Wer ein System mit vielen Mailkonten bertreibt sollte ja mittlerweile festgestellt haben was derzeit an heftigen brutalen Attacken abgeht und Spamassassin oder Rspamd da gar nicht mehr dagegen halten können ...
Dabei ist das gute alte Postscreen eine echte Hilfe um wirklich viel Crap gezielt zu blocken ohne false-positives und um somit das komplette System zu entlasten.
Ich verwende es jetzt seit ca. 8 Monaten (auf Debian 11 und 12) und bin total begeistert, also ich spreche jetzt hier bei diesem Funktionswunsch nicht für mich sondern für alle KH User die mit dem Postscreen Setup nicht wirklich klar kommen oder überfordert sind.
Könnte man Postscreen denn nicht per Default bei der KH Installation gleich mit aktivieren?
Rspamd ist schon eine Steigerung gegenüber Spamassassin, vor allem gibt es keine MySQL Abstürze mehr die durch Amavis verursacht wurden, allerdings ist Rspamd auch noch nicht wirklich voll ausgereift und erfordert immer wieder sehr viel eingreifen auch bei black & whitelistings.
Meine persönliche Wunsch Konfiguration wäre eine Kombi aus Postscreen, spamass-milter und clamav-milter ohne Amavis .... es läuft aber auch bestens neben Rspamd.
Also NUR die reine Postscreen Integration im KH wäre bereits ein sehr effektiver und stabiler Spam und Malware Killer.
Vom Aufwand her wäre es schnell in die KH configs integrierbar ...
Standard Postscreen Integration in Keyhelp
- Jolinar
- Community Moderator
- Posts: 3612
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: Standard Postscreen Integration in Keyhelp
+1
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
Re: Standard Postscreen Integration in Keyhelp
Ich mache hierzu einen Rückruf, das Grundsystem ist soweit sehr gut aufgestellt und ich möchte mich nicht bei der Entwicklung aufdrängen.
Postscreen kann jeder selbst nach belieben aktivieren, ich verwende es neben Rspamd und es funktioniert mit dem Basic KH System problemlos.
Postscreen kann jeder selbst nach belieben aktivieren, ich verwende es neben Rspamd und es funktioniert mit dem Basic KH System problemlos.
- Jolinar
- Community Moderator
- Posts: 3612
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: Standard Postscreen Integration in Keyhelp
Moment...
Nur weil du an anderer Stelle mal kritisiert wurdest, mußt du hier nicht die Mimose raushängen lassen und einen sinnvollen Funktionswunsch abwürgen
Ich würde es auf jeden Fall begrüßen, wenn Postscreen ein integraler Bestandteil des KeyHelp Setups werden würde.
Für alle, die noch nicht so viel Berührung mit Postscreen hatten, möchte ich das auch gerne begründen...Die Integration würde eine zusätzliche Sicherheitsschicht im System etablieren, denn aufgrund der Arbeitsweise von Postscreen kann es parallel zu anderen Sicherheitsmaßnahmen betrieben werden und ergänzt bzw. verbessert dadurch die Security des Gesamtsystems.
Das mit dem "Ergänzen" kann man hier durchaus wörtlich nehmen...Denn die Prüfungen durch Postscreen erfolgen schon vor der Annahme der Mail durch den Mailserver...Das bedeutet im Umkehrschluß, daß weniger Mails durch die weiteren Schutzmaßnahmen geprüft werden müssen und so das Gesamtsystem vom Ressourcenverbrauch her deutlich entlastet wird.
Weiterhin sollte hier nicht unerwähnt bleiben, daß der Konfigurationsaufwand für Postscreen absolut minimal ist. Es muß lediglich im Mailserver aktiviert werden und es müssen entsprechende BL/WL definiert werden.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
Re: Standard Postscreen Integration in Keyhelp
Na ja, integriert ist es ja ohnehin es müsste nur aktiviert werden und die master.cf nach Updates sollte dann erhalten bleiben.
