Mordęga Ze Spamem

[TheBlood 0]

Witajcie,

 

Na jednym z moich serwerów od dłuższego czasu motam się ze spamem. Przychodzi tego badziewia obecnie po 10 dziennie, wcześniej nawet 20-30 dziennie, ale udalo mi się największych spamerów powycinać poprzez dodanie pewnych providerów do czarnej listy. Wycinam kolejnych providerów, ale spam ciągle nadchodzi z kolejnych stron świata. Uruchomienie filtru antyspamowego nie wchodzi w grę.

 

Jak wy radzicie sobie z tą plagą? Macie może jakieś czarne listy najbardziej spamujących providerów?

[T 6]

Jak wy radzicie sobie z tą plagą? Macie może jakieś czarne listy najbardziej spamujących providerów?

RBL

[k4 0]

Nie chce robic offtopicu, ale 10-20 spamow dziennie to rzeczywiscie idzie sie zamotac ;P

[pleple 0]

Wycinam kolejnych providerów, ale spam ciągle nadchodzi z kolejnych stron świata. Uruchomienie filtru antyspamowego nie wchodzi w grę.

Wycinanie providerów to też w pewnym sensie filtr antyspamowy. Musisz więc sprecyzować jakiego rodzaju filtry nie wchodzę w grę.. Tak czy inaczej poza wspomnianymi przez @T RBL-ami, dobrą metodą na spam jest greylisting (najlepiej połączony z mechanizmami whitelistowania) oraz SPF. Obie metody mają jednak swoje wady (tak samo jak blacklistowanie providerów) i trzeba się zastanowić czy są do zaakceptowania...

[MiSi3kK 16]

U mnie mam wgranego z Pleskiem spamassassina, do tego lekko przerobiony config (nowa słowa + odpowiednia punktacja).

Testuje od 2 miesiecy i codziennie odfiltrowuje ok. 5 wiadomości. Nie odrzuca dobrych i nie przepuszcza złych .

[TheBlood 0]

A czy mozna banować hosty np ze względu jedynie na końcówkę? Powiedzmy - chcialbym uniemozliwic wszystkim hostom *.ru na wysylanie do mnie poczty, czy taka konfiguracja jest mozliwa?

 

BTW Banowanie wszystkich zakresow dla danego kraju mija się z celem, bo same regulki IP bedą kilka MB zajmowaly...

[MasterNETpl 100]

Jeżeli dodasz odpowiedni reguły do konfiguracji serwera poczty to oczywiście że tak.

Możesz też oczywiście spróbować podać w panelu administracyjnym (o ile jest) do blokowanych domen/adresów email *.ru

[pleple 0]

chcialbym uniemozliwic wszystkim hostom *.ru na wysylanie do mnie poczty, czy taka konfiguracja jest mozliwa?

Wiesz, z domenami jest taki problem, że nie są jednoznaczne. Musisz się zastanowić czy to .ru to tyczy się serwerów wysyłających pocztę (a wtedy czy chodzi o to czym się przedstawiają w ehlo czy może jaki maja reverse dns). A może chodzi Ci o pole FROM w wiadomości? Nie bez znaczenia jest też to jakiego serwera pocztowego używasz..

[MasterNETpl 100]

@pleple dlatego właśnie w konfigu serwera poczty tworzy się odpowiedni regułki które za to odpowiadają.

[p 3]

BTW Banowanie wszystkich zakresow dla danego kraju mija się z celem, bo same regulki IP bedą kilka MB zajmowaly...

Przesadzasz:

$ ls -l *cidr.txt
-rw-r--r--  1 p  p  13388 Nov  7 20:20 chinacidr.txt
-rw-r--r--  1 p  p   7911 Nov  5 19:44 koreacidr.txt

[pleple 0]

Wiesz, z domenami jest taki problem, że nie są jednoznaczne. Musisz się zastanowić czy to .ru to tyczy się serwerów wysyłających pocztę (a wtedy czy chodzi o to czym się przedstawiają w ehlo czy może jaki maja reverse dns). A może chodzi Ci o pole FROM w wiadomości? Nie bez znaczenia jest też to jakiego serwera pocztowego używasz..

