Es gibt wieder viel zu tun. Also legen wir los.<\/p>\n
Haben wir nicht was vergessen?<\/strong><\/p>\n Wie ist es denn um den Update-Status des eigenen Servers bestellt? Evtl. ist jetzt eine gute Gelegenheit das System auf Updates zu pr\u00fcfen und diese einzuspielen. Doch muss dies nicht manuell passieren.<\/p>\n In „Automatische Installation von Sicherheitsupdates“<\/a> erkl\u00e4re ich, wie man die Update-Installation unter Ubuntu automatisieren kann. Exkurs Ende.<\/p>\n OpenDKIM soll Mailservern dabei helfen die Authentizit\u00e4t und die Integrit\u00e4t von eingehenden E-Mails zu \u00fcberpr\u00fcfen.<\/p>\n Versendet ein Mailserver eine E-Mail mit OpenDKIM, so bildet der Server einen Hashwert \u00fcber den Inhalt der E-Mail. Dieser Hashwert wird mit einem privaten Schl\u00fcssel verschl\u00fcsselt und im Header der E-Mail gespeichert. Der empfangende Mailserver fragt \u00fcber DNS einen speziellen TXT-Record ab, welcher das \u00f6ffentliche Gegenst\u00fcck zum privaten Schl\u00fcssel enth\u00e4lt, mit welchem der Hash verschl\u00fcsselt wurde. Der empfangende Mailserver nutzt diesen \u00f6ffentlichen Schl\u00fcssel, um den Hashwert der Nachricht zu entschl\u00fcsseln. Abschlie\u00dfend bildet der Mailserver selbst den Hashwert der empfangenen E-Mail und vergleicht ihn mit dem soeben entschl\u00fcsselten Hashwert aus dem Mailheader. Stimmen beide Hashwerte \u00fcberein, kann man mit hinreichender Sicherheit davon ausgehen, dass die E-Mail von einem autorisierten Absender stammt und unterwegs nicht ver\u00e4ndert wurde.<\/p>\n F\u00fcr die einzelnen Schritte in diesem Teil werden wieder root-Rechte ben\u00f6tigt. Entweder man \u00f6ffnet eine root-Shell oder stellt den folgenden Befehlen ein Als erstes wird das Paket OpenDKIM installiert.<\/p>\n Das OpenDKIM Paket richtet bei der Installation automatisch die ben\u00f6tigten Benutzerkonten und Upstart Jobs ein. Es muss nur noch ein Verzeichnis erstellt werden, in dem die Konfigurationsdateien und der private Schl\u00fcssel gespeichert werden. Der Zugriff auf dieses Verzeichnis wird auf den Benutzer und die Gruppe von opendkim beschr\u00e4nkt.<\/p>\n Im n\u00e4chsten Schritt wird im soeben erstellen Verzeichnis ein DKIM Schl\u00fcsselpaar erstellt.<\/p>\n Mit dem Parameter Die Datei mail.private<\/em> wird in mail<\/em> umbenannt. Anschlie\u00dfend wird festgelegt, welche Dienste den Schl\u00fcssel zur Signatur von Mails nutzen d\u00fcrfen. Aber ein Schritt nach dem Anderen.<\/p>\n Zuerst wird die Datei umbenannt:<\/p>\n Anschlie\u00dfend wird die Datei \/etc\/opendkim\/KeyTable<\/em> angelegt und mit Inhalt nach folgendem Muster bef\u00fcllt:<\/p>\n Hier wird domainname.tld mit dem privaten Schl\u00fcssel f\u00fcr diese Domain verkn\u00fcpft. Hat man mehrere Domains und Schl\u00fcssel, werden diese nach dem gleichen Muster hier eingetragen.<\/p>\n Als n\u00e4chstes wird die Datei \/etc\/opendkim\/SigningTable<\/em> erstellt und mit folgendem Inhalt gef\u00fcllt:<\/p>\n Dieser Eintrag weist OpenDKIM an, alle E-Mails von allen Adressen, die auf @domainname.tld enden, mit der Signatur von mail.domainname.tld zu versehen. Auch hier lassen sich ganz einfach weitere Domains hinzuf\u00fcgen.<\/p>\n Als letzte Datei wird die Datei \/etc\/opendkim\/TrustedHosts<\/em> erstellt, welche lediglich eine lokale IP-Adresse enth\u00e4lt:<\/p>\n Diese Datei gibt an, welche Server Mails signieren d\u00fcrfen und welche Server signierte Mails versenden d\u00fcrfen, ohne Benutzeranmeldedaten zu \u00fcbermitteln.