18
Spamassassin nur für kleine Mails?
Hallo,
die Standardeinstellung für Spamassassin ist, dass nur Mails mit einer Maximalgröße von ca. 250 kByte geprüft werden.
Heutzutage sind sowohl normale als auch Spammails aber häufig deutlich größer.
Nun könnte man die Grenze beim Spamassassin hochsetzen. Allerdings wird davor im Internet gewarnt, weil das Scannen von großen Mails viele Ressourcen verschlingen soll.
Was meint ihr? Nach einigen Diskussionen sind wir als Kompromiss bei 5 MByte gelandet, haben das aber noch nicht umgesetzt.
Hat jemand Erfahrungen, was passiert, wenn man die Scangrenze bei Spamassassin hochsetzt, vielleicht sogar über die Grenze von 5 MByte?
Gruß
Ralph
die Standardeinstellung für Spamassassin ist, dass nur Mails mit einer Maximalgröße von ca. 250 kByte geprüft werden.
Heutzutage sind sowohl normale als auch Spammails aber häufig deutlich größer.
Nun könnte man die Grenze beim Spamassassin hochsetzen. Allerdings wird davor im Internet gewarnt, weil das Scannen von großen Mails viele Ressourcen verschlingen soll.
Was meint ihr? Nach einigen Diskussionen sind wir als Kompromiss bei 5 MByte gelandet, haben das aber noch nicht umgesetzt.
Hat jemand Erfahrungen, was passiert, wenn man die Scangrenze bei Spamassassin hochsetzt, vielleicht sogar über die Grenze von 5 MByte?
Gruß
Ralph
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5138913242
Url: https://administrator.de/contentid/5138913242
Printed on: April 27, 2024 at 16:04 o'clock
18 Comments
Latest comment
Kommt das nicht auf HW an, die Du da drunter laufen hast?!
1
Heutzutage sind sowohl normale als auch Spammails aber häufig deutlich größer.
Da hätte ich gern ein, zwei Beispiele 
Viele Grüße, commodity
Ich habe mal nachgesehen: in meinem Fall sind es wirklich viele Mails, die noch kleiner sind als 250 KByte, aber die haben dann keinen Anhang. Eine Mail mit einigen Bildern im Anhang kann durchaus 10 bis 15 MByte haben.
Bei uns nutzen Spammer die Größenbeschränkung von Spamassassin aus und schicken Mails mit Anhang in der genannten Größenordnung.
Bei uns nutzen Spammer die Größenbeschränkung von Spamassassin aus und schicken Mails mit Anhang in der genannten Größenordnung.
Zu der Hardware (ich bin da nicht der große Fachmann) Ausschnitte aus cpuinfo und meminfo. Bei cpuinfo werden insgesamt 8 CPU angezeigt.
Vielleicht kannst du dazu etwas sagen.
Vielleicht kannst du dazu etwas sagen.
in meinem Fall sind es wirklich viele Mails, die noch kleiner sind als 250 KByte
genauEine Mail mit einigen Bildern im Anhang kann durchaus 10 bis 15 MByte haben.
das ist korrekt, aber aller Regel kein Spam, bestenfalls als Ausnahme.Bei uns nutzen Spammer die Größenbeschränkung von Spamassassin aus...
Das ist Prosa, kein Beispiel. Ich würde gern eines sehen - oder das Logging.Spam sieht bei uns so aus (beachte die "Msg size"):
Man muss hier vielleicht auch unterscheiden zwischen SPAM (hier aktuell bis 170k zu finden) und ungewollten News (hier aktuell bis 330 k zu finden). Letztere sind häufig größer, kann man aber abbestellen. Wenn Du so etwas statt dessen filtern willst, sollte es IMO genügen, das Limit auf 500 K zu setzen. Ich würde aber gern klüger werden und die "dicken" Spams sehen
Viele Grüße, commodity
Moin,
heist also im Klartext, dass die "Unfreundlichen Leute" einfach nur Spam-Mails mit 9MB verschicken müssen und damit durchkommen? Klingt nicht logisch oder?
Also kein Limit und lieber das Limit der maximalen Mail-Größe runterstellen.
Meist ist das bei 10 MB pro Mail. Ich finde das sollte man auch prüfen.
Stefan
heist also im Klartext, dass die "Unfreundlichen Leute" einfach nur Spam-Mails mit 9MB verschicken müssen und damit durchkommen? Klingt nicht logisch oder?
Also kein Limit und lieber das Limit der maximalen Mail-Größe runterstellen.
Meist ist das bei 10 MB pro Mail. Ich finde das sollte man auch prüfen.
Stefan
Klingt nicht logisch oder?
