Автор Тема: Спамъри и други гадове  (Прочетена 4214 пъти)

cartman

  • Напреднали
  • *****
  • Публикации: 288
    • Профил
Спамъри и други гадове
« -: Sep 30, 2008, 14:31 »
Здравейте,
при мен се случва нещо много интересно. Имаме пощенски сървър с Postfix и cyrus. На него правим проверки за спам със Spam Assassin. Преди това имаме рутер, който също проверява. Какъв е проблема?
Днес забелязах, че получавам спам от един от нашите хора, т.е. полетата From, Reply-to са от истински наш адрес. Разглеждах header-ите и забелязах, че естествено спамъра е подменил тези полета. Видях и истинските ип-та. Те бяха различни за всяко писмо. Мисълта ми е какво да направя за да спра това? Засега са 2-3 писма, но едва ли ще спрат сами. Притеснявам се, че ако пусна SA може нашият домейн да пострада, да попаднем в blacklist.
Моля дайте съвет?
Активен

old:Mandriva 2007.0, kernel 2.6.17-5mdv, Qt: 3.3.6,KDE: 3.5.4
current:Mandriva 2008.0,kernel 2.6.22.9-desktop-1mdv, Qt:3.3.8,KDE:3.5.7, gcc: 4.2.2

dvbb

  • Напреднали
  • *****
  • Публикации: 207
  • Nothing else!
    • Профил
Спамъри и други гадове
« Отговор #1 -: Sep 30, 2008, 14:52 »
Имаше някаква защита срещу това ,  за провека на IP и домайн sender-a.
Активен

laskov

  • Напреднали
  • *****
  • Публикации: 3166
    • Профил
Спамъри и други гадове
« Отговор #2 -: Sep 30, 2008, 15:44 »
SPF, gray list.
Best_practices
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

Hapkoc

  • Напреднали
  • *****
  • Публикации: 2117
    • Профил
Спамъри и други гадове
« Отговор #3 -: Sep 30, 2008, 18:03 »
http://www.postfix.org/BUILTIN_FILTER_README.html#remote_only

Нещо такова май може. Ако може да се ползва от потребителите SMTP сървъра от машини извън мрежата, то е добре да се сложи автентикация.
Активен

zeridon

  • Killmode enabled
  • Administrator
  • Напреднали
  • *****
  • Публикации: 1398
  • Distribution: Debian/Ubuntu
  • Window Manager: console/Gnome
  • BOfH
    • Профил
    • WWW
Спамъри и други гадове
« Отговор #4 -: Oct 01, 2008, 00:58 »
гласувам с две ръце за graylisting свали ми натоварването на сървъра с приличните 60% а получаваният спам с около 75%. Ефективно и леко.

Това че ти ползват адресите ... не е толкова фатално. До сега не съм видял някой да бъде блокиран просто по мейл адрес. Стандартната практика е да се резолвира адреса от където е дошъл спама, да се намери собственика на мрежата, abuse контакта и админа и да им се съобщи. Ако не даде резултат към ъпстрийма.

Препоръчвам също така да се ползват опциите на постфикс за нормално форматирани писма и културен поток на разговора .. от типа на hello-required, rfc????-senders и др. (в момента нямам конфиговете пред мен и не мога да ги дам от прима виста)
Активен

Внмимавай имам клещи за кабел
http://www.netsecad.com/
http://theregister.co.uk/odds/bofh/

ray

  • Напреднали
  • *****
  • Публикации: 1447
    • Профил
Спамъри и други гадове
« Отговор #5 -: Oct 01, 2008, 07:46 »
Здравейте,

Ползвам djbdns със RBL и greylisting - почти няма спам.
Преди да сложа greylisting-a имаше по 1-2 на ден, RBL-a си работи отлично (но доста зависи и от параметрите).
Сега от ~ 48 часа няма нито един ;-)
Успех.
Активен

cartman

  • Напреднали
  • *****
  • Публикации: 288
    • Профил
Спамъри и други гадове
« Отговор #6 -: Oct 01, 2008, 09:07 »
Благодаря на всички за съветите!
Greylisting-a отдавна съм го заплюл (в положителен смисъл) и все не стигам до него. Ще разгледам SPF и RBL.
Активен

old:Mandriva 2007.0, kernel 2.6.17-5mdv, Qt: 3.3.6,KDE: 3.5.4
current:Mandriva 2008.0,kernel 2.6.22.9-desktop-1mdv, Qt:3.3.8,KDE:3.5.7, gcc: 4.2.2

laskov

  • Напреднали
  • *****
  • Публикации: 3166
    • Профил
Спамъри и други гадове
« Отговор #7 -: Oct 01, 2008, 09:32 »
Цитат (cartman @ Окт. 01 2008,09:07)
Ще разгледам SPF и RBL.

