Policyd-weight

Aus Doku-Wiki
Zur Navigation springenZur Suche springen

Erklärung

Policyd-weight ist ein Mailfilter für den Postfix Mail Transfer Agent der von Robert Felber in Perl entwickelt wurde. Policyd-weight untersucht die Mail bei der Einlieferung anhand des Envelope Sender, des Envelope To und der HELO-Daten die während des SMTP-Handshakes übertragen werden und vergibt für verschiedene Kriterien Punkte. Dabei werden zum Beispiel Realtime Blackhole Listen abgefragt oder die DNS-Konfiguration des Absenders überprüft. Für jeden Regelverstoß gibt es negative Punkte und ab einem bestimmten Score wird die Mail abgelehnt.

Wird die Mail akzeptiert wird sie üblicherweise noch anderen Antispammaßnahmen unterzogen. Da policyd-weight nicht mit der kompletten Mail arbeitet werden Ressourcen des Servers gespart.
O-Text: WikiPedia

  • Doku: /usr/share/doc/policyd-weight/README.Debian

Links

Mailing List

Bekannte Probleme

Mail-Zustellungen abgelehnt wegen falschem MX

Leider kommt es immer wieder mal vor, dass Blacklists ihren Betrieb einstellen. Dann kann es zu falschbewertungen innerhalb von Policyd-weight kommen. Hier ein Beispiel:

  • Fehlermeldung
Recipient address rejected: Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings or to get removed from DNSBLs
  • Lösung - Folgende Zeile Kommentieren oder löschen
vi /etc/policyd-weight.conf
 
  # 'rbl.ipv6-world.net',     4.25,          0,        'IPv6_RBL'
  • Erklärung

Wenn eine Blcklist offline geht, wie in der Vergangenheit schon einige male passiert, Fhelen dem Policyd-weight Informationen, so dass es einer Falschen Bewertung kommen kann.

Keine SPAM Erkennung bei leerem Absender im Envelope

Laut SMTP RFC werden Bounce Mails von Mailservern mir leerem Absender from=<> versendet und dürfen vom empfangenden Mailserver nicht geblockt werden. Deshalb werden solche eMails vom Policyd-weight Daemon ohne SPAM-Prüfung durchgelassen. Dieses Verfahren wird vom Spammern ausgenutzt. Ich hatte einen Fall, bei dem mehrere 100.000 Mails am Tag nur solche SPAM Mails mit from=<> waren. Ich habe mich entschieden, den Plolicyd-weight so anzupassen, dass auch Mails mit leerem Absender im Envelope die normalen SPAM-Prüfungen durchlaufen. Das weicht von der RFC ab. Meiner Meinung nach macht es keinen Sinn, erkannte SPAM-Mails auszuliefern, nur um der RFC genüge zu tun. Wer seinen Policyd-weight auch anpassen möchte, muss nur in der Datei /usr/sbin/policyd-weight die folgenden Zeilen auskommentieren:
ACHTUNG auf eigene Gefahr

1762     my $from_domain;
1763     if($attr{sender} =~ /.*@(.*)/)
1764     {
1765         $from_domain = $1;
1766     }
1767 
1768 #    if($from eq )
1769 #    {
1770 #        return('DUNNO NULL (<>) Sender');
1771 #    }
1772     my $orig_from   = $from;

Konfiguration

Optionen und Aktionen

Options
   -D                   Don't detach master - run master in foreground
   -d                   Debug, don't daemonize, log to STDOUT
   -f /path/to/file     Specify a configuration file
   -h                   This help
   -k                   Kill cache instance
   -s                   Show  cache entries and exit. With -d show debug
                        cache entries
   -v                   Show version and exit
Actions
   stop                 Stops the policyd-weight  daemon, add -k to also
                        Stop the cache. In addition with -d -k it stops
                        the debug cache.

   start                Starts the policyd-weight daemon. Add -d to start a 
                        debug session in foregorund.

   restart              Restarts  policyd-weight. Together with -d it
                        restarts a debug session in foreground.

   reload               Reload the configuration file

   defaults             Output default configuration
  • Beispiel
policyd-weight [-option -option2 <arg>]
policyd-weight -v  // zeigt die Version an
policyd-weight -s  // zeigt den Cache an
policyd-weight -k  // löscht den Cache
policyd-weight [stop|start|restart|defaults] 
policyd-weight restart

