check_sender_access
hash:/etc/postfix/block.cf, reject_unauth_destination

#først chekkes om IP'en er fra mine egne, er den det, så accpeteres mailen,
uanset hvad, hvis ikke
# så chekkes om RCPT TO: kan godkendes ifl. accesslist.cf, hvis den ikke
# afvises, så chekkes der om MAIL FROM: kan godkendes ifl. block.cf,
# her skal man passe lidt på at godkende for meget, hvis du godkender en
# afsender, så har du et åbent mailrelay med den af sender!!!
# hvis mailen stadig ikke er godkendt, så chekkes der om mailen kan
# godkendes ifl, reject_unauth_destination, hvad den betyder er jeg ikke
# helt klar over,,, Men jeg fik det først til at virke da jeg satte den på.

block.cf har følgende format

return@trafficmagnet.net REJECT No spam allowed

Og accesslist.cf har følgende format

news-@milli.dk 556 den adr. er over SPAM'ed, saa den er lukket


Og husk at der skal dannes en database af accesslist.cf og block.cf med

postmap block.cf

og tilsvarende med den anden.


--
Med venlig hilsen | Jeg søger et foto / reralistisk maleri over
| omgivelserne ved og lige syd for skovbrynes st
Ivar Madsen | ved Bagsværd fra tiden efter krigen, og
Der kører mdk9.2 | fram til motorvejbyggiet blev påbegyndt

---

Ivar Madsen <spam.usenet.im@milli.dk> writes:
> Jacob Bunk Nielsen skrev i -dk.edb.system.unix:
>
>> Jeg har en maskine med Postfix 2 der fungerer som transport for et
>> domæne. Det gør den blandt andet for at fungere som spamfilter.
>> [ ... ]
>
> Hvis du bruger procmail [ ... ]

Det gør jeg ikke. Jeg afleverer ikke mail lokalt på maskinen.

> smtpd_recipient_restrictions = permit_mynetworks, check_recipient_access
> hash:/etc/postfix/accesslist.cf, check_sender_access
> hash:/etc/postfix/block.cf, reject_unauth_destination

Tak. Det var det tip jeg også fik af Brian
(check_recipient_access). Desværre må jeg gøre noget galt, for det
virker ikke, som du kan se af mit svar til Brian.

Jeg eksperimenterer lige videre i aften når jeg har fået noget at
spise. Så er der nok heller ikke så meget vigtig mail der bliver holdt
i kø fordi jeg leger med firmaets mailgateway

--
Jacob - www.bunk.cc
It's not the fall that kills you, it's the landing.

---

Jacob Bunk Nielsen skrev i -dk.edb.system.unix:

>> smtpd_recipient_restrictions = permit_mynetworks, check_recipient_access
>> hash:/etc/postfix/accesslist.cf, check_sender_access
>>hash:/etc/postfix/block.cf, reject_unauth_destination
>
> Tak. Det var det tip jeg også fik af Brian
> (check_recipient_access). Desværre må jeg gøre noget galt, for det
> virker ikke, som du kan se af mit svar til Brian.

Nej, Brian gav dig en del af det, det er ikke nok alene at bruge
check_recipient_access.

Du skal tillade mailen i smtpd_recipient_restrictions, ellers vil den hænge.

Med den alene vil den stå og hænge hvis ikke du i den database den henviser
til, har godkendt modtager.
Du slipper ikke udenom også at have reject_unauth_destination. Hvis den også
bruges til at sende mail ud i byen, så slipper du heller ikke udenom
permit_mynetworks.

> Jeg eksperimenterer lige videre i aften når jeg har fået noget at
> spise. Så er der nok heller ikke så meget vigtig mail der bliver holdt
> i kø fordi jeg leger med firmaets mailgateway

Du skal se på hvordan du får godkendt mailen, hvis ikke et andet punkt i din
smtpd_recipient_restrictions godkender den. Og det er her du skal bruge
permit_auth_destination

fra biblen

|permit_auth_destination
| Permit the request when one of the following is true:
|
| * the resolved destination address matches $relay_domains or a
|subdomain thereof, and the address contains no sender-specified routing
|(user@elsewhere@domain),
| * Postfix is the final destination: any destination that matches
|$mydestination, $inet_interfaces, $virtual_alias_domains, or
|$virtual_mailbox_domains.

Og rækkefølgen du lister parameterne til smtpd_recipient_restrictions er af
vital betydning.

