Abbildung 1: Drei Tage reichen Sendmail Analyzer für ein Zwischenergebnis bei der Spambekämpfung.
Auf dem ersten Mailserver, den ich für einen großen Nutzerkreis betrieben habe, lief Sendmail 8.7, und es war Hass auf den ersten Blick. Ich hielt den Rosenkrieg bis 8.9.0 durch und wechselte dann zu Postfix. In der Folgezeit geriet mir zusammen mit dem Server auch der Sendmail Analyzer [1] aus dem Radar. Erst eine kleine Nachricht in den Linux-Magazin-News [2] machte mich darauf aufmerksam, dass der Analyzer auch Postfix-Logs sowie Meldungen von Amavisd-new, Clam AV, Spamassassin, Postgrey und weiteren MTA-Anhängseln auszuwerten versteht. Höchste Zeit, das Tool auszuprobieren.
Alles dabei für die Schlacht
Der Analyzer kommt als Tar.gz-Päckchen daher und besteht auf der Gegenwart von Perl und der GD-Bibliotheken. Nach der Installation soll ich einen Cronjob anlegen, der sich um das Caching der Daten kümmert. Der Analyzer selbst lässt sich im Vordergrund oder als Systemdienst starten, die Start-Stopp-Skripte haben die Entwickler freundlicherweise beigelegt. Die Konfiguration nehme ich in der Datei »sendmailanalyzer.conf« vor, Kommandozeilenparameter sind ebenfalls möglich. Die wichtigste Einstellung steht in der Konfigurationsdatei ganz oben:
LOG_FILE /var/log/mail.log
Nur wenig tiefer wartet der Schalter für den Debug-Modus. Während der Testphase aktiviere ich ihn:
DEBUG 1
Aber wirklich nur dann, denn er redet wie ein Maschinengewehr. Wer wie ich ausschließlich Postfix benutzt, beschneidet am besten den »MTA_NAME« -Parameter der Aufgabenstellung entsprechend:
MTA_NAME postfix
Sendmail Analyzer benutzt diesen Parameter als Suchbegriff beim Durchforsten der Logdateien, und ich will ihm seine Aufgabe nicht schwerer machen als nötig – an guten Spamtagen landet in meinen Spamfilter-Logs eine sieben- bis achtstellige Anzahl von Einträgen. Aus dem gleichen Grund kürze ich die »SPAM_TOOLS« -Zeile auf die Antispam-Tools, die ich tatsächlich einsetze:
SPAM_TOOLS dnsbl,amavis,spamd
Der Analyzer präsentiert seine Ergebnisse in HTML und benötigt dafür einen Webserver. Ein Konfigurationsmuster für den Apache liefert Sendmail Analyzer mit, ich muss es in der Regel leicht anpassen.
Tabellen und Diagramme
Auf meinem Test-Spamfilter, der mit zirka 50 Spam-Mails pro Minute recht gering belastet ist, sah die Präsentation der Ergebnisse aus wie in Abbildung 1. Der Analyzer stellt die Ergebnisse tabellarisch und als Balkengrafiken dar. Die Wirksamkeit einzelner Antispam-Maßnahmen lässt sich schnell erkennen, obendrauf gibt’s noch diverse Top-25-Listen (häufige Spamziele, häufige Quellen und so weiter). Neben den Resultaten ist das Wichtigste für mich, dass Sendmail Analyzer seine Arbeit macht, ohne das System dabei merklich zu belasten – die Spamfilter selbst haben genug zu tun.
Abbildung 1: Drei Tage reichen Sendmail Analyzer für ein Zwischenergebnis bei der Spambekämpfung.
Infos
- Sendmail Analyzer: http://sareport.darold.net
- M. Feilner, “Sendmail Analyzer 8.6 verbessert Postfix- und Dovecot-Support”: https://www.linux-magazin.de/NEWS/Sendmail-Analyzer-8.6-verbessert-Postfix-und-Dovecot-Support
Der Autor
Charly Kühnast administriert Unix-Systeme im Rechenzentrum Niederrhein. Zu seinen Aufgaben gehören Sicherheit und Verfügbarkeit der Firewalls und der DMZ.
