Einbindung spamd in sendmail?

[HaraldLangner]

Hallo,
ich habe in dem Buch "Building a Server with FreeBSD 7" folgende Anleitung für SpamAssassin gefunden, die ich gerade durchgehe, aber ich habe ein Problem damit.
Ich gebe hier erst mal die komplette Konfigurationsanleitung - vieleicht kann es ja auch ein Anderer gebrauchen.

28.6. CONFIGURE
Once the installation process completes, it is time to configure SpamAssassin for 
use on your system.

1) Set up two community-based email fingerprinting tests, Vipul's Razor and DCC. 
These spam identification systems vary slightly, but both rely on community input 
to keep their databases current as spam evolves. Vipul's Razor and DCC employ 
a web-of-trust scheme to give more weight to clients that accurately report spam.

To set up Vipul's Razor reporting capabilities, create the default configuration
file and directory structure and register an identity with the 
Razor Nomination Servers as follows 
(substitute your domain name for example.com):

# razor-admin -home=/var/spool/spamd/.razor -create
# razor-admin -home=/var/spool/spamd/.razor\
? -register -user=postmaster@example.com
# chown -R spamd /var/spool/spamd/.razor


2) Create SpamAssassin's primary configuration file, local.cf:

# cd /usr/local/etc/mail/spamassassin
# ee local.cf


3) Add the following lines 
(replace the italicized items with values that match your network):

trusted_networks 192.168.1. 209.85.146.176/29 204.13.250.97
internal_networks 192.168.1.11 204.13.250.97
bayes_file_mode 0770
dns_available yes
razor_config /var/spool/spamd/.razor/razor-agent.conf
add_header all DCC _DCCB_ _DCCR_
add_header ham SCL 1
add_header spam SCL 9

[I]trusted_networks[/I] specifies an IP or range of IPs for systems that don't 
relay spam. In other words, you are confident that these computers aren't 
compromised and the people using them aren't spammers. 
In the example above you are vouching for your internal network of 
192.168.1.xxx, 209.85.146.176-182 (Gmail's outbound mail servers), 
and 204.13.250.97 (this could be the backup mail server/exchanger 
for your domain). These IPs will be exempt from DNS blacklist checks.

[I]internal_networks [/I]specifies an IP or range of IPs for systems that handle 
mail for your domain. In general, you should specify your domain's 
mail servers/exchangers here. In the example above we are saying 
that 192.168.1.11 and 204.13.250.97 handle mail delivery for our domain. 
All values of internal_networks must also be present 
in the trusted_networks statement.

4) Save, exit, and test for configuration file syntax errors:

# spamassassin --lint

If your configuration file parsed successfully, no message will be displayed.

--------------------------------------------------------------------------------
  Note: For further information on the local.cf file, enter:
--------------------------------------------------------------------------------
# perldoc Mail::SpamAssassin::Conf


5) Create a short script to be called by Postfix when new email arrives. 
This script  will send the email to SpamAssassin for analysis 
and then redirect the result back into the mail system for delivery. 
Create the script:

# cd /usr/local/bin
# touch spamd.sh
# chmod 555 spamd.sh
# ee spamd.sh

and add these lines:

#! /bin/sh
/usr/local/bin/spamc | /usr/sbin/sendmail -i "$@"


6) Configure Postfix to pipe new email messages through the script you just 
created. First, open the Postfix configuration file, master.cf:

# ee /usr/local/etc/postfix/master.cf


7) Scroll down and find the smtp declaration (~9). 
Create a new line under the smtp declaration and add a content_filter statement.
The smtp declaration should look like this:

smtp      inet  n       -       n       -       -       smtpd
  -o content_filter=spamd:

--------------------------------------------------------------------------------
Note: Be sure to leave at least one space at the beginning of the second line 
as shown or Postfix will not parse the file correctly.
--------------------------------------------------------------------------------

