Ubuntu szerver, postfix adott IP blokkolása.

 ( thomek | 2016. július 5., kedd - 13:42 )

Sziasztok!

Ubuntu alatt futó postfix levelező rendszerben szeretnék egy adott IP-t blokkolni amiről ömlik a spam.
Így néz ki a header_checks IP szűrő része:

/^Received:.*62.210.6.1* >REDIRECT

/^Received:.*195.154.63.1*/ REDIRECT

/^Received:.*62.210.13.1*/ REDIRECT

/^Received:.*62.210.15.1*/ REDIRECT

/^Received:.*62.210.28.1*/ REDIRECT

/^Received:.*95.140.32.68*/ REDIRECT

/^Received:.*95.140.32.28*/ REDIRECT

/^Received:.*95.140.32.108*/ REDIRECT

/^Received:.*95.140.32.148*/ REDIRECT

/^Received:.*95.140.32.188*/ REDIRECT

/^Received:.*95.140.39.130*/ REDIRECT

/^Received:.*95.140.39.210*/ REDIRECT

/^Received:.*211.1.230.50*/ REDIRECT

/^Received:.*107.181.131.23*/ REDIRECT

/^Received:.*146.0.74*/ REDIRECT

/^Received:.*79.124.60.20*/ REDIRECT

/^Received:.*108.174.195.206*/ REDIRECT

/^Received:.*199.59.63.149*/ REDIRECT

/^Received:.*91.83.236.242*/ REDIRECT

/^Received:.*91.83.236.246*/ REDIRECT

/^Received:.*158.255.3.12*/ REDIRECT

/^Received:.*146.0.78.5*/ REDIRECT

/^Received:.*162.250.144.172*/ REDIRECT

/^Received:.*94.242.202*/ REDIRECT

/^Received:.*94.242.210*/ REDIRECT

/^Received:.*94.242.223*/ REDIRECT

/^Received:.*5.39.220*/ REDIRECT

/^Received:.*85.222.160.153*/ REDIRECT

/^Received:.*94.46.8.68*/ REDIRECT

/^Received:.*184.107.83.101*/ REDIRECT

/^Received:.*94.242.210.88*/ REDIRECT

/^Received:.*195.162.69*/ REDIRECT

/^Received:.*193.9.29*/ REDIRECT

/^Received:.*193.9.31*/ REDIRECT

/^Received:.*194.165.27*/ REDIRECT

/^Received:.*173.209.51.42*/ REDIRECT

/^Received:.*173.209.51.154*/ REDIRECT

/^Received:.*78.141.86.238*/ REDIRECT

/^Received:.*23.238.65.203*/ REDIRECT

/^Received:.*23.254.136.151*/ REDIRECT

/^Received:.*192.119.68.206*/ REDIRECT

/^Received:.*163.172.32.17*/ REDIRECT

Erről az IP-ről 163.172.32.17 a szűrés ellenére ömlik a szemét.
A rendszert örököltem, bővítettem a fenti szűrő listát, azután:
postmap /etc/postfix/header_checks
postfix reload

De nem ér semmi, jön a szemét továbbra is.

Mit ronthatok el ?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ezt sender_access -el vagy hasonlóval illik megoldani, nem header_checks-el. Ezen kívül akár már a tűzfalon is felvehető az IP és akkor MTA független.

Igen, így.
És REDIRECT helyett inkább REJECT

Örökölt rendszer.

