CTK Blog Alltag eines Computer und Telekomm Fachhändlers

2Feb/160

Sanesecurity sigupdate.bat für Deutsprachiges Windows

In der Aktuellen Version (0.5) der sigupdate.bat ist ein Fehler, der dazu führt dass neue Datenbanken nicht mehr richtig in die ClamWin Datenbank kopiert werden.

Nach dieser Zeile suchen:
for /f "delims=" %%i in (signames.txt) do echo f|xcopy /F /M /Y "dbtemp\%%i" "%db%\%%i" >> %logloc%\sigupdate.log
Ersetzen durch:
for /f "delims=" %%i in (signames.txt) do echo f|xcopy /F /M /Y "dbtemp\%%i" "%db%\%%i*" >> %logloc%\sigupdate.log

Alternativ habe ich hier eine fertige Version zum Download (hier ist auch gleich ein funktionierendes RSYNC dabei.
SIGUPDATE (ca 12 MB)

Offizieller Downloadlink der fehlerhaften Originalversion: http://sanesecurity.com/usage/windows-scripts/

Suchbegriffe:ClamWin, Sanesecurity, ClamAV

5Okt/101

Firmenverzeichnis Grieskirchen

Die Branchenklick GmbH bietet um sagenhafte EUR 1068,- + MwSt einen Eintrag im Grieskirchener Firmenverzeichnis an.
Um das Geld baue ich ein eigenes Firmenverzeichnis auf...

Branchenklick GmbH
Geschäftsführer Ludwig Bauer
Sternbachstrasse 2
6020 Innsbruck
www.branchenklick.at

20Aug/100

Exchange 2007 und Exchange 2010 gegen Backscatter sichern

Wenn man Exchange 2010 mit allen Rollen installiert und die Standardeinstellungen nicht ändert, läuft man Gefahr, auf einer Realtime Blacklist (RBL) zu landen. Grund ist die Tatsache, dass der Hub-/Transportdienst von Exchange 2010 ohne zusätzliche Konfiguration keine Antispam-Mechanismen enthält.

Beispielsweise werden E-Mails an nicht existierende Adressen zunächst vom einliefernden Server angenommen, ein Non-Delivery-Report (NDR) wird erst später vom Exchange 2010 Server generiert. Dadurch können sogenannte Backscatter ausgelöst werden, die von einigen RBLs, z.B. UCEProtect, ausgewertet werden und zur Eintragung des Servers in die Blacklist führen können. Ein E-Mail-Server sollte nur E-Mails für existierende E-Mail-Adressen akzeptieren.

Wenn in einer Exchange Organisation kein Edgeserver vorhanden ist, können die Antispamfunktionen auf dem Exchange 2010 System mit installierter Hub-/Transport-Rolle wie folgt per Powershell aktiviert werden:

  • Wechseln ins Verzeichnis Scripts der Exchange-Installation (bei mir c:\Program Files\Microsoft\Exchange Server\V14\Scripts)
  • folgenden Befehl ausführen: ./install-AntispamAgents.ps1

Nach einem Neustart des Dienstes “Microsoft Exchange Transport” stehen dann die Antispamfunktionen zur Verfügung. Unter anderem kann dann die Validierung der Empfängeradressen aktiviert werden, was dazu führt, dass für die autorisierenden akzeptierten Domains nur noch E-Mails für existierende Adressen akzeptiert werden.

Diese Funktion kann über die Exchange Verwaltungskonsole, unter Organisationskonfiguration, Hub- Transport, Antispam aktiviert werden:

 

19Aug/100

Exchange 2003 gegen Backscatter sichern

Einen Exchange 2003 "nackt" per SMTP Port ins Netz hängen ist zwar möglich aber doch sehr gewagt.
Wir selber machen dies nur ab Exchange 2007/2010 da dort vielfältige Mechanismen implentiert sind um den Server relativ Spamfrei zu halten.

Exchange 2003 unterstützt zwar bereits einen Intelligenten Nachrichtenfilter... aber mit der Intelligenz ist das halt hier so eine sache...

Wer unbedingt glaubt einen Exchange 2003 direkt ins Netz zu hängen, sollte unbedingt den Empfang so konfigurieren, dass nur Nachrichten an existente Empfänger akzeptiert werden.
In der Standardkonfiguration nimmt Exchange 2003 alle Nachrichten erstmal ungeprüft an, und checkt erst in der nächsten Instanz ob die E-Mail Adresse überhaupt korrekt ist.

Allerdings kann man dem Exchange 2003 relativ einfach beibringen dass er Nachrichten an nichtexistente Empfänger sofort ablehnt:

Der Transportdienst ist nun unbedingt neu zu starten.

 

3Jan/090

SPAM Filter-Tuning – DNS Blacklists

Unser Mailserver arbeitet mit mehrstufigen Spam-Filtern.
Wir haben Jahrelang mit Greylisting den grossteil des Mail-Mülls erschlagen.

Doch die Zombies haben gelernt und können nun auch mit Greylisting umgehen.
Ich merke dies daran dass an meine persönliche Mail Adresse (thomas@ctk.at) immer mehr SPAM erfolgreich zugestellt wird.

Das von mir verwendete Outlook 2007 besitzt einen sehr guten Junk Mail Filter der den von Mailserver "übersehenen" rest sehr zuverlässig entsorgt.
Da meine Emails aber auch gleichzeitig an meinen E90 weitergeleitet werden, erreicht mein Handy eine ganze Spam-Flut, wenn Outlook 2007 nicht läuft.
(Sofern Outlook 2007 aktiv ist werden die Mails schnell genug in den Junk Mail Ordner verschoben)

Ich bin mir bewusst dass es keinen 100 Prozentigen SPAM-Schutz gibt, auch wenn wir Jahrelang alleine mit Greylisting bei mehr als 99% sehr Effektiv waren 🙂

Mittlerweile habe ich durch folgende Optimierungen beim SMTP Dialog eine sehr brauchbare Lösung gefunden:

  1. Grundsätzliches Greylisting mit automatischer temporärer Whitelist bei Antworten auf Nachrichten welche über unseren SMTP Versendet wurden.
     
  2. Erst NACH(!) erfolgreichen Greylisting wird die Absender IP über diverse Blacklists geprüft.
    Derzeit sind folgende (in genau der Reihenfolge) im Einsatz:
    - relays.mail-abuse.org
    - dnsbl-3.uceprotect.de
    - ix.dnsbl.manitu.net 
    - dnsbl-1.uceprotect.de 
    - zen.spamhaus.org
    Sollte die Prüfung bei einer der Blacklists Positiv sein so wird die Mail sofort abgewiesen.
    Früher habe ich einfach nur den Indikator der Spam-Wahrscheinlichkeit (Spam Score) um 3 Punkte erhöht.
    Die Praxis hat gezeigt dass alle überprüften Nachrichten ausnahmslos Spam waren - daher gleich den Müll gar nicht annehmen.
     
  3. Sollte tatsächlich eine Nachricht zum Schritt 3 kommen, so wird diese nun noch durch Spam-Assassin geprüft.
    Wird hier festgestellt dass die Nachricht Spam-Verdächtig ist, so wird diese in der Betreffzeile durch den Zusatz [CTK SPAMFILTER] gekennzeichnet.
    Man kann dann Clientseitig mittels Regeln die Verdächtigen Nachrichten zb. in einen eigenen Ordner ablegen und gelegentlich prüfen.
     
  4. Virenscan durch CLAM-AV. Der ist aber momentan fast arbeitslos, da durch die Schritte 1 und 2 sogut wie alle Viren entfernt werden.
    In Zeiten als PDF- und MP3-Spam noch nicht durch 1 und 2 abgewiesen wurde konnte man CLAM-AV mittels spezieller Signaturen auch sehr effektiv zur bekämpfung dieses Mülls verwenden.

Eine Optimale dauerhafte Strategie zu finden ist, wie ich gelernt habe, ein Ding der Unmöglichkeit.
Man könnte natürlich auch den Spam-Schutz Outsourcen, entsprechende Anbieter gibt es ja zuhauf. Bei der Betreuung unseres eigenen Mail Systems ist das aber für mich sowas wie Sportlichkeit.
Und zwar in der Form, dass man den Spammern mit seinen Methoden immer ein wenig vorraus ist 🙂

Zu den Blacklisten, welche man nicht nur per R-Sync sondern auch via DNS Nutzen kann (nur bei geringen SMTP Aufkommen empfehlenswert) habe ich in den Letzten Wochen folgende Erfahrung gemacht:
Die IX Blacklist (nixspam.org) ist im Deutschsprachigen-Raum sehr erfolgreich und Effektiv. Da ich ein kleiner BOFH bin, filtere ich auch nach uce-protect Level 3.
Bei dieser Methode werden nicht nur einzelne IP-Adressen, sondern gleich die entsprechenden IP-Blöcke als Spam-Quellen-Verdächtig deklariert.
Nur so bringt man manche Provider dazu, Spam-Versender schnell und nachhaltig abzuklemmen.

Es gibt übrigens von der ISPA eine Österreichische Whiteliste (Admins Vertrauen Admins) welche LEIDER nur für Mitglieder (EUR 300,- pro Jahr) angeboten wird.
Der Vorteil wäre man könnte allen was tatsächlich von .at kommt vertrauen und dadurch Resourcen schonen, bzw im Fall des Globalen SMTP Crashes alles nach aussen dichtmachen.