@pleple dlatego właśnie w konfigu serwera poczty tworzy się odpowiedni regułki które za to odpowiadają.

Ale za co? Za to żeby powiedzieć nam po czym chce filtrować (w którym miejscu ma być sprawdzana ta domena) i jaki on ma serwer pocztowy?

[MasterNETpl 100]

@pleple chodziło mi po prostu o to, że można filtrować pocztę na wszystkie wymienione przez Ciebie metody i jeżeli tylko @TheBlood ma dostęp do konfiugracji serwera poczty (obojętnie jakiego) to może się po prostu pobawić w odpowiednie reguły do sprawdzania i wycinania niechcianej poczty i po problemie.

[TheBlood 0]

Przesadzasz:

(...)

 

Zle sie wyrazilem. Mialem na mysli zakresy wszystkich niemile widzianych państw. Wtedy będzie kilka MB

 

Jeżeli dodasz odpowiedni regóły do konfiguracji serwera poczty to oczywiście że tak.

Możesz też oczywiście spróbować podać w panelu administracyjnym (o ile jest) do blokowanych domen/adresów email *.ru (...) i jeżeli tylko @TheBlood ma dostęp do konfiugracji serwera poczty (obojętnie jakiego) to może się po prostu pobawić w odpowiednie reguły do sprawdzania i wycinania niechcianej poczty i po problemie.

 

Tak Adrianie, mam dostęp do konfiguracji poczty. Wygląda ona następująco (fragment):

 

smtpd_recipient_restrictions =

permit_mynetworks,

permit_sasl_authenticated,

check_client_access hash:/etc/postfix/whitelista,

reject_unauth_destination,

reject_unknown_client,

reject_unknown_sender_domain,

check_client_access hash:/etc/postfix/client_checks_revdns

 

W pliku client_checks_revdns mam blokowane hosty zapisane w następujący sposob:

 

blueyonder.co.uk 554 r You're spammer

verizon.net 554 r You're spammer

itd...

 

I to działa. Niestety dodanie regułki:

 

*.ru 554 r You're spammer

 

Nie przynosi żadnego rezultatu.

 

 

Tak, chodzi mi o banowanie nadawcy ze względu na nazwę hostu, z ktorego poczta jest nadawana, a nie ze względu na zawartośc nagłówka wiadomości.

 

Czy ma ktoś pomysł na rozwiązanie tego problemu? Przyznam, że już całkiem długo siędzę nad tym postfixem, posiłkuję się tymi poradnikami:

 

http://lemat.priv.pl/index.php?m=page&pg_id=90

http://linio.terramail.pl/postfix.html

 

ale wlasnie nie mogę znalezc niczego n.t banowania całych krajów przez blacklistowanie końcówek.

[pleple 0]

A próbowałeś:

.ru 554 r You're spammer

 

Albo (gorszy pomysł) ustawić:

parent_domain_matches_subdomains = smtpd_access_maps

 

Lub przeczytać dokładnie:

man 5 access

[TheBlood 0]

A próbowałeś: (...).ru(...)

 

Tak, probowalem, ale niestety rowniez nie dziala. Testowalem akurat na końcówce .com i wysyłałem pocztę z Yahoo. Zawsze dochodzila.

 

Lub przeczytać dokładnie:

man 5 access

 

Niestety nie znalazlem tam niczego interesującego.

[p 3]

Zle sie wyrazilem. Mialem na mysli zakresy wszystkich niemile widzianych państw. Wtedy będzie kilka MB

Doskonale sobie zdaje sobie sprawe z tego co miales na mysli... Ale nawet jakbys chcial zbanowac polowe swiata, to skoro 2 kraje (w tym calkiem duze Chiny) zajmuja ~21KB to nie ma szans aby ta lista chociaz zblizyla sie do 1MB

[pleple 0]

Tak, probowalem, ale niestety rowniez nie dziala.

