Policyd-weight Score Testing - Heinlein

3. Mailserver Konferenz / Berlin
Über 300 Scoring Konstellationen
# bzgrep 'rate: ' /var/log/mail/maillog* \
| sed -e 's/.*rate: //' -e 's/[ ;].*//' \
| sort -u | wc -l
348
Policyd-weight
Kuttendreier

3. Mailserver Konferenz / Berlin
1. HAM (hard) / SPAM Cache
2. RBL Lookups
3. HAM-Cache
Scoring
4. Sender (Sub)Domain MX/A records vs IP/32/24/16
Bogus MX == leer oder private networks
Bad MX == A/MX leer oder private networks
5. HELO (Sub)Domain MX/A records vs IP/32/24/16
6. IP PTR Dialup Regex Check
7. IP PTR vs HELO/Domain check – untrusted, wenn
4. oder 5. kein Treffer
8. HELO numeric check
9. HELO Dialup check wenn 6. kein Treffer
Policyd-weight
Kuttendreier

3. Mailserver Konferenz / Berlin
10. Nobody/Anonymous check
11. Sender Domain vs HELO Domain – Check wenn IP nicht MX Sender Domain
Gewichtet nach:
11.1 HELO (Sub)Domain A/MX == IP aus 5.
11.2 IP == HELO (Domain) aus 7.
11.3 5. UND 7. ergaben kein positives Ergebnis
12. IP == MX/A Sender check wenn
- 2. (RBL) einen Treffer ergab
- 4. (Sender MX vs IP) keinen Treffer ergab
- 11.2 oder 11.3 einen negativ Treffer ergab
faktisch erhöht dieser check den Check 4
13. Sender Domain Multiparted (user@a.b.c.d.example.tld)
Wird nur ausgeführt, wenn 4. und 5. keine positive Treffer ergaben
14. Random Sender Check
Policyd-weight
Kuttendreier

3. Mailserver Konferenz / Berlin
15. RHSBL checks wenn $REJECTLEVEL noch nicht erreicht
surbl.org, ahbl.org, rfc-ignorant.org
Policyd-weight
Kuttendreier

3. Mailserver Konferenz / Berlin
~45,000,000 Mail Vers. /Jahr
~123,000 Mail Vers. /Tag
Graphs und Zahlen
~82,000 Rejects/Tag
~50% Anteil gesamt
Filterung
Policyd-weight
Kuttendreier
~270GB pro Jahr Traffic
Ersparnis bei
10k Spam
(über alle UCE
Massnahmen)

3. Mailserver Konferenz / Berlin
Ort: /etc/policyd-weight.conf
oder -f /path/t/policyd-weight.conf
Sinnvolle Einstellungen
Policyd-weight
1. $REJECTLEVEL = 4; # (default: 1 – WERT)
Empfehlenswert für Phase Testing -> Produktiv
2. $dnsbl_checks_only = 1; # (default: 0 – BOOL)
Prüft nur IP gegen DNSBLs, keine weiteren Sender, HELO checks
3. $REJECTLEVEL = 100;
Empfehlenswert, wenn DNSBL checks rejecten sollen, DNS checks
aber nicht, da $MAXDNSBLHITS bzw $MAXDNSBLSCORE greifen
Ein evtl. Header kann vom MUA ausgewertet werden.
Kuttendreier

3. Mailserver Konferenz / Berlin
1. /etc/policyd-weight.conf.testing anlegen
Score Testing (suicide)
Policyd-weight
Kuttendreier
2. echo „request=smtpd_access_policy
client_address=1.2.3.4
helo_name=example.tld
sender=user@example.tld
„ | /path/to/policyd-weight -f /etc/policyd-weight.conf.testing -d | grep rate
10:07:20 info: weighted check: NOT_IN_SBL_XBL_SPAMHAUS=-1.5
NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 IX_MANITU=ERR(0)
BOGUS_MX=2.1 CL_IP_NE_HELO=1.5 RESOLVED_IP_IS_NOT_HELO=1.5
(check from: .example. - helo: .example. - helo-domain:
.example.) MAIL_SEEMS_FORGED=2.5 IN_DSN_RFCI=6.6
IN_PM_RFCI=3.2 IN_ABUSE_RFCI=3.2
,
rate: 16.1
Warnungen über Use of uninitialized value können idR ignoriert werden, sollten
bei Problemberichten aber mit berichtet werden.

3. Mailserver Konferenz / Berlin
smtpd_restriction_classes =
check_policyd_weight
Postfix Einbindung / Whitelists
Policyd-weight
check_policyd_weight =
check_policy_service inet:127.0.0.1:12525
#warn_if_reject check_policy_service inet:127.0.0.1:12525
smtpd_recipient_restrictions =
permit_mynetworks
permit_sasl_authenticated
reject_unauth_destination
check_client_access hash:/path/to/uce_whitelists
check_policyd_weight
#check_recipient_access hash:/path/to/policyd_weight_users
file /path/to/uce_whitelists (postmap /path/to/uce_whitelists)
1.2.3.4 OK
.yahoo.com OK
file /path/to/policyd_weight_users (postmap /path/to/policyd_weight_users)
.kunde.tld check_policyd_weight
user@kunde2.tld check_policyd_weight
Kuttendreier