Es NERVT. Da schaut man ab und an mal auf dem Server in das Postfach und findet SPAM über SPAM (Viagra, Freundin im Netz, Schau doch mal,sex, video,mp3,metrosexuals,Pockets of Love,) und andere Dumpfsinnigkeiten. Andere Mails sind rührend um meine Potenz bemüht (VIAvvGRA $3. 35,VALvvIUM $1. 25, CIAvvLIS $3. 75, XAvvNAX)

Nun hat sich eine Anzahl von über 700 Mails ergeben. Zeit für Gegenmaßnahmen. Da lohnt sich, gerade nach Tipp von bed von [url]http://zockertown.de/s9y/archives/773-Greylisting-support-fuer-qmail-mit-Plesk-7.54-8.html[/url] mal ein Blick bei Google. (Anmerkung von bed: deine BBcode Implementierung benimmt sich seltsam)

Unter [http://archiv.debianhowto.de/de/exim4-vexim-sarge/exim4-conftipps.html

• findet] man diese Infos

4.9. Einbau von Greylisting 
...
Probleme beim Einsatz von Greylisting
...
   1. Es gibt kaputte, legitime Hosts, die auf 4er Fehler sofort bouncen, z.B. Yahoo Groups Mailinglisten. Das kann auch zu einem forced unsubscribe der jeweiligen Gruppe führen.

   2. Sämtliche Mailinglisten, die mit ezmlm betrieben werden, verwenden für jede Mail und jeden Versuch einen unique Envelope, d.h. sie würden nie gewhitelisted.
   
   3. Es gibt sicher noch diverse andere kaputte Hosts.
  
   4. Um unnötige Verzögerungen zu vermeiden, sollte man bekannt gute Hosts der großen deutschen Provider whitelisten, z.B. Web.de, GMX, Schlund/Puretec, Strato, T-Online, ... 

Netterweise gibt es bereits fertige Pythonskripte, die den greylisting-Dienst für Exim4 unter Debian bereit stellen. 

Ein einfaches apt-get install greylistd reicht zunächst völlig aus. 

Danach folgen wir dem Ratschlag des Maintainers und bessern in der Datei /etc/default/greylist den Benutzer aus, unter dem der greylistd läuft. Dazu einfach das erste UGID auskommentieren und beim zweiten das Kommentarzeichen entfernen:

Also Step 1:

apt-get install greylistd

Der Dialog sagt wie es weitergeht:

Exim 4 ben�igt zus�zliche Konfiguration                                                                                           

Damit das Greylisting effektiv wird, muss Ihr Mail Transport Agent (MTA) w�rend des Empfangs eingehender E-Mail mit Greylistd sprechen; und abh�gig von der Antwort eine vorbergehende Ablehnung (SMTP-Code 451) an den entfernten Rechner senden.              

Da Sie Exim 4 als Ihren MTA verwenden, ist ein Skript fr Sie vorhanden, dass diese Aufgabe erledigt. Tippen Sie an einer           

Eingabeaufforderung fr root folgendes ein:                                                                                         

# greylistd-setup-exim4 add                                                                                                        

Falls Sie in der Zukunft Ihre Exim-Konfigurationsdateien berschreiben (zum Beispiel, wenn Sie ein Upgrade von Exim durchfhren),   mssen Sie eventuell diesen Befehl erneut ausfhren.                                                                                

Später, bevor Sie greylistd deinstallieren, sollten Sie folgendes ausfhren:                                                      

# greylistd-setup-exim4 remove                                                                                                     
 Fr weitere Optionen und Benutzungshilfe fhren Sie den Befehl ohne Argumente aus oder lesen Sie die                                

greylistd-setup-exim4(8)-Handbuchseite. Eine empfohlene Option fr das add-Kommando ist -netmask=24.                          

  /usr/share/doc/greylistd/README.Debian.   

# UGID=mail:mail

UGID=Debian-exim:Debian-exim

Standardmäßig werden E-Mails erst nach einer Stunde akzeptiert, was mir etwas zu lange erscheint. 15 Minuten Wartezeit sollten im Normalfall ausreichen, aber jeder wie er es will. Ändern lässt sich das in der Datei /etc/greylist/config bei der Option

retryMin = 900

Danach ein Neustart des greylistd mit /etc/init.d/greylist restart.

Der Maintainer empfiehlt die Führung einer eigenen Whitelist für Domains, die nicht in die Warteschlange geführt werden. Er liefert ein rudimentäres File dazu mit, das auf jeden Fall noch angepasst werden sollte. Zuerst ein entsprechendes Verzeichnis dafür erstellen mit mkdir /etc/mail/greylistd und dann die Datei mit cp /usr/share/doc/greylistd/examples/whitelist-hosts /etc/mail/greylistd/ an die richtige Stelle setzen. Die weiteren Tipps sind folgendem Dokument entnommen: http://slett.net/spam-filtering-for-mx/exim-greylisting.html.

