Page 1 of 1
Standard Postscreen Integration in Keyhelp
Posted: Mon 22. Jan 2024, 18:06
by Ralph
Wer ein System mit vielen Mailkonten bertreibt sollte ja mittlerweile festgestellt haben was derzeit an heftigen brutalen Attacken abgeht und Spamassassin oder Rspamd da gar nicht mehr dagegen halten können ...
Dabei ist das gute alte Postscreen eine echte Hilfe um wirklich viel Crap gezielt zu blocken ohne false-positives und um somit das komplette System zu entlasten.
Ich verwende es jetzt seit ca. 8 Monaten (auf Debian 11 und 12) und bin total begeistert, also ich spreche jetzt hier bei diesem Funktionswunsch nicht für mich sondern für alle KH User die mit dem Postscreen Setup nicht wirklich klar kommen oder überfordert sind.
Könnte man Postscreen denn nicht per Default bei der KH Installation gleich mit aktivieren?
Rspamd ist schon eine Steigerung gegenüber Spamassassin, vor allem gibt es keine MySQL Abstürze mehr die durch Amavis verursacht wurden, allerdings ist Rspamd auch noch nicht wirklich voll ausgereift und erfordert immer wieder sehr viel eingreifen auch bei black & whitelistings.
Meine persönliche Wunsch Konfiguration wäre eine Kombi aus Postscreen, spamass-milter und clamav-milter ohne Amavis .... es läuft aber auch bestens neben Rspamd.
Also NUR die reine Postscreen Integration im KH wäre bereits ein sehr effektiver und stabiler Spam und Malware Killer.
Vom Aufwand her wäre es schnell in die KH configs integrierbar ...
Re: Standard Postscreen Integration in Keyhelp
Posted: Mon 22. Jan 2024, 23:07
by Jolinar
Re: Standard Postscreen Integration in Keyhelp
Posted: Thu 15. Feb 2024, 18:56
by Ralph
Ich mache hierzu einen Rückruf, das Grundsystem ist soweit sehr gut aufgestellt und ich möchte mich nicht bei der Entwicklung aufdrängen.
Postscreen kann jeder selbst nach belieben aktivieren, ich verwende es neben Rspamd und es funktioniert mit dem Basic KH System problemlos.
Re: Standard Postscreen Integration in Keyhelp
Posted: Thu 22. Feb 2024, 09:16
by Jolinar
Ralph wrote: ↑Thu 15. Feb 2024, 18:56
Ich mache hierzu einen Rückruf ... ich möchte mich nicht bei der Entwicklung aufdrängen
Moment...
Nur weil du an anderer Stelle mal kritisiert wurdest, mußt du hier nicht die Mimose raushängen lassen und einen sinnvollen Funktionswunsch abwürgen
Ich würde es auf jeden Fall begrüßen, wenn
Postscreen ein integraler Bestandteil des
KeyHelp Setups werden würde.
Für alle, die noch nicht so viel Berührung mit
Postscreen hatten, möchte ich das auch gerne begründen...Die Integration würde eine
zusätzliche Sicherheitsschicht im System etablieren, denn aufgrund der Arbeitsweise von
Postscreen kann es parallel zu anderen Sicherheitsmaßnahmen betrieben werden und ergänzt bzw. verbessert dadurch die Security des Gesamtsystems.
Das mit dem "Ergänzen" kann man hier durchaus wörtlich nehmen...Denn die Prüfungen durch
Postscreen erfolgen schon
vor der Annahme der Mail durch den Mailserver...Das bedeutet im Umkehrschluß, daß weniger Mails durch die weiteren Schutzmaßnahmen geprüft werden müssen und so das Gesamtsystem vom Ressourcenverbrauch her deutlich entlastet wird.
Weiterhin sollte hier nicht unerwähnt bleiben, daß der Konfigurationsaufwand für
Postscreen absolut minimal ist. Es muß lediglich im Mailserver aktiviert werden und es müssen entsprechende BL/WL definiert werden.
Re: Standard Postscreen Integration in Keyhelp
Posted: Thu 22. Feb 2024, 09:48
by Ralph
Na ja, integriert ist es ja ohnehin es müsste nur aktiviert werden und die master.cf nach Updates sollte dann erhalten bleiben.
Der Vorteil wäre Rspamd könnte toleranter eingestellt werden da kommt es in der Tat öfter zu einigen false/positive listings, Postscreen hält also jede Menge echter DNSBL listings ab und das Rspamd (spam) Limit könnte höher gesetzt werden.
Folgendes Beispiel macht schon einen ganz guten Job.
main.cf
Code: Select all
smtpd_recipient_restrictions = ... , reject_rhsbl_helo dbl.spamhaus.org, reject_rhsbl_reverse_client dbl.spamhaus.org, reject_rhsbl_sender dbl.spamhaus.org, check_policy_service unix:private/policy
# postscreen
postscreen_dnsbl_action = enforce
#postscreen_dnsbl_allowlist_threshold = 0
postscreen_dnsbl_sites =
list.dnswl.org=127.0.[0..255].0*-2
list.dnswl.org=127.0.[0..255].1*-4
list.dnswl.org=127.0.[0..255].2*-6
list.dnswl.org=127.0.[0..255].3*-8
zen.spamhaus.org=127.0.0.9*25
zen.spamhaus.org=127.0.0.3*10
zen.spamhaus.org=127.0.0.2*5
zen.spamhaus.org=127.0.0.[4..7]*3
zen.spamhaus.org=127.0.0.[10..11]*3
swl.spamhaus.org*-10,
bl.mailspike.net=127.0.0.2*10
bl.mailspike.net=127.0.0.10*5
bl.mailspike.net=127.0.0.11*4
bl.mailspike.net=127.0.0.12*3
bl.mailspike.net=127.0.0.13*2
bl.mailspike.net=127.0.0.14*1
wl.mailspike.net=127.0.0.16*-2
wl.mailspike.net=127.0.0.17*-4
wl.mailspike.net=127.0.0.18*-6
wl.mailspike.net=127.0.0.19*-8
wl.mailspike.net=127.0.0.20*-10
hostkarma.junkemailfilter.com=127.0.0.2*4
db.wpbl.info=127.0.0.2*2
dnsbl.dronebl.org*2
backscatter.spameatingmonkey.net*2
bl.ipv6.spameatingmonkey.net*2
bl.spameatingmonkey.net*2
bl.spamcop.net*2
ix.dnsbl.manitu.net*2
dnsbl-1.uceprotect.net*2
all.spamrats.com*2
wormrbl.imp.ch*7
spamrbl.imp.ch*2
psbl.surriel.com*2
torexit.dan.me.uk*2
tor.dan.me.uk*1
postscreen_dnsbl_threshold = 3
postscreen_pipelining_enable = no
postscreen_non_smtp_command_enable = no
postscreen_bare_newline_enable = no
postscreen_dnsbl_whitelist_threshold = -4
postscreen_access_list = permit_mynetworks cidr:/etc/postfix/postscreen_access.cidr
postscreen_blacklist_action = drop
postscreen_greet_action = enforce
Beispiel postscreen_access.cidr whitelist
Code: Select all
#permit internal IP addresses
xxx.xxx.xxx.xxx/32 permit
xxxx:xxx:xxx:xxxx::1/128 permit
#paypal
64.4.240.0/21 permit
64.4.248.0/22 permit
...
master.cf
Code: Select all
#smtp inet n - - - - smtpd
smtp inet n - - - 1 postscreen
smtpd pass - - - - - smtpd
dnsblog unix - - - - 0 dnsblog
tlsproxy unix - - - - 0 tlsproxy
smtps inet n - - - - smtpd
