raba34
Goto Top

Spamassassin nur für kleine Mails?

Hallo,

die Standardeinstellung für Spamassassin ist, dass nur Mails mit einer Maximalgröße von ca. 250 kByte geprüft werden.

Heutzutage sind sowohl normale als auch Spammails aber häufig deutlich größer.

Nun könnte man die Grenze beim Spamassassin hochsetzen. Allerdings wird davor im Internet gewarnt, weil das Scannen von großen Mails viele Ressourcen verschlingen soll.

Was meint ihr? Nach einigen Diskussionen sind wir als Kompromiss bei 5 MByte gelandet, haben das aber noch nicht umgesetzt.

Hat jemand Erfahrungen, was passiert, wenn man die Scangrenze bei Spamassassin hochsetzt, vielleicht sogar über die Grenze von 5 MByte?

Gruß
Ralph

Content-ID: 5138913242

Url: https://administrator.de/contentid/5138913242

Printed on: October 15, 2024 at 15:10 o'clock

Visucius
Visucius Dec 14, 2023 at 12:49:18 (UTC)
Goto Top
Kommt das nicht auf HW an, die Du da drunter laufen hast?!
commodity
commodity Dec 14, 2023 at 13:13:25 (UTC)
Goto Top
Heutzutage sind sowohl normale als auch Spammails aber häufig deutlich größer.
Da hätte ich gern ein, zwei Beispiele face-smile

Viele Grüße, commodity
raba34
raba34 Dec 14, 2023 at 13:21:30 (UTC)
Goto Top
Ich habe mal nachgesehen: in meinem Fall sind es wirklich viele Mails, die noch kleiner sind als 250 KByte, aber die haben dann keinen Anhang. Eine Mail mit einigen Bildern im Anhang kann durchaus 10 bis 15 MByte haben.

Bei uns nutzen Spammer die Größenbeschränkung von Spamassassin aus und schicken Mails mit Anhang in der genannten Größenordnung.
raba34
raba34 Dec 14, 2023 at 13:30:22 (UTC)
Goto Top
Zu der Hardware (ich bin da nicht der große Fachmann) Ausschnitte aus cpuinfo und meminfo. Bei cpuinfo werden insgesamt 8 CPU angezeigt.

Vielleicht kannst du dazu etwas sagen.
cpuinfo
meminfo
commodity
commodity Dec 14, 2023 at 14:06:17 (UTC)
Goto Top
in meinem Fall sind es wirklich viele Mails, die noch kleiner sind als 250 KByte
genau
Eine Mail mit einigen Bildern im Anhang kann durchaus 10 bis 15 MByte haben.
das ist korrekt, aber aller Regel kein Spam, bestenfalls als Ausnahme.
Bei uns nutzen Spammer die Größenbeschränkung von Spamassassin aus...
Das ist Prosa, kein Beispiel. Ich würde gern eines sehen - oder das Logging.

Spam sieht bei uns so aus (beachte die "Msg size"):
screenshot 2023-12-14 145221

Man muss hier vielleicht auch unterscheiden zwischen SPAM (hier aktuell bis 170k zu finden) und ungewollten News (hier aktuell bis 330 k zu finden). Letztere sind häufig größer, kann man aber abbestellen. Wenn Du so etwas statt dessen filtern willst, sollte es IMO genügen, das Limit auf 500 K zu setzen. Ich würde aber gern klüger werden und die "dicken" Spams sehen face-smile

Viele Grüße, commodity
StefanKittel
StefanKittel Dec 14, 2023 at 14:07:52 (UTC)
Goto Top
Moin,
heist also im Klartext, dass die "Unfreundlichen Leute" einfach nur Spam-Mails mit 9MB verschicken müssen und damit durchkommen? Klingt nicht logisch oder?

Also kein Limit und lieber das Limit der maximalen Mail-Größe runterstellen.
Meist ist das bei 10 MB pro Mail. Ich finde das sollte man auch prüfen.

Stefan
commodity
commodity Dec 14, 2023 at 14:14:23 (UTC)
Goto Top
Klingt nicht logisch oder?
Nein, denn Spam kostet sehr viel Bandbreite. Deshalb sind die üblen Massenmails meist sehr klein. Gegen so dicken Spam würden die Provider direkt vorgehen (gute Provider blocken eh heute das Meiste). "Infos" an Kunden (die heute auch oft als SPAM wahrgenommen werden) gehen hingegen gezielt raus, da gibt es eine bessere Aufwand/Nutzen-Relation. Die kann man aber normal ohne Weiteres abbestellen.

lieber das Limit der maximalen Mail-Größe runterstellen.
Im Zeitalter der Cloud wäre das kein Problem face-smile
Dennoch möchte würde ich mir ungern die Beschwerden hören. Viele - technisch nicht affine - Leute senden dicke Unterlagenpakete und/oder Bilder. Wenn die Telekoma 35 MB durchlässt und Dein Server nicht, wirkt das ein bisschen unglücklich.