Przepraszam, trochę niedokładnie przeczytałem Twojego posta. Masz błąd jeszcze w samym main.cf. Oto opis smtpd_recipient_restrictions z manuala:

"The access restrictions that the Postfix SMTP server applies in the context of the RCPT TO command."

 

Tak więc Ty blokujesz w ten sposób wiadomości wysłane do dowolnego adresu docelowego będącego poddomeną .ro. A chcesz coś innego osiągnąć z tego co pisałeś. Ciebie raczej interesuje smtpd_client_restrictions:

"Optional SMTP server access restrictions in the context of a client SMTP connection request."

 

Czyli powinieneś ustawić coś takiego:

smtpd_client_restrictions = check_client_access hash:/etc/postfix/client_checks_revdns

 

Ponadto jeśli ".ru" nie działa to podaj tylko "ru" i ustaw opcje parent_domain_matches_subdomains = smtpd_access_maps.

[TheBlood 0]

pleple na razie nic nie zmienialem w pliki konfiguracyjnym, tylko dodalem końcówki domen bez żadnych kropek czy gwiazdek i.. ludzie! To działa!

 

Zamiast odcinać jak głupi hosty, teraz wystarczy poodcinać najbardziej spamujące kraje i po problemie. Wielkie dzięki za pomoc.

 

BTW Moze sie komus przyda - stworzona przeze mnie lista :

 

# Zablokowani operatorzy

 

ae 554 r You're spammer

ar 554 r You're spammer

be 554 r You're spammer

br 554 r You're spammer

by 554 r You're spammer

ch 554 r You're spammer

cl 554 r You're spammer

cn 554 r You're spammer

co 554 r You're spammer

cz 554 r You're spammer

do 554 r You're spammer

ee 554 r You're spammer

es 554 r You're spammer

fr 554 r You're spammer

hr 554 r You're spammer

hu 554 r You're spammer

il 554 r You're spammer

it 554 r You're spammer

jp 554 r You're spammer

lt 554 r You're spammer

mx 554 r You're spammer

my 554 r You're spammer

nl 554 r You're spammer

no 554 r You're spammer

ru 554 r You're spammer

sg 554 r You're spammer

sk 554 r You're spammer

th 554 r You're spammer

tw 554 r You're spammer

za 554 r You're spammer

 

alicedsl.de 554 r You're spammer

alltel.net 554 r You're spammer

arcor-ip.net 554 r You're spammer

barak-online.net 554 r You're spammer

bellsouth.net 554 r You're spammer

bezeqint.net 554 r You're spammer

blueyonder.co.uk 554 r You're spammer

btcentralplus.com 554 r You're spammer

cgocable.net 554 r You're spammer

charter.com 554 r You're spammer

comcast.net 554 r You're spammer

cvhsa.com 554 r You're spammer

embarqhsd.net 554 r You're spammer

fourway.net 554 r You're spammer

friendfinder.com 554 r You're spammer

gci.net 554 r You're spammer

hawaiiantel.net 554 r You're spammer

hinet.net 554 r You're spammer

internode.on.net 554 r You're spammer

krline.net 554 r You're spammer

layeredtech.com 554 r You're spammer

midco.net 554 r You're spammer

mindspring.com 554 r You're spammer

netcologne.de 554 r You're spammer

ntl.com 554 r You're spammer

ono.com 554 r You're spammer

pppool.de 554 r You're spammer

prtc.net 554 r You're spammer

qwest.net 554 r You're spammer

rima-tde.net 554 r You're spammer

rr.com 554 r You're spammer

sbcglobal.net 554 r You're spammer

shawcable.net 554 r You're spammer

sky.com 554 r You're spammer

t-dialin.net 554 r You're spammer

teleos-web.de 554 r You're spammer

telepacific.net 554 r You're spammer

telnor.net 554 r You're spammer

t-ipconnect.de 554 r You're spammer

totbb.net 554 r You're spammer

verizon.net 554 r You're spammer

vermontel.net 554 r You're spammer

volia.net 554 r You're spammer

vtr.net 554 r You're spammer

[MiSi3kK 16]

chyba wole mój wpis do spamassassina... Mniej kombinowania i nie blokuje żadnego kraju.

[TheBlood 0]

Spamassasin pożera 51MB pamięci, a ile postfix?

[p 3]

BTW Moze sie komus przyda - stworzona przeze mnie lista :

Dawno nic glupszego nie widzialem... Dla mnie blokowanie IP'kow .cn/.kr to juz lekkie przegiecie, ale to co zrobiles u siebie to po prostu glupota

Blokowanie Szwajcarii, Norwegii, Czech, Wegier, Francji, Wloch, Japonii i calej reszty? *puknij sie*

[TheBlood 0]

A po co z tych krajow mam otrzymywac pocztę? Maile przychodzą tylko z domen net, pl, org, com, więc takie blokady są jak najbardziej słuszne.

[p 3]

A po co z tych krajow mam otrzymywac pocztę? Maile przychodzą tylko z domen net, pl, org, com, więc takie blokady są jak najbardziej słuszne.

To moze odrazu zezwalaj tylko na poczte od .pl/.com/.net/.org a reszte potraktuj REJECT'em? Zakladanie, ze wszystko co przychodzi z poza w/w TLD jest zle jest dla mnie ostrym przegieciem.

 

Zalozmy, ze posiadam domene o wdziecznej nazwie y.es i serwer pocztowy przedstawiajacy sie jako mx.y.es. W chwili obecnej kazda proba nawiazania przeze mnie kontaktu z Toba konczyla by sie glupia odpowiedzia Twojego serwera, ze jestem spammer'em, co ma sie nijak do rzeczywistosci.

 

I zeby nie bylo, ze sobie tylko teoretyzuje - Insane przez dlugi czas posiadalo poczte w indyjskiej domenie poczta.in (nie wiem jaki byl revDNS dla tego serwera pocztowego, ale to jest akurat mniej wazne, bo to tylko przyklad).

 

Poza tym (co zepewne ucieszy bellerofont'a ) lamiesz RFC, bo uniemozliwiasz nadawcom z w/w krajow wyslanie maila do postmaster'a:

SMTP systems are expected to make every reasonable effort to accept

mail directed to Postmaster from any other system on the Internet.

In extreme cases --such as to contain a denial of service attack or

other breach of security-- an SMTP server may block mail directed to

Postmaster. However, such arrangements SHOULD be narrowly tailored

so as to avoid blocking messages which are not part of such attacks.

[TheBlood 0]

Nie mam po prostu czasu codziennie usuwać po kilkanaście reklam viagry. Nie jest mi do szczęścia potrzebna

 

Prawdopodobieństwo, że ktoś będzie chciał napisać do mnie z lokalnej indyjskiej, tudzież chińskiej poczty jest tak małe, że można wręcz wykluczyc taką ewentualnośc. Poza tym co jakiś czas zaglądam do logów i sprawdzam, czy np moja konfiguracja nie odrzuca jakiejś przydatnej poczty (jak poczty z gery.pl, która swojego czasu nie miała skonfigurowanych revdns i musialem dodać ich do bialej listy).

 

Teraz większośc ludzi używa sprawdzonego gmail.com, z którego można bez problemu wysylac do mnie pocztę. Niestety w dobie tak ogromnej ilosci spamu trzeba stanąc przed wyborem: coś za coś...

 

UPDATE: A coz to za 33% Ostrzezenia w moim profilu? :) Bellerofront, wiesz cos o tym?

[pleple 0]

I zeby nie bylo, ze sobie tylko teoretyzuje [...]

Kolejnym, myślę że bardziej przemawiającym do rozsądku przykładem jest to, że jak ktoś ma dedydka/VPSa gdzieś w Europie i nie zmienił sobie revDNS to e-maile od tych serwerów będą z dużym prawdopodobieństwem odrzucane. Często są to fora czy inne portale gdzie trzeba coś potwierdzić kodem na e-mail itp.

 

Na pewno zastosowana przez autora wątku metoda nie jest więc dobra ogólnie ale może jemu akurat odpowiadać...