spam és vírusszűrés letiltása nemfizető ügyfélnél

Spam, Adathalászat

kérdésem lenne, szerintetek hogy a legegyszerűbb a spam és vírusszűrés megkerülését beállítani (tehát spamassassin, pyzor, clamav, etc.), egy nem fizető ügyél esetén, csak a saját domainjeire.

DNS nem nálunk van, MX nem írható át.

opr: Debian 6, mta: postfix

  • 9582 megtekintés

( bandy | 2012. 05. 15., k – 11:24 )

és milyen spamfiltert használsz? DSPAM azt hiszem tud olyat, hogy csak bizonyos domaineket szűr.

( tompos v | 2012. 05. 15., k – 11:26 )

Kiveszed a pipat a spam szurese checkbox-bol.

tompos

( GhostPunk | 2012. 05. 18., p – 22:20 )

bypass spam filtering (amavis, spamassassin, stb.) a google kulcsszó amit keresel.

Leírtad, mivel kezdted? Nem. Akkor meg? A segítségkérés ne csapjon már át követelőzésbe -és fentebb- személyeskedésbe (bár próbáltad cáfolni). A kollégák kérdeztek; illetve tanácsokat adtak azzal kapcsolatban, hogy miket próbálj ki (igencsak alap dolgokat közöltél); örülj neki, s válaszolj a kérdésekre, ha már megtisztelnek azzal, hogy ötleteket adnak.

És egyébként bocs, nem személyeskedés, csak kezdek kicsit kételkedni az értelmi szinvonalat illetően.

1. válasz, milyen spamszűrot használsz? (oda van írva a kérdésembe)
2. válasz baromság
3. válasz triviális közhely

szóval konkrétumokat kérnék, köszönöm!

Az is egy válasz, hogy "fogalmam sincs", de akkor kérem a kommentelés mellőzését.

én aztán nem veszem annak. látom zavarnak a közhelyek, úgyhogy be sem linkelem a "hogyan kérdezzünk okosan" c. írást.

semmit nem írsz arról, hogy te mivel próbálkoztál, mire kerestél rá, min vagy már túl, miért nem működött. miket módosíthatsz a rendszerben, mit nem. hogy van összerakva a levelezésed. a zimbra például spamassassint, clamavot és postfixet használ (pont amit te is), ez alapján akár az is lehet nálad. ott pedig tényleg az a megoldás, hogy a "checkboxban kiveszed a pipát". nyilván nem ez a helyzet, de elvárod, hogy találgassunk, ahelyett, hogy első körben leírnád pontosan a helyzetet. levelezést az említett programokkal is lehet millió féle képpen összerakni.
egészen konkrétan az általam javasolt google keresésnél az első 5 találatban van a "Bypass amavisd-new scanning HOWTO" című, ahol végtelen sok példát találsz, részletesen elmagyarázva. előfordulhat, hogy nem használsz amavist, de akkor felrakod, beállítod és 30 perc alatt megoldódott a problémád. előfordulhat, hogy nem tudsz/szabad/akarsz belenyúlni ennyire a rendszerbe, de ezt megint mi találjuk ki? remélem érted mi a problémám.

lehetsz felháborodva, csak nem biztos, hogy ez a célravezető, ha választ vársz a kérdésedre.

Szerintem ez egy szakmai fórum, és így feltételezük (én legalábbis feltételezem) a másikról, hogy azért ír ide, mert guglizott, ötletelt, megpróbálta és nem ment neki.

Szerintem szimplán marhaság, ha valaki szerint minden fórum bejegyzés úgy kezdődjón, hogy:
-kérdésem lenne, ez meg ez
-gugli a te barátod
-megvolt nem segített
-ja akkor bocs

Amit konkrétan javasoltál (keresés bypass spam filtering spamassassin, amavis) az első kb. 100 találatban arról szól, hogy ha spammer lennék hogy kellene olyan emailt összerakni ami átmegy ezeken.

Mellesleg, született lejebb három "jó nyom" amin el lehet indulni.

THX mindenkinek!

