Dotaz: České spamy

Mám klasickou instalaci Postfix+amavis+spamassasin+dovecot, ale procházejí mi tudy české spamu jao např.:

Return-Path: <osfavtp@nelsions.nl>
Delivered-To: filbar@domain.xxx
Received: from mail.xxx.yyy
 by filbar8.name with LMTP
 id sG2rHUNS6l6eUAUAhl879g
 (envelope-from <osfavtp@nelsions.nl>)
 for <filbar@domain.xxx>; Wed, 17 Jun 2020 19:26:27 +0200
Received: from localhost (localhost [127.0.0.1])
 by mail.xxx.yyy (Postfix) with ESMTP id 61E1220051C
 for <filbar@domain.xxx>; Wed, 17 Jun 2020 19:26:27 +0200 (CEST)
DKIM-Filter: OpenDKIM Filter v2.11.0 mail.xxx.yyy 61E1220051C
X-Virus-Scanned: amavisd-new at xxx.yyy
X-Spam-Flag: NO
X-Spam-Score: 0.641
X-Spam-Level: 
X-Spam-Status: No, score=0.641 tagged_above=-999 required=3
 tests=[HTML_IMAGE_ONLY_20=0.7, HTML_IMAGE_RATIO_04=0.61,
 HTML_MESSAGE=0.001, HTML_SHORT_LINK_IMG_3=0.328,
 MAILING_LIST_MULTI=-1, RCVD_IN_MSPIKE_H3=0.001,
 RCVD_IN_MSPIKE_WL=0.001, SPF_PASS=-0.001, URIBL_BLOCKED=0.001]
 autolearn=no autolearn_force=no
Received: from mail.xxx.yyy ([127.0.0.1])
 by localhost (filbar8.name [127.0.0.1]) (amavisd-new, port 10024)
 with ESMTP id QJ40_t5QptOZ for <filbar@domain.xxx>;
 Wed, 17 Jun 2020 19:26:25 +0200 (CEST)
Received: from mail.nelsions.nl (mail.nelsions.nl [212.83.191.99])
 by mail.xxx.yyy (Postfix) with ESMTP id A466B2004E3
 for <filbar@domain.xxx>; Wed, 17 Jun 2020 19:26:25 +0200 (CEST)
DKIM-Filter: OpenDKIM Filter v2.11.0 mail.xxx.yyy A466B2004E3
Received: from nelsions.nl (228094-20005.vm.clodoserver.ru [85.143.199.137])
 by mail.nelsions.nl (Postfix) with ESMTPA id 91D33C64E7;
 Wed, 17 Jun 2020 19:57:03 +0300 (EEST)
Message-ID: <osfavtp87053522.62352040@mail.nelsions.nl>
Reply-To: "Konopny Olej" <osfavtp@nelsions.nl>
From: "Konopny Olej" <osfavtp@nelsions.nl>
To: <gxbsmu64@webmail.cz>
Subject: Obnova kloubů za 28 dní
Date: Wed, 17 Jun 2020 19:57:09 +0300
MIME-Version: 1.0
Content-Type: multipart/related;
 type="multipart/alternative";
 boundary="----=_NextPart_000_0018_01D644E1.7B38F8F0"
Precedence: bulk
List-Id: b44132782v36420421
X-Complaints-To: abuse@nelsions.nl
List-Unsubscribe: <http://nelsions.nl/ru/unsubscribe/do?hash=4338241183707364>





Vysoce koncentrovaný Konopný Olej 
obnovuje
chrupavkovou tkáň a klouby za 
28 dní
 
Při yakýh onemocnénich je třeba uživat konopný 
olej >>
 
Bezplatná odborná konzultace. 
Objednat zpětné volání 
>>
 

 
 
____________________________________________________________
You 
have received this message because you are registered as a customer of our 
company.
If you do not want to receive our messages, please click here

Zahraniční spamy mi neprocházejí. Prozatím to řeším tak, že si zjistím subnet a ten zablokuju přes iptables. Toto mi ale nepřijde úplně ono. Jak zablokovat české spamy? Daří se Vám to?

Jestli se dobře dívám, tak na tom spamu je maximálně česká obsahová část, to je tak všechno.

Spameri hľadajú stále nové spôsoby, takže je to nikdy nekončiaci boj. Treba priebežne kŕmiť (trénovať) spamfilter, či už spamassassin alebo rspamd. Kŕmiť to treba aktuálnym spamom, ktorý skončil v schránke, a naopak legitímnymi správami (ham), ktoré skončili v spame. Ja som nedávno prešiel na rspamd a v mojom prípade funguje o triedu lepšie, než spamassassin.

Ručné banovanie IP adries je jednak málo efektívne (vyžaduje ručný zásah) a ešte aj môže byť kontraproduktívne (ak zablokuješ IP googlu a pod). Mne sa lepšie osvedčil fail2ban - spamer sa pokúsi poslať 2 zjavné spamy po sebe a dostane banán na pár hodín. Celkom to uľavilo spamfiltru.

Konopny olej chodil aj mne, tak som ho dal naucit sa spamassassin-u. Od vtedy chodi dalej, ale uz otagovany. Ucit sa spam davam SA pravidelne, a fest to pomaha.

URIBL_BLOCKED=0.001 - na serveru využívám vlastní rekurzivní DNS, abych předešel této blokaci. MAILING_LIST_MULTI mám nastaven na 0 bodů, protože to spammeři akorát zneužívají. A ještě bych doporučil rozjet DCC, Pyzor a Razor2 kontroly v SA. Řekl bych, že s těmito úpravami bude minimálně označen jako SPAM (5 a více bodů).

Nasadit funkční kontrolu blaklistů. Tj, zda odesílatel není na blacklistu, zda v těle emailu není odkaz na stránky, které jsou na blacklistu atd. Každou kontrolu ohodnotit a pokud se v rámci emailu vyskytne hodně druhů blacklistů, tak čauves (score bude tak velký, že bude možné email zahodit).
Aby ti ale kontrola blacklistů fungovala, musíš mít většinou vlastní resolver, protože používání public dns serverů většinou blacklisty zakazují. Např. uribl požadavky z veřejných resolverů ignoruje, viz jejich KB: "Query Refused" Explained. Tzn., že by jsi měl používat nějaký lokální cachující dns server (třeba bind) a dotazovat se přes něj na root dns servery (tj. nemít v něm definovaný nějaký forwarde na jiný dns server).
Zdar Max