Portál AbcLinuxu, 27. dubna 2024 05:40
Šéf mě požádal, abych zpracoval antispamové řešení pro naši firmu. Proč o to požádal právě mě, když na stole byl i návrh na zakoupení "černé antispamové krabice" od renomované firmy za 10 000 euro, která to vyřeší sama od sebe?
Nežli popíši počáteční stav naší firemní sítě, rád bych alespoň v kostce čtenáře AbcLinuxu.cz seznámil s tím, proč si myslím, že s problémem SPAMu musíme bojovat.
Proč tedy? Asi proto, že historie SMTP (tedy protokolu zodpovědného za přenos elektronické pošty), je stará přes 20 let, kdy nikdo ani nepomyslel, že by se e-mail mohl zneužít takovýmto způsobem. I otázky, proč to ti spammeři vlastně dělají, ztrácí smysl, když si uvědomíte, že poslat někomu e-mail je zdarma - pokud pošlu někomu neznámému mail s textem "Give me some money", pravděpodobně se zasměje a mail smaže. Pokud však tento mail zašlu pár milionům nic netušících lidí, vždycky se najde nějaký pitomec, který mi zaplatí. A pokud se najde, rád podobný mail zašlu lidem zas - vždyť je to přeci zdarma a zpáteční adresa se dá krásně zfalšovat, takže tisícovky rozzlobených lidí nemají, na kom si právem vylít svoji zlost.
A právě takovou zlost jsem měl i já, když jsem musel každý den mazat desítky nevyžádaných mailů. A tak jsem začal zkoumat, jak naši firemní síť "vylepšit", abych tento neustálý tok mailů zastavil.
Jak je vidět z obrázku, konfigurace firemní sítě byla v podstatě standardní - maily z Internetu procházejí firewallem do MTA (Mail Transfer Agent - v podstatě mašina, která mail vezme, rámcově zkontroluje a pošle dál) v zóně DMZ. Tento stroj funguje jako relay agent - maily s vnitřní e-mailovou adresou tak přeposílá na vnitřní mail server na intranetu. Odtud jsou pak přímo dostupné koncovým uživatelům.
Jako MTA zde funguje osvědčený Sendmail a v interní síti MS Exchange (já tlačil Scalix, ale bohužel to neprošlo). Žádný z těchto dvou strojů problém spamu neřešil a filtrování pošty tedy zůstalo na konečných uživatelích (Thunderbird s Bayesovským filtrem).
Problémy jsme tehdy měli v podstatě dva:
U problému s generováním bounce-mailů (hlášení o nedoručitelnosti) bych se rád pozastavil, protože si jej mnoho administrátorů MTA (a sítí podobných té naší) neuvědomuje. Představme si větší společnost s doménou @example.com, která má svůj firemní mailserver na lokální síti a maily do internetu posílá a přijímá přes proxy MTA server připojený v demilitarizované zóně - tedy něco jako naše síť na obrázku výše.
Na první pohled z hlediska bezpečnosti výborné řešení, protože vnější útočník se nikdy nemůže dostat přímo na firemní mailserver. Problém ale nastává právě s generováním mail bounces, protože proxy MTA v demilitarizované zóně bude pravděpodobně konfigurován jako RELAY pro celou doménu @example.com a o existenci uživatelských účtů na koncovém mailserveru nebude mít ani tušení.
Pokud tedy přijde spam pro neexistujícího uživatele jarda@example.com, relay MTA v demilitarizované zóně jej s radostí přijme a přepošle firemnímu mailserveru. Ten jej odmítne, protože žádný mailbox pro Jardu nemá, a relay MTA v DMZ tedy musí vygenerovat mail bounce.
V normálním případě by to bylo to v pořádku (mail bounce vygenerovaný proxy MTA by dostal odesílatel a zjistil, že Jarda neexistuje). Pokud by však byla adresa odesílatele podvržená (což je u SPAMu běžný jev), bounce je doručen někomu, kdo nic takového neposílal. V horším případě doručen být nemůže a mail bounce se nám hromadí ve frontě a zbytečně zatěžuje mailserver.
