Sziasztok,
arra lennék kíváncsi, ki mit használ (illetve használ -e) a sokféle DNSBL közül, illetve milyen eredménnyel.
Valami aggregált megoldásra lenne jó rálelni (ahol persze időnként ellenőrzik is a forrásokat).
Jelenleg ezek vannak belőve nálam:
cbl.abuseat.org
virbl.dnsbl.bit.nl
bl.spamcop.net
sbl.spamhaus.org
xbl.spamhaus.org
psbl.surriel.com
viszont volt már probléma ezen blacklistek használatából is.
- 9014 megtekintés
Hozzászólások
Ne blacklist alapnak, hanem greylist alapnak használd őket. :)
- A hozzászóláshoz be kell jelentkezni
A greylisting alapból is létező dolog nálunk, viszont egy normális MTA ezen azért átverekszi magát, tehát ez így nem opció.
- A hozzászóláshoz be kell jelentkezni
Tehát ami van és még mindíg kevés:
-reverse DNS ellenőrzés
-greylisting
-hostnév regulárissal csekkolva (pl: dialup, adsl, dsl, etc.)
-SPF, DKIM ellenőrzés
-10 sec. delay a fogadáshoz
-fail2ban smtp -re
- A hozzászóláshoz be kell jelentkezni
A DKIM kapcsán azért van egy dolog, ami miatt viszonylag gyorsan ki lett kapcsolva.
Adott egy user, több e-mail címmel. Hogy nagyobb legyen az öröm, ezek a címek nem egyetlen mail serveren vannak - az user viszont szeretné a levelezését egy helyen kezelni. Ő tehát az egyik mail serveren beállítja, hogy a beérkező levelek kerüljenek továbbításra a másik mail serverre, ott pedig posta bontó szabályok használatával szűri, hogy ha a másik fiókba érkezett volna a levél, akkor az itt másik mappába kerül. Ez így szép is meg jó is meg működik is. A pofára esés akkor kezdődik, amikor egy ilyen "hitelesített" levél esik be ama bizonyos egyik fiókba, amely azonnal forwardolna a másikba. Ekkor az első MTA látván hogy van ilyen fiók, a levelet ugyan átveszi - de amikor be kéne dobni a mailboxba, akkor a szabály alapján egy újabb delivery-t végez: kapcsolódik a másik mail serverhez, ahova továbbitani kell a levelet. Csakhogy! Ekkor a feladó mező nem kerül módosításra! Ráadásul ez még valamilyen szinten jogos is. Igen ám, de a másik mail server mit lát? Hogy jön egy olyan levél, amely rendelkezik DKIM paraméterrel - ellenben az így lekérdezett info szerint a küldő *NEM* jogosult ilyen feladóval küldeni. Tehát szépen visszaveri a levelet, amelyet így elnyel a devnull, majd levelezni kezd a démon az eredeti feladóval, hogy ez bizony így nem megy és súlyos hamisítás történt. :-(
Kérdés, hogy erre van-e valami igazán jó megoldás? Az, hogy minden user leadja azt az e-mail címet, ahonnan idei forwardol és akkor abból a domain-ból(!) nincs DKIM ellenőrzés, nos ez meglehetőst kókányolásnak tűnő megoldás.
- A hozzászóláshoz be kell jelentkezni
Nem az SPF-re gondolsz? A DKIM aláírt email aláírása nem lesz valid legfeljebb, de ha jó a spamszűrő akkor ezen nem akad ki. SPF-nél pedig ~all kellt sajnos a végére tenni a továbbítások miatt. A másik út, hogy a kedves felhasználók figyelmét kell felhívni, hogy ne kókányoljon.
- A hozzászóláshoz be kell jelentkezni
Spamassassin pl. remekül kiegeszítené ezt a bayes szűrőjével, ahogy írták. Ráadásul SPF és DKIM alapon is tud pontozni, amivel a fals pozitivok nagyon lecsökkenthetőek. A rossz hírek mostanában a spammel kapcsolatban:
- a levél szövege marhára standard, formázatlan szöveg, ami simán lehet egy rendes üzleti levél, ezen valamennyire lehet javítani a bayes szűrő tanításával, de sokat nem
- rendszeresen jönnek google/yahoo/stb accountról spamnek látszó emailek, amik még a fentinek is megfelelnek.
- A hozzászóláshoz be kell jelentkezni
Ráadásul SPF és DKIM alapon is tud pontozni, amivel a fals pozitivok nagyon lecsökkenthetőek.
ugy erted, ha egy spammer szepen beallit maganak spf-et / dkim-et, akkor az SA-tol kevesebb pontot kap? :-)
- a levél szövege marhára standard
es ezt igy hogy? Mi az, hogy standard szovegu level?
- A hozzászóláshoz be kell jelentkezni
Olyan szoveg ami mindennapi levelezesben normalisan elofordul.
A spamassassin remekul fogja a spameket, de a bayes modul sem tokeletes.
- A hozzászóláshoz be kell jelentkezni
- kamu elsodleges mx :-)
IN MX 10 blah-blah.yourdomain.com.
IN MX 20 real-mx.yourdomain.com.
sok spammer elcsuszik ezen is, bar valo igaz, hogy a vps-ekrol tolt spamet ez, meg a tobbi smtp szinten mukodo dolog (kiveve az rbl, de az meg azert nem annyira jo, mert ugye az FP-hibak, meg mire eszbekapnak, addigra lement a spamkampany) nem allitja meg. A legjobb dolog, amit ajanlani tudok, az egy statisztikai szuro (nem az SA-ra gondolok, mert ott a bayes-i modul csak masodhegedus, es az SA amugy is dog lassu resource hog). andrej_-sal ellentetben nekem gyonyoruen fogja a szemetet hosszu evek ota.
- A hozzászóláshoz be kell jelentkezni
nekem ez van az assp konfigban :
zen.spamhaus.org=>2
bb.barracudacentral.org=>3
combined.njabl.org=>3
psbl.surriel.com=>3
list.dsbl.org=>4
xbl.spamhaus.org=>4
dul.dnsbl.sorbs.net=>4
cbl.abuseat.org=>4
bl.spamcop.net=>4
safe.dnsbl.sorbs.net=>4
a => utani szam egy oszto, mondhatni a sulyozast jelenti. az elso 5 elerhetot kerdezi le, ha 3-ban bennevan az ip, akkor ad ra pontot, ha jolemlexem a 'legsulyosabb' blacklist erteket szamitja bele a spamscoreba.
60 pontrol indul, a zen.spamhaus.org 2-es erteke igy 30 pontot er, 3-as osztosok 20 pontot, etc.
szvsz ami neked kiegeszitokent hianyzik az az SJ altal sokszor megenekelt bayes filter, ami betanitva es kombinalva az rblekkel mar eleg jo hatekonysagot ad a delay ( pardon greylist, az assp hivja delaynak ) opcio alkalmazasa nelkul.
- A hozzászóláshoz be kell jelentkezni
Hmmmm....
Sulyozást még nem próbáltam erre eximben...érdekes lehet. (Illetve nem is tudom, lehet -e)
Egyébként a bl -ek közül eddig a leghatékonyabbnak a cbl.abuseat.org -ot tartom; elég szépen fog...
- A hozzászóláshoz be kell jelentkezni
tisztan csak blacklist alapjan szurni eleg meresz.
- A hozzászóláshoz be kell jelentkezni
FYI: http://njabl.org/
--
Debian Linux rulez... :D
- A hozzászóláshoz be kell jelentkezni
Én ezt használom csak blacklistnek: sbl-xbl.spamhaus.org
és minden mást csak kötelező greylistingre: bl.spamcop.net, psbl.surriel.com, dnsbl.sorbs.net.
A spamcop egyértelműen életveszélyes blacklistelésre, náluk a köcsögségfaktor elég nagy.
- A hozzászóláshoz be kell jelentkezni
Ezt a hármat használom (majdnem 10 éve, azóta felül se bíráltam):
sbl.spamhaus.org
xbl.spamhaus.org
dnsbl.sorbs.net
Jön spam és sajnos sok olyan is van ami nem jön meg, pedig jó lenne. Sokszor gmail.com -se jön meg.
- A hozzászóláshoz be kell jelentkezni
"sajnos sok olyan is van ami nem jön meg, pedig jó lenne."
epp ezert mondom, hogy meresz dolog csak rbl alapjan elutasitani egy beeso levelet.