Ebben latod igazad van, nagyon jo lenne, ha ki lehetne indulni ebbol a feltetelezesbol. Sajnos a gyakorlat igenis azt mutatja, hogy az emberek 90%-a azert ir a forumba, mert keptelen hasznalni a Google-t. Ezert van az, hogy manapsag mar senki nem tud kiindulni ebbol a premisszabol - mert egyszeruen tul sokszor valt hamissa.

A masik, hogy tipikusan az olyan kerdesek szoktak lenni ezek, ahol a delikvensek egyszeruen nem irjak le, hogy mivel/mikkel probalkoztak. Azt kell itt megertened, hogy nekunk ezen az oldalon nincs kristalygombunk, nem vagyunk kepesek kitalalni, hogy te ott a tuloldalon mit csinaltal es mit nem, es mi miert nem ment. A te erdeked is, hogy elkeruljuk a felesleges koroket, marpedig ennek a legjobb modja az, hogy elmondod, pontosan mikkel probalkoztal, hol akadtal el, vagy miert bizonyult - szerinted - rossz otletnek. Ez egyreszt segiti a problema megoldasat (igy ezeket a koroket mar mi sem futtatjuk meg veled), masreszt megmutatja, hogy te nem tartozol azok koze, akik lustak megoldast keresni, es csak a sult galambra varnak. Harmadreszt pedig sokszor az ilyen kozelebbrol is meg tudja mutatni, hogy mi a pontos problema.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

szóval konkrétumokat kérnék, köszönöm!

Beteszel a spamassassin-t hívó acl-be egy condition-t, ami egy adatbázislekérés eredményétől függően nem hívja meg, ha a feketelistádon rajta van a címzett domain neve. Ugyanezt a víruskereső meghívásánál is el lehet játszani.

Ja, és használj eximet ;-)

Tudsz valami összehasonlító elemzést a két MTA -val kapcsolatosan? Mi is exim -et használunk; nem csak fogadásra, hanem relayként is; napi 2-3 millio levélhez; de talán csak az alternatíva ismeretének hiánya miatt. Gyakorlati tapasztalatok érdekelnének; STFW, RTFM nem annyira ;).

:-)

olyat nem, amit magam vegeztem, mert en nem hasznalok exim-et (max. tesztelesre). Egy hatrany a postfix-hez kepest, hogy a content filternek csak smtp-n tudod atadni a levelet, lmtp-n nem. Ez azt eredmenyezi, hogy nem tudsz vele cimzettenkent eltero antispam beallitast / mukodest elerni.

Biztonsagi szempontbol is (ld. monolitikus felepites) a postfix mogott van. Volt is benne 1(?) csunya remote root exploit.

A http://shearer.org/MTA_Comparison cimen emlit egy ilyet a cikk iroja, hogy "there is much less flexibility for performing content scanning by external programs partway through SMTP processing, so there will never be an equivalent to Exim's Exiscan interface."

Bevallom, nem ismerem az exiscan interface-t, de a postfix tobb modot is biztosit a 3rd party content filter szoftverek szamara, igy talan nem akkora ervagas, hogy "never be an equivalent to Exim's Exiscan".

Irhatnam azt is, hogy az exim konfigja nekem nem jon be, de ez erosen szubjektiv.

Miert kell nekem sajnalnom a Klubradiot?

Hmm, koszi; a content filtering dologgal sajnos épp mostanában szívtunk; 2 csúnya remote exploit volt; mindkettőt beszoptuk; azóta csak virtuális gépen (openVZ), a megfelelő restrikciók mellett használjuk. Performance és talán a meglévő további ismeretink miatt használjuk; a konfigja viszont valóban nehezen emészthető elsőre...

