Справка - Поиск - Участники - Войти - Регистрация
Полная версия: Защита от спама, rbl, PTR etc.
Частный клуб Алекса Экслера > Наши сети притащили > Администрирование сетей
Lunnyi
14 апреля 2006, 11:21
Настроил я свой почтовый сервер на проверку соответствия домена и IP записи PTR. Входящего спама стало заметно меньше. Проблемы были отмечены всего два раза и только с MS Exchange (наверное их админы имеют специфичное чувство юмора): один отдавал в EHLO gw.domain.local, другой ссылался на чужой домен. Сейчас в конференции узнал, что Укртелеком вообще не знает что такое реверсивная зона.
Так вот и задался вопросом: правильно ли я сделал? Не нарушает ли чьих-то религиозных убеждений проверка PTR?
Chief
14 апреля 2006, 11:38
С одной стороны это вроде как нарушение RFC (не помню уже какого), с другой - так теперь все поступают (и я в том числе) и даже больше - подключают в блеклисты dul.ru, чтоб еще и диалапщики не спамили...
-LF-
14 апреля 2006, 11:42

Lunnyi написал: Так вот и задался вопросом: правильно ли я сделал?

У меня в свое время очень много деловой почты отвалилось из-за проверки правильности PTR. Могу ошибаться, точно уже не помню, но то ли на ixbt, то ли на форуме MDaemon читал обсуждение, в котором так и не привели ссылку на RFC, в котором была прописано требование наличия PTR и совпадения с именем домена.
Я у себя отрубил эту проверку. Хотя мой почтовик эту проверку пройдет, все настроено верно.
Chief
14 апреля 2006, 11:48

-LF- написал: У меня в свое время очень много деловой почты отвалилось из-за проверки правильности PTR.

Пара писем была, после телефонного разговора с админами у них появилась обратная зона...
Зато спама заметно меньше... А на счет RFC попытаюсь уточнить, если не забуду...
-LF-
14 апреля 2006, 12:15

Chief написал: А на счет RFC попытаюсь уточнить, если не забуду...

Было бы здорово, хоть если что можно бумажкой трясти...
Вообще, борьба со спамом вызывает во мне двойственные чувства. Сейчас потихоньку буду настраивать, ибо его количество уже начало доставать. Но с другой стороны, наблюдая другие крайности, когда надо специально подбирать тему письма, чтобы не быть зарубленным фильтром...
Lunnyi
14 апреля 2006, 13:39
Пошел копать RFC
RFC2821 раздел 4.1.4

An SMTP server MAY verify that the domain name parameter in the EHLO command actually corresponds to the IP address of the client.
However, the server MUST NOT refuse to accept a message for this reason if the verification fails: the information about verification failure is for logging and tracing only.

Действительно, по RFC нельзя не принимать почту с сомнительных IP. Если я правильно перевел.
Но в то же время в догонку статья, на которую можно ссылаться, если будут возмущаться по поводу не приема вашим сервером их почты.
sergem
14 апреля 2006, 13:54

-LF- написал: У меня в свое время очень много деловой почты отвалилось из-за проверки правильности PTR

Странно.

Еще в 1999-ом замешкался с обратной зоной в большой конторе, так четверть респондентов посылали моего почтаря.
Т.е. уже тогда без PTR жить MTA-шнику было невозможно.

Полгода назад перевел фирмочку с халявной почты на свой сервак, сразу поставил сверку PTR - два проблемных респондента на семь сотен. Боссу внушил мысль, что нельзя прогибаться перед чайниками.
Ioannes
14 апреля 2006, 17:44

Плюс всегда можно добавить нужных чайников в whitelist, а спама осечётся много.

<Пошёл ставить проверку PTR>
Chief
15 апреля 2006, 00:53
МОДЕРАТОРИАЛ:

Такс, флудить больше не стоит...
Тему переименовываю, будет не плохое FAQ по борьбе со спамом с помощью проверки на валидность хоста, домена и т.п.
Хоть Алекс rbl листы и не любит, но многие их используют, потому разрешено обсуждать эфективность этих баз, их ошибки и т.д....
Способы защиты от спама ДО проверки алгоритмами, типа алгоритма Баеса etc, тоже приветствуются...
Одно исключение: Аргументировать и флейм не разводить!
ps.gif Куски своих или чужих конфигов/настроек приводить можно и нужно, однако обязательно указывать для какого МТА сей конфиг/настройка предназначен(ы)
Chief
27 мая 2006, 00:27
Продолжу: Замечено, что много спама (да и попыток взлома) идет из Японии, Китая, Латинской Америки... Проанализировав список стран, с которыми у нас идет переписка - закрыл все остальное на вход как класс! Спам уменьшился на порядок...
Список подсетей - не помню ссылку, но там была разбивка по странам... Либо за выходные ее кто то кинет, либо я сам найду и выложу в понедельник.
Ioannes
29 мая 2006, 11:11
Самый еффективный RBL из тех что я использовал: bl.spamcop.net.