- A hozzászóláshoz be kell jelentkezni
Ezeket postfix alatt használom (reject_rbl_client)-nél. Feltételezem lehetne használni ezeket a listákat spamassissennel is. (Előbbinél nem jön meg a levél, utóbbinál pedig menne a SPAM könyvtárba).
Jól gondolom?
- A hozzászóláshoz be kell jelentkezni
jol
btw. ha 2.8+ postfix-et hasznalsz, akkor keresd meg itt a hup blogomban egy rovid introt a postscreen-rol, tetszeni fog. (Tobbek kozott) lehet vele sulyozni az rbl-eket.
- A hozzászóláshoz be kell jelentkezni
Erre gondolsz?
http://hup.hu/node/118337
Nem vagyok elmélyülve a témában, de bennem ez a módszer azt a gondolatot hívja elő, hogy ez a megoldás inkább spammer szívató, mint spam-mentesítő.
Szerintem egy spammer is be tudja állítani jól a mail szerverét. Neki talán még nagyobb érdeke, mint másnak. Továbbá egy spammer is olvassa védekezések leírását.
Még mindig a listákban hiszek jobban. Van arról leírásod, hogy a spamassisnt-be hogyan tudom beállítani súlyozottan az rbl-eket? (Ezt megköszönném)
- A hozzászóláshoz be kell jelentkezni
en a local.cf-be (de lehet oregon.cf is, ezzel is jelezve, hogy sitespecifikus beallitasokrol van szo) tennem az alabbi definiciokat (csak pelda!):
score RCVD_IN_SORBS 1.0 # ennek lehet, hogy nem pont ez a neve
score RCVD_IN_XBL 3.0
score RCVD_IN_SBL 1.4
....
de en ezt is postfix oldalon oldanam meg, a postscreen tud a sulyozott rbl-kezelest.
- A hozzászóláshoz be kell jelentkezni
spamassassint mar joideje nem hasznalok, de valoszinuleg jol gondolod.
viszont az 'elobbinel nem jon meg a level' szerintem elfogadhatatlan, altalaban userek is elobb-utobb idegesek tole, mivel a nem beeso levelek kozott ertekesebb iromanyok is lehetnek.
akkor inkabb menjen a spam mappaba, azt maildir eseten lehet tmpwatch segitsegel takaritani mondjuk 30 napra. tobb eroforrast igenyel az igaz, de engem es az usert is megkiméli a fejfajastol.
- A hozzászóláshoz be kell jelentkezni
szerintem is jo egy idoben limitalt dzsunka mappa :-)
- A hozzászóláshoz be kell jelentkezni
Te hogyan oldod meg?
- A hozzászóláshoz be kell jelentkezni
assp.sourceforge.net
- A hozzászóláshoz be kell jelentkezni
Csak pár megjegyzés. A legnagyobb mailszerveren én is ezt a hármat lőttem be RBL-re és még sosem fordult elő, hogy gmailt visszautasítson. Kb. heti 1-2 olyan eset van, amikor visszarúg egy valid sendert de azokról mindig ki szokott derülni, hogy nem véletlenül került fel az IP-je ezekre a listákra. Ezért így használom.
Én nem ezt nevezem merésznek, hanem a sender callout ellenőrzést. Ezt nem láttam fentebb említve a listában. Kis forgalmú email siteokon azért be szoktam kapcsolni, mert szeretem.
Aztán:
10 MX invalid ip
20 MX valid site
Elvben jó de sajnos a gyakorlati tapasztalat, hogy mindig van pár elkúrt mailszerver ami az első után a másodikat már nem is próbálja - bounce. Ezért erről leálltam.
Greylistd hasonló okokból problémás, nem szeretem. Bár manapság már szinte mindenki fellövi így lassan kihalnak a béna emailek, egyre több értelme van.
- A hozzászóláshoz be kell jelentkezni
"Kb. heti 1-2 olyan eset van, amikor visszarúg egy valid sendert "
szerintem heti 1-2 eset is sok.
fuggetlenul attol, hogy az adott ip miert kerult blacklistre.
elobb-utobb reklamalnak, kellemetlen az ugyfelnek, es nekem is.
- A hozzászóláshoz be kell jelentkezni
Tudatosítani kell velünk, hogy nincs 100%-os biztonságot jelentő megoldás.
Ha ebbe nem egyeznek bele, akkor ki kell kapcsolni a szűrést.