Neutěšenou situaci ve firmě jsem monitoroval již dlouho a zamýšlel jsem se tedy nad možnostmi řešení - které by pokud možno neobsahovalo žádnou "černou krabici" za spousty peněz. Nejsem sice zapřísáhlým odpůrcem komerčních řešení, ale nerad se dávám všanc něčemu, do čeho nikdo nevidí. Problém jsem rozdělil na dvě části:
Problém jsem vyřešil pomocí perl skriptu, který je v pravidelných intervalech spouštěn na vnitřním mailserveru a generuje seznam platných firemních emailových adres. Tento seznam je pak pomocí TFTP stáhnut na MTA proxy stroj v zóně DMZ. MTA má pak možnost přímo v otevřeném SMTP spojení ověřit existenci adresy příjemce. Pokud neexistuje, spojení je ukončeno s chybou 550 Recipient not found. Za vygenerování mail bounce je pak zodpovědný vnější odesílatel (ať už pravý, nebo ne).
Jiným řešením by bylo zkonfigurovat LDAP podporu v Sendmailu, který by si sám mohl existenci příjemce ověřit zasláním dotazu přímo na vnitřní LDAP server, ovšem to by znamenalo jisté bezpečnostní riziko, a proto jsem zvolil cestu pomocí tftp.
Jako administrátorovi mailového serveru mi bylo jasné, že neexistuje jediná jednoduchá metoda, jak spam potlačit, a proto se obvykle kombinuje metod více. Není proto ani cílem tohoto článku představit nějakou "zázračnou" novou metodu - spíše shrnout dostupné metody a doporučit nejúčinnější.
V zásadě můžeme antispamové metody rozdělit takto:
Uveďme alespoň nejvíce užívané a nejúčinnější (dle mého názoru) metody boje s nevyžádanou poštou. Zde se omezím na řešení integrovatelné do MTA, protože koncového uživatele obtěžují nejméně. Z těchto technik jsou mi nejvíce sympatické RCPT fáze, a to ty, které pracují v úvodních fázích dialogu SMTP:
Jak už jsem říkal, nejvíce sympatické jsou mi techniky, které pracují v úvodních fázích SMTP dialogu (dále RCPT fáze). V této fázi je již známa adresa odesílatele, příjemce a stroj, od kterého zpráva přichází, ale ne tělo zprávy. Proč mi tedy přijde zajímavá?
Jaké jsou nevýhody technik v RCPT fázi:
Naše firemní MTA je realizována na Linuxu a Sendmailu, proto jsem se rozhodl o nasazení greylistingu prostřednictvím skvělého démona milter-greylist, který běží na mail proxy stroji v DMZ a je tak nejblíže zdrojům SPAMu - a může tam fungovat nejefektivněji (pokud mluvíme o realtime technikách detekce spamu, tak ty je možno aplikovat pouze na tomto stroji - na vnitřním mailserveru to už nemá smysl). Jak název připomíná, základ tohoto démona je v implementaci greylistingu, který je v mém případě prominut odesílatelům s pravým SPF podpisem nebo, těm kteří alespoň disponují podporou TLS [wikipedia, IETF.org].
Účinnost mého řešení přesahuje 90 % - a to v podstatě "zadarmo", protože nároky na CPU jsou nízké a dále není třeba nic updatovat a ani se o něco starat. Ano, nějaký spam i tak sem tam proleze, ale pořád je zde ještě možnost nasazení zmiňovaného SpamAssassinu (na který je možno démona milter-greylist také připojit), který by účinnost dále dramaticky zvýšil. Zároveň se rýsuje možnost nasazení dalších slibných technik jako P0f, DKIM a DNSRBL. Stabilita tohoto softwaru je rovněž příkladná, takže určitě mohu doporučit.
Přikládám prezentaci (ODP), kterou jsem vytvořil v rámci propagace greylistingu pro naši firmu.
Mam to doplneno spamassassinem a lokalnim blacklistem. To se osvedcilo nejvice, blacklist mam hlavne na SMTO clenu, co to neumi nastavit, a bounces mi zatezuji mailserver. Navic to mam nastaveno na vystupu jako transparentni SMTP proxy, cimz eliminuju Wirouse a jako posledni vec jaou limits v postfixu s generovani udalosti tenhle posila moc, jukni zda neni zawirovan.
Chtelo by to jeste nasledujici:
Automaticky zablokovat SPAMMera z vnitrni site, vcetne fredirectu HTTP na lokalni server s upozornenim o omezeni pripojeni.
analyzator nejhorsich SPAMMeru zvenci s tim, ze se daji primo do FW jako REJECT
analyzator nejhorsich SPAMMeru zvenci s tim, ze se daji primo do FW jako REJECTJako ze treba kvuli jedne postarsi zenske se zavirovanym pocitacem kompletne odstrihnete nejaky jiny freenet? Zajimavy pristup.
21.10.2008 09:26
Valoun | skóre: 30
| blog: Psavec
| Středočeský kraj
Ano, ale muselo by to být už na GW toho freenetu.To ovsem mluvite o zcela jinem navrhu hwsofta:
Automaticky zablokovat SPAMMera z vnitrni site, vcetne fredirectu HTTP na lokalni server s upozornenim o omezeni pripojeni.Je to zcela neco jineho nez se snazit donutit bandu neschopnych loudu ze vzdaleneho mesta, aby precetli logy a nedejboze sahli do konfigurace (ktere od odchodu Jardy nikdo nerozumi) a neco s tim udelali. Vase duvody na ne vetsinou delaji silny dojem jen do okamziku, nez zavesite telefon.
Smarja co resis? Nikomu neublizim, oni dostanou od sveho MTA hlasku o nedorucitelnbosti a muzou to zacit resit.Taky se přikláním k názoru to řešit jinak než zakázat konkretní IP...
a trvam si na tom. Ti lide to delaji ve svem volnem case jako svuj konicek, tedy nejsou zatizeni nutnosti komercniho vyuziti(prasaren).
Nakonec nekecej a ukaz, kde se co deje spatne?
s/bude/budu
Jak oni na mne, tak já ne ně. Nemám povinnost se od nich nechat obtěžovat.
Zcela běžně adresu zablokuji, aby se jim vracela chybová zpráva ICMP admin prohibited, a na whois tech-c/remark-abuse kontakt pošlu log se stížností.
Poslední dobou (především z Číny) se mi vrací zprávy o nedoručení (mailbox full/account doesn't exist). Když tam mají bordel, ať si ho užijí.
Ano, mluvím o útocích, ne o spamu. Ale problém to je stejný. Jediný způsob, jak zlepšit situaci, je donutit zdroj, aby ho to bolelo. Pak totiž pocítí potřebu záležitost řešit.
Nehledě na to, že rozzuřený soused má mnohem lepší pole působnosti, než já na druhém konci světa.
Zalezi na situaci (a pokud jde o utok, tak se s vami zcela ztotoznuji), ale naprikald u spamu
Když bude uživatel dostávat tolik spamu, že se v něm ztratí ham, tak uživatel takovou službu nebude chtít používat. Efektivně se jedná o DoS a srovnání s jakýmkoliv jiným neoprávněným/neúměrným využití služby je zcela na místě.
kdyz mate obrovskou sanci, ze takovy spam spravne vytridite, je blokovani vlastne priznanim vlastni neschopnosti
Ale já mám takovou šanci obvykle i u automatizovaných útoků. Mám vypracované systémy, které jsou schopny útok rozpoznat a dočasně jej neutralizovat. Přesto pravidelně procházím bezpečnostní hlášení, abych mohl zdroji vynadat.
Trvalou blokaci používám jako prevenci do budoucna (opětovné napadení stejným zdrojem je častý jev) a jako páku na druhý konec, aby byl motivován problém řešit. Pokud se zdroj ozve a zjedná nápravu, adresa je uvolněna.
Vůbec nejde o slabost, naopak se jedná o aktivní obranu. Když jsme u pořekadel, tak znáte to o útoku coby nejlepší obraně?
U one bolesti je proste treba vazit, zda ji nezpusobite spise nevinnym nez vinikovi.
Jistě. Ale v Internetu je nejmenší jednotkou IP adresa. Pokud si za ní někdo staví místní síť, je to skutečně jeho riziko. Na vyšších úrovní je zcela běžné blokování celých autonomních systémů.
Navic blokovani dava spammerum velmi efektivni moznost ladit metody a texty.
