Overkill spam védelem (full whitelist)

Spam, Adathalászat

Sziasztok

Több helyről hallottam, hogy egyes cégek annyira besokalltak a spam elleni szélmalomharcba, hogy letíltottak mindenkit, csináltak egy whitelistet, ahova minden partnert felvettek. Aki kívül maradt, visszapattant neki egy levél, benne linkkel, ami pl. google captcha-s formra vitt. Ott felvehette magát az adott partner. Ezután küldhetett levelet a cégnek.
Az ismerős szerint nagyon jól működik.

Elgondolkoztam per domain bevezetésén.
Szakmai vitára dobom fel a témát.
Ki milyen buktatót lát benne?
- Én egyet látok egyelőre: a nem whitelistes smtp-ről kiküldött hirlevelek, küldött értesítők (pl. NAV, GLS, MPL), ha nem kezelik jól a visszapattant leveleket és nincs ott a végén ember, akkor azt bukta a cég.

Ismer valaki a neten publikus megoldást erre? Ha létezik, nem állnék neki postfixhez content filtert reszelni.
Továbbfejlesztési ötlet:
- a visszapattant feladókról egy bounce táblát vezetni, cégtől valaki néha átpörgetné és gombnyomással hozzáadná a whitelist táblához.
- akinek én írok és átmegy az smtp.cegem.hu -n, az auto whitelistre kerüljön.

Nem, én sem tenném a teljes szűrési rendszer helyére, de a végére, a maradék 5-10...x% átcsúszó spamre egy hardos, de jó megoldásnak gondolom.

  • 1135 megtekintés

( apal v | 2017. 08. 23., sze – 16:30 )

Hat, sok spam jon a/ sajat magamtol b/ olyan emberek neveben akiket ismerek (es feltehetoleg fertozott windozon keresztul szereztek meg a kontaktlistaikat igy az emailcimemet). Azaz ez a fajta whitelist akar meg hatekony is lehet de klasszikusabb szuresi modszereket is kell hasznalni parhuzamosan.

DMARC az mondjuk pont arra van hogy masnak ne tudjanak kuldeni a te nevedben (jo lenne ha nem csak a nagy szolgaltatok hasznalnak a DMARC rekord alapu szurest) . Sajat szerveren az is eleg (sajat domain eseteben) hogy az autholt felhasznalo a sajat accounthoz tartozo cimeivel tudjon csak kuldeni.

( janoszen v | 2017. 08. 23., sze – 16:57 )

Lehet ilyet, de ez csak akkor mukodik ha jol atlathato es ritkan bovulo a cimlista. Ceges ugyfelszolgalati e-mail cim eseten teljesen lehetetlen, mert az ugyfelelegedettseg a beka segge alatt lesz. Arra is erdemes figyelni, hogy akinek kifele megy level, az automatikusan keruljon fel a feherlistara.

A hirlevelekre az a megoldas, hogy janos+nav kukac pasztor pont at vagy janos+gls kukac pasztor.at cimet ad meg a delikvens es ezeket automatikusan atengeded. Erre ritkan fognak spamelni a jonepek, es bonusz pont hogy ha valakitol leakelnek a mailcimek, akkor kulon lehet nekik osztani kormost az adatvedelmi ombudsman altal.

Tovabbi buktato, hogy sztem a usernek akarsz lehetoseget adni arra hogy a probalkozokat engedelyezhesse. Ez viszont azt eredmenyezi, hogy a visszautasitas csak a DATA parancs utan johet, ugyanis csak igy tudod a From es Subject fejleceket kivadaszni. Ha ezt nem teszed, jatszhatod a supportot naphosszat.

Postfixbe ezt izgalmas lesz belehegeszteni, Eximmel viszont nem akkora nagy kaland. Arra viszont keszulj fel, hogy mire ezt megirod lesz egy-ket osz hajszalad. Foleg ha mailt kell parzolnod a megjelenito felulet kedveert.

--
Pásztor János
Sole Proprietor @ Opsbears | Refactor Zone

( sj | 2017. 08. 23., sze – 19:16 )

Több helyről hallottam, hogy egyes cégek annyira besokalltak a spam elleni szélmalomharcba

normalis spamszurot kell hasznalni :-)

visszapattant neki egy levél, benne linkkel, ami pl. google captcha-s formra vitt. Ott felvehette magát az adott partner. Ezután küldhetett levelet a cégnek.
Az ismerős szerint nagyon jól működik.

az ismerosod egy kokler, es rengeteget csuklik, csak azt nem mondta neked. Eloszor is, ha egy atlag user bounce-ot kap, akkor bepanikol, es azt se tudja, kihez szaladjon. 100-bol 1 fogja erteni es kovetni a leirast. Javaslom a heber captcha-t :-) Btw. hany nyelven akarod a leirast implementalni? Hatha meg forditani is kelljen a nyomorultjanak.

Nem tudom, miben utaztok, de hacsak nem vagytok monopolhelyzetben, hogy megengedhessetek magatoknak a kocsog userek szivatasat, akkor jo eselyetek van arra, hogy az a masik 99 mashova fog menni.

Aztan szep, hogy felveszitek a nav-ot, stb. de ugyis lesz olyan, akit meg nem. Szerinted az a hivatalnok, aki megkapja ezt a bounce-ot, az a 100-bol az 1 vagy a 99 koze tartozik?

de a végére, a maradék 5-10...x% átcsúszó spamre egy hardos, de jó megoldásnak gondolom.

ha mar egyszer felismerted spamkent (mert gyakorlatilag mar at is vetted), akkor miert bounce-olnad vissza? :-)

Ismer valaki a neten publikus megoldást erre? Ha létezik, nem állnék neki postfixhez content filtert reszelni.

nem kell content filter, egy policy demon is megteszi, ami az envelope sender cime utan 55x-et dob vissza azoknak, akik nem szerepelnek az adatbazisaban. Ha mindenaron erre indulsz, akkor ne csak az email cimet nezd, hanem az ip-cimet is (akar az alapjan is feherlistazhatod a fontos kuldoket). De en azt mondom, nem ez a megoldas, hanem egy normalis, tobbretegu spamszuro.

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

"de a végére, a maradék 5-10...x% átcsúszó spamre egy hardos, de jó megoldásnak gondolom.

ha mar egyszer felismerted spamkent (mert gyakorlatilag mar at is vetted), akkor miert bounce-olnad vissza? :-)"

Bocsánat, félreérthetően fogalmaztam.
Úgy értettem, hogy a bejövő levelekből 5-10% spam arány általában átlagos mindenhol (elnézve a hupos panaszkodásokat). Nehéz 0% spamet tartani bejövőnél. Ezzel viszont a kellő felismerés hiányában becsúszott 10%-t is le tudjuk faragni.

A rejectre én alapból sem 55x-es hibaüzit gondoltam, mert a mailer-daemontól tényleg frászt kapnak, hanem egy rendes válasz menne vissza, mint a szabadságon vagyok auto-replynél, hogy bocsi, de ez van, ide kattints. Ezt azért elolvassák, felfogják. Rövid, tömör, mehet angolban is.

"Aztan szep, hogy felveszitek a nav-ot, stb. de ugyis lesz olyan, akit meg nem. Szerinted az a hivatalnok, aki megkapja ezt a bounce-ot, az a 100-bol az 1 vagy a 99 koze tartozik?"

Igen, ez az egyik legnagyobb félelmem nekem is a megoldással kapcsolatban.

( arpi_esp v | 2017. 08. 23., sze – 19:25 )

kicsit off de egy hasonlon en is agyaltam multkor: en csak az url-eket cserelnem le a bejovo levelekben, egy sajat szerveren hostolt redirectorra, ami:
- megnezi blacklisteken (megnezem a level beerkezesekor is, de akkor meg lehet nincs rajta, de mire fel nappal kesobb az user rakattint a levelben a linkre mar nagyobb esellyel meglesz)
- ami whitelisten van azokat siman atdobja (pl. sajat oldalak, youtube stb, ami elvileg artalmatlan lehet) (vagy azok url-jet nem is bantom eleve)
- a maradekra feldob egy nagy piros kepernyot leirva hogy ez a link gyanus, es csak akkor nyissa meg ha tudja mi ez, es akkor se adjon meg semmilyen korulmenyek kozott jelszot

velemeny?

A'rpi

ugyanazt.
sot a redirectort ugy kepzeltem el, hogy valami egyedi ID kapna minden lecserelt url, es a zuj url-ben csak ez az ID szerepel (pl: mail.sajatdomain.hu/r?78256725) igy az is logolhato, melyik user nyitotta meg (ha pl. tobb levelben is elofordul).

egyszer nekialltam mar implementalni de ott elakadtam, hogy baromi nehez az url cserelese a levelekben, ha tenyleg jol akarod csinalni, a mindenfele encodingok, formatumok (plain/html/mixed/alternative/winmail.dat stb), content-length: header es tarsai miatt. legegyszerubb szetparsolni a levelet, atirni es ujra osszeepiteni, de az ha nem tokeletes valami akkor szetcseszheti. es akkor meg nem neztuk a digitalisan alairtakat, bar azt jobb nem is piszkalni.
meg ugye lattunk mar olyat is hogy javascript generalta az url-t a html levelben :)

A'rpi

( arpi_esp v | 2017. 08. 23., sze – 20:07 )

amugy az eredeti felvetesnek is lenne piaca szerintem, csak annyit kene valtoztatni, hogy:
- per-user kapcsolhato
- nem rejecteled az unlisted sendereket, hanem egy kulon fiokba vagy a cimzettnel egy kulon mappaba iranyitod azokat (hasonloan mint az fb messenger engedelykeros tortenete)
- akinek kuld levelet az auto whitelistelodik nyilvan

a kozepes cegeknel jellemzoen a vezetoseg/management akinek nincs ideje/kedve spammeket meg ismeretlenek leveleit nezegetni, ezeket lehetne a titkarsag fiokjaba iranyitani.

A'rpi

A per domain helyetti per user és a külön mappás továbbgondolásod tetszik. Köszi

Ez alapján a delikvensek levél fejlécében elhelyezve egy flaget, sieve pluginnal könnyűszerrel mappába lehet szűrni:
https://serverfault.com/questions/693904/add-a-custom-header-to-postfix…