Щом имаш инсталиран SpamAssassin - той ги ползва и двете, както и Pyzor, DCC, and Vipul's Razor. Някои от тези трябва да се инсталират отделно, след което да се конфигурира правилно SA. Аз ползвам и MailScanner. В него се конфигурират два прага на спам рейтинга, докладван от SA. Ако е над 6 писмото се изтрива, а ако е над 3 се маркира като спам и се атачва в ново писмо. Така отварянето му от получателя става след още едно действие.
Това не го разбрах:
Цитат
Притеснявам се, че ако пусна SA може нашият домейн да пострада, да попаднем в blacklist.




Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

cartman

  • Напреднали
  • *****
  • Публикации: 288
    • Профил
Спамъри и други гадове
« Отговор #8 -: Oct 01, 2008, 18:05 »
Така '<img'>
Разгледах и реших, че ще внедря сивата листа. Обмислях и възможността за ограничения по IP, но поради няколко причини няма да стане.

@lsakov:
И при мен са SA+MailScanner. Притеснението ми произлизаше от факта, че в заглавната част има мой човек в полетата From и Reply-to. Ако SA го маркира като спам, няма ли след това легитимен mail от този адрес да бъде маркиран като спам?



Активен

old:Mandriva 2007.0, kernel 2.6.17-5mdv, Qt: 3.3.6,KDE: 3.5.4
current:Mandriva 2008.0,kernel 2.6.22.9-desktop-1mdv, Qt:3.3.8,KDE:3.5.7, gcc: 4.2.2

cartman

  • Напреднали
  • *****
  • Публикации: 288
    • Профил
Спамъри и други гадове
« Отговор #9 -: Oct 03, 2008, 11:41 »
Готово '<img'>
Внедрих postgrey. Засега работи добре, след седмица ще имам статистиката спрямо предната седмица. Сега само трябва да разбера как точно да променям параметрите му. Пробвах опцията:
postgrey --delay=60 --unix=/var/spool/postfix/socket,
 но явно съм я объркал. Освен това съм създал файл /etc/sysconfig/postgrey, изпoлзвам конфигурация за RHEL/CentOS. Все пак ми се струва, че закъснението е повече от 300 сек. и не съм познал как да го намалявам. В логовете не пише за колко време е Greylist-нат даден mail. Това малко ме притеснява. Идеята ми е докато натрупам достатъчно голяма база да имам по-малко закъснение и след това да увелича закъснението, правейки postgrey по-стриктен. Всичко, което намерих ползвах и пак не мога да разбера колко време e закъснението.
Активен

old:Mandriva 2007.0, kernel 2.6.17-5mdv, Qt: 3.3.6,KDE: 3.5.4
current:Mandriva 2008.0,kernel 2.6.22.9-desktop-1mdv, Qt:3.3.8,KDE:3.5.7, gcc: 4.2.2

cartman

  • Напреднали
  • *****
  • Публикации: 288
    • Профил
Спамъри и други гадове
« Отговор #10 -: Oct 08, 2008, 10:55 »
За да не създавам нова тема ще продължа тази. Изключително съм доволен от postgrey. Преди него за 2 дни влезнаха общо над 2000 писма, маркирани като спам и 20, които минаха в пощенските кутии на хората. След пускането на Greylist-a в действие резултата беше съответно 140:0 за 5 дни.
Имам обаче един проблем от MailScanner-a, които е още от преди. Май ще се окаже бъг, поне такива мнения четох из разни форуми. Те се отнасяха за по-стара версия (аз имам 4.70), но симптомите са същите. Става въпрос, че определени писма от хора в нашия домейн биват маркирани като спам. Изчетох какво ли не, пробвах да ги добавям по IP, по *@domain.com, *@*domain.com, както и по name@domain.com в /etc/MailScanner/rules/scan.messages.rules, spam.whitelist.rules, /etc/mail/spamassasin/local.cf, но няма ефект. Увеличих и spam score в MailScanner.conf, но пак няма промяна.