Der Vorteil wäre Rspamd könnte toleranter eingestellt werden da kommt es in der Tat öfter zu einigen false/positive listings, Postscreen hält also jede Menge echter DNSBL listings ab und das Rspamd (spam) Limit könnte höher gesetzt werden.
Folgendes Beispiel macht schon einen ganz guten Job.
main.cf
Beispiel postscreen_access.cidr whitelist
master.cf
Der Vorteil wäre Rspamd könnte toleranter eingestellt werden da kommt es in der Tat öfter zu einigen false/positive listings, Postscreen hält also jede Menge echter DNSBL listings ab und das Rspamd (spam) Limit könnte höher gesetzt werden.
Folgendes Beispiel macht schon einen ganz guten Job.
main.cf
Code: Select all
smtpd_recipient_restrictions = ... , reject_rhsbl_helo dbl.spamhaus.org, reject_rhsbl_reverse_client dbl.spamhaus.org, reject_rhsbl_sender dbl.spamhaus.org, check_policy_service unix:private/policy
# postscreen
postscreen_dnsbl_action = enforce
#postscreen_dnsbl_allowlist_threshold = 0
postscreen_dnsbl_sites =
list.dnswl.org=127.0.[0..255].0*-2
list.dnswl.org=127.0.[0..255].1*-4
list.dnswl.org=127.0.[0..255].2*-6
list.dnswl.org=127.0.[0..255].3*-8
zen.spamhaus.org=127.0.0.9*25
zen.spamhaus.org=127.0.0.3*10
zen.spamhaus.org=127.0.0.2*5
zen.spamhaus.org=127.0.0.[4..7]*3
zen.spamhaus.org=127.0.0.[10..11]*3
swl.spamhaus.org*-10,
bl.mailspike.net=127.0.0.2*10
bl.mailspike.net=127.0.0.10*5
bl.mailspike.net=127.0.0.11*4
bl.mailspike.net=127.0.0.12*3
bl.mailspike.net=127.0.0.13*2
bl.mailspike.net=127.0.0.14*1
wl.mailspike.net=127.0.0.16*-2
wl.mailspike.net=127.0.0.17*-4
wl.mailspike.net=127.0.0.18*-6
wl.mailspike.net=127.0.0.19*-8
wl.mailspike.net=127.0.0.20*-10
hostkarma.junkemailfilter.com=127.0.0.2*4
db.wpbl.info=127.0.0.2*2
dnsbl.dronebl.org*2
backscatter.spameatingmonkey.net*2
bl.ipv6.spameatingmonkey.net*2
bl.spameatingmonkey.net*2
bl.spamcop.net*2
ix.dnsbl.manitu.net*2
dnsbl-1.uceprotect.net*2
all.spamrats.com*2
wormrbl.imp.ch*7
spamrbl.imp.ch*2
psbl.surriel.com*2
torexit.dan.me.uk*2
tor.dan.me.uk*1
postscreen_dnsbl_threshold = 3
postscreen_pipelining_enable = no
postscreen_non_smtp_command_enable = no
postscreen_bare_newline_enable = no
postscreen_dnsbl_whitelist_threshold = -4
postscreen_access_list = permit_mynetworks cidr:/etc/postfix/postscreen_access.cidr
postscreen_blacklist_action = drop
postscreen_greet_action = enforce
Code: Select all
#permit internal IP addresses
xxx.xxx.xxx.xxx/32 permit
xxxx:xxx:xxx:xxxx::1/128 permit
#paypal
64.4.240.0/21 permit
64.4.248.0/22 permit
...
Code: Select all
#smtp inet n - - - - smtpd
smtp inet n - - - 1 postscreen
smtpd pass - - - - - smtpd
dnsblog unix - - - - 0 dnsblog
tlsproxy unix - - - - 0 tlsproxy
smtps inet n - - - - smtpd