Spam szűrés csak Eximmel

Az elmúlt napokban megint sokat bosszankodtam a beeső spamek mennyiségén, ezért elkezdtem őket analizálni formai rendellenességekre. Az eredményként született szűrőszabályok az angol blogomon olvashatóak.

Ha esetleg van tapasztalatotok hasonló szűrőszabályokkal vagy ismertek olyan klienst, ami ilyen karakterisztikákkal rendelkező legitim leveleket küld, kérlek írjátok le kommentbe.

( sj | 2013. 01. 07., h – 19:09 )

Statistical filters only get you so far

es ezt igy hogy?

and they consume a LOT of resources

jo lenne konkretizalni, hogy mennyire sok, es mihez kepest sok, es egyaltalan melyik statisztikai szurorol beszelunk? :-)

Reverse DNS checks

pipa, bar mindig akad olyan, aki legitim levelet kuldene, de a ptr rekordja ize...

Checking dynamic pools

ez is pipa

Filtering based on HELO

FP-gyanus. (Mar evekkel ezelott) olvastam egy thread-et, ahol valaki xy-nal azert fight-olt, mert az keptelen volt egy FQDN-t beallitani a mail szerver helo utan

Filtering Base64 encoded messages

tuti FP hibad lesz tole. Pl. (talan) a HP OV (amikor meg kaptam ilyet, ne kerdezz verziot) igy kuldte a leveleit: szoveges level base64 kodolva, ill. egyeb automata kuldte level is beleeshet a szorasba. Sot, 1-2 legitim level eseten is lattam mar ilyet (ne kerdezd a MUA-t).

the From and To headers are only looked at by the sending mail server

???

Undisclosed recipients

En mar kaptam par olyan levelet, amit (ahogy irtad) tobb embernek kuldtek el, a To: mezo hianyzott, a Bcc: pedig a fogado oldalon mar nem jelenik meg. Amugy a nagy kek egyik meghivoja volt benne par eve.

Mails without a From header

jonak hangzik

Mails without a To and CC header

Mint az undisclosed recipients eseten: szep es jo az rfc, de az elvetemult humanoidok kepesek hasraesni ebben a szabalyban

Multiple From addresses

thumbs up

Filtering messages with BCC fields

valoszinuleg jo ez a szabaly

Diktatorok kezikonyve

5 perces átlag emlékeim szerint (munin) olyan 3-4 másodpercenként. A gépről annyit elmondok, hogy két CPU-s volt és az órajel nem érte el a gigahertzet.

De mértem spamd-t annó Sun SPARC T2000-esen (vagy T2-n?) és 30/sec-et röhögve hozta. Mai szemmel ezek a gépek is már nagyon gyengének számítanak.

Nyilván a spamd-hez is érteni kell, lehetett nálad konfigurációs hiba is.

Statistical filters only get you so far

Sajnos amiota megjelentek a magyar spamek, nekem (szemely szerint) elegge melle lo a bayes filter. Ez kb. olyan, mint ha egy viagra kutatassal foglalkozo intezet levelezo szerveren probalsz spamet szurni. (Megtortent eset.)

Filtering based on HELO

FP-gyanus. (Mar evekkel ezelott) olvastam egy thread-et, ahol valaki xy-nal azert fight-olt, mert az keptelen volt egy FQDN-t beallitani a mail szerver helo utan

Tapasztalatom szerint itt a pozitiv iranyba mentek el a dolgok. Meg az egyebkent problemas random kinai szolgaltatoknak is sikerult egy FQDN-re hasonlito izet beallitani a HELO nevbe.

the From and To headers are only looked at by the sending mail server

Jogos, s/server/client/

Undisclosed recipients

Jogos, figyelmeztetes hozzaadva.

Mails without a To and CC header

En legitimate mailt nem nagyon lattam, de figyelmeztetes hozzaadva.

Koszonom a visszajelzest!

Sajnos amiota megjelentek a magyar spamek, nekem (szemely szerint) elegge melle lo a bayes filter.

en egy olyat csinalok, hogy van par brutal bena kinezetu csapda cimem, ami mar bekerult a korforgasba, igy mar nem is kell tobbe hirdetni. Es beallitottam, hogy ami ide beesik, az definicio szerint spam. Igy a spammerek szivesseget tesznek, amikor tanitjak a szuromet (ha ugyanis nem ismeri fel spamkent, akkor 1 kor tanulas). Havonta 1-2 magyarnak tuno szemet atcsuszik, de kb. ennyi, szepen fogja az ungarise szemetet is.

Ez kb. olyan, mint ha egy viagra kutatassal foglalkozo intezet levelezo szerveren probalsz spamet szurni. (Megtortent eset.)

ha jol belovik a cuccot, akkor siman. A v1agara csak 1 szo, ami ha hammy, meg akkor is siman lehet fogni a szemetet. Szo se rola, erdekes lesz a pfizernel a token szotar, de jarhato utnak tartom.

Amugy gratula, jol osszeszedted a dolgokat :-)

Diktatorok kezikonyve

exim-only dolgokban nem vagyok otthon, de azt biztos tudja az exim is, hogy az envelope from/to-nal csak letezo fdqn-t fogadjon el (sok spammer kamu envelope feladot ad meg).

Nem exim-only, de tan meg belefer a lista vegere a lokalis RBL. A hagyomanyos rbl-ekre sok a panasz, de egy a helyi adatok alapjan ugyesen osszerakott RBL jol szolhat. Eleg nagy userbase-nel meg lehet azt csinalni (kulonben alig 10-20 cim fog rajta lotyogni), hogy pl. a csapda cimekre kuldok cimet timestamp-pel felirjuk, es ha a utolso x ora / x nap / ... alatt n db szamu spam jott, akkor listazzuk az illetot. Ez azert is jo, hogy ha abbahagyja, akkor (idovel) automatikusan lekerul rola. Meg igy is ovatosan ajanlom, es a nagyobb smtp kuldoket (pl. gmail) erdemes kivetellistara tenni.

A kovetkezo tippek mar az exim (vagy barmilyen mta) utan jonnek. Szoval en egy patkolt postgrey-t is hasznalok. A szurkelistaval az a gond, hogy (default) boldog-boldogtalant kesleltet, ami nem jo. Ezert en is osszeallitottam egy a tiedhez hasonlo listat a dinamikus, ppp, dsl, cable, whatever-nek latszo reverz nevekrol, amelyekre ha illeszkedik az smtp kliens ptr-e, akkor rafogom, hogy zombi, es ot szurkelistazom, lassuk, tuleli-e.

Tovabba a statisztikai szuro fel van okositva, hogy a zombinak velt cimrol jon a level, akkor kapasbol spamnek jeloli, igy tehermentesiti a statisztikai modult, de az is beallithato, hogy loggolas utan eldobja. Nalam ez a feature teljesen ki van kapcsolva, ide lojetek alapon, viszont ahova niagarai mennyisegben zudul be a spam, ott hasznos lehet.

Vegul erdemes megfontolni a clamav-ot a sanesecurity signature-okkel. Sok phish, image spam, stb. szemetet is viruskent jelol, ami utan dobhato a level.

Diktatorok kezikonyve