Skip to main content
HOW-TO: DirectAdmin EasySpamFighter checks veilig overslaan

Deze handleiding beschrijft hoe je binnen DirectAdmin gericht checks kunt overslaan voor EasySpamFighter (ESF), SpamBlocker (SB), BlockCracking (BC), RBL-controles en smtp-auth accounts. Dit is bedoeld voor situaties waarin legitieme mail onterecht wordt geweigerd of vertraagd, bijvoorbeeld door DKIM bodyhash mismatches, SPF-misalignment, Microsoft 365 mailflows of specifieke smtp-auth accounts.

Werking in het kort:
Gebruik eerst de meest specifieke uitzondering. Begin bij een afzender of ontvanger, gebruik host-skips alleen wanneer dat nodig is en gebruik IP-skips alleen als het IP-adres stabiel en betrouwbaar is.
Wat deze handleiding doet
  • Uitleggen wanneer ESF skip-lijsten nuttig zijn
  • Gericht afzenders, ontvangers, hosts of IP-adressen uitzonderen
  • Checks voor smtp-auth accounts gecontroleerd overslaan
  • RBL-vertraging verminderen bij lokale afleveringen
  • Waarschuwen voor gevaarlijke whitelist-bestanden
  • Logs controleren om te zien of de wijziging werkt
Door Theo Lodewijk | DirectAdmin mail filtering 0 Comment
Wanneer is dit nuttig?

In DirectAdmin kun je te maken krijgen met meerdere beveiligingslagen zoals SpamBlocker (SB), EasySpamFighter (ESF), BlockCracking (BC) en daarnaast Rspamd of SpamAssassin. In sommige situaties is het wenselijk om specifieke checks tijdelijk over te slaan, bijvoorbeeld als een grote verzendende partij foutieve DKIM/SPF heeft of als je met een smtp-auth account veel mail verstuurt en je omgeving onnodig wordt afgeremd.

  • Inkomende mail wordt geweigerd door ESF bij DKIM failures, bijvoorbeeld bodyhash mismatch, of SPF-misalignment.
  • Je verzendt veel mail via een smtp-auth account en wilt bepaalde checks overslaan om vertraging te beperken.
  • RBL checks veroorzaken vertraging bij levering naar bepaalde lokale domeinen op dezelfde server.
  • Je wilt heel gericht een afzender, host of IP uitzonderen als tijdelijke workaround.
Belangrijk:
Skip-lijsten zijn bedoeld als tijdelijke maatregel. De structurele oplossing is meestal dat de verzender zijn DKIM, SPF, DMARC of mailflow corrigeert. Denk aan transport rules, disclaimers, gateways of security filters die mail wijzigen nadat DKIM al is ondertekend.
Beveiligingswaarschuwing over whitelist-bestanden:
In /etc/virtual staan bestanden met whitelist in de naam. Voeg hier niet zomaar domeinen, IP's of e-mailadressen aan toe. Sommige whitelist-bestanden verwijzen naar open-relay whitelists en zijn niet bedoeld voor productie, maar alleen voor tijdelijke testing. Als je daar waarden toevoegt, kan het zijn dat matches geen smtp-auth meer nodig hebben. Dat kan leiden tot open relay en dat is zeer ongewenst.
Overzicht: ESF skiplists (inkomend)

DirectAdmin support verwijst naar de volgende ESF skiplist-bestanden. Hiermee kun je ESF-checks overslaan op basis van afzender, ontvanger, hostnaam of IP-adres. 

/etc/virtual/esf_skip_senders
/etc/virtual/esf_skip_recipients
/etc/virtual/esf_skip_hosts
/etc/virtual/esf_skip_ips
Wat gebruik je meestal?
Snel beslissen:
  • esf_skip_senders - afzender of domein uitzonderen
  • esf_skip_hosts - host of relay uitzonderen, bijvoorbeeld Microsoft 365
  • esf_skip_ips - IP uitzonderen, alleen als stabiel
  • esf_skip_recipients - specifieke lokale ontvanger
Tip bij Microsoft 365
Als mail via outbound.protection.outlook.com binnenkomt, kan afzender-skip soms niet genoeg zijn. Dan is host-skip vaak de meest effectieve workaround.
Gebruik bij voorkeur wildcards, bijvoorbeeld *.outbound.protection.outlook.com.
1) ESF - skip senders

Slaat ESF-checks over op basis van de afzender. Dit is meestal de veiligste en meest gebruikte eerste stap als een specifieke partij foutieve DKIM/SPF heeft. 

nano /etc/virtual/esf_skip_senders
@centercon.nl
debiteuren@centercon.nl
Voorbeeld: domein of specifiek adres toevoegen, 1 per regel.
systemctl restart exim
Na wijziging Exim herstarten zodat de lijst wordt ingelezen.
2) ESF - skip recipients