<\/p>\n Damit nur OpenDKIM auf die Dateien unterhalb von \/etc\/opendkim<\/em> zugreifen kann, wird der Zugriff noch entsprechend eingeschr\u00e4nkt:<\/p>\n Jetzt kann es der Konfigurationsdatei \/etc\/opendkim.conf<\/em> an den Kragen gehen. An das Ende der Datei wird der folgende Inhalt angeh\u00e4ngt:<\/p>\n Da das Verzeichnis f\u00fcr den Socket noch nicht existiert, wird es jetzt angelegt und mit den entsprechenden Berechtigungen versehen.<\/p>\n Damit die Konfiguration wirksam wird, muss der Dienst einmal neugestartet werden:<\/p>\n Damit Postfix \u00fcber den Socket mit OpenDKIM kommunizieren kann, f\u00fcgt man den Benutzer Postfix der OpenDKIM Gruppe hinzu.<\/p>\n Damit ist die erste Aufgabe f\u00fcr diesen Teil erledigt. Bevor wir OpenDKIM endg\u00fcltig mit Postfix verbinden, wenden wir uns einem anderen Schlachtfeld zu.<\/p>\n …beginnt an dieser Stelle mit der Installation des milters<\/a> und der Pakete, die ben\u00f6tigt werden, damit Spamassassin mit den DKIM Headers zusammenarbeitet.<\/p>\n Es gibt mehrere Wege, SpamAssassin zu konfigurieren und zu nutzen. Der einfachste w\u00e4re alle Dienstfunktionalit\u00e4ten zu ignorieren und Postfix die Mails einfach an SpamAssassin weiterleiten zu lassen, bevor diese an Dovecot geleitet werden. Doch dieser Weg f\u00fchrt zur dunklen Seite der Macht.<\/p>\n Ich m\u00f6chte, dass Postfix die E-Mails \u00fcber einen Unix-Socket an In der Standardkonfiguration legt Bevor die Betriebsbereitschaft hergestellt werden kann, muss noch ein System-Benutzer f\u00fcr den Dienst Fertig, nun werden erstmal ein paar Konfigurationsdateien gehackt.<\/p>\n Zu Beginn ist \/etc\/default\/spamassassin<\/em> dran. Nach der Bearbeitung sollte die Datei wie folgt aussehen:<\/p>\n Die ersten beiden Zeilen enthalten Variablen, die das SpamAssassin Home-Verzeichnis und das Verzeichnis mit der globalen Konfiguration beinhalten. Als n\u00e4chstes wird der Das Verzeichnis f\u00fcr den Socket wird manuell erstellt und die entsprechenden Benutzerrechte vergeben:<\/p>\n Speichern und schlie\u00dfen! Jetzt geht es mit \/etc\/default\/spamass-milter<\/em> weiter. Diese Datei enth\u00e4lt nur eine einzige Zeile, die nach der Bearbeitung wie folgt aussehen sollte.<\/p>\n Die Option „-u“ definiert, unter welchem Benutzerkontext der Milter ausgef\u00fchrt wird. „-i“ gibt die Quell-IPs der Systeme an, deren Mails der Milter ignorieren soll. „-I“ ignoriert E-Mails von authentifizierten SMTP-Sendern. „-m“ h\u00e4lt SpamAssassin davon ab, sich zu sehr mit den Mail-Headern zu besch\u00e4ftigen. Der Rest der Zeile gibt an, wohin der Milter die Mails zum Scannen leiten soll. Hier wird der Socket angegeben, der im letzten Schritt erstellt wurde.<\/p>\n Speichern, schlie\u00dfen, n\u00e4chster!<\/p>\n An die Datei \/etc\/spamassassin\/init.pre<\/em> werden die beiden folgenden Zeilen angef\u00fcgt:<\/p>\n Die beiden Zeilen bewirken, dass das TextCat-Plugin geladen wird, welches wir in der folgenden Konfigurationsdatei verwenden.<\/p>\n In der Datei \/etc\/spamassassin\/local.cf<\/em> wird direkt unterhalb des ersten Kommentars der folgende Code eingef\u00fcgt:<\/p>\n Zu Beginn wird festgelegt, wo die Datenbank f\u00fcr den Bayesian-Filter liegt.<\/p>\n Die n\u00e4chsten beiden Optionen geben an, in welcher Sprache und welchem Zeichensatz eine E-Mail entsprechen muss, um nicht als Spam aussortiert zu werden. Die aktuelle Einstellung erlaubt E-Mails in englischer so wie deutscher Sprache und westlichem Zeichensatz. Eine vollst\u00e4ndige Liste der untest\u00fctzten Sprachen gibt es in der TextCat Dokumentation[4. Dokumentation TextCat Plugin<\/a>], die verf\u00fcgbaren Zeichens\u00e4tze sind in der SpamAssassin Dokumentation f\u00fcr Konfigurationsdateien[5. SpamAssassin Language Options<\/a>] zu finden.