Lehet eximmel is peruser vagy perdomain beállítás, csak egyszerűen teljesen más a filozófia. Maga az exim konfig egy scriptként fogható fel, ami kvázi a levélen kerül végrehajtásra. Az alap ACL-ekkel nevezetes SMTP állapotok (helo, rcpt to, data stb) után lehet vizsgálni mindenfélét, szó szerint. Tehát megadható az, hogy pl ha nincs reverse a küldőnél ÉS ha xy@xy.hu a címzett akkor legyen greylist, de egyébként meg ne. Ugyanez igaz a vírus és spam szűrésre is, ahol exiscan alapon lehet igény szerint meghívni a clamav-ot vagy a saját protokollján a spamd-t. A ki/be kapcsolás könnyű, mert amelyik fiókra/domainre nem kell ilyen szűrés ott nem is kerül meghívásra az adott alkalmazás. A peruser szabályrendszer kialakítás az már elég meredek, de pl. kombinálható a dovecot-lda+sieve-el és onnan igen komoly szűrési opciókat lehet beállítani. Peruser blacklist és whitelist is könnyen megadható, csak megfelelő feltételt kell hozzá írni a spamd vagy vírusszűrő meghíváshoz.

Az tény, hogy a peruser spamszűrés teljesen egyedi szabályokkal nemnagyon oldható meg, de ha a spamd eredmény alapján több fejléc kerül az emailbe akkor azok alapján már fel lehet venni sieve szabályokat is (ponthatárok alapján pl. X-Spam-Level: LOW|MID|HIGH|EXTREME stb. fejléc), amikkel spam folderbe vagy devnullba is teheti a juzer az emaileket. Ezek együtt is működhetnek egy előszűréssel (pl. EXTREME szintet már nem kap meg a juzer, hanem megy a devnullba) még az lda előtt, csak győzze az ember követni a szabályrendszerét. :)

Egyik előnye az eximnek hogy 4.70 (vagy 72) beépítve kezeli a DKIM aláírást és validálást. Erre lehet újabb szabályt írni, amivel a DKIM valid emailek felmenthetőek a spamszűrés alól. Jellemzően a gmail-es, ebay-es és sok nagy küffődi szolgáltató aláírja a leveleket. Ezzel elég masszív munka vehető le a spamszűrőről, persze ha valaki nem paranoid teljesen és megbízik a DKIM aláírásban.

Nekem személy szerint ez a script jelleg jobban bejön, mint a postfix+amavisd viszonylag adott konfig környezete. A monolitikus felépítés a hibakereséskor pedig jól szokott jönni, mert csak egy levél azonosítóra kell keresni.

Végül pedig az aranyszabály pedig ide is igaz, mégpedig hogy azt érdemes használni, amiben otthon van az illető admin és biztonságosan be tudja állítani.

A peruser szabályrendszer kialakítás az már elég meredek, de pl. kombinálható a dovecot-lda+sieve-el és onnan igen komoly szűrési opciókat lehet beállítani.

azert erzed, hogy ez nem kicsit ganyolas (a hibalehetosegekrol + komplexitasrol nem is beszelve). En arra gondoltam, hogy van egy ceg tobb osztallyal, ahol az egyik user imadja pl. a kuponos spameket, de a masik meg utalja. Hogy lehet ezt megoldani?

A) irjon ra az egyik user ilyen szabalyt a MUA-jaban, a masik meg olyat, LOL, B) Az MTA LMTP-vel adja at a levelet a content filternek, aminek ha pl. 2 cimzettje van, akkor ugyanazt a levelet 2x is megkapja a content filter, de az adott email cimhez rendelt beallitasoknak megfeleloen kategorizalja a levelet.

Nem egyszeruen arrol van szo, hogy a 2 user eseten (akar) egy teljesen mas token halmazt hasznalhatsz, hanem pl. a clapf eseten egy teljesen eltero policy-t is hasznalhatsz, pl. x user szemetet tedd karantenba, majd dobd el, mig y user szemetet csak jelold, es tovabbitsd. Azonban ezt exim-nel aligha tudod megoldani (legalabbis smtp proxy-val, mint amilyen a clapf is), tuti nem.

A postfix-nek az a koncepcioja, hogy a legalapvetobb MTA feature-oket tudja, es ha ez nem eleg, akkor illessz melle egy 3rd party megoldast. OK, valoban nice, hogy az exim beepitve tudja a DKIM-et (amit most lehetne fikazni, hogy nem eleg elterjedt a hasznalata, de pl. a paypal vagy egy bank eseteben nagyon pozitiv, ha hasznaljak, es ha a fogado oldal is figyeli), de szerintem nem tragedia, ha postfix eseten - ha ilyet akarsz - akkor tegyel fel egy 3rd party cuccot.