Nein, denn Spam kostet sehr viel Bandbreite. Deshalb sind die üblen Massenmails meist sehr klein. Gegen so dicken Spam würden die Provider direkt vorgehen (gute Provider blocken eh heute das Meiste). "Infos" an Kunden (die heute auch oft als SPAM wahrgenommen werden) gehen hingegen gezielt raus, da gibt es eine bessere Aufwand/Nutzen-Relation. Die kann man aber normal ohne Weiteres abbestellen.lieber das Limit der maximalen Mail-Größe runterstellen.
Im Zeitalter der Cloud wäre das kein Problem Dennoch möchte würde ich mir ungern die Beschwerden hören. Viele - technisch nicht affine - Leute senden dicke Unterlagenpakete und/oder Bilder. Wenn die Telekoma 35 MB durchlässt und Dein Server nicht, wirkt das ein bisschen unglücklich.
Viele Grüße, commodity
Hallo, hab das schon lange raus geschmissen und durch rspamd ersetzt. Ist relativ sparsam mit Ressourcen
Jupp, das Bild oben ist auch von Rspamd. Läuft wie geschmiert 
Und das ist auch schon die Lösung für den TO:
max_message 50Mb by default.
Also, lieber @raba34: Umsatteln ist angesagt
Dennoch hätte ich mal gern eine 5 MB-Spamnachricht gesehen.
Viele Grüße, commodity
Und das ist auch schon die Lösung für den TO
:max_message 50Mb by default.
Also, lieber @raba34: Umsatteln ist angesagt
Dennoch hätte ich mal gern eine 5 MB-Spamnachricht gesehen.
Viele Grüße, commodity
Zitat von @StefanKittel:
Moin,
heist also im Klartext, dass die "Unfreundlichen Leute" einfach nur Spam-Mails mit 9MB verschicken müssen und damit durchkommen? Klingt nicht logisch oder?
Also kein Limit und lieber das Limit der maximalen Mail-Größe runterstellen.
Meist ist das bei 10 MB pro Mail. Ich finde das sollte man auch prüfen.
Stefan
Moin,
heist also im Klartext, dass die "Unfreundlichen Leute" einfach nur Spam-Mails mit 9MB verschicken müssen und damit durchkommen? Klingt nicht logisch oder?
Also kein Limit und lieber das Limit der maximalen Mail-Größe runterstellen.
Meist ist das bei 10 MB pro Mail. Ich finde das sollte man auch prüfen.
Stefan
Ich korrigiere mich mal und spreche nicht von Spam- sondern von Phishing-Mails oder Spear-Phishing-Mails.
Da könnte ein Angreifer schon asuf die Idee kommen damit eine Überprüfung zu umgehen.
Moin,
schließe mich den Kollegen an, ich habe in über 25 Jahren noch nie eine "große" Spammail gesehen. Welchen Sinn sollte das auch haben? Lässt sich in einem großen Anhang mehr Schadcode verstecken? Wird die Mail eher geöffnet, wenn da ganz viele, heiße Fotos im Anhang lauern, die nur darauf warten, angesehen zu werden?
Davon mal ab, würden große Spammails die Zustellungswahrscheinlichkeit eher verringern, da jeder einigermaßen gut gepflegte Mailserver nur eine bestimmte Maximalgröße zulässt.
Macht aus meiner Sicht alles überhaupt keinen Sinn, weder die Überlegung an sich, noch die Tatsache einer "großen Spammail"
EDIT: Oder werden hier "reguläre" Werbemails mit Spam gleichgesetzt? Wobei selbst die meist keine derart großen Anhänge haben...
Gruß
schließe mich den Kollegen an, ich habe in über 25 Jahren noch nie eine "große" Spammail gesehen. Welchen Sinn sollte das auch haben? Lässt sich in einem großen Anhang mehr Schadcode verstecken? Wird die Mail eher geöffnet, wenn da ganz viele, heiße Fotos im Anhang lauern, die nur darauf warten, angesehen zu werden?
Davon mal ab, würden große Spammails die Zustellungswahrscheinlichkeit eher verringern, da jeder einigermaßen gut gepflegte Mailserver nur eine bestimmte Maximalgröße zulässt.
Macht aus meiner Sicht alles überhaupt keinen Sinn, weder die Überlegung an sich, noch die Tatsache einer "großen Spammail"
EDIT: Oder werden hier "reguläre" Werbemails mit Spam gleichgesetzt? Wobei selbst die meist keine derart großen Anhänge haben...
Gruß
Da könnte ein Angreifer schon asuf die Idee kommen damit eine Überprüfung zu umgehen.
