Может кто сталкивался с проблемой пребывания Домена или IP своего почтового сервера в различных RBL, происходит это из-за того, что из внутренней сетки компы, зараженные разной малварью, начинают рассылать спам. Выявлять такие компы на шлюзе можно при помощи команды tcpdump -i fxp0 dst port smtp, наблюдая за выводом этой команды, при помощи определенных критериев, можно, с определенной точностью, определить есть ли хосты которые спамят или нет и какие у них ip-адреса. Возникла мысль создать скрипт, который периодично запускал бы эту команду и по определенным критериям определял спамеров, блокировал в файерволе (вплоть до полного блокирования) и оповещал по почте админа (меня) о появлении спамера. Соответственно хотелось бы узнать, может кто решал аналогичную проблему, а главное нужно определиться с критериями определения спамера (количество попыток отправления писем в единицу времени; размер этой самой единицы времени; количество smtp-серверов, на которые клиент обращается в единицу времени). Было бы интересно узнать кто как думает и услышать конкретные предложения или, если сталкивались со схожей проблемой, решения на эту, столь больную для меня, тему. Также интересует как такую же систему прикрутить к почтовому серверу.
P.S. просьба высказываться только по теме и не валить на неопытность админа (хотя опытным я себя не считаю), и не советовать ставить антивирусы, они стоят, но с задачей со своей не совсем справляются, т.к. руководство - самое уязвимое звено в нашей работе - блокировка отправки почты только со своего сервера - тоже не выход, т.к. есть необходимость отправлять почту с других серверов.
Думаю, что подобная тема будет полезна не только мне, заранее всем спасибо за участие в обсуждении.
>[оверквотинг удален]
>со схожей проблемой, решения на эту, столь больную для меня, тему.
>Также интересует как такую же систему прикрутить к почтовому серверу.
>P.S. просьба высказываться только по теме и не валить на неопытность админа
>(хотя опытным я себя не считаю), и не советовать ставить антивирусы,
>они стоят, но с задачей со своей не совсем справляются, т.к.
>руководство - самое уязвимое звено в нашей работе - блокировка отправки
>почты только со своего сервера - тоже не выход, т.к. есть
>необходимость отправлять почту с других серверов.
>Думаю, что подобная тема будет полезна не только мне, заранее всем спасибо
>за участие в обсуждении.Юзаю FreeBSD и сделал вот так: http://www.qwe.net.ua/index.php?publication=antispam
Для меня это решение было удобным, сейчас правда ещё не доработал сотрудничество этого скрипта с ipfw и pf. Впринципе несложно отточить и под Linux, если будет необходимость и/или желающие.Суть скрипта в анализе логов почтового трафика (исходящего) и соответственно в мерах по отношению к тем, кто преступает критерий по числу соединений к различным хостам. Отрабатывает из крона 1 раз в минуту. После того, как в кроне стал вызывать раз в минуту вместо раза в 5 минут, в рбл больше не попадал.
>Юзаю FreeBSD и сделал вот так: http://www.qwe.net.ua/index.php?publication=antispam
>Для меня это решение было удобным, сейчас правда ещё не доработал сотрудничество
>этого скрипта с ipfw и pf. Впринципе несложно отточить и под
>Linux, если будет необходимость и/или желающие.
>
>Суть скрипта в анализе логов почтового трафика (исходящего) и соответственно в мерах
>по отношению к тем, кто преступает критерий по числу соединений к
>различным хостам. Отрабатывает из крона 1 раз в минуту. После того,
>как в кроне стал вызывать раз в минуту вместо раза в
>5 минут, в рбл больше не попадал.огромное спасибо за подсказку, в статье именно то что мне было нужно, буду дружить с ipfw!