Napi 3-4 spam jön, nem tudom kivédeni

Linux-haladó

Sziasztok!

Jön napi 3-4 spam, aminek a spamassassin szerint a pontszáma a határ alatt van, tehát nem minősíti spam-nek.
Ha megnézem a Sender Score Reputation Network viszont spam-nek minősíti, de nem tudom, hogy tőlük hogyan tudok listát szerezni, hogy már a Postfix blokkolja ezeket a leveleket?

( andrej_ v | 2017. 08. 09., sze – 08:50 )

A spamassassint felokosítottad külsős szabályokkal és mindenféle extra DNSBL-ek használatával? A bayes pontszám mennyi a levélen? Lehet érdemes megtaníta az SA-nak a mailt.

Szia!

Az sa-learn --spam napi szinten lefut a felhasználók SPAM folderére, meg is találja a SPAM-nek jelölt leveleket, be is teszi MySQL-be, ahogy kell.
A maximális SPAM pontszám 4, ezek a vackok meg mind alatta vannak.

Először próbáltam a postfix oldaláról, rögtön érkezéskor blokkoltatni a szemetet, jelenleg az alábbi blacklisteket vizsgálom:


reject_rbl_client bl.score.senderscore.com,
reject_rbl_client b.barracudacentral.org,
reject_rbl_client dnsbl-1.uceprotect.net,
reject_rbl_client truncate.gbudb.net,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client blackholes.easynet.nl,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client dnsbl.njabl.org,
reject_rbl_client list.dsbl.org,
reject_rbl_client multihop.dsbl.org,

A spamassassin-ba ezután is kell dnsbl?
Olyan jó volt, amíg élt a janoszen féle dnsbl szűrő, addig semmi se jött be, ami szemét!

A teljes Spamassassin config itt található.
A whitelist.cf jelenleg üres, a mysql.cf, a mysql kapcsolat adatait tartalmazza.

“- És ha… fizetést ajánlanék, hogy dolgozzon?
– Engem nem lehet megvesztegetni.”
Rejtő Jenő

Személy szerint a szimpla rbl alapján történő visszautasítást nem eröltetném, mert sok mondjuk úgy vétlen áldozat lesz. Gondolok itt a nagyforgalmú emailszolgáltatókra, akik azért hajlamosak felkerülni.

Inkább érdemes a konkrét átjutó maileket elemezni, hogy azokat hogy lehetne megfogni valamilyen mintával.

A SpamAssassin konfigod alapján ezeket javasolnám:

- A DKIM és SPF matchek miatt simán negatívnak kell lennie, ezért inkább -0.5 vagy méginkább -1.0 -től tanítanám a hameket. Ugyanígy ha 4.0 ponttól már spam, akkor a spam_learn limitet is 4.0-re vagy esetleg 3.5-re állítanám.

- Ha vannak gyanús TLD-k (lásd az új mindenféle szabad TLD-ket, akkor lehet ilyen szabállyal operálni, persze a pontokat igény szerint átállítani:

header SUSP_FROM_TLD From:addr =~ /.+\.(xyz|bid|tk|pw|ml|top|id|cl|stream|in)$/i
describe SUSP_FROM_TLD Suspicous TLD in From address
score SUSP_FROM_TLD 2.5

- Ha Bayes vagy Razor metódusokban bízol és láthatóan jól üzemelnek, akkor lehet hogy a BAYES_95/99 és a RAZOR_ pontokat érdemes emelned.

- A SpamAssinban inkább érdemes a DNSBL-ekkel pontozni, hiszen sokkal inkább finomhangolható az adott DNSBL minősége/teljesítménye alapján. Ha minden igaz, akkor alapból a mailspike.net, a barracuda, az UCEprotect, hostkarma, több spamhaus lista és a protected-sky nincs benne konfigban.

- Ha pedig mindíg ugyanazok jönnek át, akkor blacklist és bayes tanítás.

[...]protected-sky nincs benne konfigban

Az ne is legyen benne, mert egy fos. Például jó ideig nem volt delisting náluk, miközben a honlapjukon az volt olvasható, hogy automatic delisting van. Ami természetesen sosem volt. Az MXToolbox is eltávolította őket a saját blacklist check-jéből, lassan egy éve: https://blog.mxtoolbox.com/2016/09/06/protected-sky-delisting/

( sj | 2017. 08. 09., sze – 17:29 )

tedd fel azt a 4 spamet pastebin-re, aztan csinalunk hozzajuk custom rule-okat...

