Vor einem Jahr habe ich hier über Spamassassins Auffrischfunktion SA-Update geschrieben [1]. Sie hält die Regeln, die Spamassassin [2] mitbringt, auf dem neuesten Stand und ist zudem in der Lage, Regeln aus Drittquellen zu aktualisieren. Gerade von diesen profitiert die Erkennungsrate meiner Spamfilter sehr. Aktuell benutze ich die Quellen aus Listing 1; Zeile 1 ist für das Default-Regelwerk zuständig.
| Inhalt |
|---|
| 76 KVM reicht PCI-Devices durch Die schlanke und schnelle KVM stellt seinen Gästen nun auch physische PCI-Hardware bereit.
82 Hotel-WLAN durchtunneln Vielreisender Tobias Eggendorfer war es eines Abends langweilig. 86 I-SCSI Grundlagen und praktischer Einsatz von Remote-Storage. 92 Shinken-Klopfen Ein neuer Nagios-Fork arbeitet mit vielversprechende Features. |
| Listing 1: Zusätzliche Quellen |
|---|
01 updates.spamassassin.org 02 saupdates.openprotect.com 03 70_sare_stocks.cf.sare.sa-update.dostech.net 04 70_sare_adult.cf.sare.sa-update.dostech.net 05 70_sare_spoof.cf.sare.sa-update.dostech.net 06 70_sare_bayes_poison_nxm.cf.sare.sa-update.dostech.net 07 70_sare_genlsubj_x30.cf.sare.sa-update.dostech.net 08 70_sare_oem.cf.sare.sa-update.dostech.net 09 70_sare_random.cf.sare.sa-update.dostech.net 10 70_sare_specific.cf.sare.sa-update.dostech.net 11 70_zmi_german.cf.zmi.sa-update.dostech.net 12 88_FVGT_Bayes_Poison.cf.sare.sa-update.dostech.net 13 88_FVGT_Tripwire.cf.sare.sa-update.dostech.net 14 88_FVGT_rawbody.cf.sare.sa-update.dostech.net 15 88_FVGT_subject.cf.sare.sa-update.dostech.net 16 chickenpox.cf.sare.sa-update.dostech.net |
Das Entwicklungsteam geht jetzt den nächsten logischen Schritt und liefert Spamassassin 3.3.0 “nackt” ohne Regelwerk aus. Nach der Erstinstallation muss ich »sa-update« aufrufen, alternativ verteilt der Distributionshersteller die Regeln selber als laufend aktualisiertes Paket. Oder man steckt »sa-update« in einen Cronjob. Das zwingt jeden faulen Spamassassin-Nutzer zu seinem Glück, genauer: zu aktuellen Regeln.
Das neue SA-Update gebärdet sich konservativ, lediglich der »–verbose«-Schalter ist neu (siehe Abbildung 1). Dass die neue Version 3.3.0 das bisherige Domainkeys-Plugin gegen das neue Mail::DKIM tauscht, fand ich anfangs genauso unspannend – zu Unrecht. Denn Mail::DKIM unterstützt die Author Domain Signing Practices (ADSP). Hinter dem sperrigen Begriff lauert eine potenziell scharfe Waffe gegen Phishing. DKIM lässt den Empfänger einer Mail relativ einfach erkennen, ob der Absender der ist, für den er sich ausgibt.
Abbildung 1: der »–verbode«-Parameter ist neu, ansonsten fühlt sich Spamassassin 3.3.0 im ersten Moment sehr vertraut an.
Fälschung oder Original?
Was aber, wenn von derselben Domain eine Mail kommt, die nicht signiert ist? Muss sie automatisch als gefälscht gelten? Eher nicht, denn der Absender kann ja unterwegs sein (Road Warrior) und gezwungenermaßen ein anderes, DKIM-loses Mailgateway nutzen. Mit der DKIM-Erweiterung ADSP dürfen direkt im zuständigen DNS-Record Hinweise auf das Signaturverhalten – deshalb “Signing Practices” – hinterlegt sein. Steht dort beispielsweise das Schlüsselwort »discardable«, so bedeutet dies in natürlicher Sprache: Lieber Empfänger, wir signieren sämtliche ausgehenden Mails. Hast Du eine unsignierte bekommen, raten wir Dir, sie wegzuwerfen.
Wenn sich ADSP bei Phishing-anfälligen Absendern wie Banken oder Onlineshops durchsetzt, brechen für Phisher richtig harte Zeiten an. Endlich! (jk)
| Infos |
|---|
| [1] Charly Kühnast, “Frische Instruktionen”, Linux-Magazin 02/09, S. 53
[2] Spamassassin: [http://spamassassin.apache.org] |
| Der Autor |
|---|
| Charly Kühnast administriert Unix-Systeme im Rechenzentrum Niederrhein in Kamp-Lintfort. Zu seinen Aufgaben gehören die Sicherheit und Verfügbarkeit der Firewalls und der DMZ. Im heißen Teil seiner Freizeit frönt er dem Kochen, im feuchten Teil der Süßwasseraquaristik und im östlichen lernt er Japanisch.
|
