Linux за българи: Форуми

Здравейте, вчера баннах една мрежа, защото идва спам всеки ден от различно ай-пи от тази мрежа.
така:
iptables -A INPUT -s 104.206.200.0/24 -j DROP

iptables -L го виждам че го има
DROP       all  --  104.206.200.0/24     anywhere

но днес пак имам спам от тях

Delivery-date: Mon, 15 Feb 2021 10:11:29 -0600
Received: from mail.deltamailexchange.com ([104.206.200.64] helo=mail.bddigitalphoto.com)

какво да правя ?

Благодаря

Аз съм последния, който трябва да дава професионални съвети. Но Спам Асесин нямаш ли? Не, че рабирам от iptables, но доколкото си „мисля“, си отрязал TCP/IP, може би UDP, но не и SMTP.

iptables -A INPUT -s 104.206.200.0/24 -j DROP

Така зададено, това правило се добавя накрая след всички други. Ако преди него има друго, което разрешава приемането на пакет от тази мрежа (или по-общо), сработва то. Вместо -А, задай -I
(-И на латиница).Така правилото се добавя като първо - преди всички останали.

iptables -L го виждам че го има
DROP       all  --  104.206.200.0/24     anywhere

iptables -L -n -v
ще ти покаже и броя на изхвърлените пакети/байтове. Ако е 0/0, значи това правило не е сработило нито веднъж.

но днес пак имам спам от тях

Delivery-date: Mon, 15 Feb 2021 10:11:29 -0600
Received: from mail.deltamailexchange.com ([104.206.200.64] helo=mail.bddigitalphoto.com)

Да, това не е най-добрият начин да се предпазиш от спам, но става и така.

laskov благодаря ти за съвета, ще изчакам да видя какво ще стане :)

   Можеш да опиташ и fail2ban
Автоматично ще се изпълнява iptables ... DROP за всеки нахалник.

Между другото, ползва ли някой https://rspamd.com/ ?
Впечатления?

Да кажа че е хуваво ...силно казно,  добре е .
Можеш да си го обучаваш с интерфейс през web. Да проверяваш майлите ако имаш съмнения. Красиво изглежда.
освен него паралелно и спам убица си бачка.

А това какво представлява? DNSBL? в смисъл база данни за спам по email дето работят по DNS или
е някакъв фронтенд/обвивка към DNSBL листовете? или нещо друго?

Иначе аз си ползвам директно spamcop (bl.spamcop.net) и разни 2-3 други и съм доволен.

Ако е за mail спам по добре да се ползват тези DNS директно, а не да се мъчиш ръчно с iptables. Информацията в тях се обновявя автоматично, филтрират поне 99% от световния спам, като почти няма фалшиво сработване.

Друго хубаво нещо при тях е, че ако случайно ти (или някой друг) попаднеш в черния списък (т.е има фалшиво сработване или си невинно обвинен) то по-всяко време може да се отпишеш, с една заявка.

Спамаджиите не се отписват. Те са твърде заети да пускат спам и да следят къде в листите са 'цъфнали'. Но даже и някой 'advanced' спамаджия да се отпише, то след това при следващия изпратен спам, пак ще попадне в черния списък.... Та те така..... добре са измислени.

-----
PS:
отвори например това:
https://www.ultratools.com/tools/spamDBLookupResult
въведи вътре 104.206.200.64
и ще видиш на колко места е цъфнало.

Аз например ползвам също и psbl.surriel.com (където също свети) .. т.е при мен този спам ще се филтрира.....(без да се занимавам с iptables)

Малко е комерсиално...

Малко е смотано, защото списъците са разннородни и ако в най-известните те няма, незначи че в някои други по малко не те има.
Пример проверяваш в по известните : https://mxtoolbox.com/problem/blacklist/
там си чист, но Тренд мИкро антивирус и те си имат някакъв списък и кога се актуализира кога не ...и бам спамеер :).
Отделно едни от други си менкат списъци с ip -та.

Но като цяло спама посредством тези списъци значително намалява.

Малко е смотано, защото списъците са разннородни и ако в най-известните те няма, незначи че в някои други по малко не те има.
Пример проверяваш в по известните : https://mxtoolbox.com/problem/blacklist/
там си чист, но Тренд мИкро антивирус и те си имат някакъв списък и кога се актуализира кога не ...и бам спамеер :).
Отделно едни от други си менкат списъци с ip -та..

Затова трябва да си подбереш 3-4 добре работещи списъка. А това е най-трудното.

Трудно е и още да не вземеш да си сложиш накой fake списък, който банва всичко, баннва легитимни адреси, банва цели мрежи и т.н. И такива има... пък след това ти искат пари за да те отпишат :o

Аз така правих/правя. Виждаш спам. Проверяваш го в списъците. Гледаш къде свети. На други ден пак някой друг.. и така следиш. След известно време се ориентираш кои списъци най-често светят, за спам и кои работят.

Също трябва да се проверява и за адресите на легитими мейли. Ако видиш някой списък, че често ги листва, значи списъка е фалшив и имаме неправилно листване. Все пак не искаме да филтрираме някой легитимен мейл.

Вместо -А, задай -I
(-И на латиница).Така правилото се добавя като първо - преди всички останали.

Дам, спама пак дойде. Сега чакам да видя твоя съвет ще проработи ли.
Благодаря ти още веднъж  [_]3

пп, о да работи :)

 pkts bytes target     prot opt in     out     source               destination
       
  464 27840 DROP       all  --  *      *       104.206.200.0/24     0.0.0.0/0   

Здравейте, отдавна не бях писал тук, но понеже съм пресен по темата да се изкажа :)
Това с банирането на ip адреси е загубена кауза и по принцип борбата със спама е гадна и неблагодарна работа.
Наскоро местих мейл сървър и след включване на rspamd,DNSBL листи,dkim,dmarc,spf,sieve,dcc,fail2ban и локални blacklists със събрани във времето domain-и и emails достигнах доста добро ниво ...над 90% успеваемост.


 

Еми хараби е 90%.

Беше много, много отдавна (имало едно време), когато си играх с подобни "неща"  ;D

Тогава установих, че една от най-ефективните техники за борба (не победа) със спама е greylisting-a.
Вече  нямам спомен какво точно ползвах, но имаше забележителен ефект (паралелно с други неща разбира се)  8).
Казвам го, защото имплиментирах нещата едно след друго и то на относително значителен период от време и имаше време да се види резултата след всяка стъпка  :o

Добро утро !! Няма грам SPAM в мейла днес, какъв прекрасен ден !!!

1. взимам IP то от (Received: from)
2. в повечето случай блокирам цялата мрежа на спамера ето как:
(https://pichost.name/images/2022/03/15/f86abd2e1f920cf0f1c57427787dec8a.md.png) ($2)
3. след това си запушвам следните два порта на които събирам имейли:
iptables -I INPUT -s 104.144.0.0/16 -p tcp -m multiport --dports 25,465 -j DROP

Благодаря

Честито, само имай предвид че така блокираш цели мрежи (доставчици/хостинги) за постоянно.

Съвсем реално е (и наистина се случва) някой да хакне нечии мейл/домейн и известно време да праща спам оттам (особено през webmail).
В такива случаи поддръжката на доставчика търси и оправя хака и заявява отблокиране на ИП-тата от които се праща (RBL).
След това може от същата мрежа да се изпратят легитимни мейли, които ще бъдат блокирани и няма да ги получиш.

Според мен са достатъчни три/четири нива на защита (от спам):
1.Активиран greylisting (това е първоначален отказ май с код 404/временен отказ от приемене на писмото и записване на адресите на изпращача и получателя).
Легитимните пощенски сървъри ще опитат пак след примерно 15 минути отново да доставят писмото и след проверка на вече записаните преди данни писмото ще бъде доставено успешно.
Тук идеята е че повечето спамъри изпращат автоматично еднократно и не проверяват дали е получено за да опитат пак, така писмото/спам се блокира.

2.Проверка на обратния DNS на IP-то от което се изпраща. Ако домейна е същия като изпращача вероятно е легитимен мейл (ползваше се масово, сега не знам как е);

3.Проверка за DKIM & SPF подписи, доста ефективно е !

4.Проверка на няколко (примерно 2-3 RBL), така ако нещо е хакнато и след време се изчисти ще може да се получава поща от там.

PS: нямам особен опит със спам филтри (spamassassin, etc), тук е добре ако спама само се маркира и се праща в спам-папката (може да е false-positive) така все пак писмото е налично.
Отдавна не съм се занимавал със спам та може да има други неща и промени в политиките, просто това е моя опит  ;)

2.Проверка на обратния DNS на IP-то от което се изпраща. Ако домейна е същия като изпращача вероятно е легитимен мейл (ползваше се масово, сега не знам как е);

И това как точно се връзва с триклетия, фашистки Клауд Флеър?

https://community.cloudflare.com/t/how-to-setup-reverse-dns/6492