Unser Umgang mit Spammails

Nun sind wir beruflich vor mehr als einem Quartal zu all-inkl.com umgezogen und haben es keine Sekunde bereut. Der Service und Support bei alfahosting war zwar auch Klasse, aber gerade die fehlende Flexibilität bei den SSL-Zertifikaten hätte uns enorm viel Geld gekostet.

Ich möchte im aktuellen Beitrag dokumentieren, wie wir - aktuell - mit eingehendem Spam umgehen. Auch das war bei alfahosting nicht möglich. Wir erhoffen uns dadurch einen enormen Rückgang von Spam in den persönlichen Mailpostfächern. Und aktuell kann ich dies auch schon bestätigen.

Der aktuelle Zustand

1. Normale Mails kommen im personenbezogen Outlook (POP3) an.
2. Einzelne nutzen auf dem Firmensmartphone auch Outlook (IMAP).
3. Im Ticketsystem (osticket) kommen weitere Mails (POP3) an.

Vorbereitungen

Bei den IMAP-Nutzern werden die unerwünschten Nachrichten, die im Regelpostfach eintreffen, händisch in den SPAM Ordner verschoben.

Im Outlook werden unerwünschte Nachrichten mittels "Absender sperren" nachträglich gefiltert.

Ebenso werden im Ticketsystem die Absenderadressen der Spammer manuell behandelt. Aktuelle Buzzwords, wie Bitcoin, werden in separaten Filtern behandelt.

Listen der Spammer

Outlook

In den Junk-Mail-Optionen gibt es eine Liste mit allen blockierten Absendern. Diese lässt sich als csv-Datei exportieren. Nach dem regelmässigen Export wird diese Liste gelöscht.

OSTicket

Die Liste der blockierten Adressen holen wir uns direkt aus der SQL-Datenbank.

SELECT `val` FROM `ost_filter_rule` WHERE `what` LIKE 'email'

und löschen nach dem Export in eine weitere csv-Datei diese Tabellenzeilen.

ProcMail Anweisungen

Aus den verschiedenen csv-Dateien wird in der Tabellenkalkulation der Wahl (bei uns LibreOffice) eine Gesamtliste gemacht. Und mittels Suchen-Ersetzen werden die Anweisungen für das Procmail erstellt.

Mit einem Verketten

=VERKETTEN(":0 H:* ^From:.*(";A2;") $HOME/mail/Spam")

kann das schnell auch mit großen Listen erledigt werden. Natürlich müssen die Zeilenumbrüche noch erstellt werden. Bei uns wird das mit Suchen-Ersetzen im Writer (Textverarbeitung) vorgenommen.

Nach einem \n nach ":0 H: " wird der Absatz eingefügt. Ebenso wird dies mit dem \n vor dem %Home vorgenommen.

1a) Suchen -> H:\*
1b) Ersetzen -> H:\n*
2a) Suchen -> \$HOME
2b) Ersetzen -> \n$Home

So sieht dann der Code für Procmail konkret und beispielhaft für eine Mailadresse aus:

:0 H:
* ^From:.*(15noc@goodresponse.bid)
$HOME/mail/Spam

Die gesamte Liste kommt dann in den Procmail-Editor bei allen (!!!) Postfächern.

Wie zu sehen ist, aktiviere ich am Anfang der Procmail Anweisungen noch das Loggen von Fehlern. darüber hinaus werden alle durch Spamassassin bereits markierten Mails ebenso verschoben.

Später ist geplant, den Spamordner durch /dev/null zu ersetzen. Dazu muss aber auch noch Rechtssicherheit geschaffen werden.

Der Inhalt im Spamordner

Der ganze Unrat wird nun im Spamordner gesammelt. Leider ist es aufgrund der aktuellen Rechtslage noch nötig, den Inhalt des Spamordners regelmässig durchzusehen. Beim Einpflegen einer neuen Procmail-Anweisung am Ende der bestehenden Liste ist dies jedoch schnell gemacht.

All-Inkl.com bietet in der Webmail-Oberfläche dazu auch weitere Möglichkeiten. So kann man aus einer Liste markierter Mails direkt weitere Spamfilter erstellen. Dort ist auch einstellbar, das aufgrund der Absenderadresse sofort gelöscht werden soll. So setzen wir dies auch um und mit einem Klick kann man hunderte Mailabsender auf (zukünftig) 'löschen' setzen. Dieser Schritt gilt allerdings nur für das jeweilige Postfach und deshalb soll später auch beim Bearbeiten der csv-Dateien auf /dev/null geändert werden, damit postfachübergreifend eingegriffen wird.

Eventuell falsch sortierte Mails können im Spamfilterbereich vom Webmail auch manuell zur Whitelist hinzugefügt werden.

Ergänzung AbuseIP

In der Zwischenzeit haben wir mittels API1.0 von AbusIPDB spammende IP-Adressen gemeldet:

https://www.abuseipdb.com/report/json?key=[Dein-Key]&category=[Kategorie]&comment=[Kommentar]&ip=[IP]

Da die API v2 in Zukunft genutzt werden soll, muss man das Reporting via Post-Request absetzen. Das kann man z.b. über https://reqbin.com/ direkt online erledigen.

https://api.abuseipdb.com/api/v2/report?key=[Dein-Key-v2]&comment=[Kommentar]&accept=application%2Fjson&categories=11&ip=[IP]

Oben habe ich die 11 für E-Mail-Spam angegeben. Alle Kategorien können unter https://www.abuseipdb.com/categories angesehen werden.

Alt: Offen ist aktuell noch die Erweiterung der Procmail-Anweisungen um bestimmte Buzzwords und das Melden von Spammern an offizielle Stellen, wie abuseat.org, spamcop.net und/oder barracudacentral.org.

Ergänzung Spamcop

Mails, die im Outlook ankommen als Anlage an submit.MXLNEYhrN4KIRMuO@spam.spamcop.net weiterleiten. Dort muss man sich um das Melden noch einmal kümmern.

Resümee

Mit ein klein wenig Aufwand ist es uns gelungen, das Aufkommen an Spammails drastisch einzudämmen.

Wie geht Ihr im Kampf gegen Spam vor?