(christian.)samsel.name » Rootserver

spam. revisited

Christian — Fri, 15 Feb 2008 20:01:44 +0000

cd /var/amavis/quarantine
rm spam-*
/bin/rm: Argument list too long.

Huch?

ls | wc -l
128926

Ui.

time nice -n 19 find /var/amavis/quarantine/ -name "spam-*.gz" | xargs zcat >> /var/spam-mbox-2006-2007
 
real    23m50.562s
user    0m17.353s
sys     0m15.173s
 
ls -lah /var/spam-mbox
-rw-r--r-- 1 root root 627M Feb 15 20:18 /var/spam-mbox-2006-2007
 
ls /var/amavis/quarantine/spam-* | xargs rm -rf

Tschö.

Also wenn mal jemand was Futter für sa-learn braucht…

Geschützt: E-Technik für RZ-Betreiber

Christian — Wed, 17 Oct 2007 12:19:42 +0000

p0f für amavisd-new unter Gentoo (Teil 2)

Christian — Fri, 05 Oct 2007 10:33:59 +0000

So. Nach ein paar Tagen wollte ich dann auch mal den Erfolg von P0F überprüfen. Dazu habe ich logwatch benutzt. Mit folgendem Befehl bekommt man z.B. eine schöne Übersicht über amavisd-new:

emerge -u logwatch
logwatch.pl --detail High --service amavis --range '-3 days'

Interessant ist in diesem Fall die Auflistung der Regeln, hier mal die P0F Regeln ausgeschnitten:

 Rank     Hits    % Msgs   % Spam    % Ham     Rule
 ----     ----    ------   ------    -----     ----
    7      508    88.81%   123.90%   8.64%     L_P0F_OS_WINDOWS_OTHER
   16      196    34.27%   47.80%   35.80%     L_P0F_OS_UNKOWN
   22      104    18.18%   25.37%    0.00%     L_P0F_OS_WINDOWSXP
   27       84    14.69%   20.49%   11.11%     L_P0F_D_7_9
   96       12     2.10%    2.93%   19.75%     L_P0F_OS_LINUX
  138        4     0.70%    0.98%   12.35%     L_P0F_D_5_6

Nach diesen Zahlen habe ich die Regeln wie folgt angepasst:

header L_P0F_OS_WINDOWSXP   X-Amavis-OS-Fingerprint =~ /^Windows XP/
score  L_P0F_OS_WINDOWSXP   3.5
header L_P0F_OS_WINDOWS_OTHER X-Amavis-OS-Fingerprint =~ /^Windows(?! XP)/
score  L_P0F_OS_WINDOWS_OTHER 2.5
header L_P0F_OS_UNKOWN  X-Amavis-OS-Fingerprint =~ /^UNKNOWN/
score  L_P0F_OS_UNKOWN  0.2
header L_P0F_OS_LINUX  X-Amavis-OS-Fingerprint =~ /^Linux/
score  L_P0F_OS_LINUX  -0.5
header L_P0F_OS_UNIX  X-Amavis-OS-Fingerprint =~ /^((Free|Open|Net)BSD)|Solaris|HP-UX|Tru64/
score  L_P0F_OS_UNIX  -1.0
 
header L_P0F_D_1_4 X-Amavis-OS-Fingerprint =~ /\bdistance [1-4](?![0-9])/
header L_P0F_D_5_7 X-Amavis-OS-Fingerprint =~ /\bdistance [5-7](?![0-9])/
header L_P0F_D_8_10 X-Amavis-OS-Fingerprint =~ /\bdistance (8|9|10)(?![0-9])/
header L_P0F_D_10_20 X-Amavis-OS-Fingerprint =~ /\bdistance (10|11|12|13|14|15|16|17|18|19|20)/
 
score  L_P0F_D_1_4 -0.7
score  L_P0F_D_5_7 -0.5
score  L_P0F_D_8_10 0.3
score  L_P0F_D_10_20 0.5