--
Med venlig hilsen | Jeg søger et foto / reralistisk maleri over
| omgivelserne ved og lige syd for skovbrynes st
Ivar Madsen | ved Bagsværd fra tiden efter krigen, og
Der kører mdk9.2 | fram til motorvejbyggiet blev påbegyndt

---

Ivar Madsen skrev i -dk.edb.system.unix:

> |permit_auth_destination

Nå ja, der fik jeg kopieret det forkerte afsnit fra biblen, men de gør det
samme

permit_auth_destination
Permit the request when one of the following is true:

reject_unauth_destination
Reject the request unless one of the following is true:



--
Med venlig hilsen | Jeg søger et foto / reralistisk maleri over
| omgivelserne ved og lige syd for skovbrynes st
Ivar Madsen | ved Bagsværd fra tiden efter krigen, og
Der kører mdk9.2 | fram til motorvejbyggiet blev påbegyndt

---

Ivar Madsen <spam.usenet.im@milli.dk> writes:
> Jacob Bunk Nielsen skrev i -dk.edb.system.unix:
>
> Nej, Brian gav dig en del af det, det er ikke nok alene at bruge
> check_recipient_access.

Jeg har selvsagt domænerne som min boks er transport for stående i
/etc/postfix/transport, og jeg vil helst ikke have dem stående andre
steder, hvis jeg kan slippe for det.

> Du skal tillade mailen i smtpd_recipient_restrictions, ellers vil den hænge.

OK. Det hjalp. Jeg har tilføjet mine domæner til relay_domains, og
bruger så reject_unauth_destination, ellers bliver den sur på mig. Øv.

Nu kan jeg se at min afvisning af mails også virker. Det er jo
herligt. Så kan vi nok nakke ca. halvdelen af vores spam ved blot at
afvise mails til de adresser der ikke længere findes fordi folk ikke
er i firmaet længere.

--
Jacob - www.bunk.cc
If entropy is increasing, where is it coming from?

---

Jacob Bunk Nielsen skrev i -dk.edb.system.unix:

> Nu kan jeg se at min afvisning af mails også virker. Det er jo
> herligt. Så kan vi nok nakke ca. halvdelen af vores spam ved blot at
> afvise mails til de adresser der ikke længere findes fordi folk ikke
> er i firmaet længere.

Fra 9/11 04:32 til nu har jeg fået fanget 199 SPAM/orme/virus mail med
Postfix. Spamassissin har fanget 2 SPAM og nogle øhe computerworldonline
malinglistemail.

--
Med venlig hilsen | Jeg søger et foto / reralistisk maleri over
| omgivelserne ved og lige syd for skovbrynes st
Ivar Madsen | ved Bagsværd fra tiden efter krigen, og
Der kører mdk9.2 | fram til motorvejbyggiet blev påbegyndt

---

Jacob Bunk Nielsen skrev i -dk.edb.system.unix:

> Jeg har selvsagt domænerne som min boks er transport for stående i
> /etc/postfix/transport, og jeg vil helst ikke have dem stående andre
> steder, hvis jeg kan slippe for det.
>> Du skal tillade mailen i smtpd_recipient_restrictions, ellers vil den
>> hænge.
> OK. Det hjalp. Jeg har tilføjet mine domæner til relay_domains, og
> bruger så reject_unauth_destination, ellers bliver den sur på mig. Øv.

Du kan også filtere på header,

Examples (main.cf):
header_checks = regexp:/etc/postfix/header_checks
header_checks = pcre:/etc/postfix/header_checks

Example (header_checks):
/^to: *friend@public\.com$/ REJECT

Men så fanger den jo altså ikke dem der sender en RCPT TO: og en anden To: i
headeren,,,



--
Med venlig hilsen | Jeg søger et foto / reralistisk maleri over
| omgivelserne ved og lige syd for skovbrynes st
Ivar Madsen | ved Bagsværd fra tiden efter krigen, og
Der kører mdk9.2 | fram til motorvejbyggiet blev påbegyndt

---

On Wed, 12 Nov 2003 20:44:57 +0100, Jacob Bunk Nielsen <spam@bunk.cc>
wrote:

>Ivar Madsen <spam.usenet.im@milli.dk> writes:
>> Jacob Bunk Nielsen skrev i -dk.edb.system.unix:
>>
>> Nej, Brian gav dig en del af det, det er ikke nok alene at bruge
>> check_recipient_access.

