Spamszűrés ötlet

Hálózatok egyéb

Van egy ötletem, amivel talán lehetne javítani a spamszűrés hatékonyságát, de nem tudom, hogy jó-e / rossz-e / már mindenki ismeri, feltaláltam a spanyolviaszt. Szeretném, ha véleményeznétek.Nézegettem a spamként megfogott leveleket egy szerveren, és rengeteg köztük az olyan, amit botnetes hálókból jön: adsl-es, kábelmodemes gépek, stb.

Ezeknek általában közös jellemzője, hogy az IP valamilyen formában benne található a domain néveben. "Tisztességes" mail szerverekre ez úgy látom, egyáltalán nem jellemző.

Tehát: rögtön az SMTP szerverhez kapcsolódás után (hacsak nem authentikálja magát a kliens, vagy relay alhálón belül van) elvégezhető egy heurisztikus teszt a kliens domain nevén (ha nincs neki, rögtön kivághatjuk). Ha az IP címe első vagy utolsó 2-3 (szerintem 2-re már megbízható) bájtja valamilyen formában szerepel a névben, akkor biztos a kapcsolat megszakítható, biztos hogy spammelni fog.

Ilyen minták pl.:
123-12 vagy 12-123
123.12 vagy 12.123
123012 vagy 012123
vagy teljes IP hexában, mindkét irányban.

Becslésem szerint a hozzánk érkező spam 80-90%-a ilyen címekről jön. Még azelőtt meg tudnánk tőle szabadulni, hogy a spamszűrőt/sávot terhelné.

Mit gondoltok?

  • 1519 megtekintés

( pepo v | 2007. 12. 07., p – 16:25 )

Ez azért nem jó, mert ha egy ADSL előfizetéshez fix ipcímet kérsz, de pl. domain-t nem, akkor a hostneved ilyesmi pl.: pool-fixip.10.1.100... Az, meg hogy melyik szolgáltató, milyen szót tesz bele, rajtuk áll.

Felteszel egy linuxot, alap beállításokkal a saját MTA-ját fogja használni (tudom, kultúráltan beállítja az ember a szolgáltató SMTP szerverét, de nem mindenki tudja, hogy kell).
És, míg win alatt nem fogsz tudni levelezni addig, amíg meg nem adod a szolgáltatód SMTP-jét, linux alól rendben fogsz tudni küldeni, csak lesznek, akik eldobálják (pl., mert ellenőrzik, hogy dinamikus IP-tartományból jön-e a levél).

( airween v | 2007. 12. 07., p – 20:56 )

hello,

Nézegettem a spamként megfogott leveleket egy szerveren, és rengeteg köztük az olyan, amit botnetes hálókból jön: adsl-es, kábelmodemes gépek, stb.

IMHO ezeknek nagy részét a greylist megfogja... :)

a.

Nemrég ütköztem bele egy zombihálózati SPAM-elhárításba:

Ez segített:

main.cf: 

header_checks = pcre:/etc/postfix/header_checks
body_checks = pcre:/etc/postfix/body_checks

A header_checks tartalma: 

if /^Received:/
/^Received: +from +(DOMAINEM\.hu) +/
    reject forged client name in Received: header: $1
/^Received: +from +[^ ]+ +\(([^ ]+ +[he]+lo=|[he]+lo +)(DOMAINEM\.hu)\)/
    reject forged client name in Received: header: $2
/^Received:.* +by +(DOMAINEM\.hu)\b/
    reject forged mail server name in Received: header: $1
endif
/^Message-ID:.* <!&!/ DUNNO
/^Message-ID:.*@(DOMAINEM\.hu)/
reject forged domain name in Message-ID: header: $

A body_checks tartalma: 

if /^[> ]*Received:/
/^[> ]*Received: +from +(DOMAINEM\.hu) /
    reject forged client name in Received: header: $1
/^[> ]*Received: +from +[^ ]+ +\(([^ ]+ +[he]+lo=|[he]+lo +)(DOMAINEM\.hu)\)/
    reject forged client name in Received: header: $2
/^[> ]*Received:.* +by +(DOMAINEM\.hu)\b/
    reject forged mail server name in Received: header: $1
endif
/^[> ]*Message-ID:.* <!&!/ DUNNO
/^[> ]*Message-ID:.*@(DOMAINEM\.hu)/
reject forged domain name in Message-ID: header: $1

Az így elkapott SPAM-ek logja: 


Dec  7 21:26:07 AZ_EN_SZERVEREM postfix/smtpd[30096]: connect from
 212-182-165-38.dsl.ip.tiscali.nl[212.182.165.38]

Dec  7 21:26:09 AZ_EN_SZERVEREM postfix/smtpd[30095]: 7E83C3213EA: 
client=212-182-165-38.dsl.ip.tiscali.nl[212.182.165.38]

Dec  7 21:26:11 AZ_EN_SZERVEREM postfix/cleanup[30098]: 7E83C3213EA:
reject: header Received: from 205.152.58.33 (HELO mx01.mail.bellsouth.net)?
by DOMAINEM.hu with esmtp (LAFHHNHOONT RBORXR)?     id GmwHpU-UdGDBt-ef?
for valaki@DOMAINEM.hu; Fri, 07 Dec 2007 21:26:11 +0100 from 
212-182-165-38.dsl.ip.tiscali.nl[212.182.165.38]; from=<jramey1@bellsouth.net>
to=<valaki@DOMAINEM.hu> 
proto=SMTP helo=<212-182-165-38.dsl.ip.tiscali.nl>:
5.7.1 forged mail server name in Received: header: DOMAINEM.hu

Dec  7 21:26:11 AZ_EN_SZERVEREM postfix/smtpd[30096]: disconnect from 
212-182-165-38.dsl.ip.tiscali.nl[212.182.165.38]

A lényeg itt van:

5.7.1 forged mail server name in Received: header: DOMAINEM.hu

Vagyis a DOMAINEM.hu-t hamisítja fejlécnek. Kb. 10%-ra esett vissza a Spamassassin-Sanesecurity-(ClamAV) trió által kiértékelt SPAM-ek száma, a többit a Postfix ezzel az elvvel süllyesztőbe teszi.
Próbáld ki, érdemes!

Én nem töltök föl képet, de hidd el: nekem is van scrollbar (O/A), csak éppen nekem pl. a válasz link is a francban van, amihez scroll-ozni kell.

Ja, és tényleg ne szerkeszd át, az olyan gáz lenne! Valamit megcsinálni csak azért, mert mások
azt mondták, hogy nekik így szar, neked meg mindegy. Áááá! Amúgy nem én vetettem fel, én csak
helyeseltem, hogy a túl hosszú sorok baromira olvashatatlanná teszik. Lehet, hogy van ott a végén
valami fontos, de az is lehet, hogy X nem veszi a fáradságot, hogy odagörgessen. Ennyi.

( kojot | 2007. 12. 08., szo – 09:01 )

Lehet, h ideiglenesen jó a megoldásod, de az ismert ip szűrése nehézkes, mert:
Azt csinálják pl, h otthoni hálózatban lemodellezi pl, h a küldő masinkája pl a googlemail ip számán üzemel. Azután alhálózat következik, majd maga az internet. Te azt fogod látni, h a gmailből küldött spamot, pedig abszolut semmi köze hozzá! Az IP szűrök, pedig gmail ip címét lazán áteresztik. Gól, ennyi, beesett a fiókodba a szemét!