Ich habe die Scores angepasst und auch die Distance Intervalle. [5-6] und [7-9] war wohl nicht optimal gewählt. Eigentlich müsste man die Windowsversionen genauer unterscheiden. Leider ist das anhand des P0F outputs kaum möglich.

p0f für amavisd-new unter Gentoo

Christian — Sun, 30 Sep 2007 23:05:46 +0000

p0f ist ein Programm das passiv bei einer TCP-Verbindung das Betriebsystem des anderen Rechners erkennt. Es besteht offensichtlich ein Zusammenhang zwischen Betriebsystem des Rechners der eMails einliefert und der Spamwahrscheinlichkeit. amavisd-new kann sich dies mit Hilfe von p0f zu nutze machen.
Hier eine Anleitung zur Einrichtung unter Gentoo. Ich geh davon aus, dass amavisd-new bereits komplett eingerichtet ist.

Erstmal braucht man die aktuelleste amavisd-new Version und p0f (stable reicht):

echo "mail-filter/amavisd-new ~x86" >> /etc/portage/package.keywords
emerge -u net-analyzer/p0f  mail-filter/amavisd-new

Sobald beides installiert ist, startet man p0f-analyzer:

p0f -l 'tcp dst port 25' 2>&1 | p0f-analyzer.pl 2345 &

Jetzt muss p0f in der /etc/amavisd.conf aktiviert werden, dazu folgende Zeile auskommentieren (Zeile ~115):

$os_fingerprint_method = 'p0f:127.0.0.1:2345';  # query p0f-analyzer.pl

Jetzt fehlt nur noch ein Regelsatz für SpamAssassin. Einfach eine Datei /etc/spamasassin/p0f.cf mit folgendem Inhalt erstellen und bei Bedarf anpassen:

header L_P0F_OS_WINDOWSXP   X-Amavis-OS-Fingerprint =~ /^Windows XP/
score  L_P0F_OS_WINDOWSXP   3.5
header L_P0F_OS_WINDOWS_OTHER X-Amavis-OS-Fingerprint =~ /^Windows(?! XP)/
score  L_P0F_OS_WINDOWS_OTHER 1.7
header L_P0F_OS_UNKOWN  X-Amavis-OS-Fingerprint =~ /^UNKNOWN/
score  L_P0F_OS_UNKOWN  0.8
header L_P0F_OS_LINUX  X-Amavis-OS-Fingerprint =~ /^Linux/
score  L_P0F_OS_LINUX  -0.3
header L_P0F_OS_UNIX  X-Amavis-OS-Fingerprint =~ /^((Free|Open|Net)BSD)|Solaris|HP-UX|Tru64/
score  L_P0F_OS_UNIX  -1.0
 
header L_P0F_D_1_4 X-Amavis-OS-Fingerprint =~ /\bdistance [1-4](?![0-9])/
header L_P0F_D_5_6 X-Amavis-OS-Fingerprint =~ /\bdistance [5-6](?![0-9])/
header L_P0F_D_7_9 X-Amavis-OS-Fingerprint =~ /\bdistance [7-9](?![0-9])/
header L_P0F_D_15_25 X-Amavis-OS-Fingerprint =~ /\bdistance [15-25](?![0-9])/
 
score  L_P0F_D_1_4 -0.7
score  L_P0F_D_5_6 -0.5
score  L_P0F_D_7_9 -0.3
score  L_P0F_D_15_25 0.3

Der erste Block vergibt Punkte anhand des Betriebsystems, der zweite Block anhand der “Entfernung” sprich der Hops zum einliefernden Host.

Quelle:http://mail-archives.apache.org/m….Mark.Martinec+sa@ijs.si%3E
Weitere Infos: http://lcamtuf.coredump.cx/p0f.shtml, http://www.ijs.si/software/amavisd/

Horde Absenderadressen aus Confixx auslesen

Christian — Sun, 23 Sep 2007 15:15:19 +0000

Der Horde Framework bzw. Horde/IMP ist ein sehr mächtiger Webmailer. Standardmäßig können Benutzer in den persönlichen Einstellungen eine beliebige Absenderadressen für ihre eMails einstellen. Das ist in einer Shared-Hosting Umgebung natürlich nicht sinnvoll. Jedoch kann man bei Horde für fast alle Einstellungen und Optionen sogenannte Hooks einstellen die die entsprechenden Felder ausfüllen. In diesem Fall soll die Absenderadresse aus der Confixxdatenbank anhand des POP3/IMAP Kontos gehohlt werden.
Eine funktionsfähige Horde/IMP Installation setzte ich mal Vorraus. Die Anleitung bezieht sich auf Horde 3.1.4 und IMP 4.1.4.