Ja, jeg kan se i har fået det løst.

>Jeg har selvsagt domænerne som min boks er transport for stående i
>/etc/postfix/transport, og jeg vil helst ikke have dem stående andre
>steder, hvis jeg kan slippe for det.

Mine ligger i Mysql og sættes op med postfixadmin
http://www.high5.net/postfixadmin/

>> Du skal tillade mailen i smtpd_recipient_restrictions, ellers vil den hænge.

smtpd_recipient_restrictions = permit_mynetworks,
check_recipient_access hash:/etc/postfix/recipient_checks,
reject_unauth_pipelining,
reject_rbl_client relays.ordb.org,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client blackholes.easynet.nl,
reject_rbl_client smtp.dnsbl.sorbs.net,
reject_rbl_client list.dsbl.org
reject_rbl_client dnsbl.njabl.org,
reject_unauth_destination,
check_relay_domains,
permit


Og det er selv. permit i bunden der også var vigtig.

>
>OK. Det hjalp. Jeg har tilføjet mine domæner til relay_domains, og
>bruger så reject_unauth_destination, ellers bliver den sur på mig. Øv.
>
>Nu kan jeg se at min afvisning af mails også virker. Det er jo
>herligt. Så kan vi nok nakke ca. halvdelen af vores spam ved blot at
>afvise mails til de adresser der ikke længere findes fordi folk ikke
>er i firmaet længere.

Hos mig er det også en del:
debian$ perl spam-stats.pl
7 Recipient address rejected
7 Local access rule: Sender address rejected
24 RBL relays.ordb.org
26 Relay access denied
41 RBL blackholes.five-ten-sg.com
99 RBL list.dsbl.org
117 RBL sbl.spamhaus.org
121 RBL dnsbl.njabl.org
203 RBL blackholes.easynet.nl
508 Local access rule: Recipient address rejected
602 Sender Domain Not Found

1755 TOTAL

--
Brian

---

Brian Albertsen skrev i -dk.edb.system.unix:

> smtpd_recipient_restrictions = permit_mynetworks,
> check_recipient_access hash:/etc/postfix/recipient_checks,
> reject_unauth_pipelining,

Hvad laver den?

> check_relay_domains,

Og hvad med den?

> Hos mig er det også en del:
> debian$ perl spam-stats.pl

Er det et program du selv har lavet, eller,,,
Checker det logfilen eller,,,


> 1755 TOTAL

På hvor lang tid?


--
Med venlig hilsen | Jeg søger et foto / reralistisk maleri over
| omgivelserne ved og lige syd for skovbrynes st
Ivar Madsen | ved Bagsværd fra tiden efter krigen, og
Der kører mdk9.2 | fram til motorvejbyggiet blev påbegyndt

---

On Thu, 13 Nov 2003 18:48:04 +0100,
Ivar Madsen <spam.usenet.im@milli.dk> wrote:

>> smtpd_recipient_restrictions = permit_mynetworks,
>> check_recipient_access hash:/etc/postfix/recipient_checks,
>> reject_unauth_pipelining,
>
> Hvad laver den?
>

RTFM!

>> check_relay_domains,
>
> Og hvad med den?

RTFM!

Hvis du ikke forstaar den fine dokumentation, saa skriv endelig hvad
det er du ikke forstaar. Saa skal vi nok proeve at hjaelpe, men lige
praecis den del er ikke saa daarligt beskrevet endda.

--
Jesper

---

Jesper Louis Andersen skrev i -dk.edb.system.unix:

>>> reject_unauth_pipelining,
>> Hvad laver den?
> RTFM!

Jeg overså den i biblen, fandt den ved mozilla's Ctrl-f

>>> check_relay_domains,
>> Og hvad med den?
> RTFM!

Kan jeg altså stadig ikke finde,,,



--
Med venlig hilsen | Jeg søger et foto / reralistisk maleri over
| omgivelserne ved og lige syd for skovbrynes st
Ivar Madsen | ved Bagsværd fra tiden efter krigen, og
Der kører mdk9.2 | fram til motorvejbyggiet blev påbegyndt

---

On Fri, 14 Nov 2003 07:11:43 +0100,
Ivar Madsen <spam.usenet.im@milli.dk> wrote:

>>>> check_relay_domains,
>>> Og hvad med den?
>> RTFM!
>
> Kan jeg altså stadig ikke finde,,,

Det er en gammel parameter fra Postfix1.

--
Jesper

---

On Thu, 13 Nov 2003 18:48:04 +0100, Ivar Madsen
<spam.usenet.im@milli.dk> wrote:

>> reject_unauth_pipelining,

Reject the request when the client sends SMTP commands
ahead of time without knowing that Postfix actually
supports SMTP command pipelining. This stops mail from
bulk mail software that improperly uses SMTP command
pipelining to speed up deliveries.

>> check_relay_domains,

Kan se i releasenotes at den er på vej ud og er erstattet med
reject_unauth_destination, som jeg også har med. Kan altså slettes.

>> debian$ perl spam-stats.pl
>
>Er det et program du selv har lavet, eller,,,

http://taz.net.au/postfix/scripts/


>> 1755 TOTAL
>
>På hvor lang tid?

2 måneder.

Output fra pflogsumm:
14311 received
12551 delivered
0 forwarded
32 deferred (747 deferrals)
345 bounced
1755 rejected (12%)
0 reject warnings
0 held
0 discarded (0%)

Men da den kører spamassassin så bliver mails lige relayed en ekstra
gang og derved tælles mails dobbelt i recived og delivered.
Dertil skal lægges tallene fra dem som Spamassassin filtrerer fram.

--
Brian

---

Ivar Madsen <spam.usenet.im@milli.dk> writes:
> Jacob Bunk Nielsen skrev i -dk.edb.system.unix:
>
>> OK. Det hjalp. Jeg har tilføjet mine domæner til relay_domains, og
>> bruger så reject_unauth_destination, ellers bliver den sur på mig. Øv.
>
> Du kan også filtere på header,

Pyha, dårlig idé. Jeg kan fx snildt se et scenarie hvor der står:

To: spammet-adresse@eksempel.dk, brugbar-adresse@eksempel.dk

Den ville også dø. Det ville jeg ikke være glad for. I øvrigt er der
jo masser af spammere der ikke putter det samme i To-headeren som de
bruger i SMTP-envelopen.

Jeg lever med den løsning jeg har nu.

--
Jacob - www.bunk.cc
Entropy isn't what it used to be.

---

Jacob Bunk Nielsen skrev i -dk.edb.system.unix:

>> Du kan også filtere på header,
> Pyha, dårlig idé. Jeg kan fx snildt se et scenarie hvor der står:
> To: spammet-adresse@eksempel.dk, brugbar-adresse@eksempel.dk
> Den ville også dø.

Man kunne godt lave det så den ikke dør, men så er hele ideen ved at have
luser_relay og så fordele mailen sener, være spildt, for så skulle man
tillade hver enkelt adr,,,

> Det ville jeg ikke være glad for.

Forståligt.

> I øvrigt er der
> jo masser af spammere der ikke putter det samme i To-headeren som de
> bruger i SMTP-envelopen.

Som jeg også nævnte.

> Jeg lever med den løsning jeg har nu.

Den er da heller ikke så tosset endda, brugre det selv, sammen med imap og
procmail. Opretter så de mailboxe jeg vil have soteret for sig selv i
procmail, og slutter af med at smide resten i en samle mailbox.

--
Med venlig hilsen | Jeg søger et foto / reralistisk maleri over
| omgivelserne ved og lige syd for skovbrynes st
Ivar Madsen | ved Bagsværd fra tiden efter krigen, og
Der kører mdk9.2 | fram til motorvejbyggiet blev påbegyndt

---

Brian Albertsen <BrianNOSPAM2@albertsen.org> writes:
> Jacob Bunk Nielsen <spam@bunk.cc> wrote:
>
>>Jeg har selvsagt domænerne som min boks er transport for stående i
>>/etc/postfix/transport, og jeg vil helst ikke have dem stående andre
>>steder, hvis jeg kan slippe for det.
>
> Mine ligger i Mysql og sættes op med postfixadmin
> http://www.high5.net/postfixadmin/

Det vil være totalt overkill her. Jeg skal bare putte mails gennem
SpamAssassin og nu også hælde et par stykker af dem i skraldespanden,
og så ellers sende dem videre til vores interne mailserver.

> reject_rbl_client relays.ordb.org,

Den slags checks laver vi på vores firewall, så dem behøver jeg ikke
på min mail-dims.

Tak for hjælpen til både dig og Ivar.