Szinten nice to have a "ha nincs reverse a küldőnél ÉS ha xy@xy.hu a címzett akkor legyen greylist, de egyébként meg ne", de lassuk meg ennek az arnyoldalat is: sose lesz olyan rugalmas, mint egy dedikalt spamszuro, de cserebe felhizlalja a forraskodot, es ezzel noveli a hibak valoszinuseget, ami egy monolit programnal akar gaz is lehet.

De mit csinal a postfix? Greylisting kell? Hasznald a postgrey-t (vagy barmi mast), amit kedvedre patkolhatsz. En pl. a clapf melle egy olyan patkolt verziot csomagolok (kb. 10 soros diff az eredetihez kepest), ami indulaskor beolvas egy zsak regexp-et (amit en csomagolok melle), es ha a kliens PTR-re illeszkedik, _akkor_ greylistel (eme eseteken kivul amugy is tok folosleges a greylisting, es csak frusztraciot okoz). Oldd meg ezt exim-ben :-)

Ha pedig spamszures kell, akkor tegy be egy content filtert. Lehet az milter, lehet before-queue vagy after-queue content filter, de lehet pl. maildrop-bol meghivott cucc is. Itt nem erzem magam beszoritva, kompromisszumokra kenyszerive.

Mondom, biztos ugyes az exim a ha ez es ez van, akkor azt meg azt csinald feltetelekben, de nem hiszem, hogy egy full blown spamszurot meg birna kozeliteni (amit 2 mozdulattal bevagsz egy postfix szendvicsbe).

azt érdemes használni, amiben otthon van az illető admin és biztonságosan be tudja állítani.

ebben egyet ertunk :-)

Miert kell nekem sajnalnom a Klubradiot?

Postfixnél sokkal szebben meg lehet csinálni, hogy reverz regexp alapján legyen greylisting. :) Eximben remekül be lehet tenni X darab feltételt a greylistinghez is, ami akár több regexp is lehet felsorolva. Ezt speciel szerintem kb. úgy használjuk, ahogy Te is. :) (Itt van a postfixes megoldás 2007-ből: http://www.arschkrebs.de/postfix/postfix_greylisting.shtml és ezt szintén használtam elég hosszú ideig.)

Az exim nem közelít spamszűrőt, hanem meghívod a spamd-t (alias spamassasin) vele.

de hat ez mar csak filozofia kerdese: az exim a core feature-ok kozott implementalja ezt, a postfix meg az mondja: hasznalj egy 3rd party policy szervert. Szerintem az utobbi ekvivalens az elobbivel. Mondjuk ugy, az utobbinal a feature nem MTA-space-ben fut :-))

Miert kell nekem sajnalnom a Klubradiot?

Az MTA LMTP-vel adja at a levelet a content filternek, aminek ha pl. 2 cimzettje van, akkor ugyanazt a levelet 2x is megkapja a content filter, de az adott email cimhez rendelt beallitasoknak megfeleloen kategorizalja a levelet.

A spamassassin tudja ezt? Azaz adok neki egy levelet (bármilyen technológiával), van benne 3 helyi címzett meg 2 nem helyi, a három helyi címzettnek egyedi beállításai (nem csak annyiban térnek el, hogy mekkora score felett spam valami), és a spamassassin úgy értékeli ki a levelet _EGYSZER_, hogy a 3 helyi címzett különböző beálításait mind figyelembe veszi?

Mert olyat, hogy minden címzettre külön futtassuk a spamassassint, azt eximmel is bármikor össze lehet rakni, csak már az egy levél - egy check is akkora energiát emészt fel, hogy az ember nem szívesen szorozná ezt meg n-nel.

A spamassassin tudja ezt?

