[DirectAdmin] Globale anti-spam - Internet en hosting

Vraag

donderdag 10 januari 2019 21:58

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

De laatste weken worden een hoop mail accounts gebombardeerd met spam berichten. Het varieert van seo uit pakistan, artikelen uit duitsland en nog veel meer ander gerelateerde troep. Spamassasin staat per account (1500 stuks) al ingesteld, sommige heb ik opgescherpt naar een 10 score en de belangrijkste accounts aangevuld met random keywords.

Echter denk ik dat dit vissen achter het net is. En ik wordt er een beetje strontziek van. Is er een mogelijkheid dat ik op directadmin niveau, alle accounts (ik heb een 12 tal managed servers) kan gaan beschermen met verregaandere anti-spam settings zonder dat ik per account alles in moet gaan stellen?

Het is echt snoeivervelend. Ik kreeg ook erg veel form spam maar dat heb ik relatief makkelijk op weten te lossen (grepje op het formulier en een verborgen veld mee gaan sturen). De lui achter de managed servers wijzen me op de public RBL list enzo maar ik denk niet dat dat afdoende is meer.

De RBL list houdt alleen een known spammer adress bij maar niet op actueele spam. Iemand een idee c.q tip?

Beste antwoord (via Verwijderd op 10-01-2019 22:52)

donderdag 10 januari 2019 22:41

king006

Heb je Easy Spam Fighter erop staan? Check https://help.directadmin.com/item.php?id=577 eens. Je zegt een score van 10, bedoel je letterlijk dat je 10 hebt ingevuld in Spamassassin?

[ Voor 32% gewijzigd door king006 op 10-01-2019 22:42 ]

Alle reacties

donderdag 10 januari 2019 22:41

Acties:

Beste antwoord ✓
0 Henk 'm!

king006

Heb je Easy Spam Fighter erop staan? Check https://help.directadmin.com/item.php?id=577 eens. Je zegt een score van 10, bedoel je letterlijk dat je 10 hebt ingevuld in Spamassassin?

[ Voor 32% gewijzigd door king006 op 10-01-2019 22:42 ]

donderdag 10 januari 2019 22:49

Acties:

0 Henk 'm!

xares

Je moet juist een lagere score instellen i.p.v. hoger in Spamassasin. Hoe lager de score hoe meer mail wordt geweigerd.

Lijkt mij dat dit iets is voor je provider aangezien het Managed is. Er zijn genoeg mogelijkheden. Spf, rdns, rbl, greylisting,dkim controle.

Spamexperts als externe dienst werkt ook erg goed bijvoorbeeld.

donderdag 10 januari 2019 22:54

Acties:

+1 Henk 'm!

Verwijderd

Topicstarter

Dus ik heb voor een hoop gebruikers een hogere score (= meer spam) ingesteld dan lager

Wat stom. Die link van @king006 met name punt 6, 7 & 8 lijken interessant. Ik laat die es installeren.

donderdag 10 januari 2019 22:57

Acties:

0 Henk 'm!

gekkie

Ik weet niet wat je je spamassassin allemaal laat testen.

Meest effectieve tegen spam is greylisting (maat dat is iets voor de MTA en niet voor spamassassin), dat houdt bij mij zo'n 90% tegen.

Binnen spamassassin heb ik een wilde cocktail:
- checken op taal (alles wat ik niet kan lezen en schijven kan een berg punten krijgen om al een aardig eind richting spamfolder op weg te zijn, maar goed als die 1500 accounts niet van jezelf zijn zal het lastig te zijn dit te gebruiken.
- Bepaalde RBL checks (de ene RBL levert beter resultaat dan de andere en ik acht geen enkele goed genoeg om in z'n eentje een mailtje als spam te beoordelen), pyzor, razor en dcc plugins.
- Clamav die er nog overheen fietst voor een beetje basic virus detectie.
- SPF en DKIM fails leveren ook nog wat punten op.
- Bayes draait ook nog per account

Krijg misschien nog 1 of 2 spammailtjes per maand, meestal NL-achtige bedrijven die toch wat sturen maar met afmeld link, dus afmelden en gelijk trainen in bayes filter, je weet immers maar nooit of ze het nog weer eens proberen.

Lijkt me overigens niet verstandig om de threshold score erg te verlagen als je wellicht nog niet al te veel tests runt. Kans op false positives zal dan toch snel toenemen.