--
Jacob - www.bunk.cc
I used to have a drinking problem. Now I love the stuff.

---

Ivar Madsen <spam.usenet.im@milli.dk> writes:
> Jacob Bunk Nielsen skrev i -dk.edb.system.unix:
>
> Man kunne godt lave det så den ikke dør, men så er hele ideen ved at have
> luser_relay og så fordele mailen sener, være spildt, for så skulle man
> tillade hver enkelt adr,,,

Jeg bruger ikke luser_relay på den boks. Den fungerer stadig
udelukkende som transport. Der afleveres ikke mail lokalt på den (ud
over hvad der bliver kastet i sa-learn ved at blive mailet til en
speciel adresse).

header_checks er bare ikke det rette værktøj til den opgave jeg
prøvede at løse IMHO.

>> Jeg lever med den løsning jeg har nu.
>
> Den er da heller ikke så tosset endda, brugre det selv [ ... ]

Gør du nu også det? Så har du en Exchange-server stående bag din
Postfix-kasse ?-)
Er det ikke fælt besværligt?

> sammen med imap og procmail.

Jeg har fået lov at bruge IMAP mod vores Exchange-dims da jeg ikke har
en Windows-PC at køre Outlook på (da jeg tidligere havde en PC kørte
jeg WMWare med Windows 2000 og Outlook under Linux for at læse mail,
nu har jeg en SunRay-terminal, og der bruger jeg så Gnus til at læse
mail), ellers bruger vi ikke IMAP. Procmail bruger vi slet ikke.

--
Jacob - www.bunk.cc
Everyone hates me because I'm paranoid.

---

Jacob Bunk Nielsen skrev i -dk.edb.system.unix:


> header_checks er bare ikke det rette værktøj til den opgave jeg
> prøvede at løse IMHO.

Enig.

>>> Jeg lever med den løsning jeg har nu.
>> Den er da heller ikke så tosset endda, brugre det selv [ ... ]
> Gør du nu også det? Så har du en Exchange-server stående bag din
> Postfix-kasse ?-)
> Er det ikke fælt besværligt?

Du misforstår, det er "afviser nævnte ved check på SMTP RCPT TO:, tagerimod
alt andet" jeg bruger.



--
Med venlig hilsen | Jeg søger et foto / reralistisk maleri over
| omgivelserne ved og lige syd for skovbrynes st
Ivar Madsen | ved Bagsværd fra tiden efter krigen, og
Der kører mdk9.2 | fram til motorvejbyggiet blev påbegyndt

---

Jacob Bunk Nielsen wrote:
> udelukkende som transport. Der afleveres ikke mail lokalt på den (ud
> over hvad der bliver kastet i sa-learn ved at blive mailet til en
> speciel adresse).

Jeg blev lige nysgerrig :) Jeg har netop fået en
postfix+mysql+spamassassin op og køre, og kunne godt tænke mig en
adresse mine brugere kan sende deres spam til - hvordan har du sat det op?
Er der ikke risiko for, at spamassassin kommer til at tro at brugerne er
spammere, når spam altid kommer fra deres adresser?

./Dennis

---

Dennis Laursen <dennis@newel.dk> writes:
> Jacob Bunk Nielsen wrote:
>> udelukkende som transport. Der afleveres ikke mail lokalt på den (ud
>> over hvad der bliver kastet i sa-learn ved at blive mailet til en
>> speciel adresse).
>
> Jeg blev lige nysgerrig :) Jeg har netop fået en
> postfix+mysql+spamassassin op og køre, og kunne godt tænke mig en
> adresse mine brugere kan sende deres spam til - hvordan har du sat det
> op?

Jeg har sat det op således at min SpamAssassin altid kører som
brugeren spamass på min mailgateway. Derefter har jeg oprettet (i
virtual) en bruger der hedder spam@mail.eksempel.dk og
ham@mail.eksempel.dk, som begge er et alias for spamass-brugeren.

