The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"огромное кол-во спама"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [ Отслеживать ]

"огромное кол-во спама"  
Сообщение от tyomikh email(??) on 01-Июл-08, 15:37 
Добрый день всем!

настроил почтовый сервачок в небольшой конторе на базе postfix+amavis и заметил, что со временем количество приходящего спама увеличивается в геометрической прогрессии.
скармливаю spamassassin пару раз в месяц образцы спама в количестве 300-1000штук(хама в 10 раз меньше) - не помогает.
пробовал раз в минуту искать в /var/log/maillog адреса, фильтрованные с помощью RBL(spamcop.net,abuseat.org), и добавлять их в таблицу, блокируемую pf(их там уже больше 15тыс) - тоже без особого успеха.
Еще добавил header_checks = regexp:/usr/local/etc/postfix/header_checks  в  main.cf
>cat header_checks

....
/^X-Spam-Status: Yes/   DISCARD
/^\[[0-9]+\]: /         DISCARD
/dsl.*\..*\..*/i        DISCARD AUTO_DSL spam
/[ax]dsl.\.*\..*\..*/   DISCARD AUTO_DSL spam
#/^.*(ppp|pppoe|dsl).*\..*
/^.*pppoe\.avangard-dsl\.ru/ DISCARD AUTO_DSL spam
/^.*pppoe\.mtu-net\.ru/ DISCARD AUTO_DSL spam
/^.*rssp-net\.spb\.ru/ DISCARD AUTO_DSL spam
/^.*@msn\.com/ DISCARD bad sender
/^.*@hotmail\.com/ DISCARD bad sender
/^.*@yahoo\.com/ DISCARD bad sender
#discard emails with too long prefixes of >15 letters in a row:
/^From: .*<[a-zA-Z0-9]{15,}@[a-zA-Z0-9]+(\.[-a-zA-Z0-9]+)*\.[a-zA-Z]{2,4}>/ DISCARD too long prefix
/^Reply-To: .*<[a-zA-Z0-9]{15,}@[a-zA-Z0-9]+(\.[-a-zA-Z0-9]+)*\.[a-zA-Z]{2,4}>/ DISCARD too long prefix
/^Return-path: .*<[a-zA-Z0-9]{15,}@[a-zA-Z0-9]+(\.[-a-zA-Z0-9]+)*\.[a-zA-Z]{2,4}>/ DISCARD too long prefix
/^From: .*[a-zA-Z0-9]{15,}@[a-zA-Z0-9]+(\.[-a-zA-Z0-9]+)*\.[a-zA-Z]{2,4}/ DISCARD too long prefix
/^Reply-To: .*[a-zA-Z0-9]{15,}@[a-zA-Z0-9]+(\.[-a-zA-Z0-9]+)*\.[a-zA-Z]{2,4}/ DISCARD too long prefix
/^Return-path: .*[a-zA-Z0-9]{15,}@[a-zA-Z0-9]+(\.[-a-zA-Z0-9]+)*\.[a-zA-Z]{2,4}/ DISCARD too long prefix
#Discard email from foreign domains:
/^(F|f)rom: .*<[-_.a-zA-Z0-9]+@[a-zA-Z0-9]+(\.[-a-zA-Z0-9]+)*\.(edu|us|gov|uk|ca|it|fr|de|jp|cz|sw|yu|uy|es|ca|br|au|lv|tw|ac|pl|tn|th|si|ar|hu|dk|be|nl|ee|hu|in|gr|tr|il|at|ro|za|no|pt|net|org)>/ DISCARD FOREIGNERZ
/^.*(F|f)rom: .*<[-_.a-zA-Z0-9]+@[a-zA-Z0-9]+(\.[-a-zA-Z0-9]+)*\.(edu|us|gov|uk|ca|it|fr|de|jp|cz|sw|yu|uy|es|ca|br|au|lv|tw|ac|pl|tn|th|si|ar|hu|dk|be|nl|ee|hu|in|gr|tr|il|at|ro|za|no|pt|net|org)>/ DISCARD FOREIGNERZ
....
в итоге сервер все равно устанавливает соединения и с ppp/adsl клиентами и с забугорными доменами :( хотелось бы чтобы он их сразу отфутболивал
Подскажите плз наиболее эффективный способ фильтрации еще на этапе установки соединения, поскольку, хоть после проверки спам частично отсеивается, но трафик сильно отжирает.

