Kennzeichnung Spammails

  • Moin!


    Eine ganz simple Frage wie kennzeichnet der Domino Server Spam Mails?


    [SPAM?] ist die Kennzeichnung von unserem Provider und bisher habe ich nur solche Kennzeichnungen gesehen. Der Filter steht auf "protokollieren und Nachricht makieren", eingetragene Blacklisten sind : dnsbl.sorbs.net
    relays.ordb.org


    Wo werden diese den protokolliert?


    Lg Michael

    Theorie ist wenn man weiss wie es geht, und nix funktioniert.
    Praxis ist wenn es funktioniert aber keiner weiss warum.
    Microsoft hat Theorie und Praxis vereint, nix funktioniert und keiner weiss warum!!!

  • Zitat

    When tagging messages, Domino adds a special Note item to messages received from hosts found on a blacklist. After Domino determines that a connecting host is on the blacklist, it adds the Note item, $DNSBLSite, to each message it accepts from the host before depositing the message in MAIL.BOX. The value of a $DNSBLSite item is the blacklist site in which the host was found. Administrators can use the $DNSBLSite note item to provide custom handling of messages received from hosts listed in a blacklist. For example, you can test for the presence of the item through the use of formula language in an agent or view and provide conditional handling of messages that contain the item, such as moving the messages to a special database.


    Aus dem Kapitel "Enabling DNS blacklist filters for SMTP connections" in der Admin-Hilfe.

  • Ok, also mit $DNSBLSite. Danke.


    Aber komisch, wieso überprüft der Domino dann icht die Blacklist, zumindest scheint es ja so. Oder trägt man die Blacklist nicht einfach so ein?


    Ich hatte 2 Beschreibungen (Inet & Buch) da steht man trage einfach die Seite der Blacklist ein. Und das habe ich mit: dnsbl.sorbs.net
    relays.ordb.org

    Theorie ist wenn man weiss wie es geht, und nix funktioniert.
    Praxis ist wenn es funktioniert aber keiner weiss warum.
    Microsoft hat Theorie und Praxis vereint, nix funktioniert und keiner weiss warum!!!

  • Ich glaub ich habe die Anti Relais Massnahmen nur für externe Hosts. Das muss für alle gelten wenn der Domino die Mails lokal empfängt richtig?

    Theorie ist wenn man weiss wie es geht, und nix funktioniert.
    Praxis ist wenn es funktioniert aber keiner weiss warum.
    Microsoft hat Theorie und Praxis vereint, nix funktioniert und keiner weiss warum!!!

  • Moin!


    Nochmal zu den Spammails.


    Ich habe mir nun ein Redbook bzw ein Teil zu den Einstellungen für Blacklisten durchgelesen.


    Aber aus irgendwelchen Gründen findet keine üperfrüfung statt, zumindest sehe ich diese nicht in der Log, sollten aber laut Redbook in den Mail-Routing-Ereignissen sichtbar sein.
    Die Mails von ausserhalb werden local an den Domino weitergeleitet.



    Ich habe folgende Einstellungen gemacht:
    Notes.ini:
    SMTPExpandDNSBLStats=1 (zum loggen)
    RouterDisableMailToGroups=1 (keine weiterleitung an Domino Gruppen)


    Konfiguration Eingangssteurung:
    Blacklist & aktiviert:
    dnsbl.sorbs.net
    relays.ordb.org


    Gehen die überhaupt? Oder kennt noch wer gute kostenlose DNSBL Seiten? Die habe ich in google gefunden zudem war eine Anleitung dabei dass man die Namen einfach so wie oben dort einfügt.


    Verbindungssteuerung, Absendersteuerung, Empfängersteuerung sind aktiviert.


    Anti-Relais Massnahmen für alle verbunden Hosts.


    Ausschlussklausel: Aktiviert



    Muss ich nochwas unter SMTP/Router >>> Erweitert >> Befehle und Erweiterungen eintragen?
    Eine Idee was ich vergessen habe? Wir haben ein Anti-Spam-Guide vom Provider und noch eine Software Anti-Spam, diese sollen aber abgelöst werden, da trozdem zig Spam Mails ankommen, oder wir benutzen den Domino nur als Zusatz, steht noch nicht fest.


    Lg Michael

    Theorie ist wenn man weiss wie es geht, und nix funktioniert.
    Praxis ist wenn es funktioniert aber keiner weiss warum.
    Microsoft hat Theorie und Praxis vereint, nix funktioniert und keiner weiss warum!!!

  • Hallo,


    bei mir (6.54DE auf W2K3) ist im Konfig-Dokument eingestellt:
    Router/SMTP > Beschränk.+Steu. > SMTP-Eing. >
    DNS-Blacklist-Filter: Aktiviert
    DNS-Blacklist-Sites: bl.spamcop.net; dnsbl.njabl.org; cbl.abuseat.org; sbl.spamhaus.org


    Router durchstarten und schon sollten im LOG die Einträge auftauchen. Über den Webadmin kannst Du dir auch eine Statistik via Messaging > DNSBL Statistics


    Servus
    Sunny

  • Danke sunny, die Einstellungen habe ich ja eingentlich soweit.


    Aber die Blackliste die du noch hattest habe ich noch hinzugefügt.
    Kann es sein dass lokale Mails nicht überprüft werden? Habe aber anti relais massnahmen auf alle Hosts gemacht. Naja mal abwarten was die log sagt.


    Lg Michael

    Theorie ist wenn man weiss wie es geht, und nix funktioniert.
    Praxis ist wenn es funktioniert aber keiner weiss warum.
    Microsoft hat Theorie und Praxis vereint, nix funktioniert und keiner weiss warum!!!

  • Warum willst Du Blacklist-Kontrolle auf lokale Hosts machen????


    Zitat

    DNS blacklist filters enable a server to check a host against one or more blacklists during the SMTP conversation. If a connecting host matches an entry in a blacklist, you can configure the server to reject the connection, tag any received messages, or record the transaction in the Notes Log.


    Externe Blacklist wie dnsbl.sorbs.net oder relays.ordb.org checken, ob ein EXTERNER Rechner als Spam-Quelle bekannt ist, oder nicht. Da wirst Du interne Rechnern kaum finden. Weiter gelten die Blacklists nur für SMTP-Verbindungen.


    Lies doch mal aufmerksam in der Admin-Hilfe das Kapitel "Restricting inbound SMTP connections" und "Enabling DNS blacklist filters for SMTP connections".

  • Wir rufen die Mails vom Provider ab und leiten diese dann intern an den Domino weiter, warum sollte der Domino Server hier nicht nach Spams gucken können? Der Absender(extern) bleibt ja bestehen!


    Lg Michael

    Theorie ist wenn man weiss wie es geht, und nix funktioniert.
    Praxis ist wenn es funktioniert aber keiner weiss warum.
    Microsoft hat Theorie und Praxis vereint, nix funktioniert und keiner weiss warum!!!

  • Lieber Michael, BITTE lies mal http://de.wikipedia.org/wiki/Realtime_Blackhole_List


    Zitat

    In den meisten RBLs werden IP-Adressen von Rechnern gelisted, von denen in der Vergangenheit Spam versendet wurde.
    ...
    Diese Listen können von Mailservern oder Spam-Erkennungssoftware (z.B. Spamassassin) beim Eingang einer Mail nahezu in Echtzeit über das DNS-Protokoll auswerten und bei positivem Ergebnis die Annahme der Mail verweigern (Bounce), die Annahme der Mail verzögern (Teergrubing, Greylisting) oder die Mail so markieren, dass sie ohne großen Aufwand vom Empfänger gefiltert werden kann.


    Daraus folgt


    1) Die Blacklists werden angewendet, wenn sich der Absender zu Deinem SMTP-Server verbindet.


    2) Über Blacklists wird die IP-Adresse des verbindenden Rechners überprüft, NICHT die E-Mail-Adresse des Absenders, etc.


    3) Draus folgt, dass die Blacklists bei Dir NIE greifen werden, weil Du die Mails immer nur von Deinem Provider holst und der ja hoffentlich nicht in den Blacklists steht. Wenn also jemand Blacklists verwenden könnte, dann Dein Provider, auf Deinem Notes-Server ist das in dem Setup vergebene Liebesmüh.


    Wenn Du hingegen ein "ordentliches" Setup hättest, wo der MX-Eintrag der Domäne direkt auf Deinen Mailserver zeigen würde ...

