Locsolócső és napszemüveg

Hálózatok egyéb

Sziasztok,

gondolom, sokan talalkoztatok magatok is a targyban szereplo targyu es tartalmu spamekkel (hisz ez valoban az).

Nagyon ritkan veszi eszre az SA, hogy gyakorlatilag spamrol van szo; a kuldo nagyon vigyaz arra, hogy technikailag megfeleljen egy atlagos levelezoszerver filterezesi beallitasainak. (DKIM, SPF valid, FQDN/PTR valid)

Íme egy tipikus levél: http://pastebin.com/Nk0xCpvY

Ti hogy vedekeztek ez ellen?

  • 3005 megtekintés

( djsmiley v | 2015. 07. 01., sze – 21:48 )

sub :)

nálunk is be-be esik. tanítjuk, de még sokat nem ért, pont az általad leírtak miatt.

(de volt még valami más cucc is egyébként)

( andrej_ v | 2015. 07. 01., sze – 22:05 )

Remélem ez a komment nem lesz "láthatatlan". :)

Több lépcső van. Egyrészt mindenféle RBL-ek alapján remekül tud pontozni az SA. Másrészt csináltam egy "veszélyes TLD" szabályt a saját gépeken. Pont a példaemailben lévő küldő IP nincs normál RBL-en, de valószínüleg csak idő kérdése.


header SUSP_FROM_TLD From:addr =~ /.+\.(tk|pw)$/i
describe SUSP_FROM_TLD Suspicous TLD in From address
score SUSP_FROM_TLD 0.75

A gyári konfigban nem szereplő néhány RBL és hasonló:


# UCEPROTECT1 (open relays/proxys/dialups)
header RCVD_IN_UCEPROTECT1 eval:check_rbl_txt('uceprotect1', 'dnsbl-1.uceprotect.net')
describe RCVD_IN_UCEPROTECT1 Listed at dnsbl-1.uceprotect.net
tflags RCVD_IN_UCEPROTECT1 net
score RCVD_IN_UCEPROTECT1 2.5

# UCEPROTECT2 (open relays/proxys/dialups networks)
header RCVD_IN_UCEPROTECT2 eval:check_rbl_txt('uceprotect2', 'dnsbl-2.uceprotect.net')
describe RCVD_IN_UCEPROTECT2 Network listed at dnsbl-2.uceprotect.net
tflags RCVD_IN_UCEPROTECT2 net
score RCVD_IN_UCEPROTECT2 1.1

# UCEPROTECT3 (bad networks)
header RCVD_IN_UCEPROTECT3 eval:check_rbl_txt('uceprotect3', 'dnsbl-3.uceprotect.net')
describe RCVD_IN_UCEPROTECT3 Network listed at dnsbl-3.uceprotect.net
tflags RCVD_IN_UCEPROTECT3 net
score RCVD_IN_UCEPROTECT3 0.75

header __RCVD_IN_HOSTKARMA eval:check_rbl('HOSTKARMA-lastexternal','hostkarma.junkemailfilter.com.')
describe __RCVD_IN_HOSTKARMA Sender listed in JunkEmailFilter
tflags __RCVD_IN_HOSTKARMA net

header RCVD_IN_HOSTKARMA_W eval:check_rbl_sub('HOSTKARMA-lastexternal', '127.0.0.1')
describe RCVD_IN_HOSTKARMA_W Sender listed in HOSTKARMA-WHITE
tflags RCVD_IN_HOSTKARMA_W net nice
score RCVD_IN_HOSTKARMA_W -5

header RCVD_IN_HOSTKARMA_BL eval:check_rbl_sub('HOSTKARMA-lastexternal', '127.0.0.2')
describe RCVD_IN_HOSTKARMA_BL Sender listed in HOSTKARMA-BLACK
tflags RCVD_IN_HOSTKARMA_BL net
score RCVD_IN_HOSTKARMA_BL 3.0

header RCVD_IN_HOSTKARMA_BR eval:check_rbl_sub('HOSTKARMA-lastexternal', '127.0.0.4')
describe RCVD_IN_HOSTKARMA_BR Sender listed in HOSTKARMA-BROWN
tflags RCVD_IN_HOSTKARMA_BR net
score RCVD_IN_HOSTKARMA_BR 1.0

Harmadrészt létrehozhatóak meta szabályok, pl. BAYES_99/95 -re és ha SPF és DKIM van, akkor kvázi nullázza.

FONTOS: A konkrét pontszámokat minden igazítsa a saját rendszeréhez és teszthez csak minimális, pl. 0.01 pontot adjon!

a pw tld ptr-t en is blokkoltam, de mult ~pentek ota mar .com vegurol toljak, ugyanabbol az ip-blokkbol. Maradt igy az ip-blokk ki**szasa. Ha valaki szebben akarja, akkor egy bayes-i szuronek ez a szemet s/nem kihivas...