Nog een tip voor RBL's en de rest van de plugins, over het algemeen werken die met DNS queries.
Sommige lijsten vereisen betaling boven een aantal requests, dus als je die requests via de DNS server van je hoster/provider laat verlopen heb je een aardige kans dat je *samen* met de rest van de klanten van je provider hier zo overheen bent en je tests niet meer werken. Zelf een DNS-recursor (bijvb powerdns) voor de RBL requests kan dat voorkomen.

[ Voor 22% gewijzigd door gekkie op 10-01-2019 23:02 ]

donderdag 10 januari 2019 23:01

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ik heb geleerd, om buitenlandse spam te weren, moet je eens goed kijken naar de encoding van het emailtje. Vooral chinese spam gebruikt een andere encoding dan wat wij normaal hier hebben. Dat werkt. Dan heb ik nogal veel WHOIS spam aan de hand van mijn email adres wat gekoppeld staat op een naam of 2600 online. Ja dat is vragen om problemen. Maar ik heb dat relatief goed af kunnen vangen over de loop der jaren maar het gaat vooral klanten van mij. Die worden middels doodbestookt met reclame, spam, ongevraagde nieuwsletters en troep, het houdt gewoon niet op.

DA is wat soepeler op mail vlak en een goede antispam kost ook processing power. Iets wat je niet op een goede server eigenlijk wilt inleveren ten behoeve van time to first byte. Load is ook gemiddeld ~2% op iedere bak. Zo blijft alles lekker snel, soepel en vooral de TTFB is extreem hoog wat ten goede komt in search.

Stoor me er zo aan dat anti-spam in DA zo beperkt is. Leuk dat per userniveau maar als je 800+ accounts heb staan heb je een dagtaak aan het instellen.

donderdag 10 januari 2019 23:23

Acties:

0 Henk 'm!

TomsDiner

Ik zit hier met unmanaged servers (althans, ze worden gemanaged door mij) met zo'n 275 mailaccounts. Dit zijn meerdere bedrijven. Er werd ook geklaagd over spam...

Na een onderzoekje bleek:
Ik krijg de meeste spam, met alle support@, postmaster@, abuse@ mailadressen. Deze spam wordt door spamassasin keurig afgevangen: ik zie het zelden.

Dan de directie van de bedrijven. Dit zijn de oudste emailadressen (soms al meer dan 15 jaar), en deze staan vaak meerdere malen op haveibeenpowned, en zijn soms ook veel te vaak op websites geplaatst. Je moet spam aanpakken aan de bron, en dat is bij deze categorie niet meer mogelijk: hun adressen staan in veel te veel bestanden. Op deze adressen komt meestal porno en Duitse kugelschreiber-meuk. Plus voetnagelschimmel.

Als je deze mail onder de loep neemt, is de afzender vaak legitiem. DKIM, SPF.. Alleen DMARC ontbreekt, omdat -denk ik- dit vaak via scripts op gekraakte sites draait (zei iemand WP?) en die vaak niet mailen op een account. En dus geen DMARC. Blokkeer ze, en ze mailen je morgen via een andere website. Deze categorie is imho niet te vangen: de domeinen worden pas net misbruikt, en hebben nauwelijks kenmerken van spam.

Maar ik denk wel dat er verbetering aan zit te komen. Ik ben zo stom geweest om een test mailadres aan te maken met de naar test en wachtwoord ##iets met wat opeenlopende cijfers, beginnend bij 1##. We waren een probleem met DMARC aan het testen, en ik lette even niet op. Via dat account zijn in een uur zo'n 99 mailtjes verstuurd (ze zijn niet achterlijk, geen 100 want dat valt op), en de daaropvolgende 48 uur ook.

Daarna was één van onze servers geblacklist voor zowel Microsoft als Google, en nog 40 andere blacklists. Ik heb aardig wat webforms in moeten vullen en hielen moeten likken om dit ongedaan te krijgen. Dit overkomt veel van die domeinen hierboven ook. Niet na een uur, wel na enkele dagen.

Dit soort praktijken zijn niet nieuw, maar de snelheid wel. En voor een blacklist ben je niet afhankelijk van de provider van de spammert, dus ook derde wereld spam wordt wel afgewend.

