spam filter
2567
13
Хай всем
Тут сегодня перебирал спам, дабы обучать своего постфикса по байесану.
И что то порядка 60% всего спама имеет в себе обратный адрес *@seznam.cz
Что бы это могло означать?

---
Full
-------
Hажмите мышь. Что значит "yбежала" ?!
Full
Что этот домен - окрытый релей?
Stalker
Дык шлются с кучи адресов, которые не совпадают с айпишником сервера
Еще такой же t-online.de

ЛЮДИ!!! хелп что ли...
Из 433 писем, пришедших ко мне за сутки, только 103 не спам.
И еще 1279 было отброшено по несоответствию dns-ip
И еще 48 было отброшено по черным спискам (dnsbl)
Но ведь 330 то я получил!!!
Как бы их килять сразу?

---
Full
-------
Здравоохренение
Full
Дык этого, того, у тя на постфиксе чво за фильтр стоит-то?
У мя, вот, стоит Spamassassin - режет кучу спама (процентов 90 - на вскидку). И это не считая того, что модуль Байеса я ещё не обучил - и он не участвует в фильтрации...
Stalker
ну насколько я понял вопль вопиющего в пустыне был малость в другом ракурсе. а именно как отсекать спам _ДО_ его приема т.к. траффик то не халявный Ж-(
бибизяны это всё хорошо..но они шерстят уже принятую почту. а от всяких релеев только rbl и спасает самую малость. ну ещё позакрывал нафик всякие yahoo.de и прочие hotmailы.
мерзкая статистика по спаму в целом. а если ещё и приплюсовать сюда траффик от всяких почтовых вирей которые теперь тоже юзают спам-технологии то не удивлюсь что почтовый траффик с начала года вырос в 2 раза, а % полезных писем при этом остался как был на начало года Ж-((((((
Full
то, что у большинства писем такой обратный адрес ни о чем не говорит:

в поле "from" или "replay to" можно поставить, что угодно.

(хотя нет. говорит о том, что спамерам почему-то понравился такой домен,

вот они и ставят его в качестве обратного адреса).

смотреть надо только на тот ip-адрес, с которого пришло письмо на твой сервер,

остальной заголовок может быть также подделкой.



как бороться... по-моему, только так (говорю про postfix, если кто знает

про sendmail и qmail, может, поделятся):



1) запретить прием писем от "неизвестных" клиентов, т.е. тех, у которых

отсутствует обратный днс:

smtpd_client_restrictions = reject_unknown_client



2) не принимать почту от клиентов из rbl

smtpd_client_restrictions = reject_maps_rbl



боле-менее надежные бесплатные сервисы такого рода с моей точки зрения:

bl.spamcop.net, spamguard.leadmon.net, blackholes.five-ten-sg.com,

dnsbl.sorbs.net. главное, не перестараться, т.к. есть такие сервиса,

которые борются очень по-простому: затыкают целую подсеть /24 или

даже /16, что не есть хорошо. а ты какой пользуешь dnsbl?



у обоих методов есть недостатки. у первого --- многие "благонадежные

пользователи" не имеют обратного днс-а, их приходится прописывать отдельно,

если хотите от них принимать почту.

некоторые бесплатные почтовые веб-службы нахотятся в "черных списках",

например, subscribe.ru и yahoo.com засветились в five-ten, их также, если

есть желание принимать от них почту, придется прописать отдельно.

cyberhawk
В заглавном посте шла речь об обучении модуля Байеса - а он не умеет фильтровать не приняв.

2All

Надыть всяко настраивать, чтобы почтовик производил обратный резолвинг клиента. То, что некоторые клиенты (а это конечные пользователи-отправители - я правильно понял?) не имеют постоянного доменного имени - дык это легко исправимо с помощью AuthSMTP.

Метод простой:
1) Настраиваем обратный резолвинг адресов-отправителей
2) Прописываем доверенные подсети (заведомо благонадёжные - например, подсеть организации, которую обслуживает сервак). Хотя лучше всего _ВСЕХ_ клиентов сервера перевести на (3).
3) Для остальных клиентов (если есть извне корпоративной сети) - ASMTP
4) Настраиваем на несколько чёрных списков (relays.ordb.org, bl.spamcop.net, rbl-plus.mail-abuse.org, etc...). Главное, как уже сказали - не переборщить.

Сбственно, этим заканчивается список, которым спам чистится _ДО_ получения почты. Если у кого-ныбудь есть, что добавить к нему - прошу не стесняться %)

Далее идут способы избавиться от спама _ПОСЛЕ_ получения. Раз трафик уже потерян - надо хрть не допустить этих надоедливых писем до конечного адрессата.

5) Ставить антиспамовую программу, попросту говоря spam-filter. Здесь можно извращаться разными способами. Я себе нашёл решение в виде SpamAssassin. Комплексное решение против спама, когда он уже у вас на руках (на вашем сервере). Этот зверь в первую очередь силён кучей методов анализа тела письма.

