Zwarte & Witte lijst

[Briolet]

MailServer gebruikt twee verschillende Zwarte & Witte lijsten. Die haal ik wel eens door elkaar. Vandaag weer toen iets als spam binnenkwam waarvan ik dacht dat ik het op de witte lijst gezet had.

Dus voor anderen die hier ook tegen aan lopen:

De Zwarte & Witte lijst die je in het hoofdmenu van Mailserver->beveiliging ziet, is de lijst die bepaalt of mail altijd geblokkeerd wordt of altijd doorgelaten wordt. (Onderdeel van het postfix pakket)

De Zwarte & Witte lijst die je aantreft bij Mailserver->beveiliging->spam->SpamAssassin-instellingen->aangepast-spamfilter zijn de lijsten waar je iets voor spam instelt. (Onderdeel van het spamassassin pakket)

Je kunt onterechte spam wel in de eerste lijst whitelisten, maar dat betekent alleen dat hij doorgelaten wordt. De spamfilter is wat anders.

Omdat ik nu echt wilde weten hoe het werkte ben ik er nog wat dieper ingedoken. (En kwam nog een paar onduidelijkheden tegen)

[Briolet]

De Zwarte & Witte lijst uit het hoofdmenu wordt door het onderliggende proces "postfix" gebruikt. De lijsten worden opgeslagen in 3 files:

Code: [Selecteer]

/var/packages/MailServer/target/etc/access/client_access
/var/packages/MailServer/target/etc/access/recipient_access
/var/packages/MailServer/target/etc/access/sender_access
Afhankelijk van wat je invult komt het in één van deze drie lijsten terecht. Bij het bekijken van die files viel me een bug op. Als je namelijk opgeeft mailadres bevat: "synolgy.com" dan betekent dat niet dat alles van dat domein behandelen, maar alles van die gebruiker behandelen.

Mailserver slaat dit dan op als een regel voor "synolgy.com@mijndomein", waarbij  "mijndomein" je eigen domein is. Het werkt dus niet zoals je misschien verwacht.

Als je alles van "synolgy.com" wilt doorlaten/weigeren moet je opgeven "@synolgy.com". Of dit onder het kopje "hostnamen" invullen.

Hostnamen is zo ingericht dat hij ook subdomeinen van het domein meeneemt. Het ingevulde domein mag echter niet met een punt beginnen. Als je dus "nl" invult zal hij alle adressen die op ".nl" eindigen doorlaten/blokkeren. Als je echter ".nl" invult, kijkt hij niet verder naar subdomeinen ervan en gebeurd er juist niets.

Let er ook op dat je complete namen invult. Als je b.v. "syno" blokkeert in de hoop alle namen met "syno" erin te blokkeren, dan zal dat niet werken en laat hij "synology.com" gewoon door.

Merk op dat deze lijsten van postfix ook geen wildcard symbool kennen.

[Briolet]

De Zwarte & Witte lijst uit het Spamassassin menu wordt door MailScanner gebruikt.
Deze lijst uit heeft dezelfde eigenaardigheid als de vorige lijst. Als je bij "adres bevat geen @ gebruikt, dan wordt het ook hier altijd als een gebruikersnaam van het eigen domein geïnterpreteerd.
Deze lijsten hebben echter nog een paar instelmogelijkheden die niet vanzelf duidelijk zijn.

De lijsten zelf komen te staan in:

Code: [Selecteer]

/volume1/@appstore/MailServer/etc/MailScanner/rules/spam.whitelist.rules
/volume1/@appstore/MailServer/etc/MailScanner/rules/spam.blacklist.rules
Als je de readme in "/volume1/@appstore/MailServer/etc/MailScanner/rules/README" opent, vind je dit bij punt 2:

2. The pattern describes what messages should match this rule.
   Some examples are:
   user@sub.domain.com   # Individual address
   user@*         # 1 user at any domain
   *@sub.domain.com   # Any user at 1 domain
   *@*.domain.com      # Any user at any sub-domain of "domain.com"
   *@domain.com      # Any user at 1 specific domain
   /pattern/      # Any address matching this Perl regular
            # expression
   192.168.21.      # Any SMTP client IP address in this network
   192.168.21      # Any SMTP client IP address in this network
   192.168.21.0/255.255.255.0 # Any SMTP client IP address in this network
   192.168.21.0/24      # Any SMTP client IP address in this network
   /pattern-with-no-letters/ # Any SMTP client IP address matching this
              # Perl regular expression
   /^192\.168\.1[4567]\./   # Any SMTP client IP address in the networks
            # 192.168.14 - 192.168.17
   host:mail.example.com   # Any hostname
   host:example.com   # Any domain name
   host:mail*.example.com   # Any hostname or domain name with wildcards
   host:mail*.exam*ple.com   # Another wildcard example
   host:/pattern/      # Any hostname matching this Perl regular
            # expression
   host:         # Any IP address that has no hostname
   host:_SPOOFED_      # Any IP address whose DNS records don't match
   *@*         # Default value
   default         # Default value
   You should be able to do just about anything with that.