S tím jsem smířený. Já také ladím. Nevím, proč bych nemohl s nimi držet krok. Tím se totiž spamování spammerům prodraží, což je pádný důvod, proč přestat spamovat.
bud tolerantni na vstupu a presny na vystupu.
Netiketa má i další přikázání (svým jednáním neobtěžovat). Nemíním být hodný na ty zlé.
. Vsechny postupy se týkají Razora a podobných, ale já bych jen chtěl abych vybral seznam blacklistu předhodil je spamassassinovi a ten by přidal třeba 5 bodů. Jenže takové řešení nemůžu nikde najít. Nemůžu dokonce ani najít nějaké články které by se tím zabývaly.
Přitom jsem si skoro jistý, že by to měla být záležitost dvou řádku v amavis.conf .
Používám klasiku.
Postfix s virtuálními účty (mysql) + amavis-new + ClamAV + spamassassin a na určité emailové účty mam aplikovaný sqlgrey. Tohle by samo o sobě mělo stačit a blacklisty jsem za začátku nepoužíval vůbec, ale začalo tím procházet v určitou chvíli až 20 spamů denně do schránky a to už je prostě moc.
Zvláštní je i to, že přesto že určité maily předhodím sa pomoci sa-learn --spam třeba i 10x, tak pořád ten samý projde . Mám asi 3500 spam mailů a 700 ham mailu.
No asi se tím budu muset začít brzo zabývat, protože blacklisty jsou docela prasárna. Na druhou stranu je ale tahle prasárna účinná a dokonce ani nemusím mail přijmout k analýze, hlavně se to nesmí s těmi blacklisty přehánět a občas projít logy aby měl člověk přehled, co se odmítá.
On by stačil už jen samotný Graylisting, bohužel nesprávně nastavených smtp serverů je strašně moc a není v mých silách obvolávat jejich správce .
Také bych se rád zbavil blacklistů "natvrdo", ale nikde jsem nenašel nějaký rozumný článek jak donutit spamassassina přidávat jen body za účast v blacklistuNěco na tento způsob v user_prefs by nestačilo? Trošku jsem to rozepsal, ať tam je vidět víc možností...
header __TO_DOMAIN1 To =~ /(<)?[a-z,0-9,._-]+\@(domena1.org|domena1.info)(>)?(;)?[[:space:]]*$/i header __TO_DOMAIN2 To =~ /(<)?[a-z,0-9,._-]+\@domena2.net(>)?(;)?[[:space:]]*$/i meta __TO_VSICHNI (__TO_DOMAIN2 || __TO_DOMAIN2) ## hnusna@adresa.cz > *@domena2.net header __FROM_HNUSCZ From =~ /(<)?hnusna\@adresa.cz(>)?(;)?([[:space:]])*$/i meta FROM_HNUSCZ_TO_DOMAIN2 (__FROM_HNUZCZ && __TO_DOMAIN2) score FROM_HNUSCZ_TO_DOMAIN 100.0
22.10.2008 10:20
21.10.2008 08:48
smtpd_recipient_restrictions =
reject_rbl_client bl.spamcop.net
prostě ověřeni IP adresy, jestli není na blacklistu a podle toho jen přidělit body.
Ty blaclisty se pletou jen velmi zřídka, ale stane se to. A proto bych je chtěl jen jako body navíc.
score RCVD_IN_SBL 3 score RCVD_IN_XBL 3 score RCVD_IN_PBL 3skore si muzes zmenit jak chces. Tento priklad pouziva spamhaus.
