Fórumok
Sziasztok!
Jön napi 3-4 spam, aminek a spamassassin szerint a pontszáma a határ alatt van, tehát nem minősíti spam-nek.
Ha megnézem a Sender Score Reputation Network viszont spam-nek minősíti, de nem tudom, hogy tőlük hogyan tudok listát szerezni, hogy már a Postfix blokkolja ezeket a leveleket?
Hozzászólások
A spamassassint felokosítottad külsős szabályokkal és mindenféle extra DNSBL-ek használatával? A bayes pontszám mennyi a levélen? Lehet érdemes megtaníta az SA-nak a mailt.
Szia!
Az
sa-learn --spam
napi szinten lefut a felhasználók SPAM folderére, meg is találja a SPAM-nek jelölt leveleket, be is teszi MySQL-be, ahogy kell.A maximális SPAM pontszám 4, ezek a vackok meg mind alatta vannak.
Először próbáltam a postfix oldaláról, rögtön érkezéskor blokkoltatni a szemetet, jelenleg az alábbi blacklisteket vizsgálom:
reject_rbl_client bl.score.senderscore.com,
reject_rbl_client b.barracudacentral.org,
reject_rbl_client dnsbl-1.uceprotect.net,
reject_rbl_client truncate.gbudb.net,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client blackholes.easynet.nl,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client dnsbl.njabl.org,
reject_rbl_client list.dsbl.org,
reject_rbl_client multihop.dsbl.org,
A spamassassin-ba ezután is kell dnsbl?
Olyan jó volt, amíg élt a janoszen féle dnsbl szűrő, addig semmi se jött be, ami szemét!
A teljes Spamassassin config itt található.
A whitelist.cf jelenleg üres, a mysql.cf, a mysql kapcsolat adatait tartalmazza.
Személy szerint a szimpla rbl alapján történő visszautasítást nem eröltetném, mert sok mondjuk úgy vétlen áldozat lesz. Gondolok itt a nagyforgalmú emailszolgáltatókra, akik azért hajlamosak felkerülni.
Inkább érdemes a konkrét átjutó maileket elemezni, hogy azokat hogy lehetne megfogni valamilyen mintával.
A SpamAssassin konfigod alapján ezeket javasolnám:
- A DKIM és SPF matchek miatt simán negatívnak kell lennie, ezért inkább -0.5 vagy méginkább -1.0 -től tanítanám a hameket. Ugyanígy ha 4.0 ponttól már spam, akkor a spam_learn limitet is 4.0-re vagy esetleg 3.5-re állítanám.
- Ha vannak gyanús TLD-k (lásd az új mindenféle szabad TLD-ket, akkor lehet ilyen szabállyal operálni, persze a pontokat igény szerint átállítani:
header SUSP_FROM_TLD From:addr =~ /.+\.(xyz|bid|tk|pw|ml|top|id|cl|stream|in)$/i
describe SUSP_FROM_TLD Suspicous TLD in From address
score SUSP_FROM_TLD 2.5
- Ha Bayes vagy Razor metódusokban bízol és láthatóan jól üzemelnek, akkor lehet hogy a BAYES_95/99 és a RAZOR_ pontokat érdemes emelned.
- A SpamAssinban inkább érdemes a DNSBL-ekkel pontozni, hiszen sokkal inkább finomhangolható az adott DNSBL minősége/teljesítménye alapján. Ha minden igaz, akkor alapból a mailspike.net, a barracuda, az UCEprotect, hostkarma, több spamhaus lista és a protected-sky nincs benne konfigban.
- Ha pedig mindíg ugyanazok jönnek át, akkor blacklist és bayes tanítás.
Az ne is legyen benne, mert egy fos. Például jó ideig nem volt delisting náluk, miközben a honlapjukon az volt olvasható, hogy automatic delisting van. Ami természetesen sosem volt. Az MXToolbox is eltávolította őket a saját blacklist check-jéből, lassan egy éve: https://blog.mxtoolbox.com/2016/09/06/protected-sky-delisting/
A barracudával szerintem jó sok false positive-od lesz.
Az njabl tudtommal már nem él. http://www.dnsbl.info/dnsbl-njabl-org.php
Nálam az sbl-xbl.spamhaus.org feketelistás, a bl.spamcop.net, psbl.surriel.com, dnsbl.sorbs.net pedig greylistinget okoz. Meg persze van saját lista.
sub
+1
- - - - -
XetHost
+1
tedd fel azt a 4 spamet pastebin-re, aztan csinalunk hozzajuk custom rule-okat...
