Spam szűrés

Mandriva Linux

Sziasztok,

az a problémám, hogy van egy mail szerverem (mandrake), amin van spamszűrés (amavis,clamav,dspam). Ezen több cég levelezése átmegy. Eddig jól ment, napi 2-3000 spam volt. most viszont bekeményítettek, mert napi 14-15000 spam-et kapok. A legfőbb problémám, hogy a postfix spooljában 600-700 levél áll, és elég nagy késéssel mennek tovább a levelek. Az amavis nem bírja az iramot, kb. 8-10mp -et eltölt egy levél vizsgálatával. Szerintetek, hogy lehetne gyorsítani rajta, mert ez így nagyon gáz. Minden segítséget nagyon köszönök.

üdv:
Balázs

  • 8628 megtekintés

( _ventura_ v | 2006. 10. 26., cs – 22:32 )

hali

akkor egy kis tanács
main.cf be
smtpd_recipient_restrictions = reject_rbl_client psbl.surriel.com, reject_rbl_client cbl.abuseat.org, reject_rbl_client dnsbl.sorbs.net, reject_rbl_client dynablock.njabl.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client relays.ordb.org, reject_rbl_client sbl.spamhaus.org, reject_rbl_client opm.blitzed.org, reject_rbl_client dnsbl.njabl.org, reject_rbl_client blackholes.wirehub.net, reject_rbl_client list.dsbl.org, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

ez egy csomó rbl, lista ami által a postfix eleve visszautasítja azokat a leveleket
amelyek olyan szerverekről jönnek amik ezen a listán vannak.

ez sokat segíthet.

Celeron-M 1400Mhz, 768M, Debian SID, 2.6.18-rc7

Gondolom postfix-et használsz, akkor az smtp_recipient_restrictions es tsai-t nézd meg a reject_unknown_sender_domaint és a reject_invalid_helo_hostname -et lődd be, majd az smtp_helo_required -t is tedd yes -re. A reject_unauth_pipelinening-ot szintén jó elzavarni. Ezek után a postgrey-t javaslom úgy, hogy csak a broadband/dsl és unknown hostokra eröltesse a postfix (rövid guglizás után rálelsz).

A másik megoldás, hogy sok spammer host /24-es vagy /16-os hálózatát access -el vagy eleve a tűzfalon kitiltod.

(Sőt fentiek már néhány topikban szerepelnek.)

persze, de nem "rendes" mailekrol beszelunk, ha egyszer pista szar levelet kuld, es joskanak fontos hogy megkapja pista levelet meg ha szar akkor is, akkor hiaba minden
persze ha egy cegnel kezdetektol igy mukodik minden, akkor konnyebben megemesztik a dolgot, de ha tegnap meg ment, ma meg mar nem akkor nem hajlandoak elfogadni ezt a valtoztatast

Szerintem is korai az öröm: az rbl miatt egy csomó érdemi levelet is el fog dobni a szervered. Előbb-utóbb elfogod veszteni a felhasználók bizalmát.

Persze jobb ötletem nekem sincs... Hacsak komoly tökölés árán nem applikálsz be valami kis erőforrást igénylő előszűrést - de mivel? Esetleg spamc?

Némi másirányú tököléssel talán szintén lehetne segíteni, feltéve, hogy egy-egy adott ip címről sok spam jön egyszerre: én pl. egy saját szkripttel minden címről csak az első levelet ellenőriztettem, és ha az spam volt, akkor a feladó a saját feketelistámra került. A következő levelét már egy sima ip címre greppelés után dobta el a szerver. A feketelistás címek mindig cserélődtek, hogy ne nőjön túl nagyra. A rajta átjutó leveleket viszont így is ellenőriztetni kellett...

Viszont az egy egyedi, moduláris rendszer volt procmail-el meg spamassassinnal, amibe elég könnyű volt egy ilyen szkriptet beoperálni. Postfix + amavis-nél nem tudom, hogy megvalósítható-e.

---
Mondjon le!

Egyszer én is nagyon frankón belőttem a postfixet, de hamar rá kellett jönni, hogy az SMTP szerverek nagyon nagy százaléka nagyon gányúl van belőve és nagyon sok fontos, céges levelet eldobált a fenébe a mail szerver. Morogtak is az ügyfelek, ezért "vissza is kellett butítani" a mail szervert. Csak finoman a szigorításokkal, és sűrűn (ha nem folyamatosan) lesni a log fájlt.
___________________________________________________________________
Lógnak a pálmafán a kókuszok .... :)

> ez sokat segíthet.
de meg tobbet arthat...

sajat tapasztalatom, hogy a nagyobb szolgaltatok (t-online, hotmail stb) szinte mindig bennevannak 2-3 ilyen blacklistben, mert valamelyik useruk spammel es emiatt belekerulnek a teljes ip tartomanyukkal. en emiatt ceges szervereken eleve kerulom az rbl-ek hasznalatat (1 ugyfel levelenek elvesztese nagyobb kar lehet mint 100 spam)...

elsore durvanak tunik, de eleg kozel van a valosaghoz:

http://www.paulgraham.com/sblbad.html
http://www.paulgraham.com/falsepositives.html

"Blacklists have been around for years. If they worked, we'd know by now. But according to a recent study, the MAPS RBL, probably the best known blacklist, catches only 24% of spam, with 34% false positives. It would take a conscious effort to write a content-based filter with performance that bad." ...

A'rpi

az én adsl-ip m is rajta szokott lenni, de nem azon keresztül küldöm a
mailt hanem a szolgáltató smtp-jén, és ezek nem szoktak rajta lenni.

szóval használja mindenki a szolgáltató smtp jét, mivel azért van.
ha vki pl adsl végponton üzemeltet mailt, tudjon rá az ilyenre.

szerintem

Celeron-M 1400Mhz, 768M, Debian SID, 2.6.18-rc7

itten van kb. 600 domain kb 4500 user.
eddig 1 panasz volt, mert az olasz partner smtp-je a nézett
list egyikén rajta volt.
most pl meglestem a t-online és a chello smtp szerverét pl.
a chello-t sehol se láttam (stmp.chello.hu) a t-online valami számomra
ismeretlen listán volt.

Celeron-M 1400Mhz, 768M, Debian SID, 2.6.18-rc7

Egyet ertek. Mar regen lejart a hagyomanyos feketelistak ideje. Egyszeruen elfogadhatatlan, hogy egy kulso, ellenorizhetetlen szervezet mondja meg helyetted, hogy melyik levelet engedheted be, es melyiket fogod eldobni. Mert az rbl errol szol. Az meg boduletes ostobasag, hogy /24 vagy /16-okat kitiltson valaki, imho.

ASK Me No Questions, I'll Tell You No Lies

Nos, lehet, a feketelisták ideje lejárt.

De a következő szabályoknak van értelmük, jópár spam megfogható, lényeges levelet elméletben 0 valószínűséggel fog meg.
- HELO-nak teljes domain név kell
- nem lehet dinamikus IP - tessék a szolgáltató smtp szerverét használni
- címzett, feladó tartomány létezzen, vagy valami ilyesmi 

smtpd_client_restrictions = permit_mynetworks, reject_unknown_sender_domai,reject_rbl_client relays.ordb.org
smtpd_sender_restrictions = reject_unknown_sender_domain,reject_non_fqdn_sender,
reject_unauth_destination
smtpd_recipient_restrictions =
 permit_mynetworks,
 reject_invalid_hostname,
 reject_non_fqdn_hostname,
 reject_non_fqdn_sender,
 reject_non_fqdn_recipient,
 reject_unknown_sender_domain,
 reject_unknown_recipient_domain,
 reject_unauth_destination,
 reject_rbl_client relays.ordb.org,
 permit
smtpd_etrn_restrictions = reject
smtpd_helo_required = yes

Meg egy-két "feketelista" még hozzávehető. A relays szerintem kell, mert open relay-eket vhogy ki kellene szűrni.

Vagy egy jobb megoldás, a többi változatlanul hagyásával: 

smtpd_recipient_restrictions =
 reject_invalid_hostname,
 reject_non_fqdn_hostname,
 reject_non_fqdn_sender,
 reject_non_fqdn_recipient,
 reject_unknown_sender_domain,
 reject_unknown_recipient_domain,
 reject_unauth_destination,
 reject_rbl_client relays.ordb.org,
 permit_mynetworks,
 reject

Vannak rbl listak akiket IMHO erdemes (es nem artalmas) hasznalni. Nalam 3 rbl van beallitva, ezek kozul 2 barhol nyugodtan hasznalhato:
- list.dsbl.org - open relay lista, aki ezen fent van az meg is erdemli, hogy ott legyen;
- cbl.abuseat.org - open proxy-k listaja (HTTP, socks, AnalogX, wingate, stb), lasd fent;

Nagy forgalmu site-on egyebkent sem erdemes tul sok RBL listat hasznalni, a lekerdezesek lassitjak a forgalmat.

( cstamas | 2006. 10. 27., p – 01:38 )

Szia!

Az RBL is jó, de ez is hasznos:
http://www.postfix.org/LOCAL_RECIPIENT_README.html
http://www.postfix.org/postconf.5.html#relay_recipient_maps

Az elsőhöz hasonló elv alapján tudod a másodikat is hangolni, attól függ, hogy a mailbox-ok ott vannak-e helyileg a gépen vagy te csak relay vagy nekik. Ez nem olyan egyszerű, mint az RBL-es beállítás fent, de szintén hasznos fegyver.

( rigidus | 2006. 10. 27., p – 02:29 )

Sziasztok,

Ha mar spam problema, akkor kerdeznek en is egyet, remelem a topik hazigazdaja nem veszi rossz neven. :-)

Nehany hete elkezdtem kapni olyan spameket, amelyek bitmapben taroljak a reklamszoveget. Az OCR es a kepmeret ellenorzes sajnos felejtos. A kep ugy van oszeallitva, hogy lehetetlenseg OCR-rel feldolgozni.

A kerdesemim, hogy tud-e valaki olyan bevalt megoldasrol ami kepes ezeket is megszurni, ill. a senderid segitene-e egy nehany gepbol allo kishalozaton?

Koszi elre is. :-)

PS: Nincs levelezoszerverem, de ha ez kell hozza osszeutok egyet, igy is ugy is erik mar ra az igeny. :-)

---------------------
Minél korszakalkotóbb ötlettel állsz elő, annál több hülyén kell átverekedned magadat.

Szia!

Pár hete itt a hupon én is feltettem egy hasonló kérdést:

http://hup.hu/node/29551

Nekem az jött be, hogy a spamassassinnak megmondtam, hogy tanuljon, és beállítottam a bogofiltert is. Azóta sokkal jobb hatásfokkal megy a szűrés, és szerencsére pont a fentebb említett spam típus, ahol a reklám egy rafinált képfileban van, az is kipontozódik.

Az igaz, hogy én csak a kliensemmel szűretek, mert nálunk az egyetemi szerver csak pontoz, azt is rosszul, továbbá én csak user vagyok, nem rendszergazda, de asszem, ez részletkérdés.

Csaba

Én meg crontabba tette egy sa-update parancsot (Debian Linux), hadd fusson, azóta jeletősen csökken a spamok száma, valamint én használok egy türéshatárt is (0..5pont), és ***SPAM*** szócskával egészítem ki a Subject-tet ha ebben még bennevan (pl pár userek által igényelt hírlevél)
MTA:
qmail+vpopmail

( zz7 | 2006. 10. 27., p – 10:59 )

Egy amatőr kérdés következik kezdőtől.
Hol lehet egyszerűen eldobatni a Postfix-el adott címekről, domain-ekről jövő leveleket?
Kösz

( lacika v | 2006. 10. 27., p – 12:40 )

Milyen és mennyi proci és memória van a gépben?
___________________________________________________________________
Lógnak a pálmafán a kókuszok .... :)

Na, itt a bibi. Kevés az az egy proci :( 939 -es az alaplap? Ha igen, akkor és "szerencséd" van, akkor tudsz bele rakni duál magos AMD Opteront. Az segítene rajta. A memória elég kell hogy legyen, de ezt nézd meg a cat /proc/meminfo -ban. Ha sok a swap akkor ram is mehet bele. Szoftveresen, nagy csodát nem lehet elérni, hogy gyorsuljon a rendszer.

___________________________________________________________________
Lógnak a pálmafán a kókuszok .... :)

( comet | 2006. 10. 27., p – 17:54 )

Aki nem fél egy kis scripteléstől, annak ajánlanám: HELO.

Pár trükk és tipp, hogy hogyan lehet jól gazdálkodni az erőforrásokkal.