Entweder, der Angreifer macht das massenhaft, dann wird es großen Mails für ihn teuer und er zieht den Focus der Provider auf sich oder er macht es gezielt auf (vergleichsweise) wenige konkrete Addressaten, dann hilft aber auch kein Spamfilter.Hier wird IMO versucht, eine Ausnahme mit einem dafür nicht vorgesehenen Tool zu lösen. Aber immerhin sieht Rspamd standardmaßig vor, 50 MB zu scannnen, also haben die wohl einen Usecase gesehen
Viele Grüße, commodity
Edit: Ich verwende seit vielen Jahren getrennte Adressen für unterschiedliche Aktivitäten. Das reduziert das Spam-Volumen in den "wichtigen" Adressen und damit die von SPAM ausgehenden Gefahren für Zahlungsaktivitäten u.ä. auf praktisch Null. Sehr zu empfehlen. Mit mehr Paranoia kann man auch für jeden Dienst eine eigene Mailadresse einsetzen. Firefox relay geht einen ähnlichen Weg, den man sich ebenso mal anschauen sollte. Damit kann man dann den für die Kompromittierung der Adresse Verantwortlichen auch gleich identifizieren. Habe ich aber keine Erfahrungen mit.
Edit2: Firefox Relay gerade mal getestet. Klappt prima und sieht dann so aus:
Hallo ihr alle,
erst einmal besten Dank für die vielen Beiträge. Rspamd macht auf mich einen vielversprechenden Eindruck.
Nun zu meinem Spamproblem: Es gibt zwei Typen von Spamversendern: die gewerbsmäßigen und die, ich nenne sie mal, individuellen Störer. Hier geht es um letztere.
Wahrscheinlich ist es nur eine einzige Person, die nun schon seit Wochen mehrmals am Tag große Mails an mehrere hundert Adressen, die alle sichtbar sind, verschickt.
Vermutlich muss man hier anders vorgehen. Es sieht ganz so aus, als kämen die Mails von einem Gmail-Account. Vielleicht sollte man den Fall ganz individuell behandeln und sich mit Gmail in Verbindung setzen.
Im folgenden habe ich nur die Liste der Anhänge beigefügt. Die teilweise sehr bekannten Mailadressen wollte ich nicht weiter verbreiten. Aber jetzt sollte klar sein, dass die Mails um die zehn MByte groß sind.
erst einmal besten Dank für die vielen Beiträge. Rspamd macht auf mich einen vielversprechenden Eindruck.
Nun zu meinem Spamproblem: Es gibt zwei Typen von Spamversendern: die gewerbsmäßigen und die, ich nenne sie mal, individuellen Störer. Hier geht es um letztere.
Wahrscheinlich ist es nur eine einzige Person, die nun schon seit Wochen mehrmals am Tag große Mails an mehrere hundert Adressen, die alle sichtbar sind, verschickt.
Vermutlich muss man hier anders vorgehen. Es sieht ganz so aus, als kämen die Mails von einem Gmail-Account. Vielleicht sollte man den Fall ganz individuell behandeln und sich mit Gmail in Verbindung setzen.
Im folgenden habe ich nur die Liste der Anhänge beigefügt. Die teilweise sehr bekannten Mailadressen wollte ich nicht weiter verbreiten. Aber jetzt sollte klar sein, dass die Mails um die zehn MByte groß sind.
Und den Absender blocken ist jetzt ein wenig zu innovativ?!
Ich verwende Plesk und nach allem, was ich vom Support erfahren habe, greifen die Eintragungen in der Blacklist erst im Anschluss an Spamassassin und wenn der Spamfilter nicht durchlaufen wird, wird auch die Blacklist nicht beachtet.
Das ist eine sonderbare Konstruktion, oder? Aber es stimmt: die Eintragungen in der Blacklist hatten keine Auswirkungen.
Ich habe früher viel selber direkt in Linux konfiguriert, bin aber jetzt froh, dass es diese Benutzeroberfläche Plesk gibt, die vieles erleichtert und übersichtlicher macht, so dass sich auch ein anderer bzw. mein Nachfolger darin zurechtfindet.
Das ist eine sonderbare Konstruktion, oder? Aber es stimmt: die Eintragungen in der Blacklist hatten keine Auswirkungen.
Ich habe früher viel selber direkt in Linux konfiguriert, bin aber jetzt froh, dass es diese Benutzeroberfläche Plesk gibt, die vieles erleichtert und übersichtlicher macht, so dass sich auch ein anderer bzw. mein Nachfolger darin zurechtfindet.