--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...
https://pastebin.com/rUDxg6iW
https://pastebin.com/YWLrK6AN
https://pastebin.com/jxzzQEaN
https://pastebin.com/QmJiXerK
Ezek most jöttek.
ezt már küldő domain alapján meg kéne fogni, nincs hozzá MX. nekem is kb egy hete ezekkel ömlesztenek el, de csak a visszapattanó leveleket látom queue-ban, amik persze nem tudnak hova menni
Miért generálsz visszapattanó levelet? :-O
Utasítsd vissza a levelet még az SMTP session közben egy permanens hibával és kész.
jó kérdés, postfix valamiért akar valamit csinálni vele:
: connect to katerinaschur.com[185.140.110.3]:25: Connection refused
recipient=urbanz8hsetp@katerinaschur.com
offset=184
status=4.4.1
action=delayed
reason=connect to katerinaschur.com[185.140.110.3]:25: Connection refused
Ez az IP
ebben a szálban is elhangzott: https://hup.hu/node/154794
Gyakorlatilag "csak egy" kézbesítési visszaigazolás nem megy át, mert kapcsolódáskor elutasítást kapsz.
Ahogy sejtem, te is hasonló problémával küzdesz mint mi -- meg még jópár üzemeltető.
---
Lehet, hogy kívül szőke vagyok, de belül sötét, oké?!
köszi, valóban. még nem volt időm annyira foglalkozni vele, mert nem volt kritikus, de ez egy jó topic amin el lehet indulni:)
Az, hogy nincs hozzá MX határ eset, ha jól rémlik, RFC szerint még ilyenkor A rekordra fallback lehet. Bár valós címeknél praktikus a létező MX, mert egyre többen nem fogadják el a hiányát.
Írtam már korábban, ott van mind a négyben: URIBL_BLOCKED
Kipróbálhatod parancssorból: $ host -tTXT 2.0.0.127.multi.uribl.com
Ezt kéne visszakapnod: "2.0.0.127.multi.uribl.com descriptive text "permanent testpoint""
Nálad viszont ez lesz: "2.0.0.127.multi.uribl.com descriptive text "127.0.0.1 -> Query Refused""
SA mind a négyet megfogta volna, csak éppen nem látta az uribl-t, ahogy írja a log is.
Az általad használt DNS miatt nem megy amúgy( http://uribl.com/refused.shtml ). Ha beállítasz másik dns-t amiről már megy a teszt feloldás akkor a spam áradat is megszűnik.
Megnéztem az mxtoolboxon és az első két helyen listázott, a második nincs listázva... :)
Na jó de mit néztél meg?:-) Tartalmat nem kaptunk, csak fejlécet. URIBL pedig a tartalomban található linkeket nézi. Továbbra is azt mondom, hogy mind a négyet megfogta volna...
Az alapján, amit linkeltél, akkor készítenem kell egy DNS cache szervert, és onnan nézegetni a feloldásokat?!
Nem feltétlenül. Több lehetőséged is van, választhatod a szolgáltató által biztosított dns-t, de választhatsz olyan publikus dns szervert is amelyik még nem lett letiltva. Az biztos, hogy a google 8.8.8.8 és a 8.8.4.4 nem jó választás, de pl. a comodo 8.26.56.26 és a 8.20.247.20 az jó lehet.
Köszi!
Ma már nem, mert ittam, így nem vezetek és nem birizgálok szervert... de holnap hajnalban kipróbálom!
Köszi, ezzel a két DNS-el már megy minden, pattannak vissza ezek a szemetek!
A küldőnél reverz sincs, ez nálam eleve szürkelistát ér és erősebb pontot az SA-ban. Mondjuk ez önmagában nem fogná meg, de itt a korábban írt sima domain blacklist még bejöhet.
Ha nincs reverse, akkor az nálam meg rögtön reject azt szevasz. Ma már valid küldőknek szokott lenni reverse. 10 éve még évi 2-3 kivételt fel kellett vennem a listára (ügyfélnek valós partnere volt, csak épp a levelezőszervere volt trágyán beállítva) mert már akkor is elhajtottam akinek nem volt reverse és feloldható ehlo-ja, de már vagy 2 éve nem kellett ilyenért hozzányúlnom.
--
Rózsár Gábor (muszashi)
+1
Én is ezekkel küzdök a napokban. Ezekben a levelekben nem találtam olyan közös nevezőt, amit SPAM assassin-es custom regexppel le tudnék fedni. Két közös dolog azonban van bennük:
Az Amavis doksijában olvastam róluk: DNS-en alapuló RBL listák, van pl. olyan, hogy a frissen regisztrált domain neveket szűri. Meg azokat, amiknél nincsenek publikus whois adatok.
https://spameatingmonkey.com/
Erre van uribl red-es kategória az SA-ban. Viszont egy friss és anonim domain alapján szűrni nem túl nyerő. A sima whoisok egyre több helyen csak annyit mondanak hogy regisztrált a domain és menjél szépen webre. A weben pedig egy captcha vár nyilván. Innen ez karbantarthatatlan lesz, legfeljebb a regisztráció ideje lehet mérvadó.
Oh, ezekbe en is belefutottam sokszor. A kozos az ezekben hogy a "^From: " mezoben levo hostnev az mindig feloldodik es mindig a 185.140.110.3-es cimre. Korabban volt egy hasonlo, az valami 163.172.32.17-re oldodott fel - ugylatszik par honap elteltevel valtoztatnak. Ez egy fel-fake email sender address: ahogy a kiuka kollega is irja fentebb, a 25-os porton nem figyel de webes cuccok (gondolom spammer hirdetesek + az emailed konfirmalasanak kodja) ezeken a gepen(!) fut. Egy ilyen bash-szkriptet csinaltam anno, amit a procmailrc-be beillesztve (mint filter) meg lehet fogni ezeket konnyen:
nem a legelegansabb, de tanitasi mintakat gyujteni jo volt, oszt a vegen meg is tanulta szepen ;) Igy a 185.140.110.3-as ip-re mar nem is kellett tanitanom.