Defaultwerte anzeigen

  • Defaultwerte anzeigen
/usr/sbin/policyd-weight defaults | less
  • Wenn man die Datei /etc/policyd-weight.conf anlegt kann man die Default verwendeten Einstellungen anpassen.
policyd-weight defaults > /etc/policyd-weight.conf  
  • Wenn Änderungen an /etc/policyd-weight.conf wurden, muss der policyd-weight Daemon neu gestartet werden
/etc/init.d/policyd-weight restart

Mail LOG auswerten

  • Rejected Mails
grep "policyd-weight.*action=" /var/log/mail.log | grep -v DUNNO
  • Accepted Mails
grep "policyd-weight.*action=" /var/log/mail.log | grep DUNNO

Blacklisten

Achtung: Keine Garantie, dass die folgende Liste aktuell, bitte vor der Nutzung prüfen

===============================================================================
QUERY: 88.226.113.204  NAME: dsl88-226-29132.ttnet.net.tr  ADDR: 
88.226.113.204
 
---------------------------------------------------------------------------
 listed on RBL:bl.spamcop.net, result: 127.0.0.2, time: 1s
 "Blocked - see http://www.spamcop.net/bl.shtml?88.226.113.204"
 
---------------------------------------------------------------------------
 listed on RBL:blackholes.five-ten-sg.com, result: 127.0.0.2, time: 1s
 "miscellaneous address blocks that have sent spam here"
 
---------------------------------------------------------------------------
 listed on RBL:cblless.anti-spam.org.cn, result: 127.0.8.5, time: 2s
 "Mail from 88.226.113.204 refused, see 
 http://anti-spam.org.cn/Rbl/Query/Result?IP=88.226.113.204"
 
---------------------------------------------------------------------------
 listed on RBL:cblplus.anti-spam.org.cn, result: 127.0.8.6, time: 2s
 "Mail from 88.226.113.204 refused, see 
 http://anti-spam.org.cn/Rbl/Query/Result?IP=88.226.113.204"
 
---------------------------------------------------------------------------
 listed on RBL:dnsbl-2.uceprotect.net, result: 127.0.0.2, time: 1s
 "Net 88.226.0.0/17 is UCEPROTECT-Level2 listed because of 683 abusers. 
 Your ISP TTNET TTnet Autonomous System/AS9121 has to fix this. See: 
 http://www.uceprotect.net/rblcheck.php?ipr=88.226.113.204"
 
---------------------------------------------------------------------------
 listed on RBL:dnsbl-3.uceprotect.net, result: 127.0.0.2, time: 1s
 "Your ISP TTNET TTnet Autonomous System/AS9121 is UCEPROTECT-Level3 
 listed because he is responsible for a total of 78711 abusers on the 
 net. See: http://www.uceprotect.net/rblcheck.php?ipr=88.226.113.204"
 
---------------------------------------------------------------------------
 listed on RBL:hostkarma.junkemailfilter.com, result: 127.0.1.1, time: 1s
 "Quit listed 88.226.113.204 See 
 http://wiki.junkemailfilter.com/index.php/Spam_DNS_Lists"
 
---------------------------------------------------------------------------
 listed on RBL:ips.backscatterer.org, result: 127.0.0.2, time: 1s
 "Sorry 88.226.113.204 is blacklisted at 
 http://www.backscatterer.org/?ip=88.226.113.204"
 
---------------------------------------------------------------------------
 listed on RBL:zen.spamhaus.org, result: 127.0.0.4, time: 1s
 "http://www.spamhaus.org/query/bl?ip=88.226.113.204"
 
---------------------------------------------------------------------------
 listed on RBL:zz.countries.nerd.dk, result: 127.0.3.24, time: 1s
 "tr"
 
---------------------------------------------------------------------------
 listed on RHSBL:abuse.rfc-ignorant.org, result: 127.0.0.4, time: 2s
 "Not supporting abuse at domain"
 
---------------------------------------------------------------------------
 listed on RHSBL:hostkarma.junkemailfilter.com, result: 127.0.2.3, time: 1s
 "Familiar Domains"
 
---------------------------------------------------------------------------
 listed on RHSBL:rddn.dnsbl.net.au, result: 127.0.0.2, time: 1s
 "ttnet.net.tr see http://dnsbl.net.au/rddn/"
 
---------------------------------------------------------------------------
 listed on RHSBL:whois.rfc-ignorant.org, result: 127.0.0.5, time: 2s
 "Inaccurate or missing WHOIS data"