Re: spamhaus spamassassin-dqs
Hoi Gijs,
Op 30-08-2022 om 17:56 schreef Gijs Hillenius:
Ik geef een update, met een nieuw onderwerp-regel.
Als het te lang is, excuses!
Mijn kleine server - Debian stable - draait onder meer Exim en
Spamassassin.
Enige tijd terug begon Spamhuis aangeroepen via Exim mail te bouncen van
onder meer een grote internetzoekmachine, een
internet-betalingen-dienstaanbieder, en enkele andere grote commerciële
domeinen. Was erg onhandig, ivm enkele internet-bestellingen.
Ik heb om te beginnen in Exim de blocklists uitgezet; daarmee komen die
mails weer gewoon aan.
Maar waarschijnlijk heb je ook meer spam.
En ik doe een poging om van Spamhaus de DQS plugin te gebruiken:
https://github.com/spamhaus/spamassassin-dqs-
"Data Query Service (DQS) is a set of DNSBLs, updated in real-time,
operated by Spamhaus Technology"
>
Daar heb ik onder meer unbound voor geinstalleerd.
Je hebt dus zo'n DQS aangevraagd? Dat heb ik niet gedaan. Volgens mij
is het niet nodig als je niet de DNS van Cloudflare gebruikt. Ik heb het
dus opgelost door op die machine een eigen DNS te installeren.
Moest je betalen voor die DQS?
En de firewalld aangepast voor DNS.
Vaak is dat niet nodig lijkt me, omdat je meestal uitgaand verkeer en
antwoorden daarop doorlaat. En verkeer naar localhost ook.
Maar uiteraard ken ik jouw firewall niet.
De installatie en configuratie van de plugin zelf is recht toe recht
aan. (Maar: ik lees gehaast als altijd vaak over de belangrijke details
heen.)
>
Affijn: tot nog toe worden alle test-mails, die je kan laten verzenden
via blt.spamhaus.com door spamassassin gewoon als OK doorgelaten.
Als ik doe
spamassassin -D < testmail
Ik ken spamassasin niet goed. Ik configureer de spamlijsten in Postfix.
In Postfix gebruik ik dit soort regels:
reject_rbl_client bl.spamcop.net,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client ix.dnsbl.manitu.net,
Postfix checkt dan bij die blocklists of hij ze mag doorlaten. Zo niet,
dan komt het in de logs.
Interessant daaraan is ook, dat bij afwijzing de mail helemaal niet
wordt binnengelaten. Hij wordt meteen bij de voordeur gestopt, er hoeven
dus ook geen bounces te worden verstuurd bij afwijzing.
In Exim kun je vast ook zoiets doen, zie b.v. hier:
https://www.linuxlookup.com/howto/dns_blacklist_exim
als user Debian-spamd, want zo draait spamd op mijn systeem, en met
testmail een van de testmails van blt.spamhaus.com (gekopieerd vanuit
mijn eigen Inbox naar /tmp/testmail. In zo'n mail zit dan bijvoorbeeld
een domain waarop spamassassin moet aanslaan.. zrdtest.com hieronder).
zie ik in de enorme output onder meer:
plugin: loading Mail::SpamAssassin::Plugin::SH from /etc/spamassassin/SH.pm
>
dus die plugin lijkt me correct geïnstalleerd.
ik zie ook heel veel meldingen die me vertellen dat er verkeer van
spamassassin naar "mijn" spamhaus account gaat:
async: query 17181/IN/A/zrdtest.com.my-key-here.dbl.dq.spamhaus.net
already done, re-using for
SH:zrdtest.com.my-key-here.dbl.dq.spamhaus.net, callback
SHPlugin: _finish_lookup on zrdtest.com / SH_DBL_ABUSED_FULLHOST /
^127.0.1.10[2-6]$
Mij lijkt het alsof hierdoor (SH_DBL_ABUSED_FULLHOST) de spam waarde
omhoog moet met 6, want de plugin komt met een bestand "sh_scores.cf" en
daarin: "score SH_DBL_ABUSED_FULLHOST 6"
Maar .. de spam waarde is uiteidelijke netjes 0.989
>
Vraag:
zou ik SH_DBL_ABUSED_FULLHOST moeten terugzien in dit gedeelte, bijna
onderin, van de output van "spamassassin -d < testmail"
check: is spam? score=0.989 required=3.5 check:
tests=`SPF_HELO_PASS,SPF_PASS,T_SCC_BODY_TEXT_LINE,UNPARSEABLE_RELAY,URIBL_ZRD
Ik weet hier weinig zinvols op te zeggen, want ik gebruik het niet.
Maar wellicht hebben Spamassasin en Spamd ook voordelen boven hoe ik het
doe...
Groeten,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl/
Reply to: