13
Spamcheck nach Absender IP Problem
Hallo,
diese ist eher eine strategische Frage, als eine technische.
Wir setzten in unseren Unternehmen den Spamfilter von Barracuda sein. In letzter Zeit häufen sich die Blockierungen von Mails mit der Begründung Barracuda Reputation. Das bedeutet, dass die Barracuda die IP des DSL Anschlusses mit in die Spambewertung aufnimmt und prüft, ob diese geblacklistet ist.
Sobald ein Kunde von seinen heimischen PC, privater DSL Anschluß mit dynamischer IP Adresse, eine Mail per Mailclient und nicht per Webportal sendet, steht im Header der Mail auch die IP des DSL Anschlusses. Ist diese IP bereits geblacklistet, wird die Mail geblockt.
Das kann ja zwei Gründe haben.
1. Pech bei der dynamischen Zuweisung der IP.
2. Der PC des Kunden ist mit Schadsoftware infiziert und sendet unbemerkt im Hintergrund Spam, weshalb die IP das Kunden geblacklistet wird.
Für uns in der IT entsteht dabei ein großes Problem. Wir müssen immer wieder erklären, weshalb die E-Mail geblockt wurde und diese Erklärung ist nun mal sehr technisch. Sie stößt selten auf Zustimmung. Wir wollen uns von dieser Spamprüfung nicht trennen, weil die meisten Barracuda Reputation Blocks absolut gerechtfertigt sind. Aber eben diese wenigen Ausnahmen sorgen für schlechte Stimmung.
Da das Problem eigentlich nicht bei uns liegt, können wir kaum etwas unternehmen, um es zu lösen. Wir können nur informieren.
Wie geht Ihr mit solchen Situationen um?
Spamschutz minimieren, damit jede Mail rein kommt oder auch den Ärger kassieren?
Habt Ihr Ideen, wie man das Problem "lösen" kann?
Danke und Gruß,
mexx
diese ist eher eine strategische Frage, als eine technische.
Wir setzten in unseren Unternehmen den Spamfilter von Barracuda sein. In letzter Zeit häufen sich die Blockierungen von Mails mit der Begründung Barracuda Reputation. Das bedeutet, dass die Barracuda die IP des DSL Anschlusses mit in die Spambewertung aufnimmt und prüft, ob diese geblacklistet ist.
Sobald ein Kunde von seinen heimischen PC, privater DSL Anschluß mit dynamischer IP Adresse, eine Mail per Mailclient und nicht per Webportal sendet, steht im Header der Mail auch die IP des DSL Anschlusses. Ist diese IP bereits geblacklistet, wird die Mail geblockt.
Das kann ja zwei Gründe haben.
1. Pech bei der dynamischen Zuweisung der IP.
2. Der PC des Kunden ist mit Schadsoftware infiziert und sendet unbemerkt im Hintergrund Spam, weshalb die IP das Kunden geblacklistet wird.
Für uns in der IT entsteht dabei ein großes Problem. Wir müssen immer wieder erklären, weshalb die E-Mail geblockt wurde und diese Erklärung ist nun mal sehr technisch. Sie stößt selten auf Zustimmung. Wir wollen uns von dieser Spamprüfung nicht trennen, weil die meisten Barracuda Reputation Blocks absolut gerechtfertigt sind. Aber eben diese wenigen Ausnahmen sorgen für schlechte Stimmung.
Da das Problem eigentlich nicht bei uns liegt, können wir kaum etwas unternehmen, um es zu lösen. Wir können nur informieren.
Wie geht Ihr mit solchen Situationen um?
Spamschutz minimieren, damit jede Mail rein kommt oder auch den Ärger kassieren?
Habt Ihr Ideen, wie man das Problem "lösen" kann?
Danke und Gruß,
mexx
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 239595
Url: https://administrator.de/contentid/239595
Printed on: April 19, 2024 at 03:04 o'clock
13 Comments
Latest comment
Hallo,
eins versteh ich nicht, wieso steht die Dyn IP im Header, normalerweise versendet man ja von zuhause aus über einen Smarthost und nicht direkt.
Direkt macht man ja nur wenn eine Feste IP mit reverse DNS exestiert.
eins versteh ich nicht, wieso steht die Dyn IP im Header, normalerweise versendet man ja von zuhause aus über einen Smarthost und nicht direkt.
Direkt macht man ja nur wenn eine Feste IP mit reverse DNS exestiert.