Necces. Bar ugyan az SA egy buta tok, de sql adatbazis alapjan lehet neki per user preferenciakat megadni (ami ki tudja mire eleg), ill. a bayes db-t (azt hiszem) nem csak DB file-bol kepes venni, hanem (talan) sql-bol is. De hogy ez userenkent / csoportonkent egyedi lehessen, ill. hogy egyaltalan a usereket csoportokba szervezhesd, az mar erosen ketseges. Bar vegul is irhatsz ra patch-et ;-)

Mert olyat, hogy minden címzettre külön futtassuk a spamassassint, azt eximmel is bármikor össze lehet rakni,

tudsz mutatni erre egy pelda exim konfigot? Tudom, google, de nem vagyok akkora exim majer...

csak már az egy levél - egy check is akkora energiát emészt fel, hogy az ember nem szívesen szorozná ezt meg n-nel.

igy van, de nem is SA-rol beszeltem, hanem egy nagyobb teljesitmenyu, de cserebe kisebb eroforrasigenyu statisztikai szurorol, ami fel sem veszi az n-szeres szorzot..

Bar... egy atlag kornyezetben ez a szintu testreszabas lehet, hogy mar overkill, mindenesetre en szeretem magam eldonteni a legaprobb reszletekeig, hogy egy spamszuro hogyan dolgozzon.

Miert kell nekem sajnalnom a Klubradiot?

tudsz mutatni erre egy pelda exim konfigot? Tudom, google, de nem vagyok akkora exim majer...

Több példányt kell hozzá futtatni (majdnem postfix-like lesz a konfiguráció káoszfaktora ;-), az egyik fogadja elöl és szétszedi címzettenként, azaz a "hátul" levő mail delivery-nek úgy adja tovább, hogy egy címzett - egy levél.

Vagy talán lehet az SA-t LMTP-vel is bedrótozni (az exim tud LMTP-be kézbesíteni), akkor azon a ponton meg lehet oldani, hogy címzettenként szétbontva menjen már tovább. Persze akkor meg meg kell oldani, hogy az SA végül továbbküldje a delivery agenthez.

ezt ismered? a content-filter szelektiv bekapcsolasa domainekre: http://www.postfix.org/FILTER_README.html#dynamic_filter

A problema masik megkozelitese, ha spamassassin szinten kikapcsolod a spamszurest az adott domainre/email cimre, pl. nezd meg ezt: http://www.gossamer-threads.com/lists/spamassassin/users/152517

Miert kell nekem sajnalnom a Klubradiot?

Nem szemelyeskedes, de tudod neha (sokszor) az ilyen kerdesek olyanoktol jonnek, akik lustak google-t hasznalni. Ellenben ha leirnad, hogy eddig mivel probalkoztal, akkor rogton latszodna rajtad, hogy azert kapisgalod az iranyt. Vagy esetleg nem. Mindig irj konkretumokat is.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Örökre a szívükbe zárnak, az tutti... Nem baj az odamondás, ha van alapja. A második miért is hülyeség?
"The default is opt-out, which means all users will be filtered unless a .nodspam file is dropped in /var/dspam/opt-out/user.nodspam"

Az, hogy elkerül hozzá, mert az útjában van, az egy dolog. Az, hogy nem fogja érdekelni, hogy spam, az egy másik.

( sany | 2012. 05. 18., p – 23:27 )

Az nem járható út, hogy árirányítod a levelezését és KP ellenében megkapja?!

( andrej_ v | 2012. 05. 19., szo – 07:56 )

Postfix + Amavis esetén van egy spam_lovers/virus_lovers opció.

Eximnél ez elegánsabb lehetne: a clamav és spamd meghíváshoz simán beteszel egy plusz feltételt, ami kivételezi a domaineket.

Én extraként ezekre egy 20 perces greylist szabályt is feltennék, minden levélre.

Azt viszont nem értem, hogy miért nem függeszted fel a domaineket úgy hogy 4xx-es hibával dobd vissza a maileket? A POP3/IMAP logint pedig szintén felfüggeszteni.

Ha kiderul szamara, hogy nincs spam- es virusszurese, akkor ugyanugy elviheti az egesz cuccat...
Az ilyeneket mashogy kell megoldani. Mas kerdes, ha eleve nem akar fizetni, annal rosszabb pedig nincs. Egyszeruen fel kell hivni es megkerdezni, hogy mikor lesz kiegyenlitve a szamla. Ha nem fizet, akkor vesztesegnek kell elkonyvelni es leallitani a szolgaltatast. Egyszerre mindent.
Tapasztalatbol beszelek.

