появилась нужда бороться с исходящим спамом. Для сети стоит почтовый сервер, который так же используют как релей. Руками ловить и наказывать как-то не в стиле XXI века. К тому же в большинстве случаев его рассылают боты и вирусы. Есть ли опыт у кого-то по этой теме.
Пробовал использовать SpamAssassin, но письма то уходят, а блокировать по оценке спамости :) бывает рисковано.Сделать smtp-авторизацию не предлагать :)
>появилась нужда бороться с исходящим спамом. Для сети стоит почтовый сервер, который
>так же используют как релей. Руками ловить и наказывать как-то не
>в стиле XXI века. К тому же в большинстве случаев его
>рассылают боты и вирусы. Есть ли опыт у кого-то по этой
>теме.
>Пробовал использовать SpamAssassin, но письма то уходят, а блокировать по оценке спамости
>:) бывает рисковано.
>
>Сделать smtp-авторизацию не предлагать :)
1) Сделать rate-limit на каждый IP адрес
2) Действительно руками грепать лог каждый час, отправлять себе письмо кто чего понаотправлял и бежать с паяльником к нему.
>>появилась нужда бороться с исходящим спамом. Для сети стоит почтовый сервер, который
>>так же используют как релей. Руками ловить и наказывать как-то не
>>в стиле XXI века. К тому же в большинстве случаев его
>>рассылают боты и вирусы. Есть ли опыт у кого-то по этой
>>теме.
>>Пробовал использовать SpamAssassin, но письма то уходят, а блокировать по оценке спамости
>>:) бывает рисковано.
>>
>>Сделать smtp-авторизацию не предлагать :)
>
>
>1) Сделать rate-limit на каждый IP адрес
>2) Действительно руками грепать лог каждый час, отправлять себе письмо кто чего
>понаотправлял и бежать с паяльником к нему.Может можно dspam какнить настроить фильтровать уходящую почту ? Мне кстати тоже очень нуна, попробую завтра ...
Очень эффективно работают административные меры - это раз.
Ну и два - на каждоом компе по фаерволу, умеющему блокировать по приложению.
Еще вариант: смотреть по исходящему трафу и вслучае значительного превышения над входящим блокировать этот комп. до выяснения :)
dspam больше подходит для входящих писем... можно делать отдельные фильтры для каждого ящика и т.п.грепать каждый час лог тоже не очень.... за 5 мин можно отправить столько, что потом будешь ИП вытаскивать из блэклистов очень долго.
Я больше склоняюсь к SpamAssassin и грепать нужно именно его логи, а в последствии административные меры.
Но у меня в упор не получается завернуть трафик на локальной машине на spamd (сам релей - это другой сервер). Вот хочу задать вопрос: можно ли настроить такой себе прокси-фильтр, чтобы фильтровать ВЕСЬ исходящий smtp-трафик (даже если соедин. с другими серверами)?
SA настроен, spamd напущен, проверил его работу с помощью spamc, но вариант
iptables -t nat -A PREROUTING -s 10.0.0.0/8 -p tcp --dport 25 -j REDIRECT --to-port 783
в упор не работает. А должен ли работать в принципе? или без MTA никак?
spamd действительно висит на 783 порту.
Административные меры не всегда помогают, у меня например, так, если вдруг ктото стам спамить то это косяк скорее админов, чем юзеров. Помогает sav на каждом клиенте. Вообще это проблема ...
можно написать скрипт который будет отслеживать по логам
какое кол-во писем отправленно с IP за определённое время.тоесть к примеру можно отослать 5 писем в минуту с одного IP,
если отсылают больше то блокировать IP до выяснения.
>можно написать скрипт который будет отслеживать по логам
>какое кол-во писем отправленно с IP за определённое время.
>
>тоесть к примеру можно отослать 5 писем в минуту с одного IP,
>
>если отсылают больше то блокировать IP до выяснения.
почитать выше что написали про rate limit не судьба? тем более во вменяемых мэйлерах ничего писать не надо - все есть. включается одной строкой.
>>можно написать скрипт который будет отслеживать по логам
>>какое кол-во писем отправленно с IP за определённое время.
>>
>>тоесть к примеру можно отослать 5 писем в минуту с одного IP,
>>
>>если отсылают больше то блокировать IP до выяснения.
>
>
>почитать выше что написали про rate limit не судьба? тем более во
>вменяемых мэйлерах ничего писать не надо - все есть. включается одной
>строкой.да читал... вот только не понимаю, что вы там хотите ограничивать.......
без статистической оценки содержимого письма я себе этой борьбы не представляю...
А всякие ограничения только могут незначительно уменьшить количество рассылок
если ошибаюсь, пожалуйста поправьте
>>>можно написать скрипт который будет отслеживать по логам
>>>какое кол-во писем отправленно с IP за определённое время.
>>>
>>>тоесть к примеру можно отослать 5 писем в минуту с одного IP,
>>>
>>>если отсылают больше то блокировать IP до выяснения.
