Igazán használható, (all-in-one) DNSBL kerestetik

Spam, Adathalászat

Sziasztok,

arra lennék kíváncsi, ki mit használ (illetve használ -e) a sokféle DNSBL közül, illetve milyen eredménnyel.
Valami aggregált megoldásra lenne jó rálelni (ahol persze időnként ellenőrzik is a forrásokat).
Jelenleg ezek vannak belőve nálam:

cbl.abuseat.org
virbl.dnsbl.bit.nl
bl.spamcop.net
sbl.spamhaus.org
xbl.spamhaus.org
psbl.surriel.com

viszont volt már probléma ezen blacklistek használatából is.

  • 9014 megtekintés

( andrej_ v | 2013. 06. 15., szo – 08:30 )

Ne blacklist alapnak, hanem greylist alapnak használd őket. :)

( wladek1 | 2013. 06. 15., szo – 08:53 )

Tehát ami van és még mindíg kevés:

-reverse DNS ellenőrzés
-greylisting
-hostnév regulárissal csekkolva (pl: dialup, adsl, dsl, etc.)
-SPF, DKIM ellenőrzés
-10 sec. delay a fogadáshoz
-fail2ban smtp -re

A DKIM kapcsán azért van egy dolog, ami miatt viszonylag gyorsan ki lett kapcsolva.
Adott egy user, több e-mail címmel. Hogy nagyobb legyen az öröm, ezek a címek nem egyetlen mail serveren vannak - az user viszont szeretné a levelezését egy helyen kezelni. Ő tehát az egyik mail serveren beállítja, hogy a beérkező levelek kerüljenek továbbításra a másik mail serverre, ott pedig posta bontó szabályok használatával szűri, hogy ha a másik fiókba érkezett volna a levél, akkor az itt másik mappába kerül. Ez így szép is meg jó is meg működik is. A pofára esés akkor kezdődik, amikor egy ilyen "hitelesített" levél esik be ama bizonyos egyik fiókba, amely azonnal forwardolna a másikba. Ekkor az első MTA látván hogy van ilyen fiók, a levelet ugyan átveszi - de amikor be kéne dobni a mailboxba, akkor a szabály alapján egy újabb delivery-t végez: kapcsolódik a másik mail serverhez, ahova továbbitani kell a levelet. Csakhogy! Ekkor a feladó mező nem kerül módosításra! Ráadásul ez még valamilyen szinten jogos is. Igen ám, de a másik mail server mit lát? Hogy jön egy olyan levél, amely rendelkezik DKIM paraméterrel - ellenben az így lekérdezett info szerint a küldő *NEM* jogosult ilyen feladóval küldeni. Tehát szépen visszaveri a levelet, amelyet így elnyel a devnull, majd levelezni kezd a démon az eredeti feladóval, hogy ez bizony így nem megy és súlyos hamisítás történt. :-(
Kérdés, hogy erre van-e valami igazán jó megoldás? Az, hogy minden user leadja azt az e-mail címet, ahonnan idei forwardol és akkor abból a domain-ból(!) nincs DKIM ellenőrzés, nos ez meglehetőst kókányolásnak tűnő megoldás.

Nem az SPF-re gondolsz? A DKIM aláírt email aláírása nem lesz valid legfeljebb, de ha jó a spamszűrő akkor ezen nem akad ki. SPF-nél pedig ~all kellt sajnos a végére tenni a továbbítások miatt. A másik út, hogy a kedves felhasználók figyelmét kell felhívni, hogy ne kókányoljon.

Spamassassin pl. remekül kiegeszítené ezt a bayes szűrőjével, ahogy írták. Ráadásul SPF és DKIM alapon is tud pontozni, amivel a fals pozitivok nagyon lecsökkenthetőek. A rossz hírek mostanában a spammel kapcsolatban:
- a levél szövege marhára standard, formázatlan szöveg, ami simán lehet egy rendes üzleti levél, ezen valamennyire lehet javítani a bayes szűrő tanításával, de sokat nem
- rendszeresen jönnek google/yahoo/stb accountról spamnek látszó emailek, amik még a fentinek is megfelelnek.

