URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 89420
[ Назад ]

Исходное сообщение
"Sendmail блокирование спама по Subject"

Отправлено HanTengry , 21-Июл-10 19:38 
Подскажите пожалуйста как заблокировать последовательность символов xxxxVIAGRAxxxx.
То есть НЕ слова с пробелами по краям, а последовательность символов в каком-то слове.

1) Есть такое решение(источник:http://linux.ufaras.ru/intro.html):
SCheck_Subject
R$* VIAGRA $*                $#error $: "554 Sorry, you cannot send the letter."
Только у меня его переделать не получается..
Пробовал так:R$*VIAGRA$* - не срабатывает.

2) А это(http://ism.tup.km.ua/email/spam_feat.html) решение блокирует только по словам? или по последовательности символов?  

KSPAMSUBJECT regex -aCONTAINSSHIT love|sex|!!!|penis|SEXUALLY|she|games|money|porn|Ladies|price|Dollar|Music

HSubject: $>CheckSubject

SCheckSubject
R$*                                     $: $(storage {SubjeckCheck} $@ OK $) $1
R$*                                     $: $(SPAMSUBJECT $1 $)
R$*CONTAINSSHIT      $#error $: "550 5.7.1 Subject denied"
R$*                                     $@ OK

Scheck_eoh
# Check the macro
R$*                                      $: < $&{SubjeckCheck} >
# Clear the macro for the next message
R$*                                      $: $(storage {SubjeckCheck} $) $1
# Has a Subject: header
R< $+ >                              $@ OK
R$*                                     $#error $: "550 5.7.1 Subject null"


Содержание

Сообщения в этом обсуждении
"Sendmail блокирование спама по Subject"
Отправлено dicty , 22-Июл-10 01:33 
>Подскажите пожалуйста как заблокировать последовательность символов xxxxVIAGRAxxxx.

Лучше прописать в конфиге DNSBL-ы. Спам с виагрой точно приходит от зараженных машин, которые даавно уже в этих базах. Я так 85-90% отсеваю. Ложных срабатываний за полгода нет :)


"Sendmail блокирование спама по Subject"
Отправлено HanTengry , 22-Июл-10 06:13 
>>Подскажите пожалуйста как заблокировать последовательность символов xxxxVIAGRAxxxx.
>
>Лучше прописать в конфиге DNSBL-ы. Спам с виагрой точно приходит от зараженных
>машин, которые даавно уже в этих базах. Я так 85-90% отсеваю.
>Ложных срабатываний за полгода нет :)

У меня эти базы подключены, только как я понял спамеры эти через dial up работают. Я знаю про другие возможности проверки, занимаюсь, просто это еще одна линия обороны..хочеться сделать ее поэффективнее.


"Sendmail блокирование спама по Subject"
Отправлено HanTengry , 22-Июл-10 08:41 
2) Почему-то это решение всегда выдает Subject null? Отправлял заголовки в которых не было упомянутых слов все равно Subject null?

KSPAMSUBJECT regex -aCONTAINSSHIT love|sex|!!!|penis|SEXUALLY|she|games|money|porn|Ladies|price|Dollar|Music

HSubject: $>CheckSubject

SCheckSubject
R$*                                     $: $(storage {SubjeckCheck} $@ OK $) $1
R$*                                     $: $(SPAMSUBJECT $1 $)
R$*CONTAINSSHIT      $#error $: "550 5.7.1 Subject denied"
R$*                                     $@ OK

Scheck_eoh
# Check the macro
R$*                                      $: < $&{SubjeckCheck} >
# Clear the macro for the next message
R$*                                      $: $(storage {SubjeckCheck} $) $1
# Has a Subject: header
R< $+ >                              $@ OK
R$*                                     $#error $: "550 5.7.1 Subject null"


"Sendmail блокирование спама по Subject"
Отправлено dicty , 23-Июл-10 15:26 

>У меня эти базы подключены, только как я понял спамеры эти через
>dial up работают. Я знаю про другие возможности проверки, занимаюсь, просто
>это еще одна линия обороны..хочеться сделать ее поэффективнее.

У меня еще есть проверка на MX записи, задержка 30 секунд при отправке и.. еще что-то. Стянул настройки откуда-то, заработали.
Мой конфиг:
divert(0)
VERSIONID(`$FreeBSD: src/etc/sendmail/freebsd.mc,v 1.34.2.1 2007/11/22 16:19:40 gshapiro Exp $')
OSTYPE(freebsd6)
DOMAIN(generic)

FEATURE(access_db, `hash -o -T<TMPF> /etc/mail/access')
FEATURE(blacklist_recipients)
FEATURE(local_lmtp)
FEATURE(`local_procmail')dnl
FEATURE(mailertable, `hash -o /etc/mail/mailertable')
FEATURE(virtusertable, `hash -o /etc/mail/virtusertable')
FEATURE(`dnsbl',`dul.ru',` SPAM Use mail relays of your ISP')
FEATURE(`dnsbl',`cbl.abuseat.org',`"Spam blocked see: http://cbl.abuseat.org/lookup.cgi?ip="$&{client_addr}')
FEATURE(`dnsbl',`zen.spamhaus.org',`"Spam blocked see: http://www.spamhaus.org/query/bl?ip="$&{client_addr}')
FEATURE(`dnsbl',`bl.spamcop.net',`"Spam blocked see: http://spamcop.net/bl.shtml?"$&{client_addr}')
FEATURE(`badmx')dnl
FEATURE(`block_bad_helo')dnl
FEATURE(`delay_checks')dnl
FEATURE(`greet_pause', `30000')dnl 30 seconds

dnl Uncomment to allow relaying based on your MX records.
dnl NOTE: This can allow sites to use your server as a backup MX without
dnl       your permission.
dnl FEATURE(relay_based_on_MX)

dnl DNS based black hole lists
dnl --------------------------------
dnl DNS based black hole lists come and go on a regular basis
dnl so this file will not serve as a database of the available servers.
dnl For that, visit
dnl http://directory.google.com/Top/Computers/Internet/Abuse/Spa.../

dnl Uncomment to activate Realtime Blackhole List
dnl information available at http://www.mail-abuse.com/
dnl NOTE: This is a subscription service as of July 31, 2001
dnl FEATURE(dnsbl)
dnl Alternatively, you can provide your own server and rejection message:
dnl FEATURE(dnsbl, `blackholes.mail-abuse.org', `"550 Mail from " $&{client_addr} " rejected, see http://mail-abuse.org/cgi-bin/lookup?" $&{client_addr}')

define(`confBAD_RCPT_THROTTLE', `1')dnl
define(`confMAX_RCPTS_PER_MESSAGE', `20')dnl

dnl Dialup users should uncomment and define this appropriately
dnl define(`SMART_HOST', `your.isp.mail.server')

dnl Uncomment the first line to change the location of the default
dnl /etc/mail/local-host-names and comment out the second line.
dnl define(`confCW_FILE', `-o /etc/mail/sendmail.cw')
define(`confCW_FILE', `-o /etc/mail/local-host-names')

dnl Enable for both IPv4 and IPv6 (optional)
DAEMON_OPTIONS(`Name=IPv4, Family=inet')
dnl DAEMON_OPTIONS(`Name=IPv6, Family=inet6, Modifiers=O')

define(`confBIND_OPTS', `WorkAroundBrokenAAAA')
define(`confNO_RCPT_ACTION', `add-to-undisclosed')
define(`confPRIVACY_FLAGS', `authwarnings,noexpn,novrfy')
MAILER(procmail)dnl
MAILER(local)
MAILER(smtp)


"Sendmail блокирование спама по Subject"
Отправлено MAx , 23-Июл-10 16:53 
Есть много замечательных слов из спамерской лексики - Cialis, Vi@agra, Diplomat, Передайте бухгалтеру, Переезды и еще несколько тысяч. Блокировка по спискам не поможет и даже вредна (сейчас начнется holy war) - почти весь спам рассылается с зараженных троянами компьютеров или со специально созданных сайтов (эти сайты быстро закрываются и  быстро создаются шустрыми ручками ПТУшников).

Эффективные методы защиты, не использующие спам-фильтры:
- greylisting - не пропускает спам с зараженных машин и с сайтов-рассыльщиков, но возникает задержка в приходе почты.
- защита по протоколу - почтовый сервер должен назвать свое имя, оно не может быть похожим например, на static-63-131-13-19.gra.choiceone.net. У почтового сервера должна быть A и MX записи и это можно проверить, почтовый сервер должен вести диалог.
У меня эти методы дают, примерно, 98% защиту. Остается спам, который приходит с неправильно настроенных почтовых серверов и вручную рассылаемый спам.


"Sendmail блокирование спама по Subject"
Отправлено tux2002 , 26-Июл-10 18:16 
Перечитывая RFC2822 я пришёл к выводу, что серверу не рекомендуется отказывать в приеме письма после команды DATA кроме как по технической причине. Поэтому на своей работе я использую exim  в связке с SpamAssasin. Спам фильтр не блокирует почту, а лишь выставляет оценку в заголовках. Пользователь почты в своей почтовой программе может настроить фильтрацию по заголовкам на своё усмотрение.



"Sendmail блокирование спама по Subject"
Отправлено DeadLoco , 26-Июл-10 18:23 
>Перечитывая RFC2822 я пришёл к выводу, что серверу не рекомендуется отказывать в
>приеме письма после команды DATA кроме как по технической причине. Поэтому
>на своей работе я использую exim  в связке с SpamAssasin.
>Спам фильтр не блокирует почту, а лишь выставляет оценку в заголовках.
>Пользователь почты в своей почтовой программе может настроить фильтрацию по заголовкам
>на своё усмотрение.

Не рекомендуется =/= запрещается.

Аналогично вызываю СА из data_acl лишь для выставления оценки. Причем, если СА<=min, то письмо с неизмененными хедерами сбрасывается в ящик, если min<CA<=max, то письмо кладется в "Спам", а если max<CA, то делается дефер с баунсом. Однозначную идентификацию письма, как спам, вполне можно считать уважительной технической причиной для дефера.