<\/p>\n Auf die letzten beiden Zeilen werde ich in K\u00fcrze noch eingehen.<\/p>\n Wann immer man an den Konfigurationsdateien von SpamAssassin herumgemacht hat, ist es eine gute Idee, die Konfiguration mit folgendem Befehl auf Fehler zu \u00fcberpr\u00fcfen.<\/p>\n Liefert das Kommando keine Ausgabe zur\u00fcck, ist alles in Ordnung.<\/p>\n Zum Start werden einmal die aktuellen SpamAssassin-Regeln mit dem Kommando Nun werden noch das Verzeichnis f\u00fcr den Socket angelegt, die Benutzerrechte korrigiert und die beiden Dienste neugestartet. Anschlie\u00dfend kann es schon zum n\u00e4chsten Schritt weitergehen.<\/p>\n Razor2 und Pyzor sind zwei Add-Ons f\u00fcr SpamAssassin. Sie erweitern die F\u00e4higkeit Spam auszusortieren, indem auf zwei AntiSpam-Datenbanken zur\u00fcckgegriffen wird, die st\u00e4ndig erweitert werden. Einmal eingerichtet, muss man sich nicht weiter um die beiden k\u00fcmmern.<\/p>\n Zuerst werden die ben\u00f6tigten Verzeichnisse angelegt:<\/p>\n Laut der Dokumentation[7. Using Pyzor<\/a>] braucht es nur ein Kommando, um Pyzor in Gefechtsbereitschaft zu versetzen.<\/p>\n Um Razor in Gefechtsbereitschaft zu versetzen, bedarf es nur weniger Kommandos mehr:<\/p>\n Der Datei \/var\/lib\/spamassassin\/.razor\/razor-agent.conf<\/em> ist folgende Zeile hinzuzuf\u00fcgen:<\/p>\n Das wars…fast…noch zwei Kommandos und SpamAssassin ist klar zum Gefecht.<\/p>\n Die Filter von SpamAssassin lernen selbstst\u00e4ndig. Doch kann man den Lernprozess durch aktives Training unterst\u00fctzen. Dazu l\u00e4sst man eine gewisse Menge an E-Mails durch das Hilfsprogramm Hat man z.B. nur solche E-Mails im Posteingang, bei denen es sich ganz sicher nicht um Spam handelt, kann man SpamAssassin wie folgt darauf trainieren, dass es sich dabei nicht um Spam handelt:<\/p>\n Genau so gut funktioniert das andersherum. Hat man einen Ordner, der ausschlie\u00dflich Spam-Mails enth\u00e4lt, kann man den Filter wie folgt trainieren:<\/p>\n Der Trainingsprozess ist am effektivsten, wenn man ca. je 1.000 Nachrichten Spam und echte E-Mail hat. Der Filter wird sogar erst dann aktiv genutzt, wenn sich mindestens 200 Spam-Mails in der Datenbank befinden. Das Training kann man beschleunigen, indem man Mails aus seinem Google-Postfach mit Hilfe von Google exportiert, in ein Verzeichnis auf dem Server entpackt und das Trainingsprogramm auf dieses Verzeichnis anwendet.[8. Download a copy of your Gmail and Google Calendar data<\/a>] F\u00fchrt man das Lernprogramm als root aus, muss man anschlie\u00dfend sicherstellen, dass alle Dateien in \/var\/lib\/spamassassin\/.spamassassin<\/em> dem Benutzer spamd geh\u00f6ren.<\/p>\n Falls man SpamAssassin versehentlich mal falsch angelernt hat, kann man dies auch wieder r\u00fcckg\u00e4ngig machen, in dem man das oben genannte Kommando mit der Option –forget auf die betroffene Menge Nachrichten anwendet.<\/p>\n Mit ClamAV wird ein Virenscanner in Stellung gebracht, der E-Mails und Anh\u00e4nge auf Sch\u00e4dlingsbefall hin untersucht. Damit ClamAV die die E-Mail-Anh\u00e4nge auch auf Virusbefall untersuchen kann, werden neben dem Milter auch noch eine ganze Reihe an Dekomprimierungsprogrammen installiert.<\/p>\n Nach der Installation sind \u00c4nderungen an der Konfigurationsdatei \/etc\/clamav\/clamav-milter.conf<\/em> vorzunehmen. Die folgenden Zeilen sind auszukommentieren und durch die Zeilen im zweiten Codeblock zu ersetzen.