Viele Grüße, commodity
wiesi200
wiesi200 Dec 14, 2023 at 18:01:45 (UTC)
Goto Top
Hallo, hab das schon lange raus geschmissen und durch rspamd ersetzt. Ist relativ sparsam mit Ressourcen
commodity
commodity Dec 14, 2023 at 18:22:15 (UTC)
Goto Top
Jupp, das Bild oben ist auch von Rspamd. Läuft wie geschmiert face-big-smile
Und das ist auch schon die Lösung für den TO face-smile:

max_message 50Mb by default.

Also, lieber @raba34: Umsatteln ist angesagt face-smile

Dennoch hätte ich mal gern eine 5 MB-Spamnachricht gesehen.

Viele Grüße, commodity
StefanKittel
StefanKittel Dec 15, 2023 at 06:23:44 (UTC)
Goto Top
Zitat von @StefanKittel:

Moin,
heist also im Klartext, dass die "Unfreundlichen Leute" einfach nur Spam-Mails mit 9MB verschicken müssen und damit durchkommen? Klingt nicht logisch oder?

Also kein Limit und lieber das Limit der maximalen Mail-Größe runterstellen.
Meist ist das bei 10 MB pro Mail. Ich finde das sollte man auch prüfen.

Stefan

Ich korrigiere mich mal und spreche nicht von Spam- sondern von Phishing-Mails oder Spear-Phishing-Mails.
Da könnte ein Angreifer schon asuf die Idee kommen damit eine Überprüfung zu umgehen.
Coreknabe
Coreknabe Dec 15, 2023 updated at 07:49:13 (UTC)
Goto Top
Moin,

schließe mich den Kollegen an, ich habe in über 25 Jahren noch nie eine "große" Spammail gesehen. Welchen Sinn sollte das auch haben? Lässt sich in einem großen Anhang mehr Schadcode verstecken? Wird die Mail eher geöffnet, wenn da ganz viele, heiße Fotos im Anhang lauern, die nur darauf warten, angesehen zu werden?
Davon mal ab, würden große Spammails die Zustellungswahrscheinlichkeit eher verringern, da jeder einigermaßen gut gepflegte Mailserver nur eine bestimmte Maximalgröße zulässt.

Macht aus meiner Sicht alles überhaupt keinen Sinn, weder die Überlegung an sich, noch die Tatsache einer "großen Spammail" face-wink

EDIT: Oder werden hier "reguläre" Werbemails mit Spam gleichgesetzt? Wobei selbst die meist keine derart großen Anhänge haben...

Gruß
commodity
commodity Dec 15, 2023 updated at 08:20:16 (UTC)
Goto Top
Da könnte ein Angreifer schon asuf die Idee kommen damit eine Überprüfung zu umgehen.
Entweder, der Angreifer macht das massenhaft, dann wird es großen Mails für ihn teuer und er zieht den Focus der Provider auf sich oder er macht es gezielt auf (vergleichsweise) wenige konkrete Addressaten, dann hilft aber auch kein Spamfilter.

Hier wird IMO versucht, eine Ausnahme mit einem dafür nicht vorgesehenen Tool zu lösen. Aber immerhin sieht Rspamd standardmaßig vor, 50 MB zu scannnen, also haben die wohl einen Usecase gesehen face-smile

Viele Grüße, commodity

Edit: Ich verwende seit vielen Jahren getrennte Adressen für unterschiedliche Aktivitäten. Das reduziert das Spam-Volumen in den "wichtigen" Adressen und damit die von SPAM ausgehenden Gefahren für Zahlungsaktivitäten u.ä. auf praktisch Null. Sehr zu empfehlen. Mit mehr Paranoia kann man auch für jeden Dienst eine eigene Mailadresse einsetzen. Firefox relay geht einen ähnlichen Weg, den man sich ebenso mal anschauen sollte. Damit kann man dann den für die Kompromittierung der Adresse Verantwortlichen auch gleich identifizieren. Habe ich aber keine Erfahrungen mit.

Edit2: Firefox Relay gerade mal getestet. Klappt prima und sieht dann so aus:

screenshot 2023-12-15 091631
raba34
raba34 Dec 15, 2023 at 10:27:09 (UTC)
Goto Top
Hallo ihr alle,

erst einmal besten Dank für die vielen Beiträge. Rspamd macht auf mich einen vielversprechenden Eindruck.

Nun zu meinem Spamproblem: Es gibt zwei Typen von Spamversendern: die gewerbsmäßigen und die, ich nenne sie mal, individuellen Störer. Hier geht es um letztere.

