Может кто сталкивался с проблемой пребывания Домена или IP своего почтового сервера в различных RBL, происходит это из-за того, что из внутренней сетки компы, зараженные разной малварью, начинают рассылать спам. Выявлять такие компы на шлюзе можно при помощи команды tcpdump -i fxp0 dst port smtp, наблюдая за выводом этой команды, при помощи определенных критериев, можно, с определенной точностью, определить есть ли хосты которые спамят или нет и какие у них ip-адреса. Возникла мысль создать скрипт, который периодично запускал бы эту команду и по определенным критериям определял спамеров, блокировал в файерволе (вплоть до полного блокирования) и оповещал по почте админа (меня) о появлении спамера. Соответственно хотелось бы узнать, может кто решал аналогичную проблему, а главное нужно определиться с критериями определения спамера (количество попыток отправления писем в единицу времени; размер этой самой единицы времени; количество smtp-серверов, на которые клиент обращается в единицу времени). Было бы интересно узнать кто как думает и услышать конкретные предложения или, если сталкивались со схожей проблемой, решения на эту, столь больную для меня, тему. Также интересует как такую же систему прикрутить к почтовому серверу.
P.S. просьба высказываться только по теме и не валить на неопытность админа (хотя опытным я себя не считаю), и не советовать ставить антивирусы, они стоят, но с задачей со своей не совсем справляются, т.к. руководство - самое уязвимое звено в нашей работе - блокировка отправки почты только со своего сервера - тоже не выход, т.к. есть необходимость отправлять почту с других серверов.
Думаю, что подобная тема будет полезна не только мне, заранее всем спасибо за участие в обсуждении.
|
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
(??) on 10-Сен-08, 23:18 