( wladek1 | 2012. 05. 19., szo – 09:13 )

Miért kellene ilyet?
Letiltod POP/IMAP/Webmail; aztán majd rájön, hogy kellenének neki a szaros levelei.
Hidd el, nagyon gyorsan meg fog érkezni a tartozás, ha fontos levelei is lehetnek.

( hrgy84 | 2012. 05. 19., szo – 15:33 )

Technikailag tobb valasz is erkezett, bypass check az amavisban, es egy regex tombbel megmatchelteted a feladot. Pl.

Ami az uzleti reszet illeti: en nem csinalnek ilyet. Az egyik oka az, hogy ehhez bele kell nyulni egy meglevo rendszerbe, ami maceras, es hibalehetoseg. A masik az, hogy nem fizetni fog, hanem siman otthagy, te meg futhatsz a penzed utan.

Ezzel a megoldassal tuti nem noveled meg a fizetesi hajlandosagot, epp ellenkezoleg, azt fogja mondani, hogy ilyen fos megoldasert o nem fog fizetni. Es utana lehet mondani, hogy explicite neki szar csak, mit gondolsz, mennyire fog neked hinni? Hint: semennyire. Szoval nincs ertelme, egy csomot dolgozol, a semmiert.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Allitsd le a levelezeset es a feladonak kuldj autoreplyt:

"Tisztelt levelezo, sajnos XY ugyfelunk nem fizetett a szolgaltatasert, igy keptelenek vagyunk a levelet kezbesiteni."

Jo ha megtudjak az illeto ugyfelei is, kivel allnak szemben. Elozoleg azonban tajokoztasd az urget arrol ami tortenni fog, hatha megpuhul.

--
FeZo

Mi a kulonbseg a kis nemfizeto ugyfel meg a nagy nemfizeto ugyfel kozott? Az, hogy a masik sokkal tobb eroforrast zabal fol addig is, amig nem fizet erte. Semmi egyeb mas.

Egyebkent a felfuggesztes - foleg ha a weboldal felfuggesztesevel is jar - tipikusan jo reakcio szokott lenni, mert azonnal eszreveszik, felhivjak az ugyfelszolit, ahol el lehet mondani, hogy bizony, itt egy nagyon nagy hatralekrol van szo, es a szolgaltatas korlatozasra kerult. A tartozas kiegyenlitese eseten a szolgaltatas ismet teljeserteku lesz. No persze, ehhez az kell, hogy a szerzodesben dokumentalva legyen a szolgaltatas korlatozasa nemfizetes eseten.

Egyebkent meg a fene tudja, ez mindig egyedi elbiralas kerese. A legtobb esetben altalaban inkabb fizetnek, mert azt mindenki tudja, hogy egy szolgaltatovaltas nagy macera minden cegnel (minden gepen ujra be kell allitnai az outlook-ot, ujra le kell futni a koroket, hogy a weboldal mukodjon, migralni kell, stb.), hosszabb kiesesre szamolhatnak, mint a felfuggesztes soran.

Nem veletlen, hogy a cPanel-ben is a hozzaferes felfuggesztese az ajanlott ut ilyen esetekre. Hatasos, az ugyfelet (olyan nagy) kar nem eri, es ha eri is, a sajat hulyesegenek koszonheti, semmi egyeb masnak.

Ami biztosan nem jo irany, az a szolgaltatas minosegenek a (szandekos) rontasa. Ezzel tutira elveszted azt az okot, amiert meg az ugyfeled ez a ceg. Foleg, ha nagy ugyfel, ez esetleg cink is lehet.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

( hokuszpk | 2012. 05. 21., h – 20:57 )

otlet 1 : megemeled nala a ponthatart.
otlet 2 :

header NEMFIZETOFICKO ALL=~ /nemfizeto\@domain\.hu/
describe NEMFIZETOFICKO hol a money
score NEMFIZETOFICKO -100

de ezt emlekezetbol irtam, csak mar nem emlexem ra, mikor hasznaltam utoljara spamassassint :D)