- A hozzászóláshoz be kell jelentkezni
ez igy van, nincs 100%-os megoldas.
de az elveszo levelek helyett inkabb a 'spamek 99%-at kiszurom, es minden legalis levelet megkapnak' utat favorizalom.
- A hozzászóláshoz be kell jelentkezni
Ezt a vitát már meg sem tudom számolni, hányszor beszéltem végig.
Igen, igazad van.
De két dolog: ha azt az IP-t, ahonnan a beérkező email jön, feketelistázták spam/vírus/trójai bármi miatt, nem érzem az én egyéni szoc. problémámnak, hogy átvegyem-e vajh az onnan érkező levelet vagy nem. Ettől független igazad van, mert az ügyfélnek mindig igaza van. Tehát inkább igen, mint nem. (De szerintem nem.)
Miért? Ez a másik. Az smtp time idején, azaz még a quit előtt visszautasított emailek bekerülnek sikertelen küldésként a spammerek adatbázisába. Egy keményen szűrt címzett esetén lehetséges, hogy idővel csökken a neki érkező spam mennyiség. (Ezt nem én találtam ki, de saját tapasztalatból sokszorosan megerősíthetem.) Egy gyengén szűrt címzett esetén sosem fog csökkenni a beérkező spam, sőt.
Szerk: persze lehet egy jó kompromisszum a spamd-ben 5 pontot kiosztani a dnsbl alapján, de...
- A hozzászóláshoz be kell jelentkezni
"Az smtp time idején, azaz még a quit előtt visszautasított emailek bekerülnek sikertelen küldésként a spammerek adatbázisába"
Ezt még soha nem hallottam, foglalkoznak ezek egyáltalán ilyen visszacsatolással, vagy küldik, ami a csövön kifér?
- A hozzászóláshoz be kell jelentkezni
A spamküldés nem olyan, mint ahogy mi elképzeljünk. Több millió címből álló címlisták (vagy címlistákra kiküldött emailek) mennek kemény pénzekért, a vevők pedig (itt is) pontosan nyomon szeretik követni, mi történik. Vannak olcsó listák, amik elavult, visszapattogó, rossz email címekből állnak és vannak minőségi listák, ahonnan sosem pattan vissza semmi, sőt talán még kattintanak is a linkekre. Meg biztosan van random címzettnek küldött email is, az vagy az amatőrök terepe, vagy pedig egyfajta felderítés. Ez egy gyönyörűen minőségbiztosított iparág kéremszépen.
- A hozzászóláshoz be kell jelentkezni
egy olyan listara kivancsi lennek, ami 100%. aki olyat tud csinalni, az valamit nagyon tud, es valoszinuleg hozzafer a vilag osszes cimtarahoz :D)
- A hozzászóláshoz be kell jelentkezni
" Az smtp time idején, azaz még a quit előtt visszautasított emailek bekerülnek sikertelen küldésként a spammerek adatbázisába. "
sajat tapasztalataim ezt nem erositik meg. aki cimlistat arul, annak az a lenyeg, hogy minel tobb @ legyen benne, magasrol tesz ra, hogy letezo vagy sem a cim. a masik meg az, hogy max. azok figyelik, hogy elment-e egy level, akik celzott reklamot kuldenek. verbeli spammer az ilyen statisztikara tesz magasrol, o levelet kuld, nem a visszapattanokat szortirozza.
amikor eppen szonyegbombaznak es jon az abcd@ meg a dkgfhrwg5ra@ -ra is az aldas, jol lathato, hogy eroforras van boven, majd pont azzal fognak matekolni, hogy jujujj fonok gaz van becsuszott par ervenytelen cim !
ha csokken, akkor azert, mert eppen lekapcsoltak egy botnetet vagy egy nagymenot, a tobbi spammer tarsasag listajara meg még nem kerult fel a kerdeses cim.
- A hozzászóláshoz be kell jelentkezni
Akkor nem egyeznek meg a tapasztalataink. :)
- A hozzászóláshoz be kell jelentkezni
Pedig én is ugyanezt tapasztaltam...
- már évek óta nem is létező címekre próbálnak küldeni
- generált usernevekre próbálnak küldeni (pl. admin@domain, webmaster@domain, stb., létező usernévekhez hozzábiggyesztenek számokat, karaktereket: mancika423@domain, pistikex@domain)
és telibeszarják, hogy lepattannak.
- A hozzászóláshoz be kell jelentkezni
Igen, ilyen van és mindig is lesz, de ez csak a jéghegy csúcsa.
- A hozzászóláshoz be kell jelentkezni
"Szerk: persze lehet egy jó kompromisszum a spamd-ben 5 pontot kiosztani a dnsbl alapján, de..."
mar irtam valahol, spamassassint nem hasznalom.
az assp viszont tud olyat is, hogy van egy also pont, ami felett mar spam, de atengedi, es van egy felso ponthatar, ami felett mar biztosan elutasitja. ez kis hangolas utan eleg jol mukodik a gyakorlatban is, ha most ranezek a ~2000 usert hordozo szerverre, akkor ott 48.8%-on van az eldobott levelek aranya. es féléve nem reklamalt senki, hogy nem jott meg a fontos levele.
- A hozzászóláshoz be kell jelentkezni
Szégyellem de nem használok assp-t, viszont most már elkezdett érdekelni. Itt is egy ember http://jivebay.com/assp-is-a-better-spamassassin-alternative/ aki oda meg vissza van tőle. Egy próbát megér.
Egyébként az általad említett módszer spamd-vel is működik, csak külön szabályt kell csinálni a spamd által hozzáadott headerhez az MTA-ban. Sok pontszám > reject. Kis pontszám -> subject rewrite és megy a Maildir/Spam-ba. (Nálam is így van megcsinálva, Eximmel.)
- A hozzászóláshoz be kell jelentkezni
arra vigyazz, hogy az alapbeallitasa eleg szigoru ( neked tetszeni fog :D ), a legtobb opcio ( tehat peldaul a 'Enable DNS Blacklist Validation' is ) 'block' allasban van 'score' vagy 'monitor' helyett, es a pontszamokkal is szepen lehet finomhangolni.
a bayesfiltert elso nekifutasra erdemes testmode -ba kapcsolni, amig lesz eleg mintaja.
- A hozzászóláshoz be kell jelentkezni
ahonnan a beérkező email jön, feketelistázták spam/vírus/trójai bármi miatt, nem érzem az én egyéni szoc. problémámnak, hogy átvegyem-e vajh az onnan érkező levelet vagy nem.
Egészen addig, amíg meg nem tapasztalod, hogy egyes feketelisták korrektül működnek, mások meg nem. Nem korrekt működés = nem tudod, hogy hogyan kerültél fel oda, nem tudod, hogy mit kéne tegyél, hogy lekerüljél (mert nem mondják meg, hogy hogy nézett ki az a levél, ami miatt felraktak), meg úgy általában: maguknak csinálnak egy listát a nekik antipatikus ip-kről, te meg le vagy szarva. Ha olyan kedvük van, akkor a -szerintük- dinamikus címeket felrakják. Na az ilyen hozzáállású listák nem jók semmire.
- A hozzászóláshoz be kell jelentkezni
Volt ilyen, de már elmúlt. :)
- A hozzászóláshoz be kell jelentkezni
nem annyira fajdalmas a dolog, ha a szemet a junk folderbe esik be, ahonnan a userek onkiszolgalo jelleggel tovabb lokhetik a leveluket. Ha pedig ez a tovabblokes egyben tanitast is jelent, akkor egyre kevesebb hiba lesz az ido haladtaval.
- A hozzászóláshoz be kell jelentkezni
Persze, ezzel legalább a felelősséget is rájuk lehet hárítani.
Nekem az a tapasztalatom, hogy vagy bele sem néznek (erre esetleg lehet kvótázni), vagy élből törlik a tartalmát.
De ez már user error.
- A hozzászóláshoz be kell jelentkezni
igen, de ha ilyenkor reklamalas van, akkor nem kell tulsokat magyarazkodni, a level nem veszett el, megerkezett, csak masik folderbe kerult, kerem onnan valassza ki.
sokkal hamarabb lenyugszik még a harcialisan morci user meg a fonok is.
es ha eppen olyan cegnel vagy, nem kell beszamolot irni az eset utan, hogy mit finomitottal a rendszeren, hogy tobbe a levelvesztes ne tortenhessen meg.
- A hozzászóláshoz be kell jelentkezni
feliratkozás
- A hozzászóláshoz be kell jelentkezni
sub
- A hozzászóláshoz be kell jelentkezni
sub
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni