Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Wie werde ich SPAM los?

Astaro 7.305
Andere scheinen ja laut diesem Forum auch Probleme mit der aktuellen Anti-Spam-Lösung zu haben, teils gar soweit, dass sie gar nicht zu funktionieren scheint.
Bei uns funktioniert sie dagegen wohl im Prinzip, ist aber viel zu sanftmütig.
Mit den Einstellungen
Reject at SMTP time = Confirmed SPAM
+ Use Recommended RBLs
+ Block dialup/residential hosts
Spam action = WARN
Confirmed Spam action = Quarantine
Spam Marker = *SPAM*
+ Reject invalid HELO/RDNS
+ Use Greylisting
- Use BATV
+ Perform SPF check

Laut Statistik wurden in den letzten 24h ca. 66% blockiert - eine ungewöhnlich niedrige Zahl bei weltweit geschätzten über 90% Spam-Anteil.
Den Löwenanteil hierunter haben RBL und RDNS/HELO, lediglich 1%(!) der Blockierungen fallen unter die Kategorie "Spam quarantined/rejected".

Obendrein kommen z.B. auf meinem Account täglich angebliche Lotteriegewinne (diese immerhin teils mit *SPAM* markiert) sowie (unmarkiert!!) Varianten des berüchtigten Nigeria-Scams an.
Eine derart hohe Durchlassquote kann doch nicht der Weisheit letzer Schluss sein, oder?

Hagen


This thread was automatically locked due to age.
Parents
  • Spam filtern ist wie Laub saugen ...

    Hast Du wirklich schon mal einen AntiSpamLösung gesehen, die 90% des Mailverkehrs als Spam erkannte und dabei nicht 15 bis 30% false positiv war? Für mich war das höchste bisher 76% mit 0,2% false positiv. Durchschnitt liegt knapp bei 68% (wobei die Astaros den geringsten Anteil an der Berechnung haben). Und es klingt doch gut, wenn der Contentfilter des Spamfilters weniger zu tun hat, weil fast alle Spammer schon am exim plonken.

    Je nach Menge der eingehenden eMails solltest du die Statistik mal detailiert aufsetzen. Also alle eingehenden ins Verhältnis zu ihrem Status nach dem Lo Interface.



    PS: Der Kampf gegen Spammer ist wie Krieg: ein gegenseitiges Wettrüsten und sinnlose Ressourcenverschwendung. Macht es wie die Texas Ranger: Ein Aufstand - ein Ranger, also eine Spammail - eine abuse-Mail [;)]
  • Danke, ich bin an diesem Krieg bereits seit ein paar Jahren mit den verschiedensten Mechanismen beteiligt. [:)]
    Vor Jahren habe ich auch noch die Mühe mit den abuse-Mails veranstaltet und diese schon per Skript vorbereitet (nicht nur bei Mails, auch bei sonstigen Angriffen, immer wahlweise an Verantwortlichen für die Email-Domain, den IP-Bereich, die rDNS-Domain etc.), nehme aber an, dass diese in Korea, Rumänien und Co. nicht gelesen wurden...

    Bei den nicht inhaltsbasiertenBlockaden (z.B. Greylisting) habe ich leider sehr oft das Problem, dass z.B. bei legitimen Neukontakte grauenvoll aufgesetzte Mailserver im Einsatz sind, die nach einer tempfail entweder erst nach 24h oder auch gar nicht wiederholen - und schon ist der Kunde verloren. Daher habe ich mit dem Aufrechterhalten von Greylisting intern ein schwächelndes Standing - einmal abgesehen davon, dass die Gegenseite sich ja auch mittlerweile darauf einstellt. (Wo sehe ich eigentlich in der Mail-Manager-Statistik den Erfolg von Greylisting?)

    Mein persönlicher Eindruck ist, dass mit SpamAssassin (das ich nicht nur in den letzten Jahren qua Astaro einsetzte, sondern auch unabhängig davon zuvor) zumindest bis zum Aufkommen von Bild-Spam größere Erfolge erzielt werden konnten. Zumindest Standard-Spams a la Nigeria-Scam kannte ich bis zu den jüngsten Astaro-Updates nur noch aus der Erinnerung. 

    Leider weiß man ja grundsätzlich nie so ganz genau, wie hoch die Dunkelziffer bei der false-positive-Rate ist, aber was die erkannten angeht, bemerke ich subjektiv keinen großen Unterschied zu früher (merke ich allerdings dank User-Portal zur Quarantäne nicht mehr 100%ig).
  • Danke, ich bin an diesem Krieg bereits seit ein paar Jahren mit den verschiedensten Mechanismen beteiligt. [:)]
    Vor Jahren habe ich auch noch die Mühe mit den abuse-Mails veranstaltet und diese schon per Skript vorbereitet (nicht nur bei Mails, auch bei sonstigen Angriffen, immer wahlweise an Verantwortlichen für die Email-Domain, den IP-Bereich, die rDNS-Domain etc.), nehme aber an, dass diese in Korea, Rumänien und Co. nicht gelesen wurden...

    Sehr gut automatisiert und die "positive" response erreicht wohl demnächst den break even point [;)]

    Bei den nicht inhaltsbasiertenBlockaden (z.B. Greylisting) habe ich leider sehr oft das Problem, dass z.B. bei legitimen Neukontakte grauenvoll aufgesetzte Mailserver im Einsatz sind, die nach einer tempfail entweder erst nach 24h oder auch gar nicht wiederholen - und schon ist der Kunde verloren. Daher habe ich mit dem Aufrechterhalten von Greylisting intern ein schwächelndes Standing - einmal abgesehen davon, dass die Gegenseite sich ja auch mittlerweile darauf einstellt. (Wo sehe ich eigentlich in der Mail-Manager-Statistik den Erfolg von Greylisting?)

    Greylisting gehört verboten [:(] Und wir haben es nirgendwo aktiv. Aber ich befürchte, außer einem grep auf das smtp.log und die üblichen Verdächtigen wie awk, sort und uniq wird es kein anderes Mittel geben. Wenigstens sind die Logs für SMTP jetzt in einem zu finden.

    Mein persönlicher Eindruck ist, dass mit SpamAssassin (das ich nicht nur in den letzten Jahren qua Astaro einsetzte, sondern auch unabhängig davon zuvor) zumindest bis zum Aufkommen von Bild-Spam größere Erfolge erzielt werden konnten. Zumindest Standard-Spams a la Nigeria-Scam kannte ich bis zu den jüngsten Astaro-Updates nur noch aus der Erinnerung. 

    Leider weiß man ja grundsätzlich nie so ganz genau, wie hoch die Dunkelziffer bei der false-positive-Rate ist, aber was die erkannten angeht, bemerke ich subjektiv keinen großen Unterschied zu früher (merke ich allerdings dank User-Portal zur Quarantäne nicht mehr 100%ig).

    Ärgerlicher Weise ist der Einblick und das Nachvollziehen bei der Astaro schlimmer als der Inder beim SAP-Support. Völlig unverständlich aufgrund mangelnder Informationen. Das würde einigen Supportärger ersparen.

    Da wir selbst den Spamfilter der Astaro nicht nutzen, kann ich nur die Beobachtungen bei und die Aussagen und das Empfinden von unseren Kunden nehmen und da kommt auch wieder obiges zum tragen. Aber richtig fatal wirkt sich die "onlineabhängigkeit" teilweise aus.

    Mehr Transparenz wünsche ich mir ...
Reply
  • Danke, ich bin an diesem Krieg bereits seit ein paar Jahren mit den verschiedensten Mechanismen beteiligt. [:)]
    Vor Jahren habe ich auch noch die Mühe mit den abuse-Mails veranstaltet und diese schon per Skript vorbereitet (nicht nur bei Mails, auch bei sonstigen Angriffen, immer wahlweise an Verantwortlichen für die Email-Domain, den IP-Bereich, die rDNS-Domain etc.), nehme aber an, dass diese in Korea, Rumänien und Co. nicht gelesen wurden...

    Sehr gut automatisiert und die "positive" response erreicht wohl demnächst den break even point [;)]

    Bei den nicht inhaltsbasiertenBlockaden (z.B. Greylisting) habe ich leider sehr oft das Problem, dass z.B. bei legitimen Neukontakte grauenvoll aufgesetzte Mailserver im Einsatz sind, die nach einer tempfail entweder erst nach 24h oder auch gar nicht wiederholen - und schon ist der Kunde verloren. Daher habe ich mit dem Aufrechterhalten von Greylisting intern ein schwächelndes Standing - einmal abgesehen davon, dass die Gegenseite sich ja auch mittlerweile darauf einstellt. (Wo sehe ich eigentlich in der Mail-Manager-Statistik den Erfolg von Greylisting?)

    Greylisting gehört verboten [:(] Und wir haben es nirgendwo aktiv. Aber ich befürchte, außer einem grep auf das smtp.log und die üblichen Verdächtigen wie awk, sort und uniq wird es kein anderes Mittel geben. Wenigstens sind die Logs für SMTP jetzt in einem zu finden.

    Mein persönlicher Eindruck ist, dass mit SpamAssassin (das ich nicht nur in den letzten Jahren qua Astaro einsetzte, sondern auch unabhängig davon zuvor) zumindest bis zum Aufkommen von Bild-Spam größere Erfolge erzielt werden konnten. Zumindest Standard-Spams a la Nigeria-Scam kannte ich bis zu den jüngsten Astaro-Updates nur noch aus der Erinnerung. 

    Leider weiß man ja grundsätzlich nie so ganz genau, wie hoch die Dunkelziffer bei der false-positive-Rate ist, aber was die erkannten angeht, bemerke ich subjektiv keinen großen Unterschied zu früher (merke ich allerdings dank User-Portal zur Quarantäne nicht mehr 100%ig).

    Ärgerlicher Weise ist der Einblick und das Nachvollziehen bei der Astaro schlimmer als der Inder beim SAP-Support. Völlig unverständlich aufgrund mangelnder Informationen. Das würde einigen Supportärger ersparen.

    Da wir selbst den Spamfilter der Astaro nicht nutzen, kann ich nur die Beobachtungen bei und die Aussagen und das Empfinden von unseren Kunden nehmen und da kommt auch wieder obiges zum tragen. Aber richtig fatal wirkt sich die "onlineabhängigkeit" teilweise aus.

    Mehr Transparenz wünsche ich mir ...
Children