Ez a teljes szűrés (azt nem értem miért csak az általam felvett utolsó IP-t nem szűri)

#SPAMMEREK TILTÁSA
/^From:.*wattslawfirm.net*/ REDIRECT

/^From:.*startdedicated.com*/ REDIRECT

/^From:.*luxshare.com*/ REDIRECT

/^From:.*narancsborkezeles.com*/ REDIRECT

/^From:.*ltff201301en@newsletter.agnitum.com*/ REJECT same mails bouncing
/^From:.*dmcentrum@yahoo.com*/ REJECT spammelés miatt tiltva
/^From:.*whereareyounow.com*/ REDIRECT

/^From:.*FEDEX*/ REDIRECT

/^From:.*CORPORATE*/ REDIRECT

/^From:.*myzamana\.net*/ REDIRECT

/^From:.*printerszalon\.hu*/ REDIRECT

/^From:.*globalilluminators.org*/ REDIRECT

/^From:.*academicfora.com*/ REDIRECT

/^From:.*iicbe.org*/ REDIRECT

/^From:.*urst.org*/ REDIRECT

/^From:.*erpub.org*/ REDIRECT

/^From:.*uruae.org*/ REDIRECT

/^From:.*ia-e.org*/ REDIRECT

/^From:.*inyesmester.com*/ REDIRECT

/^From:.*charlestonsf.com*/ REDIRECT

/^From:.*ataschemical.com*/ REDIRECT

/^From:.*tbliren.com*/ REDIRECT

/^From:.*mesagemail.com*/ REDIRECT

/^From:.*juarezenlinea.com*/ REDIRECT

/^From:.*lanjingdianzi.com*/ REDIRECT

/^From:.*leifengdige.com*/ REDIRECT

/^From:.*parsnuke.com*/ REDIRECT

/^From:.*rainypeakcyclery.com*/ REDIRECT

/^From:.*pwcworks.com*/ REDIRECT

/^From:.*rograss.com*/ REDIRECT

#/^From:.*t-online.hu*/ REDIRECT

/^Subject:.*Kedves e-mail*/ REDIRECT

/^Subject:.*Photo Retouching Services*/ REDIRECT

/^Subject:.*send request*/ REDIRECT

/^Subject:.*viagra*/ REDIRECT

/^Subject:.*winning*/ REDIRECT

/^Subject:.*reward*/ REDIRECT

/^Subject:.*undelivered*/ REDIRECT

/^Received:.*edmpoint.com*/ REDIRECT

/^Received:.*netkey.sk*/ REDIRECT

/^Received:.*armastusedm.com*/ REDIRECT

/^Received:.*culturalgranada.com*/ REDIRECT

/^Received:.*modasimo.com*/ REDIRECT

/^Received:.*metronetcapital.com*/ REDIRECT

/^Received:.*chistopherimports.com*/ REDIRECT

/^Received:.*webshop-minta.hu*/ REDIRECT

/^Received:.*server4you\.net*/ REDIRECT

/^Received:.*vikatan\.com*/ REDIRECT

/^Received:.*kutyafajat\.hu*/ REDIRECT

/^Received:.*cgocable\.net*/ REDIRECT

/^Received:.*webmail.socasis.ubbcluj.ro*/ REDIRECT

/^Received:.*smcgateway.hwelsen\.com*/ REDIRECT

/^Received:.*mail.compnet.dk*/ REDIRECT

/^Received:.*dogyoungshop\.com*/ REDIRECT

/^Received:.*philrice.gov.ph*/ REDIRECT

/^Received:.*denways.net*/ REDIRECT

/^Received:.*topszallasok.hu*/ REDIRECT

/^Received:.*mindenalovemail.hu*/ REDIRECT

/^Received:.*62.210.6.1* >REDIRECT

/^Received:.*195.154.63.1*/ REDIRECT

/^Received:.*62.210.13.1*/ REDIRECT

/^Received:.*62.210.15.1*/ REDIRECT

/^Received:.*62.210.28.1*/ REDIRECT

/^Received:.*95.140.32.68*/ REDIRECT

/^Received:.*95.140.32.28*/ REDIRECT

/^Received:.*95.140.32.108*/ REDIRECT

/^Received:.*95.140.32.148*/ REDIRECT

/^Received:.*95.140.32.188*/ REDIRECT

/^Received:.*95.140.39.130*/ REDIRECT