и еще вопрос:
корректно ли я делаю когда скармливаю спам и хам следующим образом:
в аутглюке с помощью drag'n'drop перетаскиваю сообщения в папку, там образуется куча *.msg файлов, я их переименовываю чтобы исключить русские буквы в названии файла и заливаю на сервер, там "sa-learn --progress --spam /folder/to/spam/messages"
смущает, понимает ли spamassassin при обучении кодировку, в которой аутлук сохраняет *.msg файлы.

заранее спасибо за помощь!

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "огромное кол-во спама"  
Сообщение от tyomikh email(ok) on 01-Июл-08, 17:25 
кстати заметил еще: спаммеры успевают за минуту между обработками maillog и обновлениями таблицы блокируемых с помощью pf отправителей послать десятки писем:
# grep "Blocked - see http://cbl.abuseat.org/lookup.cgi?" /var/log/maillog | awk '{print $17}' | uniq -c | sort -rn | head

  97 [79.189.130.170]
  51 [86.102.237.122]
  47 [89.216.50.217]
  35 [122.160.65.72]
  28 [91.188.146.124]
  27 [85.172.19.33]
  26 [91.188.146.124]
  25 [79.139.141.51]
  19 [189.31.106.100]
  18 [89.163.111.159]

Т.е. потом то они, конечно, будут заблокированы, но трафик, гады, съедают :(

Можно ли как-то ограничивать количество сессий от одного отправителя(хоста) в минуту(например до разумной 1 сессии)?
простое ограничение сессий не годится, т.к. легитимным отправителям вполне вероятно будет отказано в облуживании

прочитал на http://www.postfix.org/rate.html

>Unfortunately, the Postfix SMTP server does not yet know how to limit the number of connections  from the same client, other than by limiting the total number of SMTP server processes

ЖАЛЬ! :(

но можно попробовать решить эту проблему с помощью pf:
http://www.bgnett.no/~peter/pf/en/bruteforce.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "огромное кол-во спама"  
Сообщение от vagif on 01-Июл-08, 17:32 
>Добрый день всем!
>
>настроил почтовый сервачок в небольшой конторе на базе postfix+amavis и заметил, что
>со временем количество приходящего спама увеличивается в геометрической прогрессии.
>скармливаю spamassassin пару раз в месяц образцы спама в количестве 300-1000штук(хама в
>10 раз меньше) - не помогает.

поставь Greylist http://wiki.zeynalov.com/vagif:docs:freebsd:sendmail:greylist
количество спама уменьшится на 99.99%!
я сам не ожидал такого результата ;-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "огромное кол-во спама"  
Сообщение от tyomikh email(ok) on 03-Июл-08, 14:19 
Объясните мне плз еще:
как может быть amavis[93170]:...Passed CLEAN...
когда Hits: 6.215
и при этом grep required_score /usr/local/etc/mail/spamassassin/local.cf: required_score 3.0
?!?!?!
как спаммеры умудряются пролезать?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "огромное кол-во спама"  
Сообщение от vagif on 03-Июл-08, 14:47 
>Объясните мне плз еще:

...
>как спаммеры умудряются пролезать?

поставь greylist и не ломай голову... до spamassin'а дело просто не будет доходить ;-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "огромное кол-во спама"  
Сообщение от tyomikh email(ok) on 03-Июл-08, 15:29 

>поставь greylist и не ломай голову... до spamassin'а дело просто не будет
>доходить ;-)

я планирую, просто хочу 2 дня выждать, чтобы с помощью mailgraph отследить после инсталляции изменившееся кол-во сообщений

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "огромное кол-во спама"  
Сообщение от vagif on 16-Июл-08, 00:14 
>
>>поставь greylist и не ломай голову... до spamassin'а дело просто не будет
>>доходить ;-)
>
>я планирую, просто хочу 2 дня выждать, чтобы с помощью mailgraph отследить
>после инсталляции изменившееся кол-во сообщений

во, посмотри http://munin.zeynalov.com/local/mailrelay.local.html прикрутил munin, чтобы визуально было видно кто сколько спама ловит

тут четко видно, что greylist рубит практически все на корню! ;-)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру