Skip to main content

Directadmin

Verbeter de prestaties en beveiliging van uw webserver

How-to: checks skippen bij DirectAdmin mail filtering

In DirectAdmin kun je te maken krijgen met meerdere beveiligingslagen zoals SpamBlocker (SB), EasySpamFighter (ESF), BlockCracking (BC) en daarnaast Rspamd/SpamAssassin. In sommige situaties is het wenselijk om specifieke checks tijdelijk over te slaan, bijvoorbeeld als een grote verzendende partij foutieve DKIM/SPF heeft of als je met een smtp-auth account veel mail verstuurt en je omgeving onnodig wordt afgeremd.

Wanneer is dit nuttig?
  • Inkomende mail wordt geweigerd door ESF bij DKIM failures (bijv. bodyhash mismatch) of SPF-misalignment.
  • Je verzendt veel mail via een smtp-auth account en wilt bepaalde checks overslaan om vertraging te beperken.
  • RBL checks veroorzaken vertraging bij levering naar bepaalde lokale domeinen op dezelfde server.
  • Je wilt heel gericht een afzender, host of IP uitzonderen als tijdelijke workaround.
Belangrijk:
Skip-lijsten zijn bedoeld als tijdelijke maatregel. De structurele oplossing is meestal dat de verzender zijn DKIM/SPF/DMARC of mailflow corrigeert (bijvoorbeeld transport rules, disclaimers, gateways of security filters die mail wijzigen na DKIM signing).
Beveiligingswaarschuwing over whitelist-bestanden:
In /etc/virtual staan bestanden met whitelist in de naam. Voeg hier niet zomaar domeinen, IP’s of e-mailadressen aan toe. Sommige whitelist-bestanden verwijzen naar (open relay) whitelists en zijn niet bedoeld voor productie maar alleen voor tijdelijke testing. Als je daar waarden toevoegt, kan het zijn dat matches geen smtp-auth meer nodig hebben, en dat kan leiden tot open relay (zeer ongewenst).
Overzicht: ESF skiplists (inkomend)

DirectAdmin support verwijst naar de volgende ESF skiplist-bestanden. Hiermee kun je ESF-checks overslaan op basis van afzender, ontvanger, hostnaam of IP-adres. 

/etc/virtual/esf_skip_senders
/etc/virtual/esf_skip_recipients
/etc/virtual/esf_skip_hosts
/etc/virtual/esf_skip_ips
Wat gebruik je meestal?
Snel beslissen:
  • esf_skip_senders - afzender/domein uitzonderen
  • esf_skip_hosts - host/relay uitzonderen (bijv. Microsoft 365)
  • esf_skip_ips - IP uitzonderen (alleen als stabiel)
  • esf_skip_recipients - specifieke lokale ontvanger
Tip bij Microsoft 365
Als mail via outbound.protection.outlook.com binnenkomt, kan afzender-skip soms niet genoeg zijn. Dan is host-skip vaak de meest effectieve workaround.
Gebruik bij voorkeur wildcards, bijvoorbeeld *.outbound.protection.outlook.com.
1) ESF - skip senders

Slaat ESF-checks over op basis van de afzender. Dit is meestal de veiligste en meest gebruikte eerste stap als een specifieke partij foutieve DKIM/SPF heeft. 

nano /etc/virtual/esf_skip_senders
@centercon.nl
debiteuren@centercon.nl
Voorbeeld: domein of specifiek adres toevoegen (1 per regel).
systemctl restart exim
Na wijziging Exim herstarten zodat de lijst wordt ingelezen.
2) ESF - skip recipients

Slaat ESF-checks over voor een specifieke lokale ontvanger op jouw server. Dit gebruik je minder vaak, maar het kan handig zijn als alleen 1 mailbox problemen heeft met rejects. 

nano /etc/virtual/esf_skip_recipients
info@lodewijk.frl
Voorbeeld: lokale ontvanger (1 per regel).
systemctl restart exim
Exim herstarten na wijziging.
3) ESF - skip hosts

Slaat ESF-checks over op basis van hostnaam of group of hostnames. Dit is vaak de juiste keuze voor inkomende mail via grote providers (Microsoft 365) waarbij DKIM/SPF failures optreden en sender-skip niet voldoende blijkt. 

nano /etc/virtual/esf_skip_hosts
*.outbound.protection.outlook.com
Voorbeeld: wildcard host (aanbevolen).
server.otherhostname.com
Voorbeeld: specifieke host(s) (1 per regel).
systemctl restart exim
4) ESF - skip IPs

Slaat ESF-checks over op basis van IP-adres. Gebruik dit alleen als je zeker weet dat het IP stabiel is. Grote mailplatforms wisselen IP’s vaak, waardoor dit minder beheerbaar is. 

nano /etc/virtual/esf_skip_ips
52.101.66.123
Voorbeeld: IP toevoegen (1 per regel).
systemctl restart exim
Exim herstarten na wijziging.
How-to: checks skippen voor smtp-auth accounts (uitgaand)

Als je veel mail verstuurt via een smtp-auth account, kun je overwegen om enkele checks te skippen voor die account(s). SpamBlocker (SB 4.4.x), EasySpamFighter (ESF) en BlockCracking (BC) hebben hiervoor skip-lijsten.

Voorbeeld:
smtp-auth/From account user@domain.com verstuurt vanaf IP 1.2.3.4. Je kunt dan onderstaande regels toepassen. 
echo user@domain.com >> /etc/virtual/esf_skip_senders
echo user@domain.com >> /etc/virtual/bc_skip_authenticated_users
echo 1.2.3.4 >> /etc/virtual/esf_skip_ips
echo 1.2.3.4 >> /etc/virtual/skip_rbl_hosts_ip

Let op: dit zijn verschillende checks. Je hoeft niet altijd het IP te skippen als je dat niet wilt. Gebruik dit gericht en spaarzaam.

RBL checks en performance (vertraging voorkomen)

RBL checks kunnen vertraging veroorzaken. Als je mail aflevert aan lokale domeinen op dezelfde server, kan het toevoegen van het To / bestemmingsdomein aan skip-lijsten de aflevering versnellen.

Dit is niet van toepassing als alle bestemmingsadressen extern zijn (dus niet lokaal op jouw server). 

nano /etc/virtual/skip_rbl_domains
Skip RBL checks per lokaal bestemmingsdomein.
nano /etc/virtual/skip_av_domains
Skip antivirus checks per lokaal bestemmingsdomein.
Whitelist_senders (alleen voor specifieke SB RBL gevallen)

Als een afzender vastloopt op een RBL block en je wilt dat een specifiek domein of e-mailadres niet door de SpamBlocker RBL checks wordt gecontroleerd, dan kun je /etc/virtual/whitelist_senders gebruiken. Dit is de uitzondering die doorgaans niet tot open relay leidt, maar gebruik dit alsnog zeer spaarzaam.

Wees voorzichtig:
Veel whitelist-bestanden in /etc/virtual zijn gevaarlijk in productie. De file whitelist_senders staat bekend als de "veiligere" optie voor dit specifieke doel (RBL checks skippen zonder relay te openen), maar test altijd zorgvuldig. 
nano /etc/virtual/whitelist_senders
debiteuren@centercon.nl
@centercon.nl
Troubleshooting: controleren of het werkt

Na het aanpassen van een skiplist wil je snel kunnen zien of ESF de mail niet meer weigert. Controleer je Exim logs en laat de verzender de mail opnieuw sturen. 

tail -f /var/log/exim/mainlog
Live meekijken met inkomende mail.
tail -f /var/log/exim/rejectlog
Als mail wordt geweigerd, staat het vaak hier.
Praktische tip:
Begin altijd met esf_skip_senders. Werkt dat niet (bij Microsoft 365 vaak), ga dan naar esf_skip_hosts. IP skip is meestal de laatste optie.
Opmerking:
Bestandslocaties en service-namen kunnen per server afwijken. Als systemctl restart exim niet van toepassing is, gebruik dan de juiste herstart voor jouw MTA (Exim) of volg de instructies van je provider.