I /home/spamass/ har jeg så lagt en .procmailrc med følgende indhold:

SHELL=/bin/sh
LOGFILE=procmail.log
VERBOSE=off

:0 fw
* ^TO_(spam)@
| /home/spamass/learn-spam.sh

:0 fw
* ^TO_(ham)@
| /home/spamass/learn-ham.sh

learn-ham.sh ser så således ud:

#!/bin/bash

/usr/bin/sa-learn --ham --single > /dev/null

.... gæt selv hvordan learn-spam.sh ser ud

Mere er der sådan set ikke i det, men nu kan ham/hende der glor
igennem vores spam (som kommer til firmanavn@firmanavn.tld i stor
stil) bare forwarde det til spam@eksempel.dk (som er et alias for
spam@mail.eksempel.dk på vores Exchange-dims), og så hjælper det
forhåbentlig lidt på mængden. Lige nu ved jeg at de sparer en del tid
hver dag efter vi har fået SpamAssassin i drift.

> Er der ikke risiko for, at spamassassin kommer til at tro at brugerne
> er spammere, når spam altid kommer fra deres adresser?

Nej, det håber jeg ikke

Hvis man i øvrigt bevæger sig inden for en bestemt branche, så er det
et godt tip lige at lave et par regler, som giver minuspoint til ord
der tit optræder i nyhedsbreve inden for branchen. Indtil jeg fik
lavet en regel som:

body BIO_WORDS /gene|bio|microarray|genome|dna|exon|transscript|rna|lna|protein/i
describe BIO_WORDS Words known to exist in non-spam
score BIO_WORDS -4

fangede den en del nyhedsbreve som folk gerne ville have. Ja, jeg
arbejder i et biotekfirma, og ovenstående rammer en ret stor del af de
nyhedsbreve vi modtager

.... i det hele taget har jeg/vi haft meget glæde af at definere egne
regler til at fange netop vores spam.

--
Jacob - www.bunk.cc
She blinded me with science!

---

>
> Jeg har sat det op således at min SpamAssassin altid kører som
> brugeren spamass på min mailgateway. Derefter har jeg oprettet (i
> virtual) en bruger der hedder spam@mail.eksempel.dk og
> ham@mail.eksempel.dk, som begge er et alias for spamass-brugeren.
>

Hvornår mon spammerene begynder at skrive til ham@<$INCLUDE alldomains.txt>
Så de får whitelistet deres spam?

Leif

---

Leif Neland skrev i -dk.edb.system.unix:

> Hvornår mon spammerene begynder at skrive til ham@<$INCLUDE
> alldomains.txt> Så de får whitelistet deres spam?

Det får mig til at tænke på, kan man i procmail teste om mailen stammer fra
ens eget LAN?

--
Med venlig hilsen | Jeg søger et foto / reralistisk maleri over
| omgivelserne ved og lige syd for skovbrynes st
Ivar Madsen | ved Bagsværd fra tiden efter krigen, og
Der kører mdk9.2 | fram til motorvejbyggiet blev påbegyndt

---

Jacob Bunk Nielsen wrote:
> Jeg har sat det op således at min SpamAssassin altid kører som
> brugeren spamass på min mailgateway. Derefter har jeg oprettet (i
> virtual) en bruger der hedder spam@mail.eksempel.dk og
> ham@mail.eksempel.dk, som begge er et alias for spamass-brugeren.

hmm...ganske interessant :) indtil videre har jeg bare oprettet en
ekstra bruger, hvor jeg (via imap) kan flytte spammails over. Derefter
har jeg kørt sa-learn manuelt et par gange. I længden vil jeg dog nok
være gladere for noget automatisk :)

>>Er der ikke risiko for, at spamassassin kommer til at tro at brugerne
>>er spammere, når spam altid kommer fra deres adresser?
>
>
> Nej, det håber jeg ikke

:) jeg tror jeg vil sige til mine brugere (demjeg ved kan finde ud af
det) at de kan flytte de spammails der ikke bliver markeret, over i
spam-brugerens imapfolder - det vil de fleste kunne finde ud af. På den
måde er jeg forhåbentlig sikker på at deres oplysninger ikke bliver
betragtet som spam...

>
> Hvis man i øvrigt bevæger sig inden for en bestemt branche, så er det
> et godt tip lige at lave et par regler, som giver minuspoint til ord
> der tit optræder i nyhedsbreve inden for branchen. Indtil jeg fik
> lavet en regel som:
>
[snip]
> ... i det hele taget har jeg/vi haft meget glæde af at definere egne
> regler til at fange netop vores spam.
>

på min anden mailserver (som snart skal pensioneres :) kører en ældre SA
som ikke har mulighed for at lære. At lave egne regler har derfor været
eneste udvej. Det er rigtigt nok effektivt, men når man laver 7-10 nye
regler pr. dag, bliver det meget trættende i længden :) (mange af
reglerne kunne nok være lavet bedre, men jeg havde ikke lyst til at få
for mange falske positive...)

