Hozzászólások
Sziasztok!
Régóta használom a dnsbl.sorbs.net-et es még pár egyebet, de nem ez a lényeg, hanem néha előfordul, hogy felkerül rá pl. valamelyik internet szolgáltató vagy egyéb szervezet szervere is. Tegnap pl. a securityfocus szervere is. :(
Sep 16 11:13:26 mlsrv postfix/smtpd[3018]: NOQUEUE: reject: RCPT from outgoing.securityfocus.com[205.206.231.27]: 554 Service unavailable; Client host [205.206.231.27] blocked using dnsbl.sorbs.net; Spam Received See: http://www.dnsbl.sorbs.net/lookup.shtml?205.206.231.27; from=<bugtraq-........
Párszor már fent volt pl. a chello valamelyik szervere is. Persze ilyenkor vár a főnök vagy akárki szuperfontos e-mail-t, ami természetesen nem érkezik meg. Aztan lehet magyarázni, hogy miért is nem. Néha úgy érzem kevésbé lenne macárás az mail szerver üzemeltetés, ha ejteném az sbl listákat.
Ti hogy vagytok ezzel?
- A hozzászóláshoz be kell jelentkezni
Használd az Apache SpamAssassint!
Az is használ DNS blacklist adatbázisokat, de ez is csak egy szabály benne a sok közül, amiket lepontoz. A pontokat összeadja, és ha az általad megadott küszöb fölé esik, spam-nek nyilvánítja.
Ezen kívül whitelistet is tudsz benne megadni küldőkre, a securityfocus pl. az alap konfigban benne is van.
- A hozzászóláshoz be kell jelentkezni
[quote:77e8968cce="airwin"]Használd az Apache SpamAssassint!
Az is használ DNS blacklist adatbázisokat, de ez is csak egy szabály benne a sok közül, amiket lepontoz. A pontokat összeadja, és ha az általad megadott küszöb fölé esik, spam-nek nyilvánítja.
Ezen kívül whitelistet is tudsz benne megadni küldőkre, a securityfocus pl. az alap konfigban benne is van.
En alapbol nem tennek whitelist-re egy olyant, mint a securityfocus. Miert? Tegyuk fel, egy konfiguracios problema miatt open relay lesz... Valaki rajon es elkezd kuldozgetni a securityfocus neveben leveleket. Pl. tolsd le ennek es ennek a programnak az uj verziojat innen meg onnan (persze sajat szervererol) mert a regebbi verziok tartalmaznak egy buffer overflow-t... S sokan letoltik es felrakjak, mert biznak a securityfocus-ban... Es ez meg csak a problemaik kezdete...
- A hozzászóláshoz be kell jelentkezni
[quote:e2fe4b3ecd="1aca"][quote:e2fe4b3ecd="airwin"]Használd az Apache SpamAssassint!
Az is használ DNS blacklist adatbázisokat, de ez is csak egy szabály benne a sok közül, amiket lepontoz. A pontokat összeadja, és ha az általad megadott küszöb fölé esik, spam-nek nyilvánítja.
Ezen kívül whitelistet is tudsz benne megadni küldőkre, a securityfocus pl. az alap konfigban benne is van.
En alapbol nem tennek whitelist-re egy olyant, mint a securityfocus. Miert? Tegyuk fel, egy konfiguracios problema miatt open relay lesz... Valaki rajon es elkezd kuldozgetni a securityfocus neveben leveleket. Pl. tolsd le ennek es ennek a programnak az uj verziojat innen meg onnan (persze sajat szervererol) mert a regebbi verziok tartalmaznak egy buffer overflow-t... S sokan letoltik es felrakjak, mert biznak a securityfocus-ban... Es ez meg csak a problemaik kezdete...
nem akarok kotekedni de ezt barmelyik oldalrol vagy szolgaltatorol lehetne feltetelezni ezzel az erovel. no meg szerintem ha elo is fordul ilyen akkor valoszinuleg olyan ember ul ott aki eszre is veszi a problemat.
vagy en gondolom rosszul?
- A hozzászóláshoz be kell jelentkezni
Elemezd a bejövő spam-ek fejlécét, hátha találsz közöttük olyasmit, ami csak a spam-ekre jellemző.
Én találtam: a bejövő spam-ek kb. 30%-át egyetlen fix procmail szabállyal el tudom dobatni, ráadásul a mi esetünkben 100%-os találati pontossággal, 0%-os téves találati arány mellett. (Épp az a vesztük, hogy rejtőzködni próbálnak.)
Ami marad, csak az megy a spamassassin-nak, amit a bayesdb-vel (rendszeres tanítás) kombinálva használok. Persze van whitelist-is, amibe automatikusan bekerül minden cím, ahova valaha is valaki levelet küldött tőlünk (egy szkript a maillog-ból kigreppeli a címeket; bele a spamassassin userpref-be).
Nálam így tévesen leválasztott levél több év távlatában összesen 1 volt, több 10000-ből (de lehet, hogy már 100e felett járunk).
Viszont a spam-ek kb. 10%-a így átjut a felhasználók fiókjába - igaz, spam-ként megjelölve; kb. 1% pedig még a spam-ként megjelölést is elkerüli :-(.
Két napja éppen ezért kezdtem el én is dnsbl-t használni. Egy szkript a http://www.spamcop.net/-től szerzi az adatot (wget+grep).
Azóta a spam-ek már nem jutnak el a felhasználói fiókokba; és még nem volt egy fals pozitív se. Ha lesz, akkor majd átírom a szkriptet úgy, hogy csak akkor tiltson le egy levelet, ha két dnsbl adatbázisban is megtalálja a feladót. (Remélem, találok másik olyan dnsbl adatbázist, ami a wget-el is lekérdezhető...). Ha nem, akkor úgy módosítom a szkriptet, hogy ne válassza le a levelet, hanem a SpamAssassin pontszámához adjon hozzá párat.
Ja, és három alapelvem van, így, ebben a fontossági sorrendben:
1. Vírus nem mehet át (ezt egyetlen víruskereső sem tudja produkálni, ezért minden végrehajtható melléklet >> karantén)
2. A legális levelek 100%-át át kell engedni. Megengedett veszteség: 0%. Ezt egyetlen szűrő megoldás sem tudja garantálni, ezért az eldobandó levelek listáját átnézem (kb. napi 10 perc elfoglaltság)
3. Az átjutó spam-ek darabszámát a tűréshatár alá kell csökkenteni, és lehetőleg meg kell jelölni őket spam-ként. Vagyis nem cél a teljes spam mentesség (csak éppen majdnem teljesen sikerült megvalósítani a fenti két pont betartása mellett is).
- A hozzászóláshoz be kell jelentkezni
[quote:973b55b722="insight"]
nem akarok kotekedni de ezt barmelyik oldalrol vagy szolgaltatorol lehetne feltetelezni ezzel az erovel. no meg szerintem ha elo is fordul ilyen akkor valoszinuleg olyan ember ul ott aki eszre is veszi a problemat.
vagy en gondolom rosszul?
Egy kis paranoia sose art egy sysadmin-nak ;)
- A hozzászóláshoz be kell jelentkezni