Moin,
DNS-RBLs zusammen mit Greylisting (beides auf einer Debian Büchse mit Postfix realisiert) reduzieren bei uns das Spamaufkommen um mehr als 99,5% - und das für lau
lg,
Slainte
Wie geht Ihr mit solchen Situationen um?
Spamschutz minimieren, damit jede Mail rein kommt oder auch den Ärger kassieren?
Bei uns werden grundsätzliche alle Mails von den Dyn-IP Ranges der Provider per DNS-RBL geblockt. Ärger ist dabei keiner zu erwarten, da ja nicht IPs in irgendwelchen Headern geprüft werden (sollten), sondern die tatsächliche IP von der aus der Connect zu unserem Mailserver aus initiiert wird.Spamschutz minimieren, damit jede Mail rein kommt oder auch den Ärger kassieren?
DNS-RBLs zusammen mit Greylisting (beides auf einer Debian Büchse mit Postfix realisiert) reduzieren bei uns das Spamaufkommen um mehr als 99,5% - und das für lau
lg,
Slainte
Hallo,
erst mal zu dem Thema mit welcher IP die Mail versendet wird.
Grundsätzlich kannst du von jedem Rechner z.b. mit Putty eine E-Mail an einen Mailserver versenden.
Du kannst aber wie auch schon erwähnt per Smarthost versenden dann hast du die IP des Smart Host in der Mail.
Wenn man eine Dynamische IP verwendet und dann direkt E-Mails versendet ist das grundsätzlich schon mal eine "schlechte" Konfiguration. Und deine Kunden sollte da auch auf anderer Seite Probleme haben.
Das Problem hat man nu aber einfach wenn man einen gewissen Kundenkreis hat und kann das ja selbst nicht ändern.
Jetzt wie geht man damit um. Ich selbst hab das vor kurzer Zeit bei uns auch umgestellt. Dazu hier auch eine Anleitung.
Zuerst setze ich einen relativ schwachen Filter der mir das gröbste vom Hals hält (lustiger Weise ist das bei mir die Barracuda RBL und ich finde jetzt das die wirklich etwas viel durch lässt) und dann im Anschluss habe ich noch einen schärferen der mir einen Stamp im Betreff setzt und die werden dann automatisch in den Junk Mail Ordner von Outlook verschoben. Somit kann man da bei bedarf das ganze noch mal überfliegen.
erst mal zu dem Thema mit welcher IP die Mail versendet wird.
Grundsätzlich kannst du von jedem Rechner z.b. mit Putty eine E-Mail an einen Mailserver versenden.
Du kannst aber wie auch schon erwähnt per Smarthost versenden dann hast du die IP des Smart Host in der Mail.
Wenn man eine Dynamische IP verwendet und dann direkt E-Mails versendet ist das grundsätzlich schon mal eine "schlechte" Konfiguration. Und deine Kunden sollte da auch auf anderer Seite Probleme haben.
Das Problem hat man nu aber einfach wenn man einen gewissen Kundenkreis hat und kann das ja selbst nicht ändern.
Jetzt wie geht man damit um. Ich selbst hab das vor kurzer Zeit bei uns auch umgestellt. Dazu hier auch eine Anleitung.
Zuerst setze ich einen relativ schwachen Filter der mir das gröbste vom Hals hält (lustiger Weise ist das bei mir die Barracuda RBL und ich finde jetzt das die wirklich etwas viel durch lässt) und dann im Anschluss habe ich noch einen schärferen der mir einen Stamp im Betreff setzt und die werden dann automatisch in den Junk Mail Ordner von Outlook verschoben. Somit kann man da bei bedarf das ganze noch mal überfliegen.
Zitat von @SlainteMhath:
DNS-RBLs zusammen mit Greylisting (beides auf einer Debian Büchse mit Postfix realisiert) reduzieren bei uns das
Spamaufkommen um mehr als 99,5% - und das für lau
DNS-RBLs zusammen mit Greylisting (beides auf einer Debian Büchse mit Postfix realisiert) reduzieren bei uns das
Spamaufkommen um mehr als 99,5% - und das für lau
Bringt mich auf ne Frage, ich bin bei Greylisting noch am überlegen.
Habt ihr da keine Problem gehabt?
Meine Anleitung hier ist eben für so ein Postfix Gateway
Bringt mich auf ne Frage, ich bin bei Greylisting noch am überlegen.
Habt ihr da keine Problem gehabt?
Nein, gar keine.Habt ihr da keine Problem gehabt?