8) Add a spamd declaration to tell Postfix to call on the spamd.sh script so 
SpamAssassin can process the message. Scroll to the bottom of 
master.cf and add these two lines:

spamd      unix    -       n       n       -       -       pipe
  flags=Rq user=spamd argv=/usr/local/bin/spamd.sh
  -f ${sender} -- ${recipient}

--------------------------------------------------------------------------------
Note: Again, be sure to leave at least one space at the beginning of the second 
and third lines so Postfix will parse the file correctly.
--------------------------------------------------------------------------------

9) Save, exit, and reload the Postfix configuration files:

# postfix reload

Ab Punkt (6) "Configure Postfix to pipe new email messages through the script..." habe ich ein Problem.
Ich habe nämlich nicht postfix sondern Ich nutze sendmail. Also einfache Frage:
Wie mache ich das ab Punkt 6 (siehe oben) mit sendmail? Mit FUTURE(???) in der .mc - Datei vielleicht?

Für Eure Tipps, oder Links wo es steht wie es geht
vielen Dank! - Harald

 

[waki87]

Im Allgemeinen richtet man einen Spamfilter für sendmail eher mithilfe von procmail ein als mit einem Shellskript.
http://www.puresimplicity.net/~hemi/freebsd/procmail.html
Procmail liefert Mail dan lokal aus und kann konfiguriert werden, Mail vorher durch ein anderes Programm (z.B. spamc) zu pipen:
http://sharkysoft.com/tutorials/linuxtips/spam/
Das Schöne daran ist auch, daß jeder Nutzer mithilfe der .procmailrc eigene Regeln definieren kann.

 

[HaraldLangner]

Hallo,
also eingentlich will ich folgendes machen

Maildir format for mail storage
SMTP-AUTH relay over TLS or SSL.
User configurable filters. We can use procmail for this.
Milter support for SpamAssassin and clamav scanners.
IMAP and POP3 access over TLS or SSL.

dabei habe ich einige Möglichkeiten erörtert/gegoogelt

Possibilities I have found over the internet:
-running sendmail with cyrus-sasl-saslauthd and uw-imapd (without maildir)
-for IMAP and POP3 access, use courier-imap (it's much much easier to setup than cyrus)
-Dovecot for IMAP(s)/POP(s).
-Sendmail + Spamassassin + Milter + Dovecot(= Deliver (virtual domains), Maildir, Sieve, TLS)
IMAP + ClamAV.. see most in http://www.hart.co.jp/spam/sa-clamav-e.html
Amavisd-new (= SpamAssassin, Clamav)

-As a mail (web)frontend I would recommend squirrelmail together with cyrus-imapd (FreeBSD Developer)
-for your webmail client I strongly recommend http://atmail.com/ (a Groupware solution)

Ich bin mir aber noch nicht ganz schlüssig was das Beste wäre. Ich will auf jeden Fall sendmail einsetzen, weil ich damit schon Erfahrung habe (postfix wäre ein neues Kapitel...) ja und eingentlich alles was ich anfangs erwähnt habe. Ich bin mir aber noch nicht schlüssig mit was, zB. wie IMAP. Und SpamAssassin, Clamav sollen auch drinn sein am liebsten mit Überrüfung ob die Domain der gesendeten eMail exestiert. Und am besten nur POP3 und IMAP über SSL (sasl ist schon installiert) und SquirrelMail würde ich gerne mal ausprobieren.
Der Webserver ist schon installiert.
Was würdest Du vorschlagen und warum?
Gruß Harald

 

[waki87]

Zunächst einmal würde ich von Cyrus abraten. Dovecot ist wesentlich einfacher zu konfigurieren. Zum DNS-Black-/Greylisting würde ich OpenBSDs spamd (mail/spamd) nehmen. Den schaltest du vor deinen sendmail, um die Versender von Spam in einem sog. Tarpit festzuhalten. Eine ziemlich gute Anleitung gibt’s hier: http://home.nuug.no/~peter/pf/en/spamd.html
Sendmail läßt du dann die Mails lokal an procmail übergeben, pipest sie in /etc/procmailrc durch SpamAssassin und ClamAV und läßt sie dann über eine .procmailrc in Home-Verzeichnis der Benutzer in den jeweiligen Unterordner (spam/Viren/Inbox z.B.) ausliefern, am besten mit dem deliver-Programm von Dovecot. Dovecot konfigurierst du dann so, nur IMAPS und POPS zuzulassen (wer will schon Paßwörter im Klartext durchs Netz schicken). SquirrelMail muß dann einfach nur die Mails aus ~/mail oder ~/Mail (je nachdem, wie du Dovecot konfiguriert hast) abgreifen. Auch das Webinterface von SquirrelMail würde ich nur über HTTPS zulassen (mod_rewrite ist da beim Apachen nützlich).

Das Versenden von Mails ist natürlich noch mal ein ganz anderes Kapitel…

 

[HaraldLangner]

Erst mal vielen Dank - ich muss das jetzt erst mal recherchieren.

In dem Buch (siehe Anhang Building a Server.jpg) wird CourierIMAP empfohlen - ich dachte ich nehme die Reihenfolge des Buches, nur anstatt postfix halt sendmail. Was hältst Du davon?
Cyrus Sasl ist schon installiert (Authentifizierung mit Cyrus SASL Zitat:"Cyrus SASL agiert nicht für sich selbst, sondern es wird in Applikationen verbindungsorientierter
Protokolle (z.B. SMTP, FTP, POP3, IMAP, LDAP) eingebettet.") Und ich denke da geht es um Protokoll-Schutz und nicht um POP und IMAP Server wie bei Dovecote. Kann Dovecote zusammen mit Cyrus Sasl? Ich kenne Dovecote noch nicht.

Ich habe inzwischen was entdeckt:

INPUT_MAIL_FILTER(`spamassassin',`S=local:/var/run/spamass-milter.sock, F=, T=C:15m;S:4m;R:4m;E:10m')dnl
INPUT_MAIL_FILTER(`clmilter', `S=local:/var/run/clamav/clmilter.sock, F=, T=S:4m;R:4m')dnl
define(`confINPUT_MAIL_FILTERS', `clmilter,spamassassin')dnl

procmail ist sicher die vielfälltigere Lösung was mehrere User angeht aber der Server wird nur von mir benutzt werden. Daher die Frage was gibt die bessere Performance (bei nur 512MB RAM) wenn ich spamassassin' in sendmail integriere oder wenn ich es wie von Dir beschreiben über procmail aufrufen?

Dann noch die Frage: CourierIMAP oder Dovcote? Warum wieso?

Und die Frage:

Zum DNS-Black-/Greylisting würde ich OpenBSDs spamd (mail/spamd) nehmen.

Verstehe ich nicht "spamd" heist doch der Damon von SpamAssassin - meintest Du etwas anderes?

 

[HaraldLangner]

Hallo - noch eine Alternative
Was denkt Ihr über dbmail als Alternative zu Dovecot (Imap + Pop3 Server = MDA)?
http://www.dbmail.org
http://www.dbmail.org/dokuwiki/doku.php/bigpicture

 

[j_t]

sendmail, cyrus-imapd und SA mit spamass-milter sind eine sehr gute Kombination.
Dazu koennen natuerlich dann noch weitere Milter eingebaut werden, z.B. fuer ein Greylisting. Damit werden unerwuenschte Emails bereits bei der Kontaktaufnahme abgelehnt.

 

[HaraldLangner]

Hallo,
danke für Eure antworten - aber genau das ist mein Problem:

waki87 schreibt "Zunächst einmal würde ich von Cyrus abraten."

j_t schreibt: "sendmail, cyrus-imapd ...sind eine sehr gute Kombination."

Ja, was denn nun?

Oder für welche Situation rät man davon ab, für welche Situation ist es ratsam Cyrus Imap zu verwenden?

Für eine Klärung der Sache vielen Dank!

 

[mapet]

die frag ob cyrus oder dovecot ist fast schon religiöser natur. dovecot skaliert in vielen tests besser als cyrus und ist auch nicht so anfällig, was seine index-dateien angeht. cyrus ist dafür schon was länger da und kann auch von hause aus HA. aber in 1-server umgebungen ist dovecot fast immer schneller und einfacher zu konifgurieren.

das problem ist hier auch, dass du bei 4 verschiedenen leuten 5 meinungen zu hören bekommst . ich würde zu dovecot raten.

 

[j_t]

Es geht in diese Richtung: Wenn du weisst, was du tust, lesen kannst und dich in eine Software einarbeiten willst, ist der Cyrus-Imapd eine sehr gute Wahl. Das Ding funktioniert einfach.
Allen anderen mag eine anderer Imapserver besser gefallen. Man hat also die frei Wahl.

Und bei lediglich 512MB RAM lasse ich die Performance als Argument mal ueberhaupt nicht gelten.

 

[HaraldLangner]

Nochmals Danke - da die Entscheidung doch von den "Vorlieben" des Einzelnen abzuhängen scheint,
muss ich mir die Unterschiede genauer anschauen und dann entscheiden was besser für meinen Fall passt.

Ich habe hierfür einen Test gefunden, den ich mir erst mal durchlese:
http://www.linux-magazin.de/Heft-Abo/Ausgaben/2007/06/Auf-der-Teststrecke "UW IMAP, Courier, Cyrus und Dovecot im direkten Vergleich (2007)"

Ergänzung:
Ich habe noch einen guten Vergleich gefunden (PDF-Datei wegen Copyright will ich es hier nicht anhängen)
"Courier, Dovecot & Cyrus: Drei IMAP-Server im Vergleich"
Es ist unter http://www.heinlein-support.de/upload/unsere_vortraege/HS_Courier-Cyrus-Dovecot.pdf (google: dovecot heinlein pdf)
von der Akademie "Heinlein" veröffentlicht.

Ich tendiere inzwischen immer mehr zu Dovegot und denke, ich werde das nehmen..

 

[Yamagi]

Von Courier würde ich aus heutiger Sicht abraten. Wenn man da ist, ist man praktisch gefangen, denn eine ein funktionierende(!) Konvertierung auf einen anderen IMAP-Server ist sehr kompliziert und fummelig. Ansonsten ist er langsam, unberechenbar in seinem Verhalten, zickt gern im Zusammenspiel mit SSL rum und nicht zuletzt ist er nicht wirklich standardkonform. Eine klassische Legacy-Software, die vor allem von Säcken wie mir genutzt wird, denen eine Konvertierung zu aufwändig ist.

 

[Columbo0815]

Ich kann nichts negatives zu Courier sagen. Im Gegenteil. Er funktioniert. Ich bin aktuell (ok.. eigentlich schon seit Ewigkeiten) dran umzusteigen auf dovecot (jetzt dovecot2) aber ich war bislang zu faul über das testen hinaus umzustellen. Der Umstieg auf dovecot ist eigentlich nur geplant, da man in vielen Tests liest, dass er schneller sein soll.

Eine Konvertierung entfällt bei mir, da ich einfach die Mails per Imap auf den neuen Server hochschiebe. Zumindest habe ich das bei allen Tests bislang so gemacht. Klappt gut.

Es war sogar so, dass anfänglich dovecot ständig wegen "defekter Mails" abgeraucht ist, während courier das gar nicht gekümmert hat. Aktuell scheint das mit dovecot behoben.

Zum Thema Standardkonform weiß ich nicht (mangels Kenntnisse) was ich glauben soll. Courier schreibt hierzu selbst: http://www.courier-mta.org/fud/

HTH