En @Jism: als TTFB belangrijk is, waarom staat de mailserver dan op de webserver? Antispam kost welliswaar wat tijd, maar gewoon gebruik (alle accounts komen meerdere keren per minuut leuren voor mail) kost veel meer. Daarnaast is het schijfgebruik van email vaak veel forser...

donderdag 10 januari 2019 23:31

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Correct, zero days gehackte website(s) zijn een doorn in het oog. Hier wordt vaak spam vanaf gestuurd wat in eerste instantie nog niet zo 1-2-3 opvalt. Ik heb een hoop gedaan tegen security en met name wordpress sites om zelf niet gehacked te worden. Klanten updaten nooit dus ik ga altijd uit van de domste gebruiker zeg maar. Wordpress probeer ik zoveel mogelijk te vermijden maar die werken natuurlijk met shops op basis van Woocommerce. Dus is het een afweging.

Ik heb scriptwerk meedraaien dat de logs iedere 5 seconden controleert op o.a POSTS naar WP-login.php en wp-admin, staat er een IP adres voor meer dan 5 keer in 5 seconden dan is het direct in CSF. Een mens kan geen 5 posts maken in amper 5 seconden tenzij je bewust 5x tegelijk op login drukt zonder dat je wacht in de tussentijd. De overlast hierdoor blijft echt nul en je CSF groeit met gerust tienduizenden IP adressen per week.

CSF begint het wel moeilijk te krijgen met een 30k aan permbans, dus wellicht voor jezelf ook raadzaam dat de threshold er net onder moet zitten voordat het oude adressen flushed.

Per gebruiker staat een maillimit van ongeveer 75 mails per dag in. De meeste halen de 40 nog niet eens. Sommige hebben een uitzondering naar wellicht 300 mails per dag, maar ik zie dat meteen als er gekloot wordt met spam. En ja, ze zijn 'erg' slim zodra ze een SMTP account te pakken hebben. Dat gaat per 10 verstuurde emails en steeds weer een ander IP adres. Een klant van mij had blijkbaar een gehackte telefoon en die pikte iedere keer alle SMTP gegevens mee.

Ik vind dat ze vanuit DA als je een licentie hebt gewoon wat meer controle moet kunnen geven op spam, op serverniveau en niet gebruikersniveau. Ik betaal 10$ volgens mij per maand per licentie, dus daar mag bestwel wat vanaf. Het is een uitstekend pakket en ik wil eigenlijk niks anders meer.

vrijdag 11 januari 2019 10:04

Acties:

0 Henk 'm!

king006

@Verwijderd,

Ik ben benieuwd of je verbetering merkt als punt 6, 7 en 8 zijn geregeld

heb je het punten aantal nu teruggezet in Spamassassin? wellicht kun je 4 eens proberen? ik zou hem niet te laag zetten, dat kan betekenen dat legitieme e-mails ook geblokkeerd worden.

vrijdag 11 januari 2019 10:28

Acties:

+1 Henk 'm!

Verwijderd

Topicstarter

Ik kreeg bericht dat er andere spamfilters waren geinstalleerd, maar ik wacht nog eigenlijk op navraag welke spamfilters dat zijn. Voor sommige accounts stond spamassasin volledig uit, voor sommige op een veels te hoge threshold (10)

Het advies was alle accounts eenmalig na te lopen en alles op 5.0 te zetten. Dat hoef ik maar 1 x in bulk te doen en vanaf heden bij het aanmaken van een nieuwe user en / of account ff op 5.0 zetten of zelfs lager als het echt te erg is.

Het blokkeren is niet zo; als je een spam folder instelt en de gebruiker verteld dat ie dat met regelmaat controleren moet dan komt ook daar legitieme email die die kan slepen of taggen als dit is geen spam zijnde.

Ik denk dat het inkomende nu wel opgelost raakt; alleen het uitgaande is soms nog een euvel. Mailen naar Gmail, Hotmail enz enz beland vaak in de spam ondanks een geldig DKIM per domein.

vrijdag 11 januari 2019 11:11

Acties:

+1 Henk 'm!

Verwijderd

Topicstarter

Mix van:

http://forum.directadmin.com/showthread.php?t=51322

https://github.com/Exim/exim/wiki/BlockCracking

http://files.directadmin.com/services/SpamBlocker/

Ik zelf lijk nu nul spam binnen te krijgen, wat goed is. Ik zal later op de dag wat logs nastruinen, kijken of daar wat spannends nog gebeurd. Maar so far so good.

vrijdag 11 januari 2019 15:56

Acties:

0 Henk 'm!

king006

@Verwijderd,

Goed te lezen dat die opties zijn geïnstalleerd en dat je voorlopig 0 spam e-mails hebt gezien

Pagina: 1

Reageer