FEATURE(`access.db', `hash -T <TMPF> /etc/mail/access')dnlna
FEATURE(`access.db', `hash -T <TMPF> /etc/mail/access', `relaytofulladdress')dnlViac tu. Slackware 12.1 to zapnute nemal. Potom je mozne pouzit v /etc/mail/access nasledovne:
domena.tld REJECT znamy1@domena.tld RELAY znamy2@domena.tld RELAYV logu je potom mozne vidiet ze email sa doruci iba pre adresata, ktory je uvedeny v access. LogLevel je v *.cf nastaveny na 16
O LogLevel=16----------------------------------
host sm-mta[20482]: NOQUEUE: connect from ukclean.gotadsl.co.uk [62.3.228.105] host sm-mta[20482]: AUTH: available mech=CRAM-MD5 DIGEST-MD5 LOGIN PLAIN OTP, allowed mech=EXTERNAL GSSAPI KERBEROS_V4 DIGEST-MD5 CRAM-MD5 host sm-mta[20482]: mAE79vta020482: Milter: no active filter host sm-mta[20482]: mAE79vta020482: --- 220 host.domena.tld ESMTP Sendmail 8.14.2/8.14.2; Fri, 14 Nov 2008 08:09:57 +0100 host sm-mta[20482]: mAE79vta020482: <-- HELO ukclean1 host sm-mta[20482]: mAE79vta020482: --- 250 host.domena.tld Hello ukclean.gotadsl.co.uk [62.3.228.105], pleased to meet you host sm-mta[20482]: mAE79vta020482: <-- MAIL FROM:<BradwinchMeyer@economist.com> host sm-mta[20482]: mAE79vta020482: --- 250 2.1.0 <BradwinchMeyer@economist.com>... Sender ok host sm-mta[20482]: mAE79vta020482: <-- RCPT TO:7<neznamy1@domane.tld> host sm-mta[20482]: mAE79vta020482: --- 550 5.2.1 <neznamy1@domane.tld>... Mailbox disabled for this recipient host sm-mta[20482]: mAE79vta020482: ruleset=check_rcpt, arg1=<neznamy1@domena.tld>, relay=ukclean.gotadsl.co.uk [62.3.228.105], reject=550 5.2.1 <neznamy@domena.tld>... Mailbox disabled for this recipient host sm-mta[20482]: mAE79vta020482: <-- RCPT TO:<neznamy2@domena.tld> host sm-mta[20482]: mAE79vta020482: --- 550 5.2.1 <neznamy2@domena.tld>... Mailbox disabled for this recipient host sm-mta[20482]: mAE79vta020482: ruleset=check_rcpt, arg1=<neznamy2@domena.tld>, relay=ukclean.gotadsl.co.uk [62.3.228.105], reject=550 5.2.1 <neznamy2@domena.tld>... Mailbox disabled for this recipient host sm-mta[20482]: mAE79vta020482: <-- RCPT TO:<znamy1@domena.tld> host sm-mta[20482]: mAE79vta020482: --- 250 2.1.5 <znamy1@domena.tld>... Recipient ok host sm-mta[20482]: mAE79vta020482: <-- DATA host sm-mta[20482]: mAE79vta020482: --- 354 Enter mail, end with "." on a line by itself host sm-mta[20482]: mAE79vta020482: from=<BradwinchMeyer@economist.com>>, size=717, class=0, nrcpts=1, msgid=<5301016521.20081111192666@economist.com>, proto=SMTP, daemon=MTA, relay=ukclean.gotadsl.co.uk [62.3.228.105] host sm-mta[20482]: mAE79vta020482: --- 553 5.0.0 neznamy1@domena.tld, neznamy2@domena.tld, znamy1@domena.tld... Unbalanced '>' (hold) host sm-mta[20482]: mAE79vta020482: --- 553 5.0.0 neznamy1@domena.tld, znamy1@domena.tld ... Unbalanced '>' (hold) host sm-mta[20482]: mAE79vta020482: --- 553 5.0.0 znamy1@domena.tld, neznamy1@domena.tld> ... Unbalanced '>' (hold) host sm-mta[20482]: mAE79vta020482: --- 553 5.0.0 neznamy1@domena.tld... Unbalanced '>' (hold) host sm-mta[20482]: mAE79vta020482: --- 553 5.0.0 neznamy1@domena.tld, neznamy1@domena.tld, znamy1@domena.tld... Unbalanced '>' (hold) host sm-mta[20482]: mAE79vta020482: --- 553 5.0.0 neznamy1@domena.tld, znamy1@domena.tld... Unbalanced '>' (hold) host sm-mta[20482]: mAE79vta020482: --- 553 5.0.0 znamy1@domena.tld, neznamy1@domena.tld... Unbalanced '>' (hold) host sm-mta[20482]: mAE79vta020482: --- 553 5.0.0 neznamy1@domena.tld... Unbalanced '>' (hold) host sm-mta[20482]: mAE79vta020482: --- 250 2.0.0 mAE79vta020482 Message accepted for delivery host sm-mta[20484]: mAE79vta020482: SMTP outgoing connect on host.domena.tld host sm-mta[20482]: mAE79vtb020482: <-- QUIT host sm-mta[20482]: mAE79vtb020482: --- 221 2.0.0 host.domena.tld closing connection host sm-mta[20484]: mAE79vta020482: to=<znamy1@domena.tld>, delay=00:00:01, xdelay=00:00:00, mailer=smtp, pri=120717, relay=[xxx.xxx.xxx.xxx] [xxx.xxx.xxx.xxx], dsn=2.0.0, stat=Sent (OK, mail data spooled) host sm-mta[20484]: mAE79vta020482: done; delay=00:00:01, ntries=1Snad to niekomu pomoze.