>>
>>
>>почитать выше что написали про rate limit не судьба? тем более во
>>вменяемых мэйлерах ничего писать не надо - все есть. включается одной
>>строкой.
>
>да читал... вот только не понимаю, что вы там хотите ограничивать.......
>
>без статистической оценки содержимого письма я себе этой борьбы не представляю...
>А всякие ограничения только могут незначительно уменьшить количество рассылок
>если ошибаюсь, пожалуйста поправьтеrate limit на кол-во писем в единицу времени с одного IP адреса.
Стоит 30/час прекрасно отсекает доморощенных спамеров и затрояненные машины. наружу успевает пролезть одно-десять максимум, с учетом того что рассылка ведется на 50% дохлых адресов.
>rate limit на кол-во писем в единицу времени с одного IP адреса.
>
>Стоит 30/час прекрасно отсекает доморощенных спамеров и затрояненные машины. наружу успевает пролезть
>одно-десять максимум, с учетом того что рассылка ведется на 50% дохлых
>адресов.1. И где в Postfix такое ограничение?
2. Если клиенты под NAT, а почтовый сервер не есть тем сервером доступа где этот самый НАТ осуществляется, то ИП у них один...
>>rate limit на кол-во писем в единицу времени с одного IP адреса.
>>
>>Стоит 30/час прекрасно отсекает доморощенных спамеров и затрояненные машины. наружу успевает пролезть
>>одно-десять максимум, с учетом того что рассылка ведется на 50% дохлых
>>адресов.
>
>1. И где в Postfix такое ограничение?
>2. Если клиенты под NAT, а почтовый сервер не есть тем сервером
>доступа где этот самый НАТ осуществляется, то ИП у них один...
>
покажите в условии задачи постфикс?
http://www.exim.org/exim-html-4.62/doc/html/spec_html/ch39.h...
и лимиты там разные.
>покажите в условии задачи постфикс?
>http://www.exim.org/exim-html-4.62/doc/html/spec_html/ch39.h...
>и лимиты там разные.Даже сменить MTA не проблема... Не НАТить тех кто отсылает почту тоже...
Но все же решение неполное.. Хотелось бы спам-прокси на spamd сделать..............
>Но все же решение неполное.. Хотелось бы спам-прокси на spamd сделать..............
и положить машину спамассасином?
он чрезвычайно прожорлив к ресурсам.
>>Но все же решение неполное.. Хотелось бы спам-прокси на spamd сделать..............
>
>
>и положить машину спамассасином?
>он чрезвычайно прожорлив к ресурсам.хм... Exim4 и SA очень даже хорошо интегрируются. В Debian есть пакет sa-exim. Будем комбинировать и то и другое. Спасибо.
>>можно написать скрипт который будет отслеживать по логам
>>какое кол-во писем отправленно с IP за определённое время.
>>
>>тоесть к примеру можно отослать 5 писем в минуту с одного IP,
>>
>>если отсылают больше то блокировать IP до выяснения.
>
>
>почитать выше что написали про rate limit не судьба? тем более во
>вменяемых мэйлерах ничего писать не надо - все есть. включается одной
>строкой.
rate limit -- это на все письма. Читайте внимательно условия задачи!
перечитайте ещё раз заголовок.
>
>rate limit -- это на все письма. Читайте внимательно условия задачи!
>перечитайте ещё раз заголовок.
читаю:
The ratelimit ACL condition can be used to measure and control the rate at which clients can send email. This is more powerful than the smtp_ratelimit_* options, because those options control the rate of commands in a single SMTP session only, whereas the ratelimit condition works across all connections (concurrent and sequential) from the same client host.это не на все письма, это на письма от конкретного IP, кстати можно делать просто delay.
вообщем ясно, линк не читал.
>это не на все письма, это на письма от конкретного IP, кстати
>можно делать просто delay.
>вообщем ясно, линк не читал.Уже прочитал :-)
да действительно с ratelimit на все письма я ошибся.
это то что я предлагал, просто это уже написали
ratelimit = <m> / <p> / <options> / <key>
There is a script in util/ratelimit.pl which extracts sending rates from log files, to assist with choosing appropriate settings for m and p when deploying the ratelimit ACL condition. The script prints usage instructions when it is run with no arguments
>Сделать smtp-авторизацию не предлагать :)Дык smtp-авторизацию может? Сложно клиентов перестроить, или чего?
>>Сделать smtp-авторизацию не предлагать :)
>
>Дык smtp-авторизацию может? Сложно клиентов перестроить, или чего?не все клиенты имеют почтовый ящик, но многие пользуются нашим смтп для отправки писем, т.к. многие попереходили от других провайдеров к нам и посему почту принимать могут на сервере старого провайдера, а отправлять - нет. У нас аналогично: smtp только для клиентов. Трудность в том, что тогда всем абсолютно придется делать экаунты.
НО, это еще одно, что не помешало бы сделать..........