/^Received:.*95.140.39.210*/ REDIRECT

/^Received:.*211.1.230.50*/ REDIRECT

/^Received:.*107.181.131.23*/ REDIRECT

/^Received:.*146.0.74*/ REDIRECT

/^Received:.*79.124.60.20*/ REDIRECT

/^Received:.*108.174.195.206*/ REDIRECT

/^Received:.*199.59.63.149*/ REDIRECT

/^Received:.*91.83.236.242*/ REDIRECT

/^Received:.*91.83.236.246*/ REDIRECT

/^Received:.*158.255.3.12*/ REDIRECT

/^Received:.*146.0.78.5*/ REDIRECT

/^Received:.*162.250.144.172*/ REDIRECT

/^Received:.*94.242.202*/ REDIRECT

/^Received:.*94.242.210*/ REDIRECT

/^Received:.*94.242.223*/ REDIRECT

/^Received:.*5.39.220*/ REDIRECT

/^Received:.*85.222.160.153*/ REDIRECT

/^Received:.*94.46.8.68*/ REDIRECT

/^Received:.*184.107.83.101*/ REDIRECT

/^Received:.*94.242.210.88*/ REDIRECT

/^Received:.*195.162.69*/ REDIRECT

/^Received:.*193.9.29*/ REDIRECT

/^Received:.*193.9.31*/ REDIRECT

/^Received:.*194.165.27*/ REDIRECT

/^Received:.*173.209.51.42*/ REDIRECT

/^Received:.*173.209.51.154*/ REDIRECT

/^Received:.*78.141.86.238*/ REDIRECT

/^Received:.*23.238.65.203*/ REDIRECT

/^Received:.*23.254.136.151*/ REDIRECT

/^Received:.*192.119.68.206*/ REDIRECT

/^Received:.*163.172.32.17*/ REDIRECT

/^Subject:.*ILOVEYOU/ REDIRECT

/^Subject:.*Important Message From/ REDIRECT

/^Subject:.*Mother\'s Day Order Confirmation/ REDIRECT

/^Subject:.*virus alert.*/ REDIRECT

/^Subject:.*dangerous Virus Warning/ REDIRECT

/^Subject:.*Susitikim.*/ REDIRECT

/^Subject:.*Informed.*/ REDIRECT

#/^Subject:.*szerencse.*/ REDIRECT

Nincs "sender_access" 1 hete kaptam meg rendszert, még nem mernék belenyúlni.
Tanulmányozom hogy van felépítve :)

És egyébként a spam levélre matchelne ?

(van a fejlécében Received: ... 163.172.32.17 ... sor ?)

3 -ban volt.
Véletlenszerű címekről jön a szemét. Az IP ugyan ez:
163.172.32.17

Ha ezt iptables-ben szűröm akkor problem solved ?

Az ilyeneket én ezzel intézem el:
iptables -A INPUT -s 163.172.32.17 -j DROP
Azért mentsd le a szabályt valahova, és esetleges rebootkor töltesd be.
Ez mellé a geoip sem rossz, legalább a nagyját kiszűri...
pl.:
iptables -A INPUT -m geoip --src-cc TH -j DROP
üdv: pomm

A 852-es kídlap telepötúsa sikeresen befejezádétt

Hát ez a problem igen.
Csak logold valami olyan target-tel, hogy ekkor-akkor spam-melt, és ezért kapta a répát.

Erre amúgy egy check_client_access szabály illene postfix-ben.

btw, %subject% feladatra nem a postfix hanem az iptables való....

+1

Alapvetően sajnos nem, mert nem direktben onnan jön a szemét. Relay-eket használ, de sokat.

--
Where do you want to go today?
[nobody@salcay:~]$_

RBL nem egyszerűbb?

Üdv,

most találtam ezt a thread-et, s noha kicsit régi, a probléma még aktuális: 163.172.32.17 még mindig él és dolgozik.

Igen, 163.172.32.17 egy nyomorult szívós szemétláda, s látom még nem érkezett olyan válasz, ami tényleg segít is.

Logika a következő:
Adott 163.172.32.17, akire mutat számolatlanul istentelen sok domain, és ő nem kézbesít levelt közvetlenül, mindig relay-t használ, ezért iptables-ben hiába blokkolod, bejut.
Header-ben is hiába keresed, mert nincs benne, csak a származtatott domain név.
Emellett, ez a mocsok szabályosabban levelezik, mint a hivatalos szervek. DKIM jó, SPF jó, MX jó, reverse DNS jó.

Egy hiba van: minden, de minden származtatott domain erre az IP-re oldódik fel.
Workaround: ha a DKIM szakaszból kiszeded a domain nevet, feloldod, és erre az IP-re oldódik fel, akkor tedd fekete listára a RELAY hostot!
Eredmény: egy csomó körből kimaradsz! A mechanizmust hagyd a helyén, mert amint elcsúszik, észre fogod venni egy napon belül.

Miért a DKIM-ből és nem máshonnan? Mert ott biztos, hogy a helyes domain lesz, és nem egy MX hostba fogsz beleharapni, ami máshova mutat.
Miért a relay host-ot? Mert ezek javarészt open relay gépek, vagy ennek az infrastruktúrának a részei. Egyik sem jó. Plusz, ezeket időnként is váltja, tehát csomó másik szemét érkezését is meg tudod előzni vele.

Mióta ezt a szabályt alkalmazom, normalizálódott a SPAM helyzet.

--
Where do you want to go today?
[nobody@salcay:~]$_

Ennek így ebben a formában nincs értelme...
Az összes ilyet kidobnám, stmp szűréseket bekapcsolni (helo, reverse stb), rbl listákat be, bár sokan azt mondják nem hatékony nekem még mindig sokat lekoptat egy greylist, majd a végére egy rendes spamassassin.
Az smtp szűrésekkel a régen 80 most 50%-a eleve le van koptatva, utána meg a többin szépen felmorzsolódnak.

--
Rózsár Gábor (muszashi)

Elméletileg az elmélet és a gyakorlat között nincs különbség... Elméletileg!

RBL-re is valamilyen logika alapján kerülnek fel gépek. Ha ez a logika nincs köztük, akkor az említett host spam-jei ellen nem ér semmit.

Fenti esetben a hagyományos spam szűrési módszerek hatástalanok, mert szabályosan levelezik. Olvasd el újra amit leírtam, mert ott van benne a válasz!

A greylist technika nem rossz, de hogy csak két hátrányát említsem: ideiglenes jelszavas emailek kuka, azt nem küldi el semmi kétszer; illetve a fenti problémára: az említett host szabályosan levelezik. Átmegy a greylist-en.

Ezeken a körökön túl vagyunk.

--
Where do you want to go today?
[nobody@salcay:~]$_

"A greylist technika nem rossz, de hogy csak két hátrányát említsem: ideiglenes jelszavas emailek kuka, azt nem küldi el semmi kétszer"

Ez nem a greylist hibaja, az SMTP protokoll fuggetlen attol, hogy jelszo van-e benne vagy spam.
Sajnalatos modon mostanaban a jelszo emlekeztetoket nem SMTP-vel kuldik, hanem web-rol, aminek nem igy kellene mukodnie.

Ha egy host szabalyosan kuld nemkivanatos levelet es a greylist atengedi az sem a greylist hibaja es remelhetoleg lehet szolni az ottani postmasternek (ha nem akkor ott a tuzfal).

-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

Vannak dolgok - és a one-time password is ilyen -, amiket szándékosan nem küldünk el egyetlen egynél többször. A regisztrációt megerősítő email is hasonló, az se jön ki kétszer, és az még by definition, új helyről is jön. A greylist ezért, ugyan nem rossz módszer, de nem a fenti probléma megoldására lesz jó.

A fenti IP postmaster-ét, s egyebét elérni nem lehet. Ez az első kulturált megoldási ötletek között volt, s most itt vagyunk, 1 évvel az eredeti felvetés után, s erről beszélünk.

--
Where do you want to go today?
[nobody@salcay:~]$_

Továbbra is, ahogy egy évvel ezelőtt, ha IP-re akarsz szűrni akkor:
- vagy az adott MTA-ban veszel fel rule-t hogy az adott IP-re toljon egy kövér REJECT-et (lásd sender_access)
- vagy már a tűzfalon eldobod, Linux iptables és már ott REJECT.

Ezen egyáltalán nincs különösebben rágnivaló. Arra próbálták felhívni a figyelmed, hogy a fix IP cím tiltogatás ördögi kör és csak extrém esetben érdemes használni. Megtehetném, hogy pörgetem egész nap az exim logomat és a vps343487348348743.spammerke.akarmi -k IP címét dobálom be valamilyen rule-ba, de minek... Van remek RBL-es meg mindenes szabálykészletem, ami keményen kitakarítja ezeket, mielőtt még a clamav+spamassassin párosig eljutnak.

Nem az a kérdés, hogy hogyan blokkoljunk 1db jól látható hostot. A kérdés az, hogy hogyan fedjünk fel köpönyegforgatót.

RBL-re is valamilyen logika alapján kerülnek fel címek. Az, hogy te a más által már összeszedett listát használod, nem rossz dolog. Ám az a lista is elkészült valahogyan, valami alapján. Én is használok néhányat, de nem fogja meg.

Ha az adott RBL összeállítási módja nem fedi le ennek a spamnest-nek a küldési stratégiáját, akkor nem is fog védeni ellene.

Nekem meggyőződésem, hogy aki ezt a kérdéses hostot és a köré épülő infrát felállította, az fektetett agyzsírt ennek a kitalálásába. Ügyesen lavírozik a protokol hiányosságok, delegált feladatok és szürke zónák határain. Pontosan tudja miket kerüljön, miket sózzon meg. Ugyanakkor pont ebbe a szabályosságba bukik bele akkor, amikor egy jól irányzott DNS lekéréssel be lehet azonosítani, és ebből építek én listát, ami aztán mehet az általad is említett megoldások egyikébe.

--
Where do you want to go today?
[nobody@salcay:~]$_

No és a végén ott a spamassassin? Az miért nem fogja meg? Nem spam jellegű a tartalom?

Arra céloztam, hogy nincs értelme konkrét szabályokat szabni valakire (ha csak tényleg semmi más nem segít már, mint végső megoldás használható), inkább olyan módon kell végigterelni több lépcsőn a leveleket, hogy a "rendszer" rostálja ki előbb vagy utóbb. Ha szabályosan is levelezik végig, a tartalom alapján nem lehet kipontozni?

--
Rózsár Gábor (muszashi)

Értem, hogy folyamatban jobb gondolkodni, s hogy valóban ez az általános menete a dolognak. A tartalom sózva van, ahogy már írtam. A kevés szöveges tartalom megfogható részeiben apró hibák vannak random mód elhelyezve, amik pont csak annyira mérgezik a tartalmat, hogy ne tudj mintákat felállítani rá. Nyilván nem kötőszavakra fogsz szűrni, mert az bármiben benne van!

Spamassassin ad neki egy spamscore-t, ami sajnos nem kiemelkedően magas. Ekkorát még véletlenül is el lehet érni. Ha picit alátenném a határt, akkor a szemét mappa lenne az inbox.
Plusz, vannak jómadaraim, akiknek muszáj kínával levelezni, csak hogy egyszerű legyen!

--
Where do you want to go today?
[nobody@salcay:~]$_

+ Fejlemény!

A napokban új viselkedésre lettem figyelmes. Relay-ek mellett most smarthost delivery-t is alkalmazni kezdett, amit a kis megoldásom még nem tud kiszűrni, de amint lesz időm igazítani rajta, meg fogom tenni. Ez a módszer még nincs annyira kidolgozva, mint a relay-es. Itt még se dkim, se spf, semmi, viszont smtp tekintetében szabályos. Gyaníthatóan itt is meg fognak érkezni ezek az elemek is.

--
Where do you want to go today?
[nobody@salcay:~]$_