Fórumok
Sziasztok,
mostanában elkezdett jönni jó pár (vírusos) spam olyan formában, hogy a feladó Gipsz Jakab - gipsz.jakab@tenylegvanilyen.hu,nincsilyencím@spamakarmi.com
tehát fog egy valós címet és másolatba vagy címzettnek berakja a kamu címet. Ha megnézem, hogy milyen ipről jött akkor általában
valami thaiföldi/kínai/stb címekről jön, tehát tuti nem pl az a személy küldte, akié a cím.
Hogy lehet ez ellen védekezni?
Hozzászólások
saját szerver? akkor IP ban
"all submitted complaints will be forwarded to /dev/null for further investigation"
"ez ilyen hippi kommunás felfogás, ahogy Stallman sámán módjára dobol a nagy hasán, hogy GNU, free software, free as free beer."
az a baj, hogy mindig más ip-ről jön :(
whitelist? bár az mondjuk pont mailnél nem feltétlenül jó...
"all submitted complaints will be forwarded to /dev/null for further investigation"
"ez ilyen hippi kommunás felfogás, ahogy Stallman sámán módjára dobol a nagy hasán, hogy GNU, free software, free as free beer."
whois, aztán egész tartományra mehet a -j DROP. Hacsak nem vársz valami indiai milliárdos levelére, amiben közli hogy tied a vagyona, akkor véleményem szerint nyugodtan mehet a teljes tartomány tiltó listára. Az inkább a baj ezzel a tartomány tiltással, hogy állandóan újabb és újabb tartományokat kell felvenni, míg végül csak a gmail, hotmail és pár kisebb mail szolgáltató címe lesz engedélyezve :)
megalol...
--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol
spf ellenőrzés, már ha van
+1, SPF ellenőrzés lesz a barátod
+1
--
A legértékesebb idő a pillanat amelyben élsz.
https://sites.google.com/site/jupiter2005ster/
body_check?
Hogy lehet ez ellen védekezni?
a szo, amit keresel: spamszuro
--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol
oké, melyik és hogy? a levelek amúgy teljesen szabványosnak tekinthetőek formailag és a csatolt word file neve is változik. hallgatlak.
Biztos, hogy a levél testében minden változik?
Tapasztalatom szerint a legtöbben található ismétlődés és így egy egyszerű body_check szabállyal eldobható. Nálam pl pár soros body_check-kell iszonyat mennyiségű "profi" spamtől szabadulok meg.
orulok, hogy kerdezted, eppen el akartam mondani. Szoval en egy tobb retegu megoldast dobnek ossze. Kezdenem a postfix + postscreen komboval. A postscreen postscreen_dnsbl_sites opciojahoz tennek 1 v. 2 jo minosegu DUL listat.
A kovetkezo lepes lehetne mondjuk a postgrey. Ehhez csinaltam egy patch-et, ami esszel ad vissza temp fail hibat (=a PTR rekord alapjan megprobalja kitalalni, hogy xdsl/cable/... vonal vegen levo geprol van-e szo, es rendes szervernevu hosztokat nem faraszt foloslegesen. Btw. ezt a feature-t elvileg a postscreen is tudja emulalni, hogy eloszor a postscreen zarja az smtp session-t. Bar itt is lehet megadni egy feherlistat, hogy kiket ne farasszon igy, de ez kevesbe intelligens, mint a PTR rekord alapjan donteni.
OK, menjunk tovabb. Tennek a gepre clamav-ot sanesecurity szignaturakkal felturbozva*, mert az utobbiakkal valamennyi phishing/scam/... szemetet is viruskent tud megjelolni.
Vegul dobjunk ra meg egy olyan spamszurot, ami el is olvassa a levelet: akar spamassassin** (bar ez imho egy kozepes minosegu, de legalabb resource hog megoldas, viszont konnyu sajat szabalyokkal felturbozni), akar egy statisztikai szuro (pl. dspam, c**pf), ami a felismert szemetet mondjuk 30 napig karantenba teszi, a regebbieket automatikusan torli, ill. a userek kb. onkiszolgalo jelleggel ki tudjak onnan szabaditani a fals pozitiv hibakat.
Ja, elvileg a szoveges mellekletekbol ki lehet szedni a szoveget (bar ez eroforrasigenyes) (ne kerdezd, ezt melyik spamszuro csinalja), felteve, hogy nem excel-be tett bmp-rol van szo.
*: meg kene nezni, mennyire aktiv meg ez a projekt
**: vagy helyette ki lehet probalni az rspamd-t, ami kb. egy C-ben ujrairt SA, biztos (=probald ki magad) jo.
--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol
Nem kell ehhez patch, van remek regexpes megoldás, azaz amikor még postfixeztem volt. :)
Nekem eximben a kedvenc multi-dnsbl-es szolúcióm aprít a legjobban, itt a hupon mindenestül megvan már. :)
A clamavhoz az unofficial-signatures (sigs) csomagot javaslom, abban van néhány extra még. Ezen kívül a google safebrowse-ing db-t is tudja használni (freshclam.conf -ban simán be lehet kapcsolni). Van még egy fizetős clamav aláírás szállító, a SecuriteInfo. Mostanában egészen sok találatot adnak ők is, szóval továbbra is elő fogunk fizetni.
Aztán a jó öreg spamassassin, ott valóban hangolgatni kell, de pl. az SPF és DKIM-et érdemes bekapcsolni. A saját domaineknél pedig elkezdeni használni őket, elsőre az SPF-et, mert azt relatív egyszerű bevezetni.
A küldő fejléceket vagy a szerverlogot érdemes ilyen nagyüzemi témában csekkolni, hogy mégis mi történik. Ahogy írtuk már többen, elsőre SPF és DNSBL vonalon lehet indulni, utána pedig mélyebbre merülni.
A személyes véleményem szerint pusztán 1-1 DNSBL alapján nem jó ötlet visszacsapni maileket, de a Spamassassin remekül tud azokra is pontot adni.
bookmark