Tak for inspirationen :) jeg vil se om jeg ikke kan få lavet et
cron-script der lærer og bagefter sletter mails :)

./Dennis

---

"Leif Neland" <leif@neland.dk> writes:

> Hvornår mon spammerene begynder at skrive til ham@<$INCLUDE alldomains.txt>
> Så de får whitelistet deres spam?

Det ville ikke hjælpe dem voldsomt. Den mailadresse man sender til hos
os virker kun på vores lokalnet

--
Jacob - www.bunk.cc
Forest fires cause Smokey Bears.

---

Dennis Laursen <Dennis@newel.dk> writes:

> hmm...ganske interessant :) indtil videre har jeg bare oprettet en
> ekstra bruger, hvor jeg (via imap) kan flytte spammails over. Derefter
> har jeg kørt sa-learn manuelt et par gange. I længden vil jeg dog nok
> være gladere for noget automatisk :)

Herhjemme har jeg lavet det således at jeg blot trykker på en tast når
jeg ser en spam der ikke blev fanget. Så putter mit mailprogram mailen
ned i sa-learn på min mailserver (over SSH). Det der med at skulle
flytte spams, gøre noget manuelt senere og så videre, det duer ikke
for mig

> på min anden mailserver (som snart skal pensioneres :) kører en ældre
> SA som ikke har mulighed for at lære. At lave egne regler har derfor
> været eneste udvej. Det er rigtigt nok effektivt, men når man laver
> 7-10 nye regler pr. dag, bliver det meget trættende i længden :)

Ja, så er der bestemt noget galt.

--
Jacob - www.bunk.cc
Death has been proven to be 99% fatal in laboratory rats.

---

Brian Albertsen <BrianNOSPAM2@albertsen.org> writes:

> Hos mig er det også en del:
> debian$ perl spam-stats.pl
> 7 Recipient address rejected

Jeg kan så lige følge op, og fortælle at vi nu får ca. 400 spams
mindre om dagen ved at afvise mails sendt til folk der ikke længere er
i firmaet, og ikke har været det længe. Det er jo herligt!

--
Jacob - www.bunk.cc
You can always tell luck from ability by its duration.

---

On Fri, 21 Nov 2003 19:55:04 +0100, Jacob Bunk Nielsen <spam@bunk.cc>
wrote in <spamdrop+m3he0xwnzr.fsf@paven.bunk.cc>:

>Jeg kan så lige følge op, og fortælle at vi nu får ca. 400 spams
>mindre om dagen ved at afvise mails sendt til folk der ikke længere er
>i firmaet, og ikke har været det længe. Det er jo herligt!

Ja, det er sgu imporerende så længe man kan blive ved med at modtage
mail til adresser der ikke længere er aktive.

Vi havde et helt domæne ude af drift i et år, og da det så blev aktivt
igen, modtoger vi stadigt nyhedsbreve og lign (+spam) til de adresser
som har bouncet i et år.

Hvad er det for noget skod mailinglist software firmaer bruger siden
de ikke fjerner adresser der ikke virker efter et år.

---

Brian Albertsen wrote:
> On Fri, 21 Nov 2003 19:55:04 +0100, Jacob Bunk Nielsen <spam@bunk.cc>
> wrote in <spamdrop+m3he0xwnzr.fsf@paven.bunk.cc>:
>
>
>>Jeg kan så lige følge op, og fortælle at vi nu får ca. 400 spams
>>mindre om dagen ved at afvise mails sendt til folk der ikke længere er
>>i firmaet, og ikke har været det længe. Det er jo herligt!
>
>
> Ja, det er sgu imporerende så længe man kan blive ved med at modtage
> mail til adresser der ikke længere er aktive.
>
> Vi havde et helt domæne ude af drift i et år, og da det så blev aktivt
> igen, modtoger vi stadigt nyhedsbreve og lign (+spam) til de adresser
> som har bouncet i et år.
>
> Hvad er det for noget skod mailinglist software firmaer bruger siden
> de ikke fjerner adresser der ikke virker efter et år.
>
>