<\/p>\n Die erste Option gibt an, wo der Socket erstellt wird, der auf E-Mails von Postfix wartet. Da wie bei allen anderen Miltern auch der Socket innerhalb des Postfix chroot jail liegen muss, legt man das Verzeichnis f\u00fcr den Socket wie folgt an und setzt die Benutzerrechte entsprechend.<\/p>\n Die n\u00e4chste Option erlaubt es, Nachrichten mit infiziertem Inhalt weiterzuleiten, statt sie in Postfix Warteschlange zu belassen. Denn um diese soll sich sp\u00e4ter Sieve k\u00fcmmern. Zum Schluss wird ClamAV angewiesen, das Log von Postfix zu verwenden, um bei Problemen nur an einer Stelle suchen zu m\u00fcssen.<\/p>\n Nun wird noch die Zeile<\/p>\n in der Datei \/etc\/default\/clamav-milter<\/em> einkommentiert. Jetzt ist es Zeit f\u00fcr einen Neustart.<\/p>\n ClamAV beinhaltet Nach der Konfiguration der ganzen Milter ist es jetzt noch n\u00f6tig, diese in Postfix zu aktivieren. Dazu sind folgende Zeilen in der Datei \/etc\/postfix\/main.cf<\/em> einzukommentieren und die Konfiguration neu zu laden.<\/p>\n Ohne DNS funktioniert kein E-Mailsystem. Damit der Mailserver erreichbar ist, muss im DNS-Manager des eigenen Domainproviders ein MX-Record angelegt werden, welcher auf die \u00f6ffentliche IP-Adresse oder einen A-Record des eigenen Mailservers zeigt.<\/p>\n Wie genau man einen DNS-Eintrag f\u00fcr die eigene Domain erstellt, ist von Anbieter zu Anbieter unterschiedlich. Zieht dazu am besten die Anleitung bzw. Hilfe eures Anbieters zu Rate. Ich werde am Ende dieses Abschnitts beispielhaft noch ein Bild meines DNS-Providers einf\u00fcgen.<\/p>\n Als N\u00e4chstes wird noch ein TXT-Eintrag ben\u00f6tigt, welcher den \u00f6ffentlichen DKIM Schl\u00fcssel beinhaltet. Dazu kann der Inhalt der Datei \/etc\/opendkim\/mail.txt verwendet werden. Bitte zieht im Zweifel auch hierbei die Hilfe eures DNS-Anbieters zu Rate. Dort sollte beschrieben werden, wie ihr diesen Eintrag am besten erstellt.<\/p>\n Es folgt noch der Eintrag f\u00fcr die Funktionalit\u00e4t des SPF<\/a>.<\/p>\n Beispielhafte DNS-Konfiguration im Interface von Goneo.<\/p><\/div>\n Im obigen Bild sind insgesamt 5 DNS Eintr\u00e4ge zu sehen. Bei den ersten beiden Eintr\u00e4gen handelt es sich um einen A-Record f\u00fcr IPv4 und einen AAAA-Record f\u00fcr IPv6. Mit diesen Eintr\u00e4gen wird den IP-Adressen ein Name zugeordnet. Diese beiden Eintr\u00e4ge sind nicht zwingend notwendig, man kann sich einen Namen jedoch leichter merken als eine IP-Adresse. In der dritten Zeile sieht man den MX-Record. Dieser gibt Auskunft dar\u00fcber, welcher Server f\u00fcr die E-Mails einer Domain zust\u00e4ndig ist. Existiert f\u00fcr die Domain kein A-Record, muss hier eine IP-Adresse angegeben werden. Andernfalls kann man, wie in diesem Beispiel, auch einen Namen verwenden.<\/p>\n In Zeile 4 steht der TXT-Eintrag f\u00fcr das Sender Policy Framework (SPF)[10. Sender Policy Framework (SPF) bei Wikipedia<\/a>] Hier wird festgelegt, welche Server E-Mails f\u00fcr die genannte Domain versenden d\u00fcrfen.<\/p>\n Und in der letzten Tabellenzeile steht der Eintrag, welcher den \u00f6ffentlichen DKIM-Schl\u00fcssel enth\u00e4lt. Der Name des Eintrags wird dabei nach dem Muster <selector> Ein sehr wichtiger Schritt in der DNS Konfiguration fehlt jedoch noch. Es sollte unbedingt noch ein passender PTR-Record konfiguriert werden, welcher ein Reverse-Lookup der IP-Adresse des Servers erlaubt. Fast alle E-Mail-Server versuchen, mit einem Reverse-Lookup die IP-Adresse eines Servers in einen DNS Namen aufzul\u00f6sen. Entspricht der aufgel\u00f6ste Name nicht dem Namen aus dem Forward-Lookup, werden die meisten Mailserver die eingehende E-Mail abweisen. Dies ist eine \u00fcbliche Vorgehensweise, um den Versand von Spam einzud\u00e4mmen. Denn Spam wird oft von gekaperten Maschinen versendet, oder von Servern, wo sich der Spammer nicht die M\u00fche macht, den PTR korrekt zu konfigurieren.