Mailscanner vs. RBL (clientip RBL blacklist?) problémakör v2

Spam, Adathalászat

Üdv!

Na fussunk neki mégegyszer.

Aki esetleg MailScannert használna az válaszoljon lehetőleg :) Trollok kíméljenek.

Környezet: Centos7, postfix, mailscanner -> ehhez tartozó razor,pyzor,spamassassin,clamav, stb. cuccok.

A Mailscanner vs. postfix működésére csak annyiban térnék ki, hogy nem milter és egyéb alapokon megy, hanem gyakorlatilag "reuseolja" az incoming / holding spoolokat. Mind1 is, aki MailScannerezik tudja hogy van.

Az alap setup:

levél bejön postfixhez -> queueba bekerül -> mailscanner megtalálja -> scanneli -> továbbít vissza postfix -> az meg a megfelelő helyre (user postafiók).

Ezzel eddig nem is lenne semmi gond.

Adott egy XXXX domain, aminél be van állítva SPF, DKIM, DMARC. Rendben működik. A spam szűrés rész is MS (MailScanner nem Microsoft) -el.

Igen ám, de ha adott esetben én kifelé szeretnék küldeni levelet és pl nem az adott irodából, hanem mondjuk otthonról rendesen SASL AUTH módon, akkor bizony a szerveren lévő MS megjelöli az emailt, mint lehetséges SPAM, mivel az adott "client-ip" szerepel az adott RBL listákban.

Egy részlet: https://pastebin.com/1MRbabD4

Ezáltal a "saját" mailscannerem szűr tökön, mivel hiába rendes authed user által jön a mail, ő bizony megnézni az RBLben a client-ip -re vonatkozó részeket is.

Ezáltal kb. mindegy honnan küldöm (kivéve ha az irodából) így is úgy is spamként lesz jelölve.

Kis googlizás után kiderült, hogy ez nem mostani keletű probléma... Megoldások terén sajnos csak annyi volt, hogy az RBL listákat oldja meg az MTA, ami valahol jogos is (révén a postfixben több lehetőséged van RBL listák alapján szűrni, mint MSben, pl recipient, clientnek külön szabály, stb).

Ezzel csak annyi gondom van, hogy akkor viszont b.szhatom a MailWatch statisztikákat, ami viszont jó lenne ha menne.

Akik foglalatoskodnak MailScanner setupokkal, esetleg erre nincs valami Custom* rule, vagy valami megoldás?

Mert ha más nem akkor "kidobom" az MS általi RBL ellenőrzést + ezáltal a statisztikát és ráhagyom a postfixre.

ps.: ha csak bydefault irodai gépek lennének az adott helyen, akkor ez nem lenne gond. De itt szeretnének emailt küldeni telefonról is (spam lesz perpill... ) vagy akár hazavitt laptopról is (spam lesz szintén perpill...) :/

Előre is köszi :)

Üdv
-krix-

  • 1938 megtekintés

( istii | 2017. 12. 07., cs – 19:49 )

/etc/MailScanner/rules/spam.whitelist.rules
From: krixkukacXXXXXXX.hu yes

/etc/MailScanner/MailScanner.conf
Is Definitely Not Spam = %rules-dir%/spam.whitelist.rules

Oh! Ezer hála és köszönet ! :) Ez ebben a formában műxik.

Kérdés hogy az SQL verzióba mit kellene betolni hogy menjen ....

mert hiába adom meg hogy krix@XXXX.hu @ whitelist, lesz.rja :(

Is Definitely Not Spam = &SQLWhitelist

Pedig ezek a ruleok mennek. Legalábbis a logba semmi error nincs erre.

Bár lehet nem kéne defaulton hagyni, hanem * / * beállítást megadni hm.

erre gondolok itt: https://tardis.hu/le/wlbl.jpg

Hm, lehet ott rontottam el, te hogy adtam meg a whitelistnek ?

mert én krix@XXXXX.hu + a többi mező üres volt (ezáltal a listában krix@XXXXX.hu default -ként látszott)

Lehet hogy itt rontottam el a dolgot ?

Amire gondolni tudok, hogy a From marad a krix@XXXXX.hu

a To: pedig * @ * ?

Előre is köszi a választ!

Üdv
-krix-

Ilyen problémám nekem is volt, de nem így oldottam meg. Írtam egy replace rule-t ami TLS-en keresztül authentikált userek esetén a sender IP-t átírja 127.0.0.1-re. Az egyik következménye, hogy a dinamikus kliens IP cím eltűnik a levélből, ezért az RBL-ek hatástalanok rá. A másik következménye, hogy a címzett nem látja hogy milyen IP-je volt a mail kliensemnek. :-)

Konkrétabban: a master.cf-ben több SMTP service van beállítva. A sima 25-ös porton az összes relay tiltva és RBL check hozzáadva. Az 587 és 465 porton nincs RBL check, de van egy "-o smtpd_client_restrictions=permit_sasl_authenticated,reject_unauth_destination,reject", szóval azon keresztül csak authentikált felhasználók jöhetnek be.

Azután van egy ilyen file: outgoing_header_checks.pcre amiben ez van:

/^(Received: from)[^\n]*(.*)/ REPLACE $1 [127.127.127.127] (localhost [127.127.127.127])$2
/^\s*User-Agent/ IGNORE
/^\s*X-Enigmail/ IGNORE
/^\s*X-Mailer/ IGNORE
/^\s*X-Originating-IP/ IGNORE
/^Received:/ HOLD

És van a master.cf-ben egy ilyen:

cleanup_outgoing unix n - y - 0 cleanup
-o header_checks=pcre:/etc/postfix/outgoing_header_checks.pcre

A lényeg, hogy ami a postfixnek outgoing, ott az összes ilyen IP címet átírja 127.0.0.1-re, és mire a MailScanner-hez jut addigra a dinamikus IP címek eltűnnek belőle. Ja és az outgoing queue az csak olyan lehet ami authentikált user-től vagy egy helyi programtól származik, mert aki kívülről auth nélkül a 25-ös portra megy, az a relaying teljes tiltása miatt soha nem kerül be az outgoingba.

Az email cím whitelistázás félig jó, a következő bajok lehetnek vele:

* a saját mailscanner-eden esetleg átmegy, de a címzettén lehet hogy nem
* ha több domain levelezését bonyolítod egyetlen postfix-en, akkor minden domain-t külön be kell írni a whitelist-be. Ha ehelyett azt nézed hogy authentikált-e, akkor automatikusan működik minden jelenlegi és jövőbeli domain-re

Köszönöm! + az előző részt is, ki fogom próbálni a megoldásodat!

Hát eddig 4 helyre teszteltem ki + egy sima ISP-s mailcímre mindegyiken csak azért "bukott meg" mert a saját MS-em megjelölte mint lehetséges spam.

Ebből egy google volt (whitelist-elve nem került spam-be) a másik 3 saját szerver, ott is RBL listák, stb üzemben, + egy t-online -os email.

De köszi a tippet a fentire, meg fogom nézni és ki fogom próbálni. Valóban korrektebb megoldásnak tűnik mint a whitelisting.

Üdv
-krix-

( sj | 2017. 12. 09., szo – 19:35 )

par gondolat: Wietse Wenema (a postfix iroja) szerint a postfix queue-bol kihekkelni a leveleket erosen fucked by designnot supported. Mintha lett is volna ez ugyben csorteje a mailscanneres gyokerekkel, de nem hallgattak ra.

A bejovo es a kimeno levelezes egeszen mas beallitasokat igenyel, ezert jobb helyeken ez a 2 irany szet van valasztva. A te home projektednek valoszinuleg tulzas 2 gepet fenntartani csak ezert, de a kimeno levelezest lehet pl. a 465-os portra tenni eltero konfiggal

Aminek az is resze, hogy a kimeno leveleket (foleg ha authentikalod es esetleg rate limit is van rajta) nem kell athajtani a spamszuron. Foleg ha az a spamszuro annyira szarjo, hogy a te kuldott leveleidet is spamnek nezi...

--
t-systems-es it architect allast keres. Jelige: csak webshopot ne kelljen...

sj, köszi, ezzel tisztában vagyok. Mint ahogy azzal is hogy az MS egészen érdekesen kezeli a postfixos installációt, ahogy azt fentebb írtad is.

Ettől függetlenül egy jól működő rendszert lehet vele kiépíteni. (legalábbis eddig azt sikerült :) ) )

De ettől függetlenül én a MailScannert mint olyat egy jó megoldásnak tartok és előbb alkalmazom mint egy amavisd-new* xy* zy* gsd* sgkd* sdgss* kombinációt.
Itt kapok statisztikákat, itt meg tudom mondani hogy adott levéllel mi legyen mi ne legyen, stb. Itt meg tudom nézni viszonylag egyszerűen (tehát nem a logokat túrva grep és társaival) hogy mi történt egy adott üzenettel.

Tehát itt saját magamnak tudok összerakni konkrétan 2 darab "modulból" egy rendszert.

Ellenben hogy oké "rakjuk fel az amavist, meg hozzá még ezt meg azt meg amazt, de ott az nem jó.. , stb.." na. Felraktuk. azt működik. :) Mert az is működik, csak kicsit nehezebb vele dolgozni. Legalábbis számomra.

( mackosajt | 2018. 02. 19., h – 09:39 )

Nem teljesen a témához tartozik, de érdekelne, hogy ti találkoztatok-e már ezzel a problémával és ha igen, akkor meg tudtátok-e oldani?

A mailscanner fájl típus ellenőrzéskor néha a txt file-okat is megjelöli az alábbi módon.

Jelentes: MailScanner: No programs allowed (msg-23066-58.txt)

Arra már rájöttem, hogy ez valószínűleg az üzenet karakterkódolása miatt van és akkor következik be, ha az üzenet első karaktere ékezetes betű, amit egy [pont]-val helyettesít a karanténba került fájlban.

Nálatok fordult elő már ilyen? Ha igen, hogy tudtátok megoldani, hogy ilyen esetben ne jelölje a meg a levelet?