Wahrscheinlich ist es nur eine einzige Person, die nun schon seit Wochen mehrmals am Tag große Mails an mehrere hundert Adressen, die alle sichtbar sind, verschickt.

Vermutlich muss man hier anders vorgehen. Es sieht ganz so aus, als kämen die Mails von einem Gmail-Account. Vielleicht sollte man den Fall ganz individuell behandeln und sich mit Gmail in Verbindung setzen.

Im folgenden habe ich nur die Liste der Anhänge beigefügt. Die teilweise sehr bekannten Mailadressen wollte ich nicht weiter verbreiten. Aber jetzt sollte klar sein, dass die Mails um die zehn MByte groß sind.

spam
Visucius
Visucius Dec 15, 2023 updated at 10:33:13 (UTC)
Goto Top
Und den Absender blocken ist jetzt ein wenig zu innovativ?!
raba34
raba34 Dec 15, 2023 at 11:13:38 (UTC)
Goto Top
Ich verwende Plesk und nach allem, was ich vom Support erfahren habe, greifen die Eintragungen in der Blacklist erst im Anschluss an Spamassassin und wenn der Spamfilter nicht durchlaufen wird, wird auch die Blacklist nicht beachtet.

Das ist eine sonderbare Konstruktion, oder? Aber es stimmt: die Eintragungen in der Blacklist hatten keine Auswirkungen.

Ich habe früher viel selber direkt in Linux konfiguriert, bin aber jetzt froh, dass es diese Benutzeroberfläche Plesk gibt, die vieles erleichtert und übersichtlicher macht, so dass sich auch ein anderer bzw. mein Nachfolger darin zurechtfindet.
Coreknabe
Coreknabe Dec 15, 2023 at 11:27:55 (UTC)
Goto Top
@raba34
Vermutlich muss man hier anders vorgehen. Es sieht ganz so aus, als kämen die Mails von einem Gmail-Account. Vielleicht sollte man den Fall ganz individuell behandeln und sich mit Gmail in Verbindung setzen.

Nix für ungut, aber was soll das bringen? Davon mal ab, dass man Schwierigkeiten haben dürfte, überhaupt einen Ansprechpartner zu finden. Und den muss das dann auch noch interessieren. Keine Chance. Große Anbieter wie Gmail und auch die Telekom landen immer wieder temporär auf Sperrlisten, da passiert absolut gar nix. Die können das aber auch schlecht bis gar nicht unterbinden, es wird niemand gehindert, sich mal eben eine Adresse zu besorgen.

@Visucius
Und den Absender blocken ist jetzt ein wenig zu innovativ?!
Dann sperrste harald21@gmail. com und die nächste Mail kommt von harald22@gmail.com

Kann natürlich sein, dass man es sich leisten kann, gmail komplett abzulehnen.

Gruß
Visucius
Visucius Dec 15, 2023 updated at 11:35:24 (UTC)
Goto Top
@Coreknabe

Ein bisschen innovativer kann man da schon sein. Der Kram der da ankommt, ist ja schon etwas spezifischer. face-wink
commodity
commodity Dec 15, 2023 updated at 11:40:01 (UTC)
Goto Top
Ich war mit Plesk vor einigen Jahren nicht zufrieden, als ich es für den Einsatz bei Kunden getestet habe und fühle mich bestätigt. Aber man muss Kompromisse machen, wenn man nicht mehr alles selbst basteln will.

Wie erwartet, ist das Thema aber kein SPAM-Poblem. Das ist direkte Belästigung. Du kannst den Account IMO auch direkt bei Google melden. Die kümmern sich dann schon - auch um weitere Aliase.
Außerdem kannst Du ihn, unabhängig von Plesk, doch in der Mailanwendung blacklisten oder anderweit filtern. Meistens jedenfalls. Das mit der Blacklist kann ich auch nicht recht glauben - welcher Support das immer ist, da würde ich weiter recherchieren. Hier gibt es ja einige Plesk-User, vielleicht machst Du einen neuen Fred auf, damit das dann auch gefunden wird face-smile

Ansonsten ist für Selfhost-Mail aus dem Kochbuch mittlerweile mailcow sehr beliebt. Wenn Du mit Plesk selbst hostest, wäre das eine Alternative.

Wenn Du nicht selbst hostest: Von den (etlichen) großen Providern, die ich kenne, von all-inkl über doado, 1und1, HostEurope, DF, Hetzner und wie sie alle heißen... hat Linevast die mit Abstand beste (hosterseitige) Spam-Filterung und Du kannst auch nachträglich noch ausgezeichnet filtern. Und einen großartigen Support dazu. Der "Easybell" unter den Hostern face-smile


Viele Grüße, commodity