<\/p>\n PTR-Eintr\u00e4ge f\u00fcr IPv4 und IPv6<\/p><\/div>\n Der Screenshot zeigt einen Ausschnitt aus dem DNS-Konfigurationstool von Strato. Es zeigt zwei PTR-Eintr\u00e4ge. Jeweils einen f\u00fcr IPv4 und einen f\u00fcr IPv6.<\/p>\n Konsultiert die Hilfe oder den Support eures Anbieters, wenn sich das Men\u00fc mit den entsprechenden Konfigurationsm\u00f6glichkeiten nicht auf Anhieb finden l\u00e4sst.<\/p>\n Angeblich gibt es auch noch Hosting-Provider, die ihren Kunden das Recht vorenthalten, einen PTR-Eintrag zu setzen. In diesem Fall kann man sich entweder damit abfinden, dass es mit dem eigenen E-Mailserver nichts mehr wird, oder man wechselt den Hosting-Provider.<\/p>\n Wir sind nun im letzten Abschnitt von Teil 3 dieser Artikelreihe angelangt. Zum Abschluss kommt die Konfiguration von Sieve, welcher zwei Dinge erledigen soll:<\/p>\n Sieve Filter finden sich an mehreren Stellen. Jeder virtuelle Benutzer kann eigene Filter im virtuellen E-Mail Home-Verzeichnis haben (das ist \/var\/mail\/vmail\/domainname\/Benutzername\/sieve<\/em>). Global definierte Filter befinden sich in \/var\/mail\/vmail\/sieve-before<\/em> und \/var\/mail\/vmail\/sive-after<\/em>. Die Filterregeln in sieve-before<\/em> werden vor den benutzerdefinierten Filtern angewendet, die in sieve-after<\/em> nach diesen.<\/p>\n Ich erstelle einen ersten Filter im Verzeichnis \/var\/mail\/vmail\/sieve-before<\/em>, indem ich die Datei masterfilter.sieve<\/em> erstelle und mit folgendem Inhalt f\u00fclle:<\/p>\n Sieve wendet die Filter sequentiell von oben nach unten an. Es spielt daher eine gro\u00dfe Rolle, an welcher Stelle eine Filterregel erstellt wird.<\/p>\n Der erste Filter wertet das Spam-Scoring aus, welches von SpamAssassin durchgef\u00fchrt und in den Header der E-Mails eingef\u00fcgt wird. Dazu pr\u00fcft der Filter das Feld „X-Spam-Level“ im Header einer E-Mail. Finden sich hier wenigstens zehn „*“, l\u00e4sst Sieve die E-Mail verschwinden. Die Aktion wird in \/var\/log\/mail.log<\/em> protokolliert, doch nirgendwo sonst wird man etwas von dieser E-Mail zu Gesicht bekommen. Die Option Der n\u00e4chste Filter sortiert Twitter-Werbung aus. E-Mails zum Zur\u00fccksetzen des Passworts werden von diesem Filter nicht erfasst, da sie von einer anderen Absenderadresse kommen.<\/p>\n Darunter werden E-Mails abgefangen, die \u00fcber keine g\u00fcltige Message-ID verf\u00fcgen. Dieser Filter nutzt regul\u00e4re Ausdr\u00fccke. In Sieve k\u00f6nnen regul\u00e4re Ausdr\u00fccke verwendet werden, die dem RFC 5228<\/a> entsprechen.[11. IETF RFC 5228<\/a>]<\/p>\n Der letzte Filter funktioniert wie folgt. Er pr\u00fcft, ob ein E-Mail Header entweder ein X-Spam-Level von 5 oder die Markierung „Infected“ enth\u00e4lt und verschiebt sie in den „Junk“-Ordner. E-Mails, die sowohl als Spam klassifiziert sind, als auch einen Virus enthalten, werden in den „Junk“-Ordner verschoben. Nur Mails, die nur einen Virus enthalten, aber nicht als Spam markiert sind, landen im Ordner „Infected“.<\/p>\n Sieve Filter sind extrem komplex. Es w\u00fcrde den Umfang dieser Artikelreihe sprengen, wenn ich versuche, sie allumfassend zu behandeln. Zum tieferen Verst\u00e4ndnis empfehle ich die Quellen 12<\/a>[12. Pigeonhole Sieve examples<\/a>], 13<\/a>[13. Sieve example rules von Tiger technologies<\/a>] und 14<\/a>[14. Sieve.info<\/a>].