Zuerst wird folgende Funktion in die Datei horde/hooks.php eingefügt:

if (!function_exists('_prefs_hook_from_addr')) {
     function _prefs_hook_from_addr($user = null) {
     // Confixx Datenbank Passwort ändern
     $dbserver = 'localhost'; $dbuser = 'confixx'; $passw = 'ABCDE';
     $link = mysql_connect($dbserver,$dbuser,$passw);
     mysql_select_db('confixx');
     $query_from = "SELECT prefix,domain FROM email_forward INNER JOIN email on email_forward.email_ident = email.ident WHERE `pop3` = '".$user."'";
     $row = mysql_fetch_array(mysql_query($query_from));
 
     if ($row[0] == "*") {$from_email = "catchall@".$row[1];}
     else {$from_email = $row[0]."@".$row[1];}
 
     if ($row[0] == "") $from_email = "mail-admin@".$row[1];
 
     mysql_free_result($result);
     mysql_close();
 
     return (empty($from_email) ? $user : $from_email);
     }
}

Jetzt muss der Hook noch aktiviert werden. Dazu muss in der Datei horde/prefs.php der Block für from_addr so aussehen:

$_prefs['from_addr'] = array(
    'value' => '',
    'locked' => true,
    'shared' => true,
    'type' => 'text',
    'hook' => true,
    'desc' =>  _("Your From: address:")
);

Damit wird der Hook aktiviert (‘hook’ => true) und die Veränderung der Variable verhindert (‘locked’ => true).
Viel Spaß

Confixx <= PRO 3.3.1 Remote File Inclusion Vulnerability

Christian — Tue, 24 Jul 2007 17:04:39 +0000

zu lesen unter: http://xpkzxc.com/exploits/confixx.txt.

Die Lücke lässt sich aber leicht schließen. z.B. mit folgender /var/www/confixx/html/admin/business_inc/.htaccess (Pfad muss möglicherweise angepasst werden):

deny from all

Außerdem verwendet Confixx folgende PHP Einstellungen für seinen VHost:

php_admin_value allow_url_fopen off 
php_admin_value open_basedir /var/www/confixx

damit ist die Gefahr nicht sonderlich groß.

Apropos Confixx: Falls ihr Probleme bei hinzufügen von SSL Zertifikaten habt: http://forum.swsoft.com/showthread.php?s=&threadid=45385.

UPDATE: Jetzt auch auf heise.de

Neuer Server (Neuigkeiten Part 2)

Christian — Sat, 28 Oct 2006 15:33:15 +0000

Als das es nicht genug gewesen wäre, dass mein Notebook kaputt gegangen ist, nein. Alturo, der Betreiber meines RootServers, macht dicht. Jetzt habe ich eine Server bei IPX, dieser ist war leider deutlich teuer, jedoch habe ich hier den Traffic frei. Mal sehen, was ich damit so anstelle…. Der Umzug war kein Problem. Ich habe den neuen Server übers Rescue System neu partitioniert und dann einfach per rsync den alten Server auf den neuen geklont. Nach ein paar kleinen Änderungen am kernel (andere Netzwerk und IDE Treiber) und der Netzwerkkonfiguration lief der Server dann auch schon. Allerdings musste ich Confixx neuinstallieren, weil sich die Lizenz nicht hat aktivieren lasssen. Alles in allem aber nur wenige Stunden Arbeit.

poweroff

Christian — Mon, 10 Jul 2006 18:31:53 +0000

Notiz an mich selbst: Ausführung von poweroff, halt, shutdown auf entfernten Rechnern verhindern….