Abwehr von SPAM-E-Mails in der Sense

[cklahn]

Hallo Forum,

ich habe bei einem Kunden im internen Netz einen Exchange-Mailserver stehen. Der Kunde hatte vorher eine SOPHOS-UTM und nun eine OPNsense. Bei der SOPHOS habe ich das Mailfiltering aktiv gehabt.

Nun klagt der Kunde über ein stark gestiegenes SPAM-Aufkommen und dass einige seiner Kunden ihm keine Mails mehr schreiben können.

Ich habe das Mailgateway bei der OPNsense gemäß der Onlinehilfe postfix, clamav, rspamd und redis aufgesetzt und auf Standardeinstellungen gelassen.

Nun habe ich zwei Fragen dazu:

a) Was kann ich in den o.g. Plugins noch einstellen, damit weniger SPAM ankommt? Greylisting, DMARC, SPF usw. lassen sich ja nirgends einstellen.

b) Das einige seiner Kunden keine Mails schicken können, könnte vielleicht an einem fehlenden HELO oder so liegen? Oder fällt Euch da was Anderes zu ein?

Oder sollte ich pauschal eine VM (dort läuft auch Proxmox) mit dem Proxmox Mail-Gateway aufsetzen? Wobei ich die Lösung in der Firewall charmanter finde...


Vielen Dank im Voraus.

Gruß
Christoph

[Patrick M. Hausen]

Wir haben im RZ rspamd im Einsatz und der kann eine Menge von dem, was du geschrieben hast. Ich hatte ihn noch nicht auf der Sense im Betrieb, aber das rspamd UI sollte doch getrennt erreichbar sein? So wie bei AdGuard Home z.B. auch.

[cklahn]

Hallo Patrick,

vielen Dank für die Nachricht. Auf der Sense hat rspamd kein eigenes UI, außer den Einstellungen über das UI der Sense selber. Das gibt aber nicht viel her. Wie gesagt, habe ich z.B. nicht mal Greylisting gefunden.

[Patrick M. Hausen]

Mach auf LAN (oder deinem dedizierten Admin-Netz falls vorhanden) ein Port-Forward für TCP Port 11334 nach 127.0.0.1.

Admin-Passwort setzen mit

Code Select Expand

rspamadm configwizard

per SSH.

[Patrick M. Hausen]

Jetzt war ich mal neugierig - das OPNsense UI bietet doch auch schon eine ganze Menge?

[cklahn]

Uups,

ich habe die Pulldown-Menüs übersehen. Da ist ja noch mehr :-). Dann werde ich mir mal die Doku von rspamd reinziehen und schauen, wie die Scores zu setzen sind.

Danke für's Augenöffnen :-).

[cklahn]

Ich greife das Thema nochmal auf, da der Kunde über "tonnenweise" SPAM-E-Mails klagt, seit wir die Sophos gegen die Sense getauscht haben.

Kann mir jemand mit vernünftigen Parametern für rspamd aushelfen, die gut funktionieren? Und ggfs. für die anderen Plugins, die für den Gateway-Betrieb notwendig sind (redis, postfix. clamav).

Besten Dank im Voraus.

[Patrick M. Hausen]

Vielleicht besser die rspamd Community finden und dort fragen?

Dazu fällt mir gerade noch ein: die einzige Installation in meiner Nähe, bei der ich aber auch nicht "schnell" besorgen kann, wie die konfiguriert ist, markiert Spam nur und blockiert keine Mails. Wegsortieren tun die Anwender das mit Regeln selbst.

Weiß nicht, ob das der Default oder der einzige Modus von rspamd ist.

[chrs]

Pauschal ist das immer schwer zu sagen, weil es ja sehr unterschiedliche Anforderungen gibt.

1. Ne gute Blocklist in der Firewall hilft schonmal als erstes. Mindestens Spamhaus Drop / Emerging Threats.

2. Wenn kleiner Server mit überschaubarem Nutzerkreis: Geoblocking auf die üblichen Verdächtigen, wenn dorthin keine Kontakte, hilft jede Menge.

3. Postfix: DNS streng prüfen. Kein korrekten reverse DNS > kein Einlieferung hilft gegen all die gekaperten Kisten, wo der Spammer den reverse DNS nicht kontrolliert. Auf jeden Fall postfix.log lesen, um zu sehen was so passiert.

4. Rspamd WebUI ist eigentlich ganz gut. In der History kann man zu jeder Mail die Scores angucken, danach entscheiden, was warum wie gefiltert werden muß, oder nicht erkannt wurde.

5. Einige Rspamd Filter müssen trainiert werden, solange da nicht genug vorliegt arbeiten die nicht.

Hoffe das hilft ein bißchen, chris