<\/p>\n Die Datei masterfile.sieve<\/em> wandeln wir in eine Bin\u00e4rdatei um. Dabei wird auch gleich eine Syntax\u00fcberpr\u00fcfung durchgef\u00fchrt.<\/p>\n Wird dieses Kommando als In Teil 4 dieser Artikelreihe werde ich noch darauf eingehen, wie man Sieve-Filter \u00fcber das Webinterface von Roundcube erstellen kann, ohne sich in die Tiefen der RegEx-Syntax einarbeiten zu m\u00fcssen.<\/p>\n Mit dem Ende dieses Artikels ist der Webserver bereits voll einsatzbereit und kann mit einem Mail User Agent genutzt werden. Dies ist ein guter Zeitpunkt, um ein Konto z.B. in Mozilla Thunderbird[15. Ubuntuusers Wiki: Thunderbird Einrichtung<\/a>] einzurichten, um die Konfiguration zu testen. Die folgenden Screenshots zeigen exemplarisch, wie ein Konto in Thunderbird hinzugef\u00fcgt wird.<\/p>\n\n\t\tOpenDKIM<\/h2>\n
sudo<\/code> voran.<\/p>\n:~$ sudo apt-get install opendkim opendkim-tools\r\n<\/pre>\n
mkdir \/etc\/opendkim\r\nchown opendkim:opendkim \/etc\/opendkim\r\n<\/pre>\n
cd \/etc\/opendkim\r\nopendkim-genkey -r -h sha256 -d domainname.tld -s mail\r\n<\/pre>\n
-r<\/code> schr\u00e4nkt man das erstellte Schl\u00fcsselpaar in der Art ein, dass es nur zur Signatur von E-Mails verwendet werden kann. Die Angabe des Hash-Algorithmus sollte selbsterkl\u00e4rend sein. Der Parameter -d<\/code> spezifiziert die Domain und -s<\/code> gibt den Selektor an.[9. opendkim-genkey Manual<\/a>] Das Kommando gibt die beiden Dateien mail.private<\/em> und mail.txt<\/em> aus. Letztere enth\u00e4lt den \u00f6ffentlichen Schl\u00fcssel in Form eines DNS TXT Records. Dies macht es einfach, den ben\u00f6tigten DNS Eintrag auf dem DNS Server hinzuzuf\u00fcgen. Ich komme in K\u00fcrze darauf zur\u00fcck.<\/p>\nmv mail.private mail\r\n<\/pre>\n
domainname.tld domainname.tld:mail:\/etc\/opendkim\/mail\r\n<\/pre>\n
*@domainname.tld domainname.tld\r\n<\/pre>\n
127.0.0.1\r\n::1\r\n<\/pre>\n
chown -R opendkim:opendkim \/etc\/opendkim\r\n<\/pre>\n
## Benutzerspezifische OpenDKIM Konfiguration\r\nCanonicalization relaxed\/relaxed\r\nExternalIgnoreList refile:\/etc\/opendkim\/TrustedHosts\r\nInternalHosts refile:\/etc\/opendkim\/TrustedHosts\r\nKeyTable refile:\/etc\/opendkim\/KeyTable\r\nSigningTable refile:\/etc\/opendkim\/SigningTable\r\nLogWhy Yes\r\nPidFile \/var\/run\/opendkim\/opendkim.pid\r\nSocket local:\/var\/spool\/postfix\/opendkim\/opendkim.sock\r\nSyslogSuccess Yes\r\nTemporaryDirectory \/var\/tmp\r\nUserID opendkim:opendkim\r\n<\/pre>\n
mkdir \/var\/spool\/postfix\/opendkim\r\nchown opendkim:root \/var\/spool\/postfix\/opendkim\r\n<\/pre>\n
service opendkim restart\r\n<\/pre>\n
usermod -G opendkim postfix\r\n<\/pre>\n
Der ewige Kampf gegen den Spam…<\/h2>\n
sudo apt-get install spamass-milter pyzor razor libmail-dkim-perl\r\n<\/pre>\n
spamd<\/code> zur \u00dcberpr\u00fcfung gibt. spamd<\/code> l\u00e4uft im Hintergrund und wartet auf die Mails von Postfix. Dies ist schneller und ressourcenschonender. Denn es muss nicht f\u00fcr jede eintreffende E-Mail ein SpamAssassin Prozess gestartet werden.<\/p>\nspamass-milter<\/code> f\u00fcr jedes Postfach eine eigene AntiSpam-Datenbank an. Ob man dies m\u00f6chte, h\u00e4ngt vom Einsatzzweck des jeweiligen Servers ab. Ich pers\u00f6nlich plane den Server f\u00fcr meine eigenen Domains und meine eigenen Postf\u00e4cher zu nutzen. Daher werde ich es mit einer globalen Konfiguration versuchen, die f\u00fcr alle Postf\u00e4cher gilt.<\/p>\nBenutzerkonten und Konfigurationsdateien<\/h3>\n
spamd<\/code> erzeugt und der Benutzer spamass-milter<\/code> der spamd<\/code> Benutzergruppe hinzugef\u00fcgt werden.<\/p>\naddgroup --system spamd\r\nadduser --system --home \/var\/lib\/spamassassin --ingroup spamd spamd\r\nusermod -a -G spamd spamass-milter\r\n<\/pre>\n