Вот статистика за вчера:
sbl.spamhaus.org: 3
bl.spamcop.net: 803
opm.blitzed.org: 0

Статистика за 31.03.2006:
sbl.spamhaus.org: 60
bl.spamcop.net: 2208
opm.blitzed.org: 83

Пока никто не жаловался, что до нас не доходит почта.
Tambu
29 мая 2006, 12:51

Chief написал: Проанализировав список стран, с которыми у нас идет переписка - закрыл все остальное на вход как класс!

Однако.
Chief
29 мая 2006, 12:59

Tambu написала: Однако.

А что не нравиться, если деловых писем оттуда нет как класс? Если появиться необходимость - открою...
Lunnyi
23 июня 2006, 11:41

Ioannes написал: Самый еффективный RBL из тех что я использовал: bl.spamcop.net.

Вот статистика за вчера:
sbl.spamhaus.org: 3
bl.spamcop.net: 803
opm.blitzed.org: 0
Пока никто не жаловался, что до нас не доходит почта.

Сегодня имел гневную переписку с провайдером. Суть проблемы- их релей попал в bl.spamcop.net
Меня очень порадовал их ответ:"Если вашу почту отфутболивают, потому что наша подсеть в БЛ (блэклист), то это проблема принимающего МХ (почтовый сервер). Эти МХ нужно самих заносить в БЛ".
Chief
23 июня 2006, 11:48

Lunnyi написал: Меня очень порадовал их ответ

С таких провов надо уходить... Стоимость выхода из бл, если мне не изменяет мой склероз, 50 баксов...
Vitalka
23 июня 2006, 13:12

Chief написал: Стоимость выхода из бл, если мне не изменяет мой склероз, 50 баксов...

Я как-то попал в спамкоп, году в 2000-м. Открытый релей, блин, случайно оставил. Заткнул дыру, сдался им на проверку, они сутки побомбили мой сервак в поисках дыр, после чего из блеклиста убрали. Бесплатно. Но это было 6 лет назад...
Merlin BaD
4 сентября 2006, 07:20

Vitalka написал:
Я как-то попал в спамкоп, году в 2000-м. Открытый релей, блин, случайно оставил. Заткнул дыру, сдался им на проверку, они сутки побомбили мой сервак в поисках дыр, после чего из блеклиста убрали. Бесплатно. Но это было 6 лет назад...

Да и сейчас вроде как бесплатно.
Chief
15 сентября 2006, 00:06
Для postfix: postgrey - отличная штука, работает на ура, правда бывает и нужную почту может зарезать, если сервак через жопу настроен...
МОДЕРАТОРИАЛ:

Тему переименовал, теперь тут обсуждаем защиту от спама ДО анализа содержимого...
sergem
19 октября 2006, 19:45

Chief написал: теперь тут обсуждаем защиту от спама ДО анализа содержимого

А вот интересная попытка резать спам до МТА, да еще и с неприятностями спамеру.
Ermek
2 ноября 2006, 11:11
В своем комунигейте увеличил задержку ответа для неклиентских IP до 90 секунд и включил проверку адреса отправителя - результат довольно внушительный. smile.gif
-LF-
2 ноября 2006, 23:04

Ermek написал: В своем комунигейте увеличил задержку ответа для неклиентских IP до 90 секунд и включил проверку адреса отправителя - результат довольно внушительный. 

Кстати, да. После того, как я включил проверки по блеклистам и LDAP-запрос к AD для верификации пользователей, время сессии увеличилось, и ощутимое количество коннектов теперь само отрубается.
Правда, к сожалению, спам у меня только помечается frown.gif По статистике MDaemon'а - до 90% входящей почты.
Ermek
3 ноября 2006, 16:16

-LF- написал: По статистике MDaemon'а - до 90% входящей почты.

Сколько???!!! Да меня бы уже давно прибили бы за такое количество спама!!!