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

Ez az IP 

[185.140.110.3]

ebben a szálban is elhangzott: https://hup.hu/node/154794

Gyakorlatilag "csak egy" kézbesítési visszaigazolás nem megy át, mert kapcsolódáskor elutasítást kapsz.

Ahogy sejtem, te is hasonló problémával küzdesz mint mi -- meg még jópár üzemeltető.

---
Lehet, hogy kívül szőke vagyok, de belül sötét, oké?!

Írtam már korábban, ott van mind a négyben: URIBL_BLOCKED
Kipróbálhatod parancssorból: $ host -tTXT 2.0.0.127.multi.uribl.com
Ezt kéne visszakapnod: "2.0.0.127.multi.uribl.com descriptive text "permanent testpoint""
Nálad viszont ez lesz: "2.0.0.127.multi.uribl.com descriptive text "127.0.0.1 -> Query Refused""
SA mind a négyet megfogta volna, csak éppen nem látta az uribl-t, ahogy írja a log is.
Az általad használt DNS miatt nem megy amúgy( http://uribl.com/refused.shtml ). Ha beállítasz másik dns-t amiről már megy a teszt feloldás akkor a spam áradat is megszűnik.

Nem feltétlenül. Több lehetőséged is van, választhatod a szolgáltató által biztosított dns-t, de választhatsz olyan publikus dns szervert is amelyik még nem lett letiltva. Az biztos, hogy a google 8.8.8.8 és a 8.8.4.4 nem jó választás, de pl. a comodo 8.26.56.26 és a 8.20.247.20 az jó lehet.

Ha nincs reverse, akkor az nálam meg rögtön reject azt szevasz. Ma már valid küldőknek szokott lenni reverse. 10 éve még évi 2-3 kivételt fel kellett vennem a listára (ügyfélnek valós partnere volt, csak épp a levelezőszervere volt trágyán beállítva) mert már akkor is elhajtottam akinek nem volt reverse és feloldható ehlo-ja, de már vagy 2 éve nem kellett ilyenért hozzányúlnom.

--
Rózsár Gábor (muszashi)

Én is ezekkel küzdök a napokban. Ezekben a levelekben nem találtam olyan közös nevezőt, amit SPAM assassin-es custom regexppel le tudnék fedni. Két közös dolog azonban van bennük:

  • A spam küldő IP címek nálam a 212.83.0.0/16 és az 51.15.0.0./16 tartományokból jönnek. Mivel nem akartam egész blokkot tiltani, átmenetileg fail2ban lett a megoldás.
  • A domain-ek a NameCheap.com-nál vannak beregisztrálva, többségük friss, alig egy hetes (lásd az általad linkelt első levél feladójának whois rekordját: http://imgur.com/a/5BoQS). Ez ellen tervezem egy pici milter írását, ami a küldő domain whois rekordját lekéri (és cache-eli), és ez alapján visszautasítja azt, ami NameCheap-es, és friss.

Erre van uribl red-es kategória az SA-ban. Viszont egy friss és anonim domain alapján szűrni nem túl nyerő. A sima whoisok egyre több helyen csak annyit mondanak hogy regisztrált a domain és menjél szépen webre. A weben pedig egy captcha vár nyilván. Innen ez karbantarthatatlan lesz, legfeljebb a regisztráció ideje lehet mérvadó.

Oh, ezekbe en is belefutottam sokszor. A kozos az ezekben hogy a "^From: " mezoben levo hostnev az mindig feloldodik es mindig a 185.140.110.3-es cimre. Korabban volt egy hasonlo, az valami 163.172.32.17-re oldodott fel - ugylatszik par honap elteltevel valtoztatnak. Ez egy fel-fake email sender address: ahogy a kiuka kollega is irja fentebb, a 25-os porton nem figyel de webes cuccok (gondolom spammer hirdetesek + az emailed konfirmalasanak kodja) ezeken a gepen(!) fut. Egy ilyen bash-szkriptet csinaltam anno, amit a procmailrc-be beillesztve (mint filter) meg lehet fogni ezeket konnyen: 


tmp=/tmp/fromipscan.$$.mail

cat > $tmp

fromhost=`head -n 1 $tmp | awk '{ print $2; }' | sed -e 's/.*@\(.*\)/\1/g'`
fromip=`host -W 1 -4 -t A "${fromhost}" | awk '{ print $(NF); }'`

if [ "${fromip}" == 163.172.32.17 ]; then
        cat $tmp | \
        awk \
         '{     print;
                if ( $1=="From:" )      print "X-Spam-By-IP: Yes"
         }'
else
        cat $tmp
fi

rm $tmp

nem a legelegansabb, de tanitasi mintakat gyujteni jo volt, oszt a vegen meg is tanulta szepen ;) Igy a 185.140.110.3-as ip-re mar nem is kellett tanitanom.