SAHOME=\"\/var\/lib\/spamassassin\"\r\nSAGLOBALCFGPATH=\"\/etc\/spamassassin\"\r\n \r\n# Change to one to enable spamd\r\nENABLED=1\r\n \r\n# Options\r\n# See man spamd for possible options. The -d option is automatically added.\r\nOPTIONS=\"-x --max-children 5 --helper-home-dir ${SAHOME} -u spamd -g spamd --siteconfigpath ${SAGLOBALCFGPATH} --socketpath=\/var\/spool\/postfix\/spamassassin\/spamd.sock --socketowner=spamd --socketgroup=spamd --socketmode=0660\"\r\n \r\n# Pid file\r\n# Where should spamd write its PID to file? If you use the -u or\r\n# --username option above, this needs to be writable by that user.\r\n# Otherwise, the init script will not be able to shut spamd down.\r\nPIDFILE=\"\/var\/run\/spamd.pid\"\r\n \r\n# Cronjob\r\n# Set to anything but 0 to enable the cron job to automatically update\r\n# spamassassin's rules on a nightly basis\r\nCRON=1\r\n<\/pre>\nspamd<\/code> Daemon aktiviert. OPTIONS enth\u00e4lt einen ganzen Blumenstrau\u00df an Parametern. Hier wird festgelegt, dass nur eine Konfigurationsdatei f\u00fcr alle Benutzer verwendet wird. Die UID und GID, unter denen SpamAssassin ausgef\u00fchrt werden soll, werden festgelegt. Der Pfad zur globalen Konfigurationsdatei wird angegeben, usw. usf. Am Ende wird noch das automatische Policyupdate aktiviert. F\u00fcr weitere Erl\u00e4uterungen dieser Datei verweise ich auf die Projektseite[2. Projektseite Apache SpamAssassin<\/a>], welche unter den Quellen verlinkt ist.<\/p>\nmkdir \/var\/spool\/postfix\/spamassassin\r\nchown spamd:root \/var\/spool\/postfix\/spamassassin\/\r\n<\/pre>\n
OPTIONS=\"-u spamass-milter -i 127.0.0.1 -m -I -- --socket=\/var\/spool\/postfix\/spamassassin\/spamd.sock\"\r\n<\/pre>\n
## Add TextCat to assist enable language-based filtering\r\nloadplugin Mail::SpamAssassin::Plugin::TextCat\r\n<\/pre>\n
## Force global Bayesian databases instead of per-user\r\nbayes_path \/var\/lib\/spamassassin\/.spamassassin\/bayes\r\nbayes_file_mode 0777\r\n \r\n## Ensure non-English and non-German e-mails are treated as spam\r\nok_languages en de\r\nok_locales en\r\n \r\n## Set Pyzor and Razor config file paths\r\nrazor_config \/etc\/razor\/razor-agent.conf\r\npyzor_options --homedir \/var\/lib\/spamassassin\/.pyzor\r\n<\/pre>\n
spamassassin --lint\r\n<\/pre>\n
sa-update<\/code> abgerufen. In Zukunft passiert dies automatisch.<\/p>\nsa-update\r\nchown -R spamd:spamd \/var\/lib\/spamassassin\r\n<\/pre>\n
chown spamd:spamd \/var\/lib\/spamassassin\/.spamassassin\r\nservice spamassassin restart\r\nservice spamass-milter restart\r\n<\/pre>\n
Razor2 und Pyzor<\/h3>\n
mkdir \/var\/lib\/spamassassin\/.razor\r\nmkdir \/var\/lib\/spamassassin\/.pyzor\r\n<\/pre>\n
pyzor --homedir \/var\/lib\/spamassassin\/.pyzor discover\r\n<\/pre>\n
razor-admin -home=\/var\/lib\/spamassassin\/.razor -register\r\nrazor-admin -home=\/var\/lib\/spamassassin\/.razor -create\r\nrazor-admin -home=\/var\/lib\/spamassassin\/.razor -discover\r\n<\/pre>\n
razorhome = \/var\/lib\/spamassassin\/.razor\r\n<\/pre>\n
chown -R spamd:spamd \/var\/lib\/spamassassin\r\nservice spamassassin restart\r\nservice spamass-milter restart\r\n<\/pre>\n
Training f\u00fcr SpamAssassin<\/h3>\n
sa-learn<\/code> analysieren.<\/p>\nsa-learn --ham \/path\/to\/your\/inbox\/on\/the\/server --progress\r\n<\/pre>\n
sa-learn --spam \/path\/to\/directory\/of\/spam --progress\r\n<\/pre>\n
ClamAV<\/h2>\n
apt-get install clamav-milter arj bzip2 cabextract cpio file gzip lha lzop nomarch p7zip pax rar rpm unrar unzip zip zoo\r\n<\/pre>\n