  • Bist du dir sicher, dass es nicht komplexer ist? So das der Absender
    Anhand des Received Path überprüft wird? Ich meine IPs kommen ja im Internet doppelt, dreifach vor, wird ja alles über das Subnetting geregelt.


    Also das heisst das Programm was die Mails bei uns vom Provider abholt, da würde der Spamassassin auch nie funktionieren, weil die Mails vom Provider kommen, glaub ich kaum.

    Theorie ist wenn man weiss wie es geht, und nix funktioniert.
    Praxis ist wenn es funktioniert aber keiner weiss warum.
    Microsoft hat Theorie und Praxis vereint, nix funktioniert und keiner weiss warum!!!

  • Lieber Michael, für einen Admin fehlen Dir, entschuldige bitte das offene Wort, EINIGE Grundlagen. Die IBM bietet tolle Kurse, darunter auch "TCP/IP Grundlagen" an. Nimm Doch eines dieser Angebote an. Jede IP-Adresse DARF nur einmal existieren. Wäre dem nicht so, könnte das Internet in der aktuellen Form nicht mehr existieren.


    Weiters ist Blacklisting NICHT komplexer. Hier wird nur ein DNS-Lookup auf dem Blacklisten-Sever mit der Adresse des sich verbindenden Rechners gemacht. Wenn der Blacklist-Server ein "gefunden" zurück gibt, handelt es sich um einen Spammer und der MTA muss/soll entsprechende Aktionen setzten. das geht recht flott und mit wenig Overhead.
    Und ja, bei IP-Spoofing <http://de.wikipedia.org/wiki/IP-Spoofing> würde das dann natürlich nicht funktionieren.


    SpamAssassin hingegen arbeitet GANZ anders. Dessen Hauptfunktion besteht darin, die Einzelteile einer Mail dahingehend zu überprüfen, ob sie ev. auf Spam hinweisen, was natürlich relativ viele Ressourcen benötigt.


    Daher blockt man mal das Gröbste mit Blacklists weg und lässt erst dann SpamAssasin drüberlaufen.



    Wem darf ich jetzt mein Schulungshonorar verrechnen? ;)

  • Na für das IP-Spoofing und BL kannst mir in Rechnung stellen aber sorry bei IP hast du nicht aufgepasst.


    Im Interet werden alle Netze nach CIDR(Classless Internet Domain Routing) unterteil, auch Subnetting genannt.
    ES DARF KEINE IP doppelt vorkommen, aber aufgrund der wachsenden Internetbenutzer wird es eng und mittlerweile kommt es schon vor dass IP doppelt sind, weil es Kühlschränke, Mikrowellen etc mit IP und Internetanschluss gibt.
    Welchen IP Bereich kannst du abdecken? 0.0.0.1 bis 255.255.255.255 davon musst du aber Lookup, etc abziehen.


    Was glaubst du den warum es IPv6 gibt?
    So meine Schulung stell ich dir auch in Rechnung :P

    Theorie ist wenn man weiss wie es geht, und nix funktioniert.
    Praxis ist wenn es funktioniert aber keiner weiss warum.
    Microsoft hat Theorie und Praxis vereint, nix funktioniert und keiner weiss warum!!!

  • Lieber Michael, auch bei CDIR kommt eine öffentliche IP-Adresse nur einmal vor. Lies mal hier <http://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing> und hier <http://www.ietf.org/rfc/rfc1519.txt> nach.
    Bei CDIR geht es um die effizientere Nutzung des bestehenden 32-Bit-IP-Adress-Raumes und mehr nicht.


    Oder möchtest du mir erklären, dass das Internet funktionieren kann, wenn 195.71.11.67 einmal auf http://www.spiegel.de und dann wieder auf http://www.bild.de zeigt???


    Glaub mir, einen DSW bezgl. Internet-Protokolle und Standards gewinne ich, also lass es. ;)


    So, um wieder On-Topic zu werden: wie gehts Dir mit Deinen Blacklists?

  • Gibt es denn Listen für den Spamassassin oder andere Möglichkeiten für Domino?