Ráadásul SPF és DKIM alapon is tud pontozni, amivel a fals pozitivok nagyon lecsökkenthetőek.

ugy erted, ha egy spammer szepen beallit maganak spf-et / dkim-et, akkor az SA-tol kevesebb pontot kap? :-)

- a levél szövege marhára standard

es ezt igy hogy? Mi az, hogy standard szovegu level?

Diktatorok kezikonyve

- kamu elsodleges mx :-)

IN MX 10 blah-blah.yourdomain.com.
IN MX 20 real-mx.yourdomain.com.

sok spammer elcsuszik ezen is, bar valo igaz, hogy a vps-ekrol tolt spamet ez, meg a tobbi smtp szinten mukodo dolog (kiveve az rbl, de az meg azert nem annyira jo, mert ugye az FP-hibak, meg mire eszbekapnak, addigra lement a spamkampany) nem allitja meg. A legjobb dolog, amit ajanlani tudok, az egy statisztikai szuro (nem az SA-ra gondolok, mert ott a bayes-i modul csak masodhegedus, es az SA amugy is dog lassu resource hog). andrej_-sal ellentetben nekem gyonyoruen fogja a szemetet hosszu evek ota.

Diktatorok kezikonyve

( hokuszpk | 2013. 06. 15., szo – 09:08 )

nekem ez van az assp konfigban :

zen.spamhaus.org=>2
bb.barracudacentral.org=>3
combined.njabl.org=>3
psbl.surriel.com=>3
list.dsbl.org=>4
xbl.spamhaus.org=>4
dul.dnsbl.sorbs.net=>4
cbl.abuseat.org=>4
bl.spamcop.net=>4
safe.dnsbl.sorbs.net=>4

a => utani szam egy oszto, mondhatni a sulyozast jelenti. az elso 5 elerhetot kerdezi le, ha 3-ban bennevan az ip, akkor ad ra pontot, ha jolemlexem a 'legsulyosabb' blacklist erteket szamitja bele a spamscoreba.
60 pontrol indul, a zen.spamhaus.org 2-es erteke igy 30 pontot er, 3-as osztosok 20 pontot, etc.
szvsz ami neked kiegeszitokent hianyzik az az SJ altal sokszor megenekelt bayes filter, ami betanitva es kombinalva az rblekkel mar eleg jo hatekonysagot ad a delay ( pardon greylist, az assp hivja delaynak ) opcio alkalmazasa nelkul.

( vl v | 2013. 06. 15., szo – 17:39 )

Én ezt használom csak blacklistnek: sbl-xbl.spamhaus.org
és minden mást csak kötelező greylistingre: bl.spamcop.net, psbl.surriel.com, dnsbl.sorbs.net.
A spamcop egyértelműen életveszélyes blacklistelésre, náluk a köcsögségfaktor elég nagy.

( uid_17626 | 2013. 06. 15., szo – 18:59 )

Ezt a hármat használom (majdnem 10 éve, azóta felül se bíráltam):

sbl.spamhaus.org
xbl.spamhaus.org
dnsbl.sorbs.net

Jön spam és sajnos sok olyan is van ami nem jön meg, pedig jó lenne. Sokszor gmail.com -se jön meg.

Erre gondolsz?
http://hup.hu/node/118337

Nem vagyok elmélyülve a témában, de bennem ez a módszer azt a gondolatot hívja elő, hogy ez a megoldás inkább spammer szívató, mint spam-mentesítő.
Szerintem egy spammer is be tudja állítani jól a mail szerverét. Neki talán még nagyobb érdeke, mint másnak. Továbbá egy spammer is olvassa védekezések leírását.

Még mindig a listákban hiszek jobban. Van arról leírásod, hogy a spamassisnt-be hogyan tudom beállítani súlyozottan az rbl-eket? (Ezt megköszönném)

en a local.cf-be (de lehet oregon.cf is, ezzel is jelezve, hogy sitespecifikus beallitasokrol van szo) tennem az alabbi definiciokat (csak pelda!):

score RCVD_IN_SORBS 1.0 # ennek lehet, hogy nem pont ez a neve
score RCVD_IN_XBL 3.0
score RCVD_IN_SBL 1.4
....

de en ezt is postfix oldalon oldanam meg, a postscreen tud a sulyozott rbl-kezelest.

Diktatorok kezikonyve

spamassassint mar joideje nem hasznalok, de valoszinuleg jol gondolod.

viszont az 'elobbinel nem jon meg a level' szerintem elfogadhatatlan, altalaban userek is elobb-utobb idegesek tole, mivel a nem beeso levelek kozott ertekesebb iromanyok is lehetnek.
akkor inkabb menjen a spam mappaba, azt maildir eseten lehet tmpwatch segitsegel takaritani mondjuk 30 napra. tobb eroforrast igenyel az igaz, de engem es az usert is megkiméli a fejfajastol.

Csak pár megjegyzés. A legnagyobb mailszerveren én is ezt a hármat lőttem be RBL-re és még sosem fordult elő, hogy gmailt visszautasítson. Kb. heti 1-2 olyan eset van, amikor visszarúg egy valid sendert de azokról mindig ki szokott derülni, hogy nem véletlenül került fel az IP-je ezekre a listákra. Ezért így használom.
Én nem ezt nevezem merésznek, hanem a sender callout ellenőrzést. Ezt nem láttam fentebb említve a listában. Kis forgalmú email siteokon azért be szoktam kapcsolni, mert szeretem.
Aztán:
10 MX invalid ip
20 MX valid site
Elvben jó de sajnos a gyakorlati tapasztalat, hogy mindig van pár elkúrt mailszerver ami az első után a másodikat már nem is próbálja - bounce. Ezért erről leálltam.
Greylistd hasonló okokból problémás, nem szeretem. Bár manapság már szinte mindenki fellövi így lassan kihalnak a béna emailek, egyre több értelme van.

Ezt a vitát már meg sem tudom számolni, hányszor beszéltem végig.
Igen, igazad van.
De két dolog: ha azt az IP-t, ahonnan a beérkező email jön, feketelistázták spam/vírus/trójai bármi miatt, nem érzem az én egyéni szoc. problémámnak, hogy átvegyem-e vajh az onnan érkező levelet vagy nem. Ettől független igazad van, mert az ügyfélnek mindig igaza van. Tehát inkább igen, mint nem. (De szerintem nem.)
Miért? Ez a másik. Az smtp time idején, azaz még a quit előtt visszautasított emailek bekerülnek sikertelen küldésként a spammerek adatbázisába. Egy keményen szűrt címzett esetén lehetséges, hogy idővel csökken a neki érkező spam mennyiség. (Ezt nem én találtam ki, de saját tapasztalatból sokszorosan megerősíthetem.) Egy gyengén szűrt címzett esetén sosem fog csökkenni a beérkező spam, sőt.
Szerk: persze lehet egy jó kompromisszum a spamd-ben 5 pontot kiosztani a dnsbl alapján, de...

A spamküldés nem olyan, mint ahogy mi elképzeljünk. Több millió címből álló címlisták (vagy címlistákra kiküldött emailek) mennek kemény pénzekért, a vevők pedig (itt is) pontosan nyomon szeretik követni, mi történik. Vannak olcsó listák, amik elavult, visszapattogó, rossz email címekből állnak és vannak minőségi listák, ahonnan sosem pattan vissza semmi, sőt talán még kattintanak is a linkekre. Meg biztosan van random címzettnek küldött email is, az vagy az amatőrök terepe, vagy pedig egyfajta felderítés. Ez egy gyönyörűen minőségbiztosított iparág kéremszépen.