Es gab vorher eine Mail an alle MAs, das Mailzustellungen wg. Spamüberprüfung ggfs. 5 Minuten verzögert werden, und gut.
Von technischer Seite her auch problemlos; alle Mailserver due hier Mails abliefern halten sich tatsaechlich an die RFCs und senden nach einer 4xx SMTP-Meldung nach 5-10 Minuten die Mails erneut.
Ergebnis: eingehender Spam mit einem Schlag um 95% reduziert, die DNS-RBLs erledigen noch am knapp 5%, den Rest kann man dem Junkmail-Filter von Outlook überlassen
Postfix + Postgrey arbeitet - wie man es erwarten würde
- 100% stabil./EDIT:
Wenn man eine Dynamische IP verwendet und dann direkt E-Mails versendet ist das grundsätzlich schon mal eine "schlechte" Konfiguration. Und deine Kunden sollte da auch auf anderer Seite Probleme
haben.
haben.
Ich würde sogar behaupten wer von Dyn-.IP Ranges versendet wird seine kaum mehr zugestellt bekommen.
Kann man denn die Mails die Barracuda Reputation in die Junk Ordner des Empfängers weiterleiten?
Grundsätzlich kann der ja erst mal nur sagen: "Meiner Meinung nach SPAM oder HAM"
wo du den Dienst eingebunden hast und wie der darauf reagiert ist wieder ein ganz anderes Thema.
Wenn du jetzt aber von der Appliance redest, keine Ahnung. Vermutlich kriegt man das aber schon hin.
https://www.barracuda.com/products/spamfirewall
wo du den Dienst eingebunden hast und wie der darauf reagiert ist wieder ein ganz anderes Thema.
Wenn du jetzt aber von der Appliance redest, keine Ahnung. Vermutlich kriegt man das aber schon hin.
https://www.barracuda.com/products/spamfirewall
Hallo,
falls Barracuda tatsächlich die Mail-Header auf IP-Adressen überprüft wäre das absolut Banane. Die Header lassen sich sehr einfach fälschen und wie du bereits bemerkt hast werden dynamische Adressen immer wieder neu verteilt, d.h. es ist durchaus möglich das ich am meinem sauberen DSL Anschluss eine IP-Adresse erhalte von der gestern noch munter gespammt wurde. Was üblicherweise getan wird ist die IP Adresse des SMTP Clients zu überprüfen welcher eine Mail einliefern will, allerdings natürlich nicht für authentifizierte MUAs. Man sollte also ganz genau trennen zwischen MUA -> MTA und MTA -> MTA.
Bitte nochmal genau erkundigen welche IP Adressen Barracuda prüft.
Gruß
Andi
falls Barracuda tatsächlich die Mail-Header auf IP-Adressen überprüft wäre das absolut Banane. Die Header lassen sich sehr einfach fälschen und wie du bereits bemerkt hast werden dynamische Adressen immer wieder neu verteilt, d.h. es ist durchaus möglich das ich am meinem sauberen DSL Anschluss eine IP-Adresse erhalte von der gestern noch munter gespammt wurde. Was üblicherweise getan wird ist die IP Adresse des SMTP Clients zu überprüfen welcher eine Mail einliefern will, allerdings natürlich nicht für authentifizierte MUAs. Man sollte also ganz genau trennen zwischen MUA -> MTA und MTA -> MTA.
Bitte nochmal genau erkundigen welche IP Adressen Barracuda prüft.
Gruß
Andi
1
Hallo,
und ganz im "Rennen" ist hat ein Spammer eigentlich unzählige IP Adressen
um Spam zu versenden, also das ist eben eine von mehreren Möglichkeiten
und wenn man die IP Adresse zusätzlich in die Kontrolle miteinbezieht ist das
sicher ok, aber ausschließlich würde ich mal zusehen dass ich für die Zukunft
eine andere Lösung in Betracht ziehe, die Lösung von Slainte hört sich wirklich
viel versprechend an und ein separater Server muss in Zeiten von VMs auch nicht
unbedingt mehr her.
Gruß
Dobby
Bitte nochmal genau erkundigen welche IP Adressen Barracuda prüft.