MilterSocket \/var\/run\/clamav\/clamav-milter.ctl\r\n...\r\nOnInfected Quarantine \r\n...\r\nLogFacility LOG_LOCAL6\r\n<\/pre>\n
MilterSocket \/var\/spool\/postfix\/clamav\/clamav-milter.ctl\r\n...\r\nOnInfected Accept \r\n...\r\nLogFacility LOG_MAIL\r\n<\/pre>\n
mkdir \/var\/spool\/postfix\/clamav\r\nchown clamav:root \/var\/spool\/postfix\/clamav\/\r\n<\/pre>\n
SOCKET_RWGROUP=postfix\r\n<\/pre>\n
service clamav-daemon restart\r\nservice clamav-milter restart\r\n<\/pre>\n
freshclam,<\/code> um automatisch die Virusdefinitionen zu aktualisieren. Zum Abschluss sollte man sich vergewissern, dass der Updatemechanismus korrekt funktioniert. In der Logdatei \/var\/log\/clamav\/freshclam.log<\/em> sollte in etwa folgende Ausgabe zu finden sein:<\/p>\n--------------------------------------\r\nfreshclam daemon 0.97.8 (OS: linux-gnu, ARCH: x86_64, CPU: x86_64)\r\nClamAV update process started at Sun Mar 16 18:32:49 2014\r\nWARNING: Your ClamAV installation is OUTDATED!\r\nWARNING: Local version: 0.97.8 Recommended version: 0.98.1\r\nDON'T PANIC! Read http:\/\/www.clamav.net\/support\/faq\r\nDownloading main.cvd [100%]\r\nmain.cvd updated (version: 55, sigs: 2424225, f-level: 60, builder: neo)\r\nDownloading daily.cvd [100%]\r\ndaily.cvd updated (version: 18609, sigs: 824724, f-level: 63, builder: neo)\r\nDownloading bytecode.cvd [100%]\r\nbytecode.cvd updated (version: 236, sigs: 43, f-level: 63, builder: dgoddard)\r\nDatabase updated (3248992 signatures) from db.local.clamav.net (IP: 207.57.106.31)\r\n--------------------------------------\r\n<\/pre>\n
milter_default_action = accept\r\nmilter_connect_macros = j {daemon_name} v {if_name} _\r\nnon_smtpd_milters = $smtpd_milters\r\nsmtpd_milters = unix:\/spamass\/spamass.sock unix:\/clamav\/clamav-milter.ctl unix:\/opendkim\/opendkim.sock\r\n<\/pre>\nservice postfix reload\r\n<\/pre>\n
DNS Konfiguration<\/h2>\n
![\"dns](\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2014\/12\/dns.png\")
<\/a>._domainkey.<domainname.tld><\/code> gebildet. Als Wert wird der \u00f6ffentliche Schl\u00fcssel verwendet. Damit kann ein fremder Mailserver die Signatur der E-Mails \u00fcberpr\u00fcfen, die von dem eigenen Mailserver versendet werden.<\/p>\n![\"dns-reverse\"](\"https:\/\/www.my-it-brain.de\/wordpress\/wp-content\/uploads\/2014\/12\/dns-reverse.png\")
<\/a>Mit E-Mail Filtern gegen Spam<\/h2>\n
\n
# cat masterfilter.sieve \r\nrequire [\"envelope\", \"fileinto\", \"imap4flags\", \"regex\"];\r\n \r\n# I don't even want to see spam higher than level 10\r\nif header :contains \"X-Spam-Level\" \"**********\" {\r\n discard;\r\n stop;\r\n}\r\n \r\n# Twitter? Die in a fire.\r\nif anyof (envelope \"From\" \"bounce@tweet.twitter.com\",\r\n envelope :contains \"From\" \"@bounce.twitter.com\") {\r\n discard;\r\n stop;\r\n}\r\n \r\n# Trash messages with improperly formed message IDs\r\nif not header :regex \"message-id\" \".*@.*\\\\.\" {\r\n discard;\r\n stop;\r\n}\r\n \r\n# File low-level spam in spam bucket, and viruses in Infected folder\r\nif anyof (header :contains \"X-Spam-Level\" \"*****\",\r\n header :contains \"X-Virus-Status\" \"Infected\") {\r\n if header :contains \"X-Spam-Level\" \"*****\" {\r\n fileinto \"Junk\";\r\n setflag \"\\\\Seen\";\r\n }\r\n else {\r\n fileinto \"Infected\";\r\n }\r\n}\r\n<\/pre>\nstop<\/code> sorgt daf\u00fcr, dass die \u00fcbrigen Mailfilter nicht mehr ausgewertet werden.<\/p>\nsievec masterfilter.sieve\r\n<\/pre>\n
root<\/code> ausgef\u00fchrt, m\u00fcssen die Besitzrechte wieder korrigiert werden.<\/p>\nchown vmail:vmail *.svbin\r\n<\/pre>\n
Einrichtung eines E-Mail Clients (MUA)<\/h2>\n