6) Ну и прикручивание антивируса. По последним тенденциям почтовые вири стали вливаться в итак немаленький поток спама.

ЗЫ: Теперь медлено и верно скармливаю почту модулю Байеса на обучение. Но вот парадокс - ему нужна и "хорошая" почта и "плохая". А с "хорошей" как-то в последнее время туго %(

ЗЗЫ: В принципе, ничего нового я не написал. Но, возможно, это поможет начинающим админам. А кто-то, может, внесёт и свой вклад в пользу пользователей в этой войне со спамом.

ЗЗЗЫ: Наблюдение по жизни: спамеры себя таковыми как правило не считают. Оне свято верят, что несут пользу человечеству (хм... а может всё-таки своему кошельку?).
Stalker
Как дополнительный вариант для sendmail - файл access.
Там можно оперативно "рубить" наиболее назойливые домены, откуда явно ничего хорошего не идет.
Это типа: attbi.com, comcast.net (те еще уроды), net.br (вообще анархия СПАМа),
rr.com (засраный до невозможности домен), wanadoo.fr, t-online.de, seznam.cz, t-dialin.net, static-shaper.zetcom.ru (засел там основательно один спамер).
Вот часть ежедневной статистики по reject:
380 t-online.de
329 seznam.cz
...
22 msn.com
22 c-65-34-143-150.se.client2.attbi.com
...
Общей суммой где-то 1500 отвергнутых соединений на почтовик.
И это только "тихий день".
Stalker
Ну... У меня много чего стоит при постфиксе ))
Тем более, что в конфигурации по дефолту спамассасин стоит в режиме самообучения..
Итак.
Конфиги постфикса (принципиальные)
main.cf
============
smtpd_helo_restrictions =
permit_mynetworks,
reject_invalid_hostname,
reject_unknown_hostname,
reject_non_fqdn_hostname


smtpd_recipient_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
reject_rbl_client list.dsbl.org,
reject_rbl_client relays.ordb.org,
reject_rbl_client dynablock.wirehub.net,
reject_rbl_client dnsbl.njabl.org
============
То есть у меня стоит sasl авторизация на отправку мыла...
Ну и небольшой список для тех редисок, кто не может правильно настроить софт, приходится разрешать айпишники.
То есть они в список mynetworks внесены

Далее.
В master.cf стоит проверка на вирусы и спам (X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp))
В конфиге убивцы:
==============
whitelist_from ixbt-news@ixbt.com

blacklist_from *@yahoo.com
blacklist_from *@msn.com
blacklist_from *@hotmail.com
blacklist_from *@seznam.cz
blacklist_from *@t-online.de

ok_languages en ru
ok_locales en ru

use_pyzor 1
use_razor2 1
use_bayes 1
==============
Байесан обучен, на текущий момент порядка 2300 писем спама и 750 не спама.
Вот только, сабака, не скушал, почему то, что рассылка от хобота не спам.. ну это лана, еще разберусь.

Фишка юмора то в чем? В том, что когда я скармливаю письмо убивцу (assassin - убийца, если кто не знал), то ведь письмо то я уже получил письмо, и потратился на это... Реджектить бы их сразу, вопрос только как...

---
Full
-------
Пpежде чем что-то сделать хоpошенько поDOOMай

PS:
Ну вот, написал ответ, потом прочитал всю ветку...
А все уже и расписано....
Единственно что - подключить больше модулей втыид
Но ведь упорно скармливаю спамеров ordb (которым пользуюсь) - так 90% по их данных - благонадежные товарищи..
У постфикса нет опции типа reject ip from file? :))
ganymed
ННП
Кстати, НГС-почта в описалове своих фильтров говорит, что умеет рубить диалапщиков.
Как они это сделали - никто не в курсе?

---
Full
-------
Конечно, люди умирали и раньше, но не от такой жизни
Full
Погугли на тему DUL - Dial-up User List. Работает в том же контексте, что и RBL
Full
У постфикса нет опции типа reject ip from file?
Пропиши нехорошие IP в файле access и сделай
smtpd_recipient_restrictions = hash:/etc/postfix/access, и потом все то, что у тебя. И будет он тебе reject ip from file.:улыб:
Full
также в этот самый файл (access, упомянутый выше) можно внести и адреса

"тех редисок, которые не могут правильно настроить софт", будет лучше,

чем описывать их, как mynetwork, ведь mynetwork скорее всего могут

релеить через тебя, а в access можно написать, что ты разрешил только

принимать от них почту (подробности, скорее всего, можно посмотреть так:

man 5 access, или на сайте postfix-a)

ugly
Фенькс..
Мысля хорошая.

---
Full
-------
Каждый йог должен сделать в жизни три вещи: проглотить дерево, родить сына и посадить слона в позу лотоса.