21.10.2008 06:55
Max | skóre: 72
| blog: Max_Devaine
21.10.2008 09:35
Max | skóre: 72
| blog: Max_Devaine
21.10.2008 11:55
Max | skóre: 72
| blog: Max_Devaine
21.10.2008 14:38
Max | skóre: 72
| blog: Max_Devaine
21.10.2008 16:12
Max | skóre: 72
| blog: Max_Devaine
21.10.2008 19:18
Jakub Lucký | skóre: 40
| Praha
21.10.2008 08:08
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
21.10.2008 11:43
21.10.2008 08:16
*** Qmail-Scanner Quarantine Envelope Details Begin ***
X-Qmail-Scanner-Mail-From: "xxxx" via localhost
X-Qmail-Scanner-Rcpt-To: "yyy"
X-Qmail-Scanner: 2.05st (clamdscan: 0.94/8457. spamassassin: 3.2.5. perlscan: 2.05st. SPAM Found. Processed in 2.227756 secs) process 32553
Quarantine-Description: SPAM exceeds "quarantine" threshold - hits=33.7/5.0/5
SA_REPORT hits = 33.7/5.0
2.0 URIBL_BLACK Contains an URL listed in the URIBL blacklist
[URIs: elite-russian-girls4you.biz]
1.9 URIBL_AB_SURBL Contains an URL listed in the AB SURBL blocklist
[URIs: elite-russian-girls4you.biz]
1.5 URIBL_WS_SURBL Contains an URL listed in the WS SURBL blocklist
[URIs: elite-russian-girls4you.biz]
1.5 URIBL_JP_SURBL Contains an URL listed in the JP SURBL blocklist
[URIs: elite-russian-girls4you.biz]
1.5 URIBL_OB_SURBL Contains an URL listed in the OB SURBL blocklist
[URIs: elite-russian-girls4you.biz]
0.5 URIBL_SC_SURBL Contains an URL listed in the SC SURBL blocklist
[URIs: elite-russian-girls4you.biz]
3.5 BAYES_99 BODY: Bayesian spam probability is 99 to 100%
[score: 1.0000]
4.3 RCVD_FORGED_WROTE2 RCVD_FORGED_WROTE2
2.0 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a relay in bl.spamcop.net
[Blocked - see {http://www.spamcop.net/bl.shtml?89.121.125.42}]
0.0 HTML_MESSAGE BODY: HTML included in message
1.5 RAZOR2_CF_RANGE_E8_51_100 Razor2 gives engine 8 confidence level
above 50%
[cf: 100]
0.5 RAZOR2_CHECK Listed in Razor2 (http://razor.sf.net/)
1.5 RAZOR2_CF_RANGE_E4_51_100 Razor2 gives engine 4 confidence level
above 50%
[cf: 100]
0.5 RAZOR2_CF_RANGE_51_100 Razor2 gives confidence level above 50%
[cf: 100]
3.7 PYZOR_CHECK Listed in Pyzor (http://pyzor.sf.net/)
2.2 DCC_CHECK Listed in DCC (http://rhyolite.com/anti-spam/dcc/)
1.5 URIBL_SBL Contains an URL listed in the SBL blocklist
[URIs: elite-russian-girls4you.biz]
0.0 DIGEST_MULTIPLE Message hits more than one network digest check
0.1 RDNS_NONE Delivered to trusted network by a host with no rDNS
3.7 XMAILER_MIMEOLE_OL_22B61 XMAILER_MIMEOLE_OL_22B61
*** Qmail-Scanner Quarantine Envelope Details End ***
21.10.2008 08:27
Lukáš Benda | skóre: 12
| blog: benBlog
| Štítina
21.10.2008 08:55
Lukáš Benda | skóre: 12
| blog: benBlog
| Štítina
(Ted bych to mohl udelat, protoze NATuju na IP co je psany na klfree, ale z toho by kluci urcite radost nemeli ).
