Tiszteletem,
adott lenne egy megörökölt hálózat és egy ahhoz tartozó levelezőszerver Debian Linux+Postfix+Dovecot+Sieve+Spamassassin+Pyzor+DCC+Razor2 felállásban.
/etc/postfix/main.cf:
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
append_dot_mydomain = no
myhostname = mail.valami.hu
myorigin = /etc/mailname
mydestination = mail.valami.hu, localhost.valami.hu, localhost
relayhost =
mynetworks = $config_directory/mynetworks
mailbox_size_limit = 51200000
recipient_delimiter = +
inet_interfaces = 1.2.3.4, 127.0.0.1
smtp_bind_address = 1.2.3.4
message_size_limit = 20480000
smtpd_helo_required = yes
disable_vrfy_command = yes
virtual_mailbox_base = /srv/vmail
virtual_mailbox_domains = proxy:mysql:$config_directory/mysql_virtual_domains_maps.cf
virtual_mailbox_maps = proxy:mysql:$config_directory/mysql_virtual_mailbox_maps.cf
virtual_alias_maps = proxy:mysql:$config_directory/mysql_virtual_alias_maps.cf
virtual_minimum_uid = 150
virtual_uid_maps = static:150
virtual_gid_maps = static:8
virtual_transport = dovecot-spamass
dovecot-spamass_destination_recipient_limit = 1
smtpd_recipient_restrictions = permit_mynetworks,
permit_sasl_authenticated,
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_unauth_destination,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client bl.spamcop.net
/etc/postfix/master.cf lényeges része:
dovecot-spamass unix - n n - - pipe
flags=DRhu user=vmail:mail argv=/usr/bin/spamc -u ${recipient} -e /usr/lib/dovecot/deliver -d ${recipient}
A hálózat tagjainak - akik egy adott IP-címtartományból dinamikusan kapják meg az IP-címet - egy részének a levelezőszerveren van fiókja (az azokra érkező leveleket remekül szűri a spamassassin), másik részének meg máshol van, de a levelezőszerver SMTP-szerverét használják levélküldésre. Ezidáig (leginkább ezen utóbbiakkal) nem is volt gond, csak az utóbbi időben elszaporodtak a botnetes gépek és mindenféle e-mail címekről bombázzák a szerencsétlen Internetezőket.
Arra keresnék megoldást, hogy a hálózat tagjainak - leginkább a levelezőszerveren postafiókkal nem rendelkezőekét - levélküldését egy kicsit ráncba szedjem.
Próbáltam már a check_sender_access-sel a spammelő e-mail címeket visszautasítgatni, de csak rövid ideig volt hatása - nagyon gyorsan új e-mail címek jelentek meg.
Milyen metódust javasolnátok erre?
Valasmi rangsoroló megoldást keresnék - tehát ha például a hálózat adott IP-címéről már teszem azt 30 levelet elküldött egy óra alatt, de nem csak egy adott domainre, és ráadásul van a levelezőszerveren postafiókja, akkor azt továbbengedi; de aki mondjuk 60 levelet küld el egy óra alatt, nincs postafiókja a levelezőszerveren, és a levelek érdekesmód egy domainre szólnak, akkor azt az IP-t blokkolja x ideig.
Válaszaitokat előre is köszönöm.
- 2286 megtekintés
Hozzászólások
Kérdéseim:
- SMTP autentikáció kötelezően van?
- SSL kötelezően van?
- Hogyan kapnak a userek accountot?
Egyébként az IP cím szerinti szűrést nyugodtan felejtsd el, én olyasmit csinálnék max, ha valaki sok spamet küldött, az kap egy permanens bant. Hogy ezt dinamikus IP-kkel hogy oldod meg, jó kérdés. A rangsorolással az a baj, hogy ha valaki egy méretesebb címlistára küld levelet, akkor nagyon gyorsan panaszkodni fog, hogy miért nem mennek ki a levelei.
- A hozzászóláshoz be kell jelentkezni
"- Hogyan kapnak a userek accountot?"
"Kérsz oszt' kapsz"-alapon. ;)
"- SMTP autentikáció kötelezően van?
- SSL kötelezően van?"
Igen, tudom, ez lenne a tökéletes megoldás, de sajnos a hálózat előző kezelője ezeket eléggé félvállról vette, illetve nem is volt a hiányukból ezidáig probléma, harmadrészt eléggé egységsugarú felhasználókról van szó - így ezek bevezetése némi időt igényelne.
Ezért keresnék valami köztes megoldást.
"Egyébként az IP cím szerinti szűrést nyugodtan felejtsd el, én olyasmit csinálnék max, ha valaki sok spamet küldött, az kap egy permanens bant. Hogy ezt dinamikus IP-kkel hogy oldod meg, jó kérdés."
Esetleg olyan extrém megoldáson gondolkodom, hogy amikor felcsatlakozik a delikvens (és tudom róla, hogy rosszalkodik, mert a maillog-ból ez kiderül), akkor a mail.valami.hu 25-ös portjára érkező kéréseket iptables segítségével átirányítom a mail.valami.hu 12225-ös portjára, ahol levélküldéskor visszaválaszolna egy daemon, hogy "ejnye, te már túl sok e-mailt küldtél ma, most pihenj egy kicsit".
"A rangsorolással az a baj, hogy ha valaki egy méretesebb címlistára küld levelet, akkor nagyon gyorsan panaszkodni fog, hogy miért nem mennek ki a levelei."
Aha csak aki címlistára küld levelet, az nem a charlie-job@superduperjobs.com levelezőfiókról küld ki levelet csak és kizárólag aol.com-os postafiókok garmadájára (és nem kapok az aol.com FBL-tól szerelmetes leveleket). ;)
- A hozzászóláshoz be kell jelentkezni
Nezd, ugysem fogod tudni megkerulni, hogy autentikaciot vezess be. Ergo tessek az uzleti donteshozokat cseszegetni, hogy vagy nem mennek ki a levelek mert spamlistan van a mailszerver, vagy megmondjatok a usereknek, hogy autentikacio lesz.
Namost, hogy segitsek egy kicsit. Elvben DHCP-n vagy PPPoE-n kapjak a userek az IP cimet. Feltetelezem, hogy VALAMI nyilvantartasod szuletik arrol, hogy ki milyen cimet kapott. Feltetelezem tovabba, hogy ez az informacio beleszuletik egy DB-be. Namost innentol kezdve tudsz dolgozni az adattal, viszont Postfixszel nem tudom, hogy oldod meg. Eximhez tudok segiteni. Lenyeg a lenyeg, en a kovetkezot csinalnam:
- A .hu domaineket automatikusan atengednem.
- Az egyeb domainekkel logolnam, hogy az adott user milyen mailcimrol hanyszor kuldott milyen eloszlasban.
- Ebbol az informaciobol eloallitanek egy tablazatot, melyik usernek milyen latszolag valid cimei vannak.
- Ha jon egy level egy nem valid cimrol, a SA-n 4-es score felett visszapattintanam a usernek a megadott kontakt e-mail fiokjara. Ha nem tetszik a spam aradat, oldja meg, hogy ne szemeteljen a gepe.
- Egyeb esetben beleraknam a Sender headert.
Ezen felul megmondanam a usereknek, hogy ha nem tetszik a Sender header vagy a szigoru spam szures, tessek autentikaciot hasznalni.
- A hozzászóláshoz be kell jelentkezni