Das wäre auch nicht unbedingt zukunftsorientiert, denn wenn IPv6 vollund ganz im "Rennen" ist hat ein Spammer eigentlich unzählige IP Adressen
um Spam zu versenden, also das ist eben eine von mehreren Möglichkeiten
und wenn man die IP Adresse zusätzlich in die Kontrolle miteinbezieht ist das
sicher ok, aber ausschließlich würde ich mal zusehen dass ich für die Zukunft
eine andere Lösung in Betracht ziehe, die Lösung von Slainte hört sich wirklich
viel versprechend an und ein separater Server muss in Zeiten von VMs auch nicht
unbedingt mehr her.
Gruß
Dobby
Hallo Dobby,
hab jetzt meine Anleitung noch um eine Empfängerfilterung und Graylisting erweitert.
Bei meiner VM spiele ich noch etwas mit den Spamassassin Paramertern und TLS Support.
Aber ansonsten läuft das Teil bis jetzt wirklich rund.
hab jetzt meine Anleitung noch um eine Empfängerfilterung und Graylisting erweitert.
Bei meiner VM spiele ich noch etwas mit den Spamassassin Paramertern und TLS Support.
Aber ansonsten läuft das Teil bis jetzt wirklich rund.
Ach ja da wäre noch eine super Anleitung von @wiesi200 in Bezug auf einen
Squid Proxy, der die Mail nach Spam und Viren checkt, also so etwas kann
man sich ja auch mal ansehen und ich denke wenn meine kleine "kiste" von
Lanner hier ist versuche ich mich da auch mal dran.
E-Mail Anti Spam Proxy mit CentOS
- Spam/Virenschutz
- Empfängeradressüberprüfung
- Greylisting
- AMaVis
- ClamAV
- Spamassassin
Gruß
Dobby
Squid Proxy, der die Mail nach Spam und Viren checkt, also so etwas kann
man sich ja auch mal ansehen und ich denke wenn meine kleine "kiste" von
Lanner hier ist versuche ich mich da auch mal dran.
E-Mail Anti Spam Proxy mit CentOS
- Spam/Virenschutz
- Empfängeradressüberprüfung
- Greylisting
- AMaVis
- ClamAV
- Spamassassin
Gruß
Dobby
Das Problem liegt bei euch bzw. bei Barracuda :
https://community.barracudanetworks.com/forum/index.php?/topic/15412-rbl ...
http://comments.gmane.org/gmane.mail.postfix.user/226119
"Deep Header scan" ausschalten damit dieses dämliche Stück Software keine Schlussfolgerung aufgrund von Mailheadern zieht. Es ist wirklich erschreckend was für ein Mist für viel Geld verkauft wird.
Gruß
Andi
https://community.barracudanetworks.com/forum/index.php?/topic/15412-rbl ...
http://comments.gmane.org/gmane.mail.postfix.user/226119
"Deep Header scan" ausschalten damit dieses dämliche Stück Software keine Schlussfolgerung aufgrund von Mailheadern zieht. Es ist wirklich erschreckend was für ein Mist für viel Geld verkauft wird.
Gruß
Andi
1
Guten Abend mexx,
wir haben das Produkt ebenfalls im Einsatz und keinerlei Probleme, wie du sie beschreibst.
Es hört sich eher danach an, dass die Konfiguration fehlerhaft ist, was zu unerwünschten Nebeneffekten führt.
Grundsätzlich wäre interessant welchen Firmwarestand ihr gerade nutzt. Habt ihr eine spezielle Konfiguration (z.B. Outgoing-Routing via E-Mailadresse, Trusted Forwarder, Smarthost, etc...) oder Internet <-> BSF <-> Exchange?!
Grüße,
Dani
wir haben das Produkt ebenfalls im Einsatz und keinerlei Probleme, wie du sie beschreibst.
Es hört sich eher danach an, dass die Konfiguration fehlerhaft ist, was zu unerwünschten Nebeneffekten führt.
Grundsätzlich wäre interessant welchen Firmwarestand ihr gerade nutzt. Habt ihr eine spezielle Konfiguration (z.B. Outgoing-Routing via E-Mailadresse, Trusted Forwarder, Smarthost, etc...) oder Internet <-> BSF <-> Exchange?!
Kann man denn die Mails die Barracuda Reputation in die Junk Ordner des Empfängers weiterleiten?
Wenn der Filter entsprechend trainiert ist. gibt es kaum noch E-Mails die mit [SPAM] markiert werden. Wichtig ist, dass der Filter sowohl mit Passed als auch mit Blocked trainiert wird. Das dauert einfach seine Zeit und wenn ihr viele Mails geht das in 3-4 Wochen über die Bühne.Grüße,
Dani