Köszi az észrevételt, ez volt a kiinduló ötlet a pluginhoz. :)
a teljes email kene mindegyik esetben...
--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...
Talán Uribl_blocked? Ha ilyet látsz logban akkor meg is van miért nem fogja meg a SA.
Szombaton összeütöttem egy lehetséges megoldást (SpamAssassin plugin formájában), itt találod: https://hup.hu/node/154794#comment-2129500
Nálam most borult a bili, eddig a legtöbb spammer elhasalt smtp szűrésnél (ehlo meg ilyenek és pár RBL lista)a többit a spamassassin fogta meg és bevágta a spam mappába. Fals pozitív évi 1 volt általában, ami már az smtp-nél elhasalt, néha annyi sem, szóval nem volt gond. A spam mappába napi 1-3 spam került.
No most beindult az élet, spam nem kerül ugyan az inboxba, spamassassin szépen megfogja és bekerül a spam mappába, de konkrétan napi több száz kerül bele. Kb 2 hete volt ilyen először, akkor tekergettem a rendszeren és jó is lett, de mára megint sok a levél a spam mappában. Szóval végül is megy a spam szűrés, de túl sok levél jut el a spamassassin-ig, ami meg csak ugye a spam mappába teszi, szóval a gond az, hogy a júzereknek sok a spam a spam mappában és ennek nem örülnek. (nem ehhez voltak szokva)
Egyelőre nem tenném meg, hogy spamassassin-el eldobatom a mailt, most felheggesztettem pár olyan RBL-t is, amit eddig nem használtam, mert kicsit erősnek éreztem. (pl barracuda)
Egy órája nyugi van, de kíváncsi vagyok mi lesz hosszabb távon. Ezek nagyrészt magyar nyelvű spam-ek. Más nem tapasztalt mostanában nagy élénkülést?
--
Tanya Csenöl az új csatorna
Csak a multi-rbl -es eximes listázásom tudom ajánlani. :)
A helyzet az, hogy mindenképp felpörögtek spammerék és zúzzák a cuccaikat nyakló nélkül. Ami sokat segít az néhány extra SA szabály mondjuk a szép új és egyben gyanús TLD-kre. Érdemes adott ponthatár felett 500-as hibával visszacsapni a spamet, hogy márpedig nem kéred. Ezt úgy lőttem be, hogy legalább 2-3 különféle kategóriájú szabálycsoport által spamnek minősített spam essen ebbe bele. Pl Bayes + DKIM/SPF + Blacklistek vagy sokféles blacklist, razor és bayes stb.
A clamavhoz érdemes a 3rd party (unofficial sigs) adatbázisokat belőni, mert ugyan nem pont spamszűrés a célja, de sok spam is benne van ezekben és phising maileket is fogdossák. Szintén segít a gugli féle safebrowsing db bekapcsolása is. A tapasztalatunk szerint az alap clamav aláírási pakkra alig-alig van match, viszont az említettekből elég sok van.
A spamhelyzet épp odáig fajult, hogy proci és raidcache upgrade lesz januárban a levelező szerveren, hogy a nálunk korábban megszokott relatív pörgős mailezés visszaálljon.
SpamAssassin-nál már nem tudom visszacsapni, akkor már elfogadtam a levelet. :) (persze át is lehetne alakítani, mert 2005-óta megy distupgrade-el ez a rendszer, ezt anno így csináltam még meg -boldog békeidők- és csak frissítem meg simogatom, illetve egyszer cseréltem rajta a courier-t dovecot-ra, de alapvetően nem szoktam átszabni)
Napi 1000 levél körül így is megy vissza 500-al még az smtp-nél, de ami átjött az már a SpamAssassin-é az vagy spam jelölést kap vagy megy az inboxba. Na itt tehetném esetleg meg, hogy bizonyos pontszám helyett ne spam jelölést kapjon, hanem töröljük. Ezt azonban nem akarom még meglépni, ha lehet inkább több smtp és 500 még kapcsolódáskor. 19 órakor vettem fel új rbl-eket, azóta 0 spamnek jelölt levél van. Koppp...koppp.
--
Tanya Csenöl az új csatorna
lásd alant
https://hup.hu/node/155731
ÁÁÁÁ látom, hogy nem egyedi eset. :D Nekem mondjuk a SpamAssassin megfogja, csak zavarja az usereket a sok levél a spam mappában, ezért toldozgatom most az smtp szűrést.
--
Tanya Csenöl az új csatorna
Egyelőre nem tenném meg, hogy spamassassin-el eldobatom a mailt
Én ezt évekkel ezelőtt megléptem. Nem bántam meg.