" Az smtp time idején, azaz még a quit előtt visszautasított emailek bekerülnek sikertelen küldésként a spammerek adatbázisába. "

sajat tapasztalataim ezt nem erositik meg. aki cimlistat arul, annak az a lenyeg, hogy minel tobb @ legyen benne, magasrol tesz ra, hogy letezo vagy sem a cim. a masik meg az, hogy max. azok figyelik, hogy elment-e egy level, akik celzott reklamot kuldenek. verbeli spammer az ilyen statisztikara tesz magasrol, o levelet kuld, nem a visszapattanokat szortirozza.
amikor eppen szonyegbombaznak es jon az abcd@ meg a dkgfhrwg5ra@ -ra is az aldas, jol lathato, hogy eroforras van boven, majd pont azzal fognak matekolni, hogy jujujj fonok gaz van becsuszott par ervenytelen cim !

ha csokken, akkor azert, mert eppen lekapcsoltak egy botnetet vagy egy nagymenot, a tobbi spammer tarsasag listajara meg még nem kerult fel a kerdeses cim.

Pedig én is ugyanezt tapasztaltam...
- már évek óta nem is létező címekre próbálnak küldeni
- generált usernevekre próbálnak küldeni (pl. admin@domain, webmaster@domain, stb., létező usernévekhez hozzábiggyesztenek számokat, karaktereket: mancika423@domain, pistikex@domain)
és telibeszarják, hogy lepattannak.

"Szerk: persze lehet egy jó kompromisszum a spamd-ben 5 pontot kiosztani a dnsbl alapján, de..."

mar irtam valahol, spamassassint nem hasznalom.
az assp viszont tud olyat is, hogy van egy also pont, ami felett mar spam, de atengedi, es van egy felso ponthatar, ami felett mar biztosan elutasitja. ez kis hangolas utan eleg jol mukodik a gyakorlatban is, ha most ranezek a ~2000 usert hordozo szerverre, akkor ott 48.8%-on van az eldobott levelek aranya. es féléve nem reklamalt senki, hogy nem jott meg a fontos levele.

Szégyellem de nem használok assp-t, viszont most már elkezdett érdekelni. Itt is egy ember http://jivebay.com/assp-is-a-better-spamassassin-alternative/ aki oda meg vissza van tőle. Egy próbát megér.
Egyébként az általad említett módszer spamd-vel is működik, csak külön szabályt kell csinálni a spamd által hozzáadott headerhez az MTA-ban. Sok pontszám > reject. Kis pontszám -> subject rewrite és megy a Maildir/Spam-ba. (Nálam is így van megcsinálva, Eximmel.)

arra vigyazz, hogy az alapbeallitasa eleg szigoru ( neked tetszeni fog :D ), a legtobb opcio ( tehat peldaul a 'Enable DNS Blacklist Validation' is ) 'block' allasban van 'score' vagy 'monitor' helyett, es a pontszamokkal is szepen lehet finomhangolni.
a bayesfiltert elso nekifutasra erdemes testmode -ba kapcsolni, amig lesz eleg mintaja.

ahonnan a beérkező email jön, feketelistázták spam/vírus/trójai bármi miatt, nem érzem az én egyéni szoc. problémámnak, hogy átvegyem-e vajh az onnan érkező levelet vagy nem.

Egészen addig, amíg meg nem tapasztalod, hogy egyes feketelisták korrektül működnek, mások meg nem. Nem korrekt működés = nem tudod, hogy hogyan kerültél fel oda, nem tudod, hogy mit kéne tegyél, hogy lekerüljél (mert nem mondják meg, hogy hogy nézett ki az a levél, ami miatt felraktak), meg úgy általában: maguknak csinálnak egy listát a nekik antipatikus ip-kről, te meg le vagy szarva. Ha olyan kedvük van, akkor a -szerintük- dinamikus címeket felrakják. Na az ilyen hozzáállású listák nem jók semmire.

igen, de ha ilyenkor reklamalas van, akkor nem kell tulsokat magyarazkodni, a level nem veszett el, megerkezett, csak masik folderbe kerult, kerem onnan valassza ki.
sokkal hamarabb lenyugszik még a harcialisan morci user meg a fonok is.
es ha eppen olyan cegnel vagy, nem kell beszamolot irni az eset utan, hogy mit finomitottal a rendszeren, hogy tobbe a levelvesztes ne tortenhessen meg.