@raba34
Nix für ungut, aber was soll das bringen? Davon mal ab, dass man Schwierigkeiten haben dürfte, überhaupt einen Ansprechpartner zu finden. Und den muss das dann auch noch interessieren. Keine Chance. Große Anbieter wie Gmail und auch die Telekom landen immer wieder temporär auf Sperrlisten, da passiert absolut gar nix. Die können das aber auch schlecht bis gar nicht unterbinden, es wird niemand gehindert, sich mal eben eine Adresse zu besorgen.
@Visucius
Kann natürlich sein, dass man es sich leisten kann, gmail komplett abzulehnen.
Gruß
Vermutlich muss man hier anders vorgehen. Es sieht ganz so aus, als kämen die Mails von einem Gmail-Account. Vielleicht sollte man den Fall ganz individuell behandeln und sich mit Gmail in Verbindung setzen.
Nix für ungut, aber was soll das bringen? Davon mal ab, dass man Schwierigkeiten haben dürfte, überhaupt einen Ansprechpartner zu finden. Und den muss das dann auch noch interessieren. Keine Chance. Große Anbieter wie Gmail und auch die Telekom landen immer wieder temporär auf Sperrlisten, da passiert absolut gar nix. Die können das aber auch schlecht bis gar nicht unterbinden, es wird niemand gehindert, sich mal eben eine Adresse zu besorgen.
@Visucius
Und den Absender blocken ist jetzt ein wenig zu innovativ?!
Dann sperrste harald21@gmail. com und die nächste Mail kommt von harald22@gmail.comKann natürlich sein, dass man es sich leisten kann, gmail komplett abzulehnen.
Gruß
@Coreknabe
Ein bisschen innovativer kann man da schon sein. Der Kram der da ankommt, ist ja schon etwas spezifischer.
Ein bisschen innovativer kann man da schon sein. Der Kram der da ankommt, ist ja schon etwas spezifischer.
Ich war mit Plesk vor einigen Jahren nicht zufrieden, als ich es für den Einsatz bei Kunden getestet habe und fühle mich bestätigt. Aber man muss Kompromisse machen, wenn man nicht mehr alles selbst basteln will.
Wie erwartet, ist das Thema aber kein SPAM-Poblem. Das ist direkte Belästigung. Du kannst den Account IMO auch direkt bei Google melden. Die kümmern sich dann schon - auch um weitere Aliase.
Außerdem kannst Du ihn, unabhängig von Plesk, doch in der Mailanwendung blacklisten oder anderweit filtern. Meistens jedenfalls. Das mit der Blacklist kann ich auch nicht recht glauben - welcher Support das immer ist, da würde ich weiter recherchieren. Hier gibt es ja einige Plesk-User, vielleicht machst Du einen neuen Fred auf, damit das dann auch gefunden wird
Ansonsten ist für Selfhost-Mail aus dem Kochbuch mittlerweile mailcow sehr beliebt. Wenn Du mit Plesk selbst hostest, wäre das eine Alternative.
Wenn Du nicht selbst hostest: Von den (etlichen) großen Providern, die ich kenne, von all-inkl über doado, 1und1, HostEurope, DF, Hetzner und wie sie alle heißen... hat Linevast die mit Abstand beste (hosterseitige) Spam-Filterung und Du kannst auch nachträglich noch ausgezeichnet filtern. Und einen großartigen Support dazu. Der "Easybell" unter den Hostern
Viele Grüße, commodity
Wie erwartet, ist das Thema aber kein SPAM-Poblem. Das ist direkte Belästigung. Du kannst den Account IMO auch direkt bei Google melden. Die kümmern sich dann schon - auch um weitere Aliase.
Außerdem kannst Du ihn, unabhängig von Plesk, doch in der Mailanwendung blacklisten oder anderweit filtern. Meistens jedenfalls. Das mit der Blacklist kann ich auch nicht recht glauben - welcher Support das immer ist, da würde ich weiter recherchieren. Hier gibt es ja einige Plesk-User, vielleicht machst Du einen neuen Fred auf, damit das dann auch gefunden wird
Ansonsten ist für Selfhost-Mail aus dem Kochbuch mittlerweile mailcow sehr beliebt. Wenn Du mit Plesk selbst hostest, wäre das eine Alternative.
Wenn Du nicht selbst hostest: Von den (etlichen) großen Providern, die ich kenne, von all-inkl über doado, 1und1, HostEurope, DF, Hetzner und wie sie alle heißen... hat Linevast die mit Abstand beste (hosterseitige) Spam-Filterung und Du kannst auch nachträglich noch ausgezeichnet filtern. Und einen großartigen Support dazu. Der "Easybell" unter den Hostern
Viele Grüße, commodity