URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 91630
[ Назад ]

Исходное сообщение
"Postfix - помогите отфильтровать спам"

Отправлено ant0xa , 24-Май-11 09:05 
Начал приходить спам с такими заголовками (после приёма ексченджем):

Received: from mail.domain.ru (10.1.xxx.xxx) by exchange.local.RU (10.1.xxx.yyy)
with Microsoft SMTP Server id 8.3.83.0; Tue, 24 May 2011 07:43:59 +0400
Received: from mail.domain.ru (localhost [127.0.0.1])    by mail.domain.ru
(Postfix) with ESMTP id 230FE17037;    Tue, 24 May 2011 07:43:57 +0400 (MSD)
Received: by mail.domain.ru (Postfix, from userid 3001)    id 5B3E317036; Tue,
24 May 2011 07:43:56 +0400 (MSD)
X-Spam-Flag: YES
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on smtp-proxy.local.ru
X-Spam-Level: ********
X-Spam-Status: Yes, score=8.8 required=5.0 tests=BAYES_99,FH_FROMEML_NOTLD,
    HEAD_LONG,HTML_MESSAGE,RDNS_NONE autolearn=no version=3.2.5
X-Spam-Report: *  3.5 BAYES_99 BODY: Bayesian spam probability is 99 to 100%
    *      [score: 1.0000]
    *  2.7 FH_FROMEML_NOTLD E-mail address doesn't have TLD (.com, etc.)
    *  2.5 HEAD_LONG Message headers are very long
    *  0.0 HTML_MESSAGE BODY: HTML included in message
    *  0.1 RDNS_NONE Delivered to trusted network by a host with no rDNS
Received: from [123.17.209.51] (unknown [123.17.209.51])    by mail.domain.ru
(Postfix) with ESMTP id F041317033;    Tue, 24 May 2011 07:43:48 +0400 (MSD)
Subject: ****SPAM**** =?koi8-r?B?0kDT09nMy8k=?=
From: <">>>>>>>>>>"@mail.domain.ru>
To: <user1@domain.ru>, <user2@domain.ru>
Date: Mon, 23 May 2011 20:44:25 -0700
Message-ID: <23382703.20110523204425@dorodnikov.ru>
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_0025_01C510PE.J7PYFYO0"
X-Priority: 3 (Normal)
X-Mailer: MyBB mailer
X-Spam-Prev-Subject: =?koi8-r?B?0kDT09nMy8k=?=
X-Virus-Scanned: ClamAV using ClamSMTP
Return-Path: renovator@dorodnikov.ru
X-MS-Exchange-Organization-SCL: 9

Валится естественно с разных доменов. Хотелось бы зафильтровать этот спам в header_checks по полю
From: <">>>>>>>>>>"@mail.domain.ru>

пытаюсь делать так:

/^From:.*mail.domain.ru/ REJECT
/^From:.*\"(>>)*\"/ REJECT


не то не то не срабатывает.


Содержание

Сообщения в этом обсуждении
"Postfix - помогите отфильтровать спам"
Отправлено ipmanyak , 24-Май-11 15:55 
RBL  вы принципиально не хотите использовать?
Хост 123.17.209.51 находится в 10-ке спамбаз, можете убедиться в этом сами тут
http://whatismyipaddress.com/blacklist-check
введя нужный этот ip и подождав полминуты
При использовани RBL этот хост был бы зарублен на уровне DNS и дело до ваших настроек антиспама вообще бы не дошло и трафик бы сэкономили и время.
что-то типа:
smtpd_client_restrictions = reject_rbl_client zen.spamhaus.org
maps_rbl_reject_code = 550
не всё, но очень много спама убьете на уровне DNS.

P.S не сразу обратил внимание, что у вас сначала эксчага принимает. Почему не наоборот. Да и в эксчаге, начиная, кажется с 2003, можно юзать  RBL (ака DNSBL).