Dit is veel uitgebreider dan je uit de MailServer handleiding kunt halen. En ik heb het geprobeerd: al deze instellingen kun je ook in MailServer opgeven. Dus b.v. "host:_SPOOFED_" of een IP adres. Dit komt alles correct in de rules terecht.

Wat me wel opvalt is dat als je in MailServer iets bij "hostnaam" invult, dan komt dit niet met " host:" ervoor in de rules terecht. Het werkt wel maar vast niet zo efficiënt als door de makers bedoeld. Beter is het dan om er zelf nog " host:" voor te zetten in de GUI.

[huijsh]

Volgens het manual van MAILSCANNER, de open source applicatie waar mailserver gebruik van maakt, moet de  spamassassin "whitelist"  optie uitgezet worden. Dit omdat spammers deze optie gebruiken om de volledige spamassassin applicatie te bijpassen met als gevolg dagelijks 20-30 spam emails n je inbox per dag.  Dat is nu nul geworden nadat ik de "whitelist" uit heb gezet. Doe er je voordeel mee!!

[Briolet]

Dank voor de melding. Ik kan het niet in de handleiding vinden. Ik heb zelfs de laatste nog eens gedownload, maar die is gelijk aan die van twee jaar geleden. Maar het werkt voor jou, dus zal er wat in zitten.

Ik gebruik vooral de optie van MailScanner zelf.

Als extra info. Mailscanner haalt ook periodiek weer een andere eigen zwarte en witte lijst bij

Code: [Selecteer]

'http://phishing.mailscanner.info/phishing.safe.sites.conf'
en
http://phishing.mailscanner.info/phishing.bad.sites.conf
Wanneer dit gebeurd zie je in het maillog aan de regel: "Phishing bad sites list updated". Volgens de handleiding gebeurd dit op sommige systemen dagelijks, maar ik zie het maar wekelijks in het log.
Dit zijn geen mail domeinen, maar web domeinen die in linkjes in de mail staan. Deze lijsten wordt gebruikt als je de optie gebruikt om fraude met linkjes te detecteren. (Foute linkjes worden dan rood gemarkeerd in je mail)

Daarnaast plaatst hij nog de files "phishing.bad.sites.custom" en "phishing.safe.sites.custom" in de folder "/var/packages/MailServer/target/etc/MailScanner". Hier kun je handmatig ook nog domeinen toevoegen. Ik doe dat, maar een update van mailserver gooit deze custom file vaak weer weg. Ik draai tegenwoordig een scriptje na elke mailserver update, die dit soort zaken weer herstelt.

[huijsh]

Dit staat op pagina 49 van de handleiding. (het document is te groot om meegestuurd te worden maar je kan hem downloaden op mailscanner.info).
++++++++
SpamAssassin Auto Whitelist = no
Setting this option to "yes" will enable the automatic SpamAssassin white listing functions. Since some spammer have been able to abuse this function (and poison Bayes databases as a result). This value should be left set to no.
This can also be the filename of a Ruleset.
Typically this setting does not need to be changed.
+++++
Ik heb hem al een paar dagen het vinkje weggehaald en er komt gewoon niks meer door; en dit na 6 jaar veel van SPAM "genoten" te hebben.

Ik denk dat Synology dit moet melden in de help file en korte beschrijving van mailserver. Mij zou het 6 jaar geleden zeker geholpen hebben.

[Briolet]

Nee. Pagina 49 gaat over de automatische Whitelist.

SpamAssassin Auto Whitelist = no

Setting this option to "yes" will enable the automatic SpamAssassin white listing functions. Since some spammer have been able to abuse this function (and poison Bayes databases as a result). This value should be left set to no.
This can also be the filename of a Ruleset.

Typically this setting does not need to be changed.

De postings hierboven gaan over de zelf toegevoegde Witte en Zwarte lijsten. Daarom was het mij niet duidelijk dat je de 'automatische Witte lijst' bedoelde. Bij mij staat die wel aangevinkt, maar ik zal het in de gaten houden.

Maar inderdaad vreemd dat Synology er een checkbox van maakt als MailScanner aangeeft dat je deze setting beter op NO kunt laten staan.
Er zijn andere settings die veel zinvoller zijn om via de GUI te kunnen instellen.

Edit: Ik heb de tip om deze setting uit te zetten, nu opgenomen in mijn handleiding voor het inrichten van de mailserver.

[huijsh]

Even voor de duidelijkheid, er is een “whitelist” van “mailscanner” en we whitelist van spamassassin, ik heb het alleen over de laatst genoemde.