spam áradat ismerős címekről

Spam, Adathalászat

Sziasztok,
mostanában elkezdett jönni jó pár (vírusos) spam olyan formában, hogy a feladó Gipsz Jakab - gipsz.jakab@tenylegvanilyen.hu,nincsilyencím@spamakarmi.com

tehát fog egy valós címet és másolatba vagy címzettnek berakja a kamu címet. Ha megnézem, hogy milyen ipről jött akkor általában
valami thaiföldi/kínai/stb címekről jön, tehát tuti nem pl az a személy küldte, akié a cím.
Hogy lehet ez ellen védekezni?

( Kormoran | 2018. 09. 25., k – 08:16 )

saját szerver? akkor IP ban

"all submitted complaints will be forwarded to /dev/null for further investigation"
"ez ilyen hippi kommunás felfogás, ahogy Stallman sámán módjára dobol a nagy hasán, hogy GNU, free software, free as free beer."

whois, aztán egész tartományra mehet a -j DROP. Hacsak nem vársz valami indiai milliárdos levelére, amiben közli hogy tied a vagyona, akkor véleményem szerint nyugodtan mehet a teljes tartomány tiltó listára. Az inkább a baj ezzel a tartomány tiltással, hogy állandóan újabb és újabb tartományokat kell felvenni, míg végül csak a gmail, hotmail és pár kisebb mail szolgáltató címe lesz engedélyezve :)

( sj | 2018. 09. 25., k – 19:22 )

Hogy lehet ez ellen védekezni?

a szo, amit keresel: spamszuro

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

Biztos, hogy a levél testében minden változik?
Tapasztalatom szerint a legtöbben található ismétlődés és így egy egyszerű body_check szabállyal eldobható. Nálam pl pár soros body_check-kell iszonyat mennyiségű "profi" spamtől szabadulok meg. 


cat /etc/postfix/body_checks 

/\/00.jpg/ REJECT SPAM
/\/ub.php\?/ REJECT SPAM
/\/aa.php\?/ REJECT SPAM

orulok, hogy kerdezted, eppen el akartam mondani. Szoval en egy tobb retegu megoldast dobnek ossze. Kezdenem a postfix + postscreen komboval. A postscreen postscreen_dnsbl_sites opciojahoz tennek 1 v. 2 jo minosegu DUL listat.

A kovetkezo lepes lehetne mondjuk a postgrey. Ehhez csinaltam egy patch-et, ami esszel ad vissza temp fail hibat (=a PTR rekord alapjan megprobalja kitalalni, hogy xdsl/cable/... vonal vegen levo geprol van-e szo, es rendes szervernevu hosztokat nem faraszt foloslegesen. Btw. ezt a feature-t elvileg a postscreen is tudja emulalni, hogy eloszor a postscreen zarja az smtp session-t. Bar itt is lehet megadni egy feherlistat, hogy kiket ne farasszon igy, de ez kevesbe intelligens, mint a PTR rekord alapjan donteni.

OK, menjunk tovabb. Tennek a gepre clamav-ot sanesecurity szignaturakkal felturbozva*, mert az utobbiakkal valamennyi phishing/scam/... szemetet is viruskent tud megjelolni.

Vegul dobjunk ra meg egy olyan spamszurot, ami el is olvassa a levelet: akar spamassassin** (bar ez imho egy kozepes minosegu, de legalabb resource hog megoldas, viszont konnyu sajat szabalyokkal felturbozni), akar egy statisztikai szuro (pl. dspam, c**pf), ami a felismert szemetet mondjuk 30 napig karantenba teszi, a regebbieket automatikusan torli, ill. a userek kb. onkiszolgalo jelleggel ki tudjak onnan szabaditani a fals pozitiv hibakat.

Ja, elvileg a szoveges mellekletekbol ki lehet szedni a szoveget (bar ez eroforrasigenyes) (ne kerdezd, ezt melyik spamszuro csinalja), felteve, hogy nem excel-be tett bmp-rol van szo.

*: meg kene nezni, mennyire aktiv meg ez a projekt
**: vagy helyette ki lehet probalni az rspamd-t, ami kb. egy C-ben ujrairt SA, biztos (=probald ki magad) jo.

--
"dolgozni mar reg nem akarok" - HZuid_7086 'iddqd' zoli berserk mode-ba kapcsol

Nem kell ehhez patch, van remek regexpes megoldás, azaz amikor még postfixeztem volt. :)

Nekem eximben a kedvenc multi-dnsbl-es szolúcióm aprít a legjobban, itt a hupon mindenestül megvan már. :)

A clamavhoz az unofficial-signatures (sigs) csomagot javaslom, abban van néhány extra még. Ezen kívül a google safebrowse-ing db-t is tudja használni (freshclam.conf -ban simán be lehet kapcsolni). Van még egy fizetős clamav aláírás szállító, a SecuriteInfo. Mostanában egészen sok találatot adnak ők is, szóval továbbra is elő fogunk fizetni.

Aztán a jó öreg spamassassin, ott valóban hangolgatni kell, de pl. az SPF és DKIM-et érdemes bekapcsolni. A saját domaineknél pedig elkezdeni használni őket, elsőre az SPF-et, mert azt relatív egyszerű bevezetni.

( andrej_ v | 2018. 09. 25., k – 22:18 )

A küldő fejléceket vagy a szerverlogot érdemes ilyen nagyüzemi témában csekkolni, hogy mégis mi történik. Ahogy írtuk már többen, elsőre SPF és DNSBL vonalon lehet indulni, utána pedig mélyebbre merülni.

A személyes véleményem szerint pusztán 1-1 DNSBL alapján nem jó ötlet visszacsapni maileket, de a Spamassassin remekül tud azokra is pontot adni.