Und jetzt in der Datei /etc/exim4/vexim-acl-check-rcpt.conf folgenden Code anfügen, damit sowohl die lokale Whitelist bedacht wird, als auch Greylisting durchgeführt wird auf RCP TO Ebene:

• # Greylisting added # accept authenticated users immedialtely accept
  • authenticated = *
  accept
  • hosts = ${if exists {/etc/mail/greylistd/whitelist-hosts} \
    • {/etc/mail/greylistd/whitelist-hosts} {} }
    domains = +local_domains : +relay_to_domains
  # Consult "greylistd" to obtain greylisting status for this particular # peer/sender/recipient triplet. # # Note that we do not greylist messages with NULL sender, because # sender callout verification would break (and we might not be able # to send mail to a host that performs callouts). # # Also note that because the recipient address has not yet been # verified. If you do not want to perform greylisting for non-existing # recipients, but rather skip this statement to allow for a 550 (reject) # response below, uncomment the "verify = recipient..." condition. # defer
  • message = $sender_host_address is not yet authorized to deliver mail \

    • from <$sender_address> to <$local_part@$domain>. \ Please try later.

    log_message = greylisted. !senders = : domains = +local_domains : +relay_to_domains

# verify = recipient/callout=20s,defer_ok

• set acl_m9 = $sender_host_address $sender_address $local_part@$domain set acl_m9 = ${readsocket{/var/run/greylistd/socket}{$acl_m9}{5s}{}{}} condition = ${if eq {$acl_m9}{grey}{true}{false}}

Man beachte den letzten Kommentar oben und entferne, wenn gewünscht, das Kommentarzeichen.

Sofern sogenannte NULL sender auch abgefangen werden sollen (z.B. werden so Checks durchgeführt, ob die Empfängeradressen auch existieren), darf das nicht im RCP TO Dialog geschehen, da das einige andere Mailserver massiv behindern würde. Das kann nur während des DATA Dialogs gemacht werden. In der Datei /etc/exim4/vexim-acl-check-content.conf hilft folgender Code weiter:

• # Greylisting added # Perform greylisting on messages with no envelope sender here. # We did not subject these to greylisting after RCPT TO: because # that would interfere with remote hosts doing sender callouts. # # accept authenticated users immedialtely accept
  • authenticated = *
  defer
  • message = $sender_host_address is not yet authorized to send \

    • delivery status reports to <$recipients>. \ Please try later.

    log_message = greylisted. senders = : postmaster@* set acl_m9 = $sender_host_address $recipients set acl_m9 = ${readsocket{/var/run/greylistd/socket}{$acl_m9}{5s}{}{}} condition = ${if eq {$acl_m9}{grey}{true}{false}}

Schlussendlich noch ein /etc/init.d/exim4 restart und es sollte gehen. 4.10. TLS-Support in exim4 aktivieren

Exim4 bietet bereits die nötige Unterstützung für mittels TLS verschlüsselte SMTP-Verbindungen. Die Debian Paketmaintainer sehen auch eine einfache Möglichkeit vor, diese Unterstützung zu aktivieren. Dazu zuerst das Skript /usr/share/doc/exim4-base/examples/exim-gencert ausführen und die Fragen entsprechend beantworten.

Danach in der Datei /etc/exim4/exim4.conf folgendes im Hauptteil (also vor der ACL-Konfiguration) einfügen:

tls_advertise_hosts = * tls_certificate = /etc/exim4/exim.crt tls_privatekey = /etc/exim4/exim.key

und die Direktive log_selector um folgende zwei Einträge ergänzen:

+tls_cipher +tls_peerdn

Danach exim4 neu starten.

Ob alles funktioniert, lässt sich mit folgendem Dialog überprüfen:

mail# telnet localhost 25 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 domain.tld ESMTP Exim 4.34 Fri, 10 Sep 2004 23:50:27 +0200 ehlo localhost 250-domain.tld Hello localhost [127.0.0.1] 250-SIZE 52428800 250-PIPELINING 250-AUTH PLAIN LOGIN CRAM-MD5 250-STARTTLS 250 HELP starttls 220 TLS go ahead quit

4.11. SSL-Support bei Courier anpassen

Die Courier Pakete mit SSL installieren standardmäßi auf localhost ausgestellte Zertifikate. Bei remote-Zugriff bringt das ständig Warnmeldungen, sofern der MUA diese nicht unterdrückt. Als Abhilfe ist bereits eine Möglichkeit vorgesehen, wie man angepasste Zertifikate leicht erstellen kann.

Dazu editieren wir zuerst die Dateien /etc/courier/imapd.cnf und /etc/courier/pop3d.cnf entsprechend (v.a. CN=), sichern danach die bisherigen Zertifikate mit mv pop3d.pem pop3d.pem.orig && mv imapd.pem imapd.pem.orig und führen anschließend die Konfigurationen für beide Dienste neu aus: dpkg-reconfigure courier-pop-ssl && dpkg-reconfigure courier-imap-ssl. ....

}}}

Konfigurationsfiles

/etc/greylist/config

### Who should 'greylistd' run as (user:group)?
# UGID=mail:mail

### Exim 4 users should replace the line above with the following:
UGID=Debian-exim:Debian-exim
retryMin = 900

-- DetlevLengsfeld 2007-02-17 19:20:42

Kategorie/Mobbing

 Tags: exmin4 | python | greylisting | linux | unix | python

Linux/Internet/Mail/Exim4/GreyListing (last modified 2008-11-04 07:00:08)