    Ehm du verstehst das falsch, natürlich kann es vorkommen dass 2 mal dieselbe IP da ist, CIDR ordnet das nur einem anderen Netz zu, deshalb kann diese IP auch 2 mal vorkommen, und gerade weil es zu wenig IPs gibt wurde CIDR erfunden, war oben etwas ungünstig ausgedrückt. Und deshalb die Frage nach der Prüfung der Blacklisten.
    Ich bin zwarn icht aktuell 100% fit aber glaub mir da kenn ich mich aus ;).

    Theorie ist wenn man weiss wie es geht, und nix funktioniert.
    Praxis ist wenn es funktioniert aber keiner weiss warum.
    Microsoft hat Theorie und Praxis vereint, nix funktioniert und keiner weiss warum!!!

  • Wenn ich in meinen Browser 195.71.11.67 eingebe, komme ich auf http://www.spiegel.de. Da brauch ich keine CIDR-Maske oder sonst was. Eine IP-Adresse MUSS eindeutig sein, siehe die entsprechenden RFCs aus den Anfängen des Internets, die immer noch gelten und mit Einführung von CIDR NICHT absolet wurden.
    CIDR dient ist nur ein neues Schema, Adressblöcke eleganter zu vergeben, als das früher mit den A,B,C Klassen möglich war - daher kommt auch der "Gewinn" an IP-Adressen, weil die Blöcke mit weniger "Verschwendung" vergeben werden -- doppelte IP-Adressen gibt es deswegen trotzdem nicht. Schau Dir bitte http://www.ietf.org/rfc/rfc1519.txt an, da steht es genau beschrieben.


    Was meinst Du mit "Gibt es denn Listen für den Spamassassin oder andere Möglichkeiten für Domino?" ???

  • Gibt es andere Möglichkeiten dann, für mich Spammails zu filtern, ausser manuell alle in den Spamassassin einzutragen? Sowas wie gratis Listen für Spamassassin.


    Bitte liess dir nochmal was zu CIDR an, das wird im Internet sehr wohl verwendet, weil eben so wenig Adressen sind(sagtest du ja auch "gewinn an IP Adressen"), und es sind doppelte Adressvergaben schon häufig vorgekommen. Pro7 zum Beispiel hat mal auf irgendeine andere Seite gelink weil die die selbe IP hatte aber das falsch Subnet war oder umgekehrt.
    RFC häng mitlerweile mit CIDR zusammen, soweit ich weiss, wurde zumindest in der Lehre gesagt udn das ist schon ein bissel her.
    Schätz mal die Internetbenuter, dann rechne mal aus wieviel du mit IPv4 abdecken kannst, und du wirst feststellen, dass alles seine Grenzen hat, und sowas wie Subnetting dringend gebraucht wird.


    Subnetting Beispiel:
    IP: 187.12.3.9
    Subnet: 255.6.128.4


    IP: 187.12.3.9
    Subnet: 87.6.1.4


    IP: 187.12.3.9
    Subnet: 12.6.5.254


    ^^ das geht nicht? Ist nur ein ausgedachtes Beispiel.

    Theorie ist wenn man weiss wie es geht, und nix funktioniert.
    Praxis ist wenn es funktioniert aber keiner weiss warum.
    Microsoft hat Theorie und Praxis vereint, nix funktioniert und keiner weiss warum!!!

  • Doku? Domino Hilfe oder was meinst du?
    Link?


    Lg Michael

    Theorie ist wenn man weiss wie es geht, und nix funktioniert.
    Praxis ist wenn es funktioniert aber keiner weiss warum.
    Microsoft hat Theorie und Praxis vereint, nix funktioniert und keiner weiss warum!!!

  • Der "Gewinn" ist aber IMHO vernachlässigbar. Dass uns die IPv4 Adressen noch nicht ausgegangen sind liegt am NATten von ganzen Netzen -> 1 IP für zig Rechner, nicht am CIDR.


    Dein Beispiel hinkt, da ich z.B. im Browser NIE eine Subnetzmaske eingebe, daher kann es eine IP nicht doppelt geben, auch nicht mit CIDR. CIDR ist primär eine Vereinfachung für Routing. Daher auch das Beispiel mit Pro7. Da haben bei einem Router die Routingtabellen, CIDR-Masken usw. nicht gepasst, daher wurde die Adresse falsch geroutet. Nicht mehr und nicht weniger.


    Ad Doku: Die von Spam Assasin natürlich, wenn Du wissen willst, was der alles kann (ich sage nur "statistische Filter").