Lösung 1: Amavis allein zu Haus

Die einfachste und zugleich unflexibelste Möglichkeit zur Spam- und Virenbekämpfung ist die ausschließliche Verwendung von Amavis (Abbildung 1). Das Interface bindet Spamassassin, dessen Plugins und ein Antivirenprogramm automatisch ein. Die Optionen dafür sind vielfältig. Ohne die Variable » funktioniert fast nichts – die belegen Sie zuerst. Zur Fehlersuche und Logauswertung passen Sie » und » auf geeignete Werte an.

Dann überlegen Sie, was mit Spam- und Virenmails passieren soll, und definieren » und » entsprechend. Möglich sind »D_PASS«, »D_DISCARD«, »D_BOUNCE>« und »D_REJECT«, verantwortungsbewusste Admins verzichten wegen der gefälschten Absenderadressen auf »D_BOUNCE« und »D_REJECT«.

Spamassassin steuern Sie bei dieser Lösung über die »*«-Parameter, die weitgehend selbsterklärend sind. Um jede Mail mit einem X-Spam-Header zu kennzeichnen, setzen Sie » = -999«. Damit die Benutzer Spam sofort am E-Mail-Betreff erkennen, ist ein aussagekräftiges » sinnvoll. Zur Verbesserung der Erkennungsrate soll Amavis auch externe Quellen (Blacklists, DCC, Razor, Pyzor) heranziehen. Dies passiert mit Setzen der Option » = 0«.

Für », der für die Markierung als Spam/Nicht-Spam sorgt, hat sich ein Wert zwischen »2« und »2.5« als sinnvoll erwiesen. Treten False Positives auf, müssen Sie ihn vorsichtig nach oben korrigieren. Über die Option » können Sie steuern, ab welcher Größe Amavis E-Mails nicht mehr auf Spam überprüft – große Mails sind selten Spam.

Die Option » stellt die Sekunden ein, die Amavis auf Spamassassin wartet, bevor es E-Mails weiterreicht. Die White- und Blacklisten sowie die Empfänger, die keine Spam-Überprüfung (») wünschen, sind flexibel konfigurierbar. Whitelisten bleiben gleichwohl wegen der gefälschten Absenderadressen problematisch.

Scanner-Kaskade

Die Lösung 1 kann auch auf Viren prüfen, sogar mit mehreren Virenscannern parallel. (Der Autor hat das mit Clam-AV und McAfee erfolgreich getestet.) Hat ein Virenscanner einen Virus entdeckt, wäre es Ressourcenverschwendung, die Mail auch noch dem anderen zu verfüttern. Der Parameter » = 1« verhindert genau dies.

Möglich wäre es, den Absender der verseuchten Mail mit » = 1« zu warnen. Dieser Service hat aber wenig Sinn, da sorglose Zeitgenossen solche Mails für Spam halten oder sie durch gefälschte Absender sowieso den Falschen treffen. Wer virenverseuchte E-Mails nicht automatisch löschen will, kann mit » ein Quarantäne-Verzeichnis bestimmen und muss dafür genug Festplattenplatz einplanen.

Das Scannen auf Viren kann sich für den Mailserver schnell zu einem Ressourcenproblem auswachsen und damit zu einem Denial of Service führen. Insbesondere Mailbomben blasen sich beim Entpacken vor dem eigentlichen Scanvorgang so gewaltig auf, dass Arbeitsspeicher und Swapspace ausgehen. Dem wirkt der »-Parameter entgegen, der die Packtiefe mehrfach komprimierter Dateien begrenzt. Ist sie erreicht, bricht Amavis sein Vorhaben ab. Die Option » limitiert die Dateianzahl pro Mail.

Die »*«-Parameter bestimmen Byte-genau wie viel Speicherplatz der Dekomprimierungsvorgang verwenden darf. Überschreitet eine E-Mail eines der drei gesetzten Limits, markiert Amavisd-new ab der Version 20030616-p8 den Betreff mit »***UNCHECKED***«. Solche E-Mails sollten Sie ausfiltern, da sich in ihnen wahrscheinlich Viren versteckt halten.

Lösung 2: Amavis geht mit Maia

Die Lösung 1 ist einfach zu konfigurieren, lässt aber wenig Spielraum für Benutzer-individuelle Einstellungen. Besser verhält sich ein um Maia Mailguard [16] erweiterter Amavisd, entsprechend dem Schema in Abbildung 2. Maia ist ein einfach zu bedienendes, mehrsprachiges Webfrontend, dass auf PHP und Perl aufbaut. Es verwendet einen gepatchten Amavisd-new, der die Einstellungen für jeden einzelnen Benutzer in einer MySQL- oder PostgreSQL-Datenbank speichert. Die Installation ist umfangreich, aber problemlos. Hinweise dazu gibt der Kasten “Maia installieren”.