--
"what is mostly works", "mods that I describe is choosed" (hrgy84 "nem vagyok anyanyelvi angolos")

( answ | 2015. 07. 02., cs – 02:20 )

LISTED SURBL multi gaunt.nostalgis.pw was listed
LISTED URIBL multi gaunt.nostalgis.pw was listed
LISTED ivmSIP24 62.210.13.1 was listed

Igen, csak jól nézd meg, hogy ez az ivmSIP24 milyen lista. Teljes blokkokat tesznek fel és olyan is simán belekerülhet, aki totál vétlen. Már kerültünk fel hasonlóan "csodálatos" listára, nem volt öröm. Elég sok VPS és egyéb megy, ha egy juzernél megszalad akár a normál hírlevél, akkor is hajlamosak listázni és akkor a /24-ből megy mindenki. Ezek a fajta listák szerintem inkább károsak, mint hasznosak.

A "megszalad akár a normál hírlevél" megfogalmazáson felröhögtem.
Nyilván előfordulhat ilyen is, de 100-ból 99 esetben inkább az történik, hogy a kedves hosting/vps szolgáltató eltűri a spammereket.

Én viszont úgy gondolom, hogy aki pedig ilyen szolgáltatónál tartja a "rendes" levelezését, az ne lepődjön meg azon, hogy egy subnet-tel együtt ő is blacklist-re kerül.

Nem tudod megválogatni az ilyen juzereket. Ha mondjuk a második figyelmeztetés után vágod ki/korlátozod, akkor is már felkerültél.

Sajnos nem egyszer volt, hogy igen erélyesen kellett jelezni a kedves felhasználónak, hogy amit csinál, az már bőven több mint hírlevél küldés.

A harmadik probléma, hogy ha a juzer szerint rendes hírlevelet küld (felirakozás és visszagolás alapján), akkor ezt egészen addig el kell hinned, amíg nem kapsz spam riportot. Ráadásul a spam riportoktól már nem egyszer derült ki, hogy a bejelentő konkrétan feliratkozott a hírlevélre, csak elfelejtette.

Szerintem bele kell írni a szerződésbe (vagy ÁSZF), hogy mi az elfogadható felhasználás nálatok. És aki ezt megszegi, annak nem sokadik figyelmeztetés után, hanem azonnal korlátozhatod a 25-ös portra kimenő forgalmát.

A hírlevélre feliratkozó user pedig...
A "rendes" hírleveleseket (bounce@, hirlevel@) először sender alapján tiltom, de az ip-t is feljegyzem. Ha túl sok ilyennel találkozok, akkor megy az IP is tiltólistára. Ha pedig egy tartományból sok az IP, akkor...

hosszabban:
-aki fennakad a spamhaus (meg mostanában már) justspam rostán, az ugye eleve így járt.
--emellett ott van a reverse vizsgálat az ip címére (reject_unknown_reverse_client_hostname)
---aki ezeken átjut, megszámolandó, egy szuszra mennyi, nálunk lakó levélfiókba szeretne levelet rakni. aki eléri vagy meghaladja az öt különböző cél-domain-t vagy 20 különböző fiókot (62.210.0.0/16, piroskagyulatréning, vosz-besz), az először a fail2ban félnapos kizárását élvezi.
----aki ezután is a fentiek szerint halad a rögös úton, azt kirakjuk egy napra (ezt manuálisan).
-----a következő lépés az ipcím ezer napos blokkolása, bizonyos feltételek teljesülése esetén - egy részét a fail2ban, egy részét én manuálisan.
------a leleményesebbek esetében (akik ip címet váltanak, lásd vaszary böszme 94.242.192.0/18), akár helyből élvezhetik (bizonyos feltételek teljesülése esetén) az ezer napos bant, de a címhez tartozó tartománnyal együtt (94.242.192.0/18).

utolsó sorhoz fűzendő: a hisztéria körbeért már, amikor a 94.242.192.0/18 szolgáltatója szerette volna feloldatni a nálunk érvényesült iptables DROP-ot. jeleztem neki, hogy amíg egy bevándorló (owner of justspam.org) ötletszerűen felrak egy ip címemet a halállistájára (konkrétan senki nem fogad tőlem levelet arról a címről), mitöbb a megkeresésekre nem reagál, addig nem hiszem hogy érdemben foglalkoznom kellene ilyen szirszar problémákkal. úgy néz ki, belenyugodott...

sokan már a reverse-nél megbuknak, így ebből probléma nincs, a "postfix/smtpd[685]: NOQUEUE: reject: RCPT from unknown[171.233.253.169]: 554 5.7.1 Client host rejected: cannot find your reverse hostname, [171.233.253.169]; from= to=" jellegű logbejegyzéseknél a harmadik kísérlet után ezer nap pihenő a fail2ban jóvoltából.

röviden: ki nem szarja le, ha már akár a harmadik próbálkozás után a komplett tartományt kivágod, főleg ha jött-ment francia/luxemburg/india/taiwan a hozzá tartozó gyarmat...

amúgy szép napot mindenkinek, meg nyugalmat, jó egészséget.

--