А вот встречную проверку адреса отправителя мне пришлось отключить. Большое количество всяких рассылок идет с реально несуществующих адресов.
Chief
17 ноября 2006, 14:06
Такс, в связи с увеличившимся в последнее время количеством спама, у меня таки дошли руки кратко описать еще один алгоритм борьбы с ним...
Алгоритм банален и основан на SPF - системе проверки подлинности отправителя.
Для каждого конкретного сервера он включается своим способом, на пример для постфикса это 3 строчки в 2-х конфигах.
Алгоритм банален до безобразия:
У многих крупных почтовых серверов в ДНС зонах теперь прописана строка
contora.ru. TXT “v=spf1 a:mail.contora.ru -all”
(Естественно она может быть и длиннее, если серваков несколькоsmile.gif)
Эта строка означает, что теоретически отсылать письма от contora.ru может только машина с А записью mail.contora.ru, ip которой прописан в этой же зоне.
Проверка spf обращается к ДНС серверу, который держит зону и если находит эту запись, то проверяет адрес отправителя на валидность.
На пример mail.ru, netzero.com, hotmail.com, yandex.ru, verisign.com, gmail.com, rbc.ru, rambler.ru, jino.ru, bk.ru, list.ru, surrealismo.com, surfeador.com, poczta.onet.pl, mamma.com, zmail.ru - имеют записи SPF.
То есть если спамер захочет подставить себе один из этих серверов - будет послан (можно настроить такие тонкости, как не реджектить письмо, а отправлять в карантин с последующим просмотром, но это каждый сам решает).

ps.gif Если не забуду - после выходных опишу систему grey-листингаsmile.gif
AckCmd
6 декабря 2006, 14:37
Рискну залезть вперед батьки Chief-a ( wink.gif ) и выдать описание грейлистинга.

Краткий обзор грейлистинга (за более подробным описанием сюда: http://projects.puremagic.com/greylisting/ (eng).

Грейлистинг представляет собой комбинацию "black-" и "whitelisting" с автоматическим обслуживанием. Ключевая особенность метода - работа в автоматическом режиме.

Суть метода проста - на этапе получения почты сервером выделяется три характеристики письма (т.н. "триплет"):
1. IP-адрес хоста, который пытается доставить почту
2. Адрес отправителя
3. Адрес получателя

С этого момента мы имеем уникальную характеристику попытки доставить письмо. Имея эти данные, мы следуем простому правилу: "Если мы никогда раньше не видели этот триплет, то письмо НЕ ПРИНИМАЕТСЯ, сессия заканчивается сообщением о ВРЕМЕННОЙ ошибке (smtp-коды 4хх)". (комментарий: проверки выполняются по встроенной базе грейлист-сервиса. Если триплета там нет - письмо не принимается согласно указанному правилу, а триплет вносится в базу)

Правильно настроенный почтовый сервер, встретив временную ошибку доставки, обязан повторить попытку через некоторое время (время зависит от настроек). При повторной попытке грейлист-сервис обнаружит, что триплет уже был (он внесен в базу при первой попытке), и примет письмо.

Метод полагается на то, что спамеры не выполняют повторных попыток доставки, а также используют случайно сгенерированные адреса отправителя для каждого письма (и разные релеи от случая к случаю, так что вероятность случайного совпадения триплета достаточно низка, чтобы считать метод надежным)

Недостаток метода - будут возникать задержки при первой доставке почты для каждого триплета (или вообще при каждой, если используем маленькое время жизни записей)

Реализация сервиса для postfix: http://isg.ee.ethz.ch/tools/postgrey/
Ermek
12 декабря 2006, 10:40
А как можно реализовать грейлистинг на комунигейте?
Chief
12 декабря 2006, 11:09

Ermek написал: А как можно реализовать грейлистинг на комунигейте?

Похоже никак, почти подо все он есть, а вот как раз под этот МТА нет...
AckCmd
12 декабря 2006, 13:45
ИМХО разве что фронтенд к нему поставить - тот же постфикс например.
Chief
12 декабря 2006, 14:32

AckCmd написал: ИМХО разве что фронтенд к нему поставить - тот же постфикс например.

Именно...
Посмотрел на защиту от спама реализуемую на нем - только стандартные, аля RBL, ДНС и подобные...
Только если ставить фронтэнд - то надо будет реализовывать полноценную защиту именно на нем, чтоб лишнего трафика не было...
Ermek
13 декабря 2006, 09:21

AckCmd написал: ИМХО разве что фронтенд к нему поставить - тот же постфикс например.


Chief написал: Именно...

Понятно. Короче говоря гемор. А на MSExchange? А то у нас тут начальство озаботилось перевести все на мелкомягкий софт.