Jeg bouncer selv mail på de konti som jeg har brugt på usenet allerede
på helo tidspunktet, men selvom den ene er over et år gammel kommer der
stadig ligeså mange som på en der kun er 3 måneder gammel. Jeg tror der
er penge i e-mail adresser og dermed ingen incitament til at fjerne dem.
Omvendt kunne jeg forestille mig at e-mail adresser som er bekræftede
(der findes en bruger bag) er mere værd, så for mig er mail programmer
der henter html ude i byen bandlyst. Heldigvis kan SquirrelMail og
thunderbird/mozillamail blokeres for at hente ektern html, og man undgår
derved at bekræfte eksisteren af en person bag en konto. Det håber jeg
er med til at reducere mængden af spam. Tilgengæld har jeg ikke modtaget
spam på den konto dette indlæg er skrevet fra. Jeg har hørt at konti som
starter med spam i navnet i højere grad undgå spam, og det kan jeg kun
bekræfte. I over en måned uden en eneste spam - det er da noget som
virker lovende !

Jørn

---

Brian Albertsen <brianNOSPAM1@albertsen.org> writes:

> Ja, det er sgu imporerende så længe man kan blive ved med at modtage
> mail til adresser der ikke længere er aktive.

Spammere er normalt ligeglade med om adresserne er aktive. Det kan
ikke betale sig for dem at bruge ressourcer på at finde ud af om de
er, så de sender bare til alt der ligner en mailadresse, og ser
sjældent eventuelle bounces, da de stort set altid sender med falske
mailadresser.

> Hvad er det for noget skod mailinglist software firmaer bruger siden
> de ikke fjerner adresser der ikke virker efter et år.

Jeg vil tro at du stille og roligt bliver pillet af nyhedsbreve og
mailinglister når din adresse ikke virker.

--
Jacob - www.bunk.cc
If you can't understand it, it is intuitively obvious.

---

Jacob Bunk Nielsen skrev i -dk.edb.system.unix:

> Jeg vil tro at du stille og roligt bliver pillet af nyhedsbreve og
> mailinglister når din adresse ikke virker.

Ikke alle lister.

--
Med venlig hilsen | Jeg søger et foto / reralistisk maleri over
| omgivelserne ved og lige syd for skovbrynes st
Ivar Madsen | ved Bagsværd fra tiden efter krigen, og
Der kører mdk9.2 | fram til motorvejbyggiet blev påbegyndt

---

On Sat, 22 Nov 2003 13:09:59 +0100, Jacob Bunk Nielsen <spam@bunk.cc>
wrote in <spamdrop+m3y8u8r4dk.fsf@paven.bunk.cc>:

>Brian Albertsen <brianNOSPAM1@albertsen.org> writes:
>
>> Ja, det er sgu imporerende så længe man kan blive ved med at modtage
>> mail til adresser der ikke længere er aktive.
>
>Spammere er normalt ligeglade med om adresserne er aktive. Det kan
>ikke betale sig for dem at bruge ressourcer på at finde ud af om de
>er, så de sender bare til alt der ligner en mailadresse, og ser
>sjældent eventuelle bounces, da de stort set altid sender med falske
>mailadresser.

Ja, klart. Spammere er ligeglade

>> Hvad er det for noget skod mailinglist software firmaer bruger siden
>> de ikke fjerner adresser der ikke virker efter et år.
>
>Jeg vil tro at du stille og roligt bliver pillet af nyhedsbreve og
>mailinglister når din adresse ikke virker.

Mener at kunne huske at nogle at de nyhedbreve og andre emailservices
der begyndte at vælte ind da vi satte MX op på det igen var fra:
Jubii, Powersupplynews, Hardware-test.dk og Martins Weekly Debian

Selv bruger vi Lyris og det kan da rydde op i listen hvs mails bouncer
for mange gange.

---

Jørn Hundebøll <spamnews1@dblue.dk> writes:

> [ ... ] Jeg har hørt at konti som starter med spam i navnet i højere
> grad undgå spam, og det kan jeg kun bekræfte. I over en måned uden
> en eneste spam - det er da noget som virker lovende !

Det kan jeg så godt bekræfte. Jeg har (i følge grouple) postet
ca. 3620 indlæg med den mailadresse jeg bruger nu. Den før
overraskende lidt spam sammenlignet med mine andre adresser, som blot
står nævnt på en hjemmeside eller lignende.

.... og så slap man jo i det hele taget billigt i forbindelse med
swen-virussen, det var også en dejlig ting

--
Jacob - www.bunk.cc
Don't read everything you believe.