( istii | 2017. 08. 09., sze – 18:27 )

Talán Uribl_blocked? Ha ilyet látsz logban akkor meg is van miért nem fogja meg a SA.

( muszashi | 2017. 12. 05., k – 21:39 )

Nálam most borult a bili, eddig a legtöbb spammer elhasalt smtp szűrésnél (ehlo meg ilyenek és pár RBL lista)a többit a spamassassin fogta meg és bevágta a spam mappába. Fals pozitív évi 1 volt általában, ami már az smtp-nél elhasalt, néha annyi sem, szóval nem volt gond. A spam mappába napi 1-3 spam került.

No most beindult az élet, spam nem kerül ugyan az inboxba, spamassassin szépen megfogja és bekerül a spam mappába, de konkrétan napi több száz kerül bele. Kb 2 hete volt ilyen először, akkor tekergettem a rendszeren és jó is lett, de mára megint sok a levél a spam mappában. Szóval végül is megy a spam szűrés, de túl sok levél jut el a spamassassin-ig, ami meg csak ugye a spam mappába teszi, szóval a gond az, hogy a júzereknek sok a spam a spam mappában és ennek nem örülnek. (nem ehhez voltak szokva)

Egyelőre nem tenném meg, hogy spamassassin-el eldobatom a mailt, most felheggesztettem pár olyan RBL-t is, amit eddig nem használtam, mert kicsit erősnek éreztem. (pl barracuda)

Egy órája nyugi van, de kíváncsi vagyok mi lesz hosszabb távon. Ezek nagyrészt magyar nyelvű spam-ek. Más nem tapasztalt mostanában nagy élénkülést?

--
Tanya Csenöl az új csatorna

Csak a multi-rbl -es eximes listázásom tudom ajánlani. :)

A helyzet az, hogy mindenképp felpörögtek spammerék és zúzzák a cuccaikat nyakló nélkül. Ami sokat segít az néhány extra SA szabály mondjuk a szép új és egyben gyanús TLD-kre. Érdemes adott ponthatár felett 500-as hibával visszacsapni a spamet, hogy márpedig nem kéred. Ezt úgy lőttem be, hogy legalább 2-3 különféle kategóriájú szabálycsoport által spamnek minősített spam essen ebbe bele. Pl Bayes + DKIM/SPF + Blacklistek vagy sokféles blacklist, razor és bayes stb.

A clamavhoz érdemes a 3rd party (unofficial sigs) adatbázisokat belőni, mert ugyan nem pont spamszűrés a célja, de sok spam is benne van ezekben és phising maileket is fogdossák. Szintén segít a gugli féle safebrowsing db bekapcsolása is. A tapasztalatunk szerint az alap clamav aláírási pakkra alig-alig van match, viszont az említettekből elég sok van.

A spamhelyzet épp odáig fajult, hogy proci és raidcache upgrade lesz januárban a levelező szerveren, hogy a nálunk korábban megszokott relatív pörgős mailezés visszaálljon.

SpamAssassin-nál már nem tudom visszacsapni, akkor már elfogadtam a levelet. :) (persze át is lehetne alakítani, mert 2005-óta megy distupgrade-el ez a rendszer, ezt anno így csináltam még meg -boldog békeidők- és csak frissítem meg simogatom, illetve egyszer cseréltem rajta a courier-t dovecot-ra, de alapvetően nem szoktam átszabni)
Napi 1000 levél körül így is megy vissza 500-al még az smtp-nél, de ami átjött az már a SpamAssassin-é az vagy spam jelölést kap vagy megy az inboxba. Na itt tehetném esetleg meg, hogy bizonyos pontszám helyett ne spam jelölést kapjon, hanem töröljük. Ezt azonban nem akarom még meglépni, ha lehet inkább több smtp és 500 még kapcsolódáskor. 19 órakor vettem fel új rbl-eket, azóta 0 spamnek jelölt levél van. Koppp...koppp.

--
Tanya Csenöl az új csatorna