Моля дайте съвет какво да пипна? Синтаксиса ли бъркам, какво ли?
Активен

old:Mandriva 2007.0, kernel 2.6.17-5mdv, Qt: 3.3.6,KDE: 3.5.4
current:Mandriva 2008.0,kernel 2.6.22.9-desktop-1mdv, Qt:3.3.8,KDE:3.5.7, gcc: 4.2.2

laskov

  • Напреднали
  • *****
  • Публикации: 3166
    • Профил
Спамъри и други гадове
« Отговор #11 -: Oct 08, 2008, 12:02 »
В MailScanner.conf направи
Цитат
# Do you want all spam to be logged? Useful if you want to gather
# spam statistics from your logs, but can increase the system load quite
# a bit if you get a lot of spam.
Log Spam = yes
и после от лог файла ще разбереш защо ги маркира като спам. Ако ги маркира, но все пак ги доставя, виж в headers на доставеното писмо. От там би трябвало да се ориентираш кой и защо го маркира като спам.
Относно gray закъсненията - имай предвид, че сървърите-податели обработват опашките си на 10, 15 или 20 минути. Твоето закъснение се комбинира с тяхното и така се получава общото закъснение за дадено писмо. Аз затова и не ползвам gray - не ми харесва писмата да закъсняват. То и на това има лек - white лист за определени сървъри.
Сетих се още нещо. Имаш ли в мрежата си DNS сървър, отговарящ за вътрешните ти IP адреси - прав и обратен резолв?



Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

cartman

  • Напреднали
  • *****
  • Публикации: 288
    • Профил
Спамъри и други гадове
« Отговор #12 -: Oct 08, 2008, 14:03 »
Благодаря за отговора!
Всичките писма се доставят, спам-а се пренасочва към определен account. Между другото включих опцията в /etc/MailScanner/MailScanner.conf use_auto_whitelist 1. Ето и един типичен header на легитимно писмо маркирано като спам:
Цитат
Return-Path: <>
Received: from my_mail_server.com ([unix socket])
    by my_mail_server.com (Cyrus v2.3.7-Invoca-RPM-2.3.7-2.el5) with LMTPA;
    Wed, 08 Oct 2008 10:59:27 +0300
X-Sieve: CMU Sieve 2.3
Received: from pc035
   for <user@my_mail_server.com>; Wed,  8 Oct 2008 10:59:24 +0300 (EEST)
From: "Dimitrov" <gooduser@my_mail_server.com>
To: "Ivanova" <user@my_mail_server.com>
Subject: {Spam?} Read: Emailing: GSM.doc
Date: Wed, 8 Oct 2008 10:57:38 +0300
MIME-Version: 1.0
Content-Type: multipart/report;
   report-type=disposition-notification;
   boundary="----=_NextPart_000_0003_01C92934.ADF71860"
X-Mailer: Microsoft Office Outlook, Build 11.0.5510
Thread-Index: AckpG4NFGlm2tFxDQ3SnHpl42TbQtQAAAdEn
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5579
MailScanner-NULL-Check: 1224057566.37315@eQYboe2ykm9ZPDJSxLlQLw
X-MailScanner-ID: 09BE74E931.BE2F2
X-Company-MailScanner: Found to be clean
X-Company-MailScanner-SpamCheck: spam(no watermark or sender address)
X-Company-MailScanner-SpamScore: ssssssss
X-Comapny-MailScanner-From:
X-Spam-Status: Yes

Ако променя спам score в конфигурацията този ред:
Цитат
X-Company-MailScanner-SpamScore: ssssssss

получава резултат равен на необходимия минимум, за да бъде маркиран като спам. Всички погрешно маркирани писма са със заглавие:
Цитат
Read: neshto si
и идват от "върховният" MS Outlook.
Всички изпращачи се намират извън моята локална мрежа, с която нямам никакви проблеми. Те блуждаят и са с различни IP.
Иначе имам DNS сървър за локалната мрежа, но не знам той какво отношение има към това.
Активен

old:Mandriva 2007.0, kernel 2.6.17-5mdv, Qt: 3.3.6,KDE: 3.5.4
current:Mandriva 2008.0,kernel 2.6.22.9-desktop-1mdv, Qt:3.3.8,KDE:3.5.7, gcc: 4.2.2

laskov

  • Напреднали
  • *****
  • Публикации: 3166
    • Профил
Спамъри и други гадове
« Отговор #13 -: Oct 08, 2008, 14:46 »
В MailScanner.conf направи
Цитат
# Do you want the full spam report, or just a simple "spam / not spam" report?
Detailed Spam Report = yes
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

cartman

  • Напреднали
  • *****
  • Публикации: 288
    • Профил
Спамъри и други гадове
« Отговор #14 -: Oct 13, 2008, 21:25 »
Laskov, благодаря ти са помощта!
Поради миграцията от по-стара версия бях запазил по-стария конфигурационен файл. В него нямаше секцията watermarking. Сложих моя си, настроих го, изключих watermarking-a и засега изглежда наред. Даже вече имам и по-пълна информация за спам резултата.
Все още го следя,но мисля, че е ок '<img'>
Активен

old:Mandriva 2007.0, kernel 2.6.17-5mdv, Qt: 3.3.6,KDE: 3.5.4
current:Mandriva 2008.0,kernel 2.6.22.9-desktop-1mdv, Qt:3.3.8,KDE:3.5.7, gcc: 4.2.2