Slaat ESF-checks over voor een specifieke lokale ontvanger op jouw server. Dit gebruik je minder vaak, maar het kan handig zijn als alleen 1 mailbox problemen heeft met rejects. 

nano /etc/virtual/esf_skip_recipients
info@lodewijk.frl
Voorbeeld: lokale ontvanger, 1 per regel.
systemctl restart exim
Exim herstarten na wijziging.
3) ESF - skip hosts

Slaat ESF-checks over op basis van hostnaam of groep hostnames. Dit is vaak de juiste keuze voor inkomende mail via grote providers zoals Microsoft 365, waarbij DKIM/SPF failures optreden en sender-skip niet voldoende blijkt. 

nano /etc/virtual/esf_skip_hosts
*.outbound.protection.outlook.com
Voorbeeld: wildcard host, aanbevolen.
server.otherhostname.com
Voorbeeld: specifieke host, 1 per regel.
systemctl restart exim
4) ESF - skip IPs

Slaat ESF-checks over op basis van IP-adres. Gebruik dit alleen als je zeker weet dat het IP stabiel is. Grote mailplatforms wisselen IP's vaak, waardoor dit minder beheerbaar is. 

nano /etc/virtual/esf_skip_ips
52.101.66.123
Voorbeeld: IP toevoegen, 1 per regel.
systemctl restart exim
Exim herstarten na wijziging.
How-to: checks skippen voor smtp-auth accounts (uitgaand)

Als je veel mail verstuurt via een smtp-auth account, kun je overwegen om enkele checks te skippen voor die account(s). SpamBlocker, EasySpamFighter en BlockCracking hebben hiervoor skip-lijsten.

Voorbeeld:
smtp-auth/From account user@domain.com verstuurt vanaf IP 1.2.3.4. Je kunt dan onderstaande regels toepassen. 
echo user@domain.com >> /etc/virtual/esf_skip_senders
echo user@domain.com >> /etc/virtual/bc_skip_authenticated_users
echo 1.2.3.4 >> /etc/virtual/esf_skip_ips
echo 1.2.3.4 >> /etc/virtual/skip_rbl_hosts_ip

Let op: dit zijn verschillende checks. Je hoeft niet altijd het IP te skippen als je dat niet wilt. Gebruik dit gericht en spaarzaam.

RBL checks en performance (vertraging voorkomen)

RBL checks kunnen vertraging veroorzaken. Als je mail aflevert aan lokale domeinen op dezelfde server, kan het toevoegen van het To / bestemmingsdomein aan skip-lijsten de aflevering versnellen.

Dit is niet van toepassing als alle bestemmingsadressen extern zijn en dus niet lokaal op jouw server. 

nano /etc/virtual/skip_rbl_domains
Skip RBL checks per lokaal bestemmingsdomein.
nano /etc/virtual/skip_av_domains
Skip antivirus checks per lokaal bestemmingsdomein.
Whitelist_senders (alleen voor specifieke SB RBL gevallen)

Als een afzender vastloopt op een RBL block en je wilt dat een specifiek domein of e-mailadres niet door de SpamBlocker RBL checks wordt gecontroleerd, dan kun je /etc/virtual/whitelist_senders gebruiken. Dit is de uitzondering die doorgaans niet tot open relay leidt, maar gebruik dit alsnog zeer spaarzaam.

Wees voorzichtig:
Veel whitelist-bestanden in /etc/virtual zijn gevaarlijk in productie. De file whitelist_senders staat bekend als de veiligere optie voor dit specifieke doel, maar test altijd zorgvuldig. 
nano /etc/virtual/whitelist_senders
debiteuren@centercon.nl
@centercon.nl
Troubleshooting: controleren of het werkt

Na het aanpassen van een skiplist wil je snel kunnen zien of ESF de mail niet meer weigert. Controleer je Exim logs en laat de verzender de mail opnieuw sturen. 

tail -f /var/log/exim/mainlog
Live meekijken met inkomende mail.
tail -f /var/log/exim/rejectlog
Als mail wordt geweigerd, staat het vaak hier.
Praktische tip:
Begin altijd met esf_skip_senders. Werkt dat niet, bijvoorbeeld bij Microsoft 365, ga dan naar esf_skip_hosts. IP skip is meestal de laatste optie.
Veelgemaakte fouten
  • Te snel een volledige whitelist gebruiken in plaats van een gerichte skiplist.
  • Een IP skip gebruiken voor grote providers waarvan de IP-adressen vaak wisselen.
  • Vergeten om Exim te herstarten na het aanpassen van de lijst.
  • Een tijdelijke workaround permanent laten staan zonder later de echte oorzaak op te lossen.
Opmerking:
Bestandslocaties en service-namen kunnen per server afwijken. Als systemctl restart exim niet van toepassing is, gebruik dan de juiste herstart voor jouw MTA (Exim) of volg de instructies van je provider.