UPD: Вижу по ссылке, которую постил AckCmd чуть выше, что есть софтина для эксчейнжа. Это хорошо.
Rainbow goblin
20 июля 2008, 03:50
Мы обслуживаем небольшого провайдера, примерно 8-10 тыс. клиентов.
Юзаем Postfix + rbl (maps_rbl_domains = bl.spamcop.net,cbl.abuseat.org,zen.spamhaus.org), добавочно Amavis + Spamassassin + Dspam (в таком всё на одного юзера пишется - на "amavis"). Уровень спама 5-6% от всех писем (статистика dspam -а)

Основные рулы на режекты начинал настраивать как здесь описано:
http://www.yekt.info/3.html
кое-что добавил, ктое-что убавил(например, реверсные зоны у половины не настроены, пришлось убрать, проверку EHLO на ДНС валидность пришлось убрать), вёлся длинный чёрный список рекламщиков(их заработок - не мои проблемы).
и в принципе, хватает.
Статистические антиспамы добавил через несколько месяцев, для пущей чистоты.
P.S. Если что не по формату форума, извините, я тут новичок.
Mixa1024
2 сентября 2008, 00:25
вёлся длинный чёрный список рекламщиков(их заработок - не мои проблемы).

Бесполезно. Спам сейчас ботнетами рассылается.
Rainbow goblin
2 сентября 2008, 01:30

Mixa1024 написал: вёлся длинный чёрный список рекламщиков(их заработок - не мои проблемы).

Бесполезно. Спам сейчас ботнетами рассылается.

От ботов помогает reject_unverified_sender, rbl тоже

Если интересно, могу конфиги здесь запостить.
Chief
2 сентября 2008, 02:09

Rainbow goblin написал: Если интересно, могу конфиги здесь запостить.

Интересно в любом случае...
Rainbow goblin
2 сентября 2008, 19:22
Вот. И дамп БД там же
Epikoiros
14 октября 2008, 01:57
Проблему спама можно решить только законодательным путём, приказав провайдерам прикрыть порт:25 для всех юзеров, кроме тех, которые специально просили оставить его открытым. После чего на границе перекрыть порт:25 для стран, где такой закон не будет принят. В результате спамботы перестанут функционировать.

Хороший метод - каким пресекли спам "Центра Американского Английского"; к сожалению, он уголовно наказуем. frown.gif

Ещё хорошо бы, чтобы каждый получатель спама хотя бы один раз в день звонил по указаннгму в спаме телефону и вежливо сообщал, что в услуге не нуждается: спам станет экономически невыгоден.

Из технических средств - GreyList и медленной старт SMTP-сессии (спамер начинает SMTP-диалог, не дожидаясь приглашения); эти методы практически не дают ложных срабатываний. Для стран, с которыми нет переиски, установить задержку в несколько часов.

Проверка на корректность PTR проблемна: многие провайдеры набрали дебилов по объявлению и не понимают нужности PTR. Хорошо бы проверять hostname (из HELO) в DNS - это более корректно; но я не нашёл такий фичи в SendMail.
Rainbow goblin
14 октября 2008, 16:25

[Хорошо бы проверять hostname (из HELO) в DNS - это более корректно; но я не нашёл такий фичи в SendMail.

Sendmail устарел, ИМХО. Попробуйте перейти на Postfix (www.postfix.org) , посмотрите мои конфиги - у postfix -а есть эти проверки и ещё много других.
Chief
15 октября 2008, 15:18

Epikoiros написал: но я не нашёл такий фичи в SendMail.

Поиск, как известно, рулит...
tux2002
20 апреля 2010, 16:05
Использую exim с проверкой verify = helo (проверка по rfc822 - PTR=helo исключая литеральную форму helo). Именно этой проверкой отсеивается 95% спама, а его много - сотня писем в минуту. Некоторые нужные отправители тоже откланяются, для этого держу whitelist.
Chief
20 апреля 2010, 16:31

tux2002 написал: для этого держу whitelist.

whitelist дело правильное, но я предпочитаю в дополнение позвонить через свою дирекцию и соответственную дирекцию той фирмы и прочитать краткую лекцию...smile.gif
Rainbow goblin
20 апреля 2010, 21:00

Chief написал:
whitelist дело правильное, но я предпочитаю в дополнение позвонить через свою дирекцию и соответственную дирекцию той фирмы и прочитать краткую лекцию...smile.gif

И как часто НЕ посылают? 3d.gif
Chief
20 апреля 2010, 21:06

Rainbow goblin : И как часто НЕ посылают?

А ни разу не посылали... Я же говорю: связываюсь через свою дирекцию и их... При условии что это 15 минут на разговор с провайдером (ими) и его работа (все вместе 15 минут) - правым оказываюсь я...
Эта версия форума - с пониженной функциональностью. Для просмотра полной версии со всеми функциями, форматированием, картинками и т. п. нажмите сюда.
Invision Power Board © 2001-2017 Invision Power Services, Inc.
модификация - Яро & Серёга
Хостинг от «Зенон»Сервера компании «ETegro»