[Postfix] Alle mails naar de server worden als spam gezien

donderdag 28 augustus 2014 17:19

Acties:

0 Henk 'm!

Topicstarter

Hallo mede-tweakers,

ik draai op m'n VPS Debian 7.6, en ben daar sinds kort Postfix / Dovecot met Spam Assassin als antispam en ViMBadmin als virtual mailbox manager gaan draaien.

Alles uiteraard netjes geprovisioned middels Saltstack, maar dat is weer een ander verhaal

Het werkt allemaal prima, maar het probleem zit hem in het feit dat álle mail die bij postfix aangemeld wordt, volgens spamassassin van een gebanned IP afkomstig is:

code:

1
2
3

Aug 28 10:56:15 vps postfix/smtpd[9105]: connect from mail.ander-domein.nl[1.2.3.4]
Aug 28 10:56:16 vps postfix/smtpd[9105]: NOQUEUE: reject: RCPT from mail.ander-domein.nl[1.2.3.4]: 554 5.7.1 Service unavailable; Client host [1.2.3.4] blocked using sbl.spamhaus.org; from=<eXistenZ@ander-domein.nl> to=<test@mijn-vps.nl> proto=ESMTP helo=<mail.ander-domein.nl>
Aug 28 10:56:16 vps postfix/smtpd[9105]: disconnect from mail.ander-domein.nl[1.2.3.4]

De mail komt van gerenommeerde mailservers, o.a. die van mijn werk, of Gmail.

Ik heb al even zitten spelen met sa-update en sa-compile en heb de automatische cron die bij Debian geïnstalleerd wordt geactiveerd, maar de commando's hebben geen output en verder is Spam Assassin, net als de rest van de pakketten waaruit een standaard mailserver op Linux bestaat, bijzonder vaag en obscuur.

Wie helpt met met het gouden ei?

There is no replacement for displacement!

donderdag 28 augustus 2014 17:37

Acties:

0 Henk 'm!

Bastien

Probleemeigenaar

Ik denk niet dat dit door SA gedaan wordt want die logt normaal gesproken wel in de mail.log wat ie doet met emails. Er staat neem ik aan in de main.cf een regel met o.a. 'reject_rbl_client zen.spamhaus.org' al zal er bij jou dan mogelijk sbl.spamhaus.org staan. Daar controleer je de blocklist mee. Dat hoeft niet nog een keer in SA. En op deze manier block je de email al voordat ie op de server is, met SA is dat pas vlak voor de achterdeur.

En zo vaag en obscuur is het allemaal niet als je je erin verdiept.

Kun je je main.cf eens posten? Want ergens in je configuratie zal iets een beetje hyperactief zijn.

Je kunt afaik beter zen gebruiken, is een verzameling van blocklists van Spamhaus, maar dat terzijde.

Je privacy is voor het eerst geschonden bij de eerste echo. Daarna wordt het er de rest van je leven niet meer beter op.

donderdag 28 augustus 2014 18:10

Acties:

0 Henk 'm!

_eXistenZ_

Topicstarter

Bastien, dank voor je verhelderende antwoord.
Die main.cf gaat nog wel maar open maar eens master.cf, nog nooit zo'n zooi gezien

Anyway, mijn config:

code:

# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/mail.existenz-zn-vpsje.nl/server.crt
smtpd_tls_key_file=/etc/ssl/mail.existenz-zn-vpsje.nl/server.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

smtpd_tls_auth_only = yes
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous, noplaintext
smtpd_sasl_tls_security_options = noanonymous
smtpd_recipient_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination,
    reject_invalid_hostname,
    reject_unauth_pipelining,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    reject_non_fqdn_recipient,
    reject_unknown_recipient_domain,
    reject_rbl_client sbl.spamhaus.org,
    permit

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname = mail.existenz-zn-vpsje.nl
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = mail.existenz-zn-vpsje.nl, localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
virtual_alias_maps = mysql:/etc/postfix/mysql/virtual-aliases.cf
virtual_mailbox_domains = mysql:/etc/postfix/mysql/virtual-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql/virtual-mailboxes.cf
virtual_transport = dovecot
dovecot_destination_recipient_limit = 1

Hierin staat inderdaad de regel die je zegt ja, heb ik gister overheen gelezen

Wel vreemd dat als je die regel met spamhaus er in zet ineens ALLES geblokt wordt dan...

/edit

Met die regel er uit wordt de mail gewoon geaccepteerd, en kickt vervolgens Spam Assassin in die em een score geeft. Lijkt prima te werken dus zo!

[ Voor 5% gewijzigd door _eXistenZ_ op 28-08-2014 18:16 ]

There is no replacement for displacement!

donderdag 28 augustus 2014 18:23

Acties:

0 Henk 'm!

gekkie

waarom zou je blind vertrouwen op 1 anti-spamboer en op basis daarvan mail willen blocken.
Je zou zeggen dat je daarvoor spamassassin hebt .. om op basis van meerdere factoren een afweging te maken (en daarnaast weiger of delete ik spam nooit .. maar komt het als gelezen in de spamfolder terecht zodat je die altijd nog na kunt lopen op false positives.

donderdag 28 augustus 2014 18:48

Acties:

0 Henk 'm!

Bastien

Probleemeigenaar

_eXistenZ_ schreef op donderdag 28 augustus 2014 @ 18:10:

Hierin staat inderdaad de regel die je zegt ja, heb ik gister overheen gelezen
Wel vreemd dat als je die regel met spamhaus er in zet ineens ALLES geblokt wordt dan...

/edit

Met die regel er uit wordt de mail gewoon geaccepteerd, en kickt vervolgens Spam Assassin in die em een score geeft. Lijkt prima te werken dus zo!

Zie zo niets raars in de main.cf. Dat het zonder de check wel werkt is niet echt verbazingwekkend natuurlijk.

Maar da's geen oplossing voor de uitdaging maar een workaround...

Wat een reden kan zijn is dat de DNS naar Spamhaus niet goed resolved. Als spl.spamhaus.org niet gevonden kan worden krijgt Postfix een bepaalde code terug en dan schiet ie standaard de emails af. Klopt de inhoud van /etc/resolv.conf wel?

Kijk anders ook eens door de FAQ: http://www.spamhaus.org/faq/section/DNSBL%20Usage#243

Of je moet het zo goed vinden, ook best natuurlijk.

Je privacy is voor het eerst geschonden bij de eerste echo. Daarna wordt het er de rest van je leven niet meer beter op.

donderdag 28 augustus 2014 22:26

Acties:

0 Henk 'm!

_eXistenZ_

Topicstarter

sbl.spamhaus.org kan inderdaad niet resolved worden, eigenlijk helemaal niks van spamhaus.org.
Binnenkort dus even kijken waarom niet.
Voor nu vertrouw ik even op alleen spamassassin, maar dubbelop is mooier.

There is no replacement for displacement!

donderdag 28 augustus 2014 23:12

Acties:

0 Henk 'm!

gekkie

_eXistenZ_ schreef op donderdag 28 augustus 2014 @ 22:26:
sbl.spamhaus.org kan inderdaad niet resolved worden, eigenlijk helemaal niks van spamhaus.org.
Binnenkort dus even kijken waarom niet.
Voor nu vertrouw ik even op alleen spamassassin, maar dubbelop is mooier.

Waarom vindt je "dubbelop" mooier ?

het is niet "dubbelop" .. als de client in spamhaus staat wordt de mail dus gelijk gereject door de server en wordt verder niet geprocessed door spamhaus.
als het resolven of connecten met het externe spamhaus om een willekeurige reden niet lukt .. dan wordt alle mail geweigerd ?
spamassassin kan ook gebruik maken van spamhaus en een score toebedelen.

Mag toch aannemen dat je minimaal wil dat bij geen contact met spamhaus, de mail gewoon wordt geaccepteerd. Als dit een standaard config ergens vandaan is, vind ik hem op dat punt wel slecht.

En (1) zou interessant kunnen zijn als spam een dermate belasting op je mailserver legt als die al de spam verder zou moeten processen. In alle andere gevallen zou ik het liever processen en een score er aanhangen en het aan de gebruiker overlaten om verder iets met de door spamassassin gemarkeerde mail te doen. (bijvb met de sievefilters in dovecot)

[ Voor 5% gewijzigd door gekkie op 28-08-2014 23:13 ]

woensdag 3 september 2014 16:02

Acties:

0 Henk 'm!

Heli0s

Liberate tuteme ex inferis

Zo even een vraag, maar je SPF records staan goed?

The fear that keeps me going and going and going. Is the same fear that brings me to my knees

vrijdag 5 september 2014 13:17

Acties:

0 Henk 'm!

Thc_Nbl

lijkt mij duidelijk toch.

Client host [1.2.3.4] blocked using sbl.spamhaus.org
dus ga even naar www.spamhaus.org en kijk waarom deze "client" geblokt wordt door spamhaus.
Vermoedelijk gebruikt deze een dhcp ip ofzo en dat wordt via de zen.spamhaus geblokkeerd en zo hoort het een server met DHCP ip behoort niet te e-mailen. die machine moet dus de uitgaande smtp server van de provider gaan instellen.

je restriction classes kan je nog wat beter instellen ( deze dus : smtpd_*_restrictions = )
en de volgorde is wel enigzins van belang.
begin met
smtpd_helo_restrictions
smtpd_sender_restrictions
smtpd_recipient_restrictions
smtpd_data_restrictions

als je je postfix goed installed, met b.v. nog greylisting en SPF check erin dan doet je anti spam bijna niets maar gezien het merendeel door postfix gestop zal worden.
ik blok zo ongeveer van de 10.000 emails per dag ongeveer 9000 emails. waarna er nog zo'n 100 als spam gezien worden in mijn anti spam setup die na deze postfix config komt. en 900 legitime e-mails die over blijven.

suc6.

ehhh.. noppes

Onderwerpen