21.10.2008 17:49
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
Viděl jsem to v návrhu rozpočtu od jednoho kolegy a dál jsem se nepídil. Zajímavé je, že i když si tu krabici objednáte tak se s dosti velkou pravděpodobností může stát, že bude fungovat na vlas stejně jako moje řešení.
Účinnost mého řešení přesahuje 90 % ... Ano, nějaký spam i tak sem tam proleze, ale pořád je zde ještě možnost nasazení zmiňovaného SpamAssassinu (na který je možno démona milter-greylist také připojit), který by účinnost dále dramaticky zvýšil.Klasická chyba měření účinnosti spam filtru. Účinnost spam filtru není dána jenom tím, jaký je podíl zastaveného spamu, ale také tím, jaký je podíl propuštěné regulérní pošty. Pokud budete účinnost měřit jenom tím prvním kritériem, je nejúčinnější vypnout mailserver.
Vlastně jsem to měřil jako poměr odmítnuté a přijaté pošty s tím, že většina pošty je spam. Jak říkám udělat to přesně je vlastně nemožné protože to vyžaduje spolupráci uživatelů (zkuste to když jich máte ve firmě 300)
21.10.2008 11:08
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
smtps 465/tcp # SMTP over SSL (TLS)A nez svym nebohym clenum zablokujete odchozi tcp na 465ku, tak vezte, ze vetsinou se pri SSL/TLS pozaduje autentizace a pak jsou definovana efektivni pravidla, jak zamezit prilis intenzivnimu rozesilani mailu.
Kazdopadne s tim gmailem je to skutecne kvuli SPF zaznamum. Posilat maily do site jen tak slo drive a ted to pujde cim dal tim hure - a je to dobre pac jinak by email kvuli spamu vymrel a byl by nahrazen nejakym IM resenim. Zkratka, nema smysl se tomu branit....
Pocitace jsou tu totiz od toho, aby pocitaly spam a ne se flakaly ...
Sorry za OT, musel jsem si rypnout ..
Jinak super clanek. A zase nejaky normalni administrator ...
Oni totiz Vase postupy proste neuznavaji, nebot jsou samozrejme spatneMně je celkem jedno, jaké kdo používá postupy. Mně vadí jenom to, když někdo zahazuje regulérní e-maily. Ale to je asi marné vám vysvětlovat.
Protoze zahazuju regulerni maily
Pro takoveho super admina jako jsi Ty, to samozrejme udelam
Hned jsen co zjistim, kam se mi schovaly ty regulerni emaily, sakra
21.10.2008 10:36
smtp.gmail.com na portu 25 nepoužijete pro odeslání pošty mimo gmail.com ani od ISP, který port 25 neblokuje. GMail s TLS totiž běží na portech 465 a 587.
Vyvracel jsem tvrzení, že od něktrých ISP nepůjde e-mail na smtp.gmail.com odeslat.
Tam kde se pouziva nesifrovany SMTP (port 25).
Jiným řešením by bylo zkonfigurovat LDAP podporu v Sendmailu, který by si sám mohl existenci příjemce ověřit zasláním dotazu přímo na vnitřní LDAP server, ovšem to by znamenalo jisté bezpečnostní riziko...Proč myslíš, že je to bezpečnostní riziko?
Takže whitelist v Postgreyi a jelo se dál. Osobně pokládám tenhle zpětný SMTP dotaz možná za horší prohřešek než greylisting a méně účinné opatření, protože spammeři často berou adresy odesilatele z harvestované databáze (takže typicky skutečně existují).
