Védelem blacklist ellen

Linux-security

A következők vannak beállítva a postfix main.cf-ben. (Csak smtp uth-al tudnak levelