SPAM- which setting to use- Aggressive?

Astaro uses  Spam Assassin as its spam filter. Spam Assassin evaluates each email with many rules, each having a specific point value. The  higher the point value, the greater chance there is that a message is spam.

What I would recommend that you do initially is set Threshold One at Level 10 and "Pass." I would then set Threshold Two at Level 15 and "Quarantine".

Now, each email you receive will have an numerous additional X- fields in the message header.

• X-Spam-Score: Gives you the total score from all rules that were true
  
• X-Spam-Report: Shows you which rules were positive and their respective scores
  
• X-Spam-Flag: "Yes" or "No"
  
• X-Scan-Signature

[/list]
In our initial configuration, ASL's Spam Assassin implementation does will put "* SPAM *" in the subject for all messages that that are at or above that Level One threshold. I suggest setting that level very high so that you don't freak out your users.

Now check out the SPAM scores of messages that you believe to be SPAM and those that you don't. You'll probably find that a threshold of 04 or 05 will make a good Level One setting (with Pass) once you've done some testing and a threshold between 08 and 10 will make a good Level Two (with quarantine).

Depending on the mail system you use you will then probably want your users to create rules or filters that put any messages with "* SPAM *" in a special folder.

As for RBL's to use, I suggest you go to http://www.spews.org but here are the ones I use:

• bl.spamcop.net
  
• sbl-xbl.spamhaus.org
  
• list.dsbl.org
  
• dun.dnsrbl.net
  
• dnsbl.njabl.org
  
• relays.ordb.org
  
• opm.blitzed.org

[/list]  

The following settings work well in the systems we have deployed, as well as in our own:

For Threshold One, set to 03 (Aggressive) and Pass.
For Threshold Two, set to 10 and Reject.

Those settings will mark anything that smells like Spam with *SPAM* in the Subject line if it exceeds level 3, and at level 10 and above the system will just reject it and you'll never see it.  In the email client, set a filter that looks for *SPAM* in the Subject line and send those messages to a different folder than the IN box.

Something I've noticed in the last month or two:  the spammers are becoming more devious and more and more of their garbage is getting past the spam filters.  Hopefully, an update to the Spam engine will fix that, but in the meantime I wouldn't recommend going below level 3 in Threshold One because you might start marking a lot of good email as Spam.

I noticed that someone else recommended level 10 for Threshold One.  That certainly won't hurt, but you'll get a lot of spam in your Inbox.  As far as RBLs go, just don't bother.  Most of them are horrible and after many years of working with RBLs I can say with certainty that they're a lot of trouble to deal with.  

-Steve 

Thank you all for the valuable info. How do I access the Threshold and Level settings?

Thanks! 

Hi Gregg,
IICC I think first ist threshold one and then threshold two which spam-assassin checks. what is better: first a high threshold or first a slow threshold? whatever seqence?

At the moment i set the first level to 08 -> blackhole and second level to 03 -> quarantine

regards...
   

Threshold One should always be lower than Threshold Two. My guess is that your current setting will do nothing for values less than 8.

The only reason I recommended an abnormally high Threshold One for initial testing was so as to not scare your users w/ the "*SPAM*" tag in the subject.

In production I run Threshold One at 4 (pass) and Threshold Two at 8 (quarantine). We quarantine so that we may forward false positives to the recipient rather than having them rejected outright.

BTW--I think that setting a threshold to 3 (quarantine) will end up quarantining a lot of legitimate mail. Of course YMMV.
 

[ QUOTE ]
As for RBL's to use, I suggest you go to http://www.spews.org

[/ QUOTE ]
Before using any RBLs, it's wise to look up on their listing policy and make sure you can live with it. Some are conservative, some are aggressive, and - in particular - SPEWS believe in "collateral damage" by listing entire ISP netblocks. This has the effect of intentinoally ilsting non-spammers in order to get them to put the heat on the ISP to get clean.

This recently happened when SPEWS listed NAC.NET (upstream of Broadband Reports), and the furor raised the issued of collateral damage.

Many people agree with this "nut squeezing by proxy", but even more believe it's improper, and you should not go down the SPEWS road without really researching it. If you have not spent any time on the newsgroup net.admin.net-abuse.email, you've probably not researched it enough.

SPEWS should never be your first blocklist. Start with a conservative one, such as ORDB and gradually add more as you develop tools and procedures to deal with false positives.

Steve  

I'm using pass at 4 and blackhole at 7. Works fine. 

RafRey, this sounds like your at an early version of Astaro 4, if you don't see those individual spam levels. Make sure you up2date to the latest version to see all the information being discussed here.

Personally, I favor a 4 = pass, 10 = reject theme. No idea why people would want to quarantine spam, since then you have to sift through the quarantine, and that is usually much slower than sifting through the inbox.

Passing up to a certain point guards against false +'ve's, and then either choose to reject (bounce) or blackhole (delete) after the message accumulates enough points to be assured of spam or a mass mailing. I find 10 points works great, and just then whitelist the places to whose newsletters you subscribe.