Prohledávat SPAMy v karanténě jsem dávno přestal. I s greylistingem jsou jich nízké desítky denně. Zatím jsem nezaznamenal, že bych kvůli SpamAssassinu přišel o nějaký důležitý e-mail.
Osobně si myslím, že definitivní tečkou za SPAMem by bylo důsledně vyžadovat a používat elektronické podpisy a případně podle nich centrálně blacklistovat přímo koncové uživatele. Což ssebou ale dodnes nese spoustu "otravných podružných praktických zádrhelů", jako je už třeba neexistence všeobecně uznávané a důvěryhodné hierarchie certifikačních autorit... Spousta platných certifkátů od de facto důvěryhodných menších CA je klientským softwarem odmítáno, protože zmíněná CA chybí na něčím seznamu, nebo protože ji konkrétní MUA nedokázal ověřit kvůli nějaké technické nekompatibilitě.
Ještě jinak řečeno: bylo by třeba jednoznačně identifikovat koncové uživatele a jednotlivě a nekompromisně jim vtloukat do hlaviček, že SPAMovat se nemá. Teoretickou otázkou je volba trestu - odpojení od sítě, přestupkový nebo trestní postih... Už z doby před nějakými deseti lety si pamatuju dilema internetového providera, jak domluvit dobře platícímu zákazníkovi, který bezostyšně SPAMuje, protože na tom stojí jeho lukrativní byznys Nebo později, co dělat se zákazníkem, který už sice nespamuje okatě přímo z naší sítě, ale obsah SPAMů na něj jednoznačně ukazuje. To byly vždycky interní tahanice mezi adminem a obchodníkem... A to se prosím dělo u zodpovědného providera ve vyspělé průmyslové zemi, který své dobře platící ovečky svědomitě cepoval. Jak donutit k poslušnosti ty smečky zdivočelých zablešených užovek na různých místních freenetech, nebo spamové barony operující z banánových republik na druhém konci světa... při současném administrativním stavu e-mailového systému se vžilo vytloukat klín klínem pomocí různých polovičatých technicistních opatření, která "nejdou k jádru pudla".
Takový dementní mailserver nedělá lokální ukládání a nový pokus po půl hodině, jak bývalo dobrým zvykem.....Tak tady se musím tvrdě ohradit. Nazývat mail farmy "dementními mailservery" je nesprávné. RFC nic o nutnosti lokálního ukládání mailů neříká, takže nový pokus o odeslání může naprosto legitimně přijít z jiné IP. A to že vám to nabourá greylisting je vaše chyba - ne jeho.
Jednou jsem zaznamenal, že můj greylisting "clashnul" s kamarádovým "zpětným SMTP dotazem na existenci účtu odesilatele"To je klasický případ který už jsem tady zmiňoval - na chybě je váš kamarád, jehož MTA který obtěžuje svým dotazováním jiné mailservery. To je nejlepší cesta jak se dostat do blacklistu. Ideální řešení by mělo být pokud možno pasivní....
22.10.2008 12:31
Luboš Doležel (Doli) | skóre: 98
| blog: Doliho blog
| Kladensko
Takže vedle blacklistů IP adres budou vznikat blacklisty domén – jenomže nové a nové domény lze generovat snad ještě rychleji, než jak spammer získává nové odesílající počítače.To se ale stejně dělá už teď - za mail z příliš nové domény mi spamassassin dává body navíc a pokud je doména uvedená v tělě mailu/hlavičkách na spammerském blacklistu, tak už se mail zahodí.
.co.uk ?
Jedina okolnost, kterou nelze uspokojive vyresit je to, kdyz primarni server je mimo provoz (a dotycny zaznam neni v cache), pak zaloham nezbyde nic jineho nez to prijmout a pote vygenerovat eventuelni bounce - stale jsem presvedcen, ze chovat se v ramci prislusnych RFC je mensi zlo nez nefunkcni dorucovani (ze Telefonico?!).řekl bych, že čistší řešení je dočasně poštu odmítnout s poukazem na dočasné problémy. Na druhou stranu, právě SPF docela slušně snižuje pravděpodobnost, že mi přijde bounce na zprávu s mojí podvrženou adresou. Protože jsem si tam dal natvrdo doporučení odjinud odmítnout.
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.