"Postfix - помогите отфильтровать спам"
Отправлено ant0xa , 24-Май-11 16:28 
>[оверквотинг удален]
> При использовани RBL этот хост был бы зарублен на уровне DNS и
> дело до ваших настроек антиспама вообще бы не дошло и трафик
> бы сэкономили и время.
> что-то типа:
> smtpd_client_restrictions = reject_rbl_client zen.spamhaus.org
> maps_rbl_reject_code = 550
> не всё, но очень много спама убьете на уровне DNS.
> P.S не сразу обратил внимание, что у вас сначала эксчага принимает. Почему
> не наоборот. Да и в эксчаге, начиная, кажется с 2003, можно
> юзать  RBL (ака DNSBL).

Раньше использовал, но множество нужных для работы серверов туда периодически попадают (ловят троянов как правило). Количество таких контор большое так что вручную разрешать не вариант. Из-за этого отказался от RBL. SpamAssassin его отлично распознаёт как спам, но хотелось бы чтоб оно вообще для эксченджа не доходило. Интересует решение именно на уровне фильтров postfix.

З.Ы. Сначала принимает Postfix, просто заголовки из письма уже принятого эксченджем.


"Postfix - помогите отфильтровать спам"
Отправлено Дядя_Федор , 24-Май-11 20:28 
> Раньше использовал, но множество нужных для работы серверов туда периодически попадают
> (ловят троянов как правило). Количество таких контор большое так что вручную
> разрешать не вариант. Из-за этого отказался от RBL. SpamAssassin его отлично
> распознаёт как спам, но хотелось бы чтоб оно вообще для эксченджа
> не доходило. Интересует решение именно на уровне фильтров postfix.

Ну дык елы-палы! Влепите до РБЛов проверку в файле типа /etc/postfix/whitelist! И пишите туда (или в формате pcre, или в формате hash) нужные Вам IP (сети). Это же элементарно, Ватсон. :)


"Postfix - помогите отфильтровать спам"
Отправлено ant0xa , 25-Май-11 09:06 
>> Раньше использовал, но множество нужных для работы серверов туда периодически попадают
>> (ловят троянов как правило). Количество таких контор большое так что вручную
>> разрешать не вариант. Из-за этого отказался от RBL. SpamAssassin его отлично
>> распознаёт как спам, но хотелось бы чтоб оно вообще для эксченджа
>> не доходило. Интересует решение именно на уровне фильтров postfix.
>  Ну дык елы-палы! Влепите до РБЛов проверку в файле типа /etc/postfix/whitelist!
> И пишите туда (или в формате pcre, или в формате hash)
> нужные Вам IP (сети). Это же элементарно, Ватсон. :)

Это неудобно и дядьки большие ругаются. Контор таких слишком много чтоб следить за всеми. В общем RBL неприемлем вообще.

З.Ы.: как по полю From фильтровать кто-нибудь сможет подсказать.


"Postfix - помогите отфильтровать спам"
Отправлено Дядя_Федор , 25-Май-11 14:31 
> З.Ы.: как по полю From фильтровать кто-нибудь сможет подсказать.

У Вас просто неправильно pcre-выражение. :) На мой взгляд - правильнее написать вот так:
/^From:.*mail.domain.ru.*/ REJECT
Ну и, разумеется, файл, в котором это все описано, должен быть указан в одном из правил постфикса в main.cf. Боюсь ошибиться, но это должно быть вот тут:
smtpd_data_restrictions =



"Postfix - помогите отфильтровать спам"
Отправлено ant0xa , 30-Май-11 10:40 
>> З.Ы.: как по полю From фильтровать кто-нибудь сможет подсказать.
>  У Вас просто неправильно pcre-выражение. :) На мой взгляд - правильнее
> написать вот так:
> /^From:.*mail.domain.ru.*/ REJECT
> Ну и, разумеется, файл, в котором это все описано, должен быть указан
> в одном из правил постфикса в main.cf. Боюсь ошибиться, но это
> должно быть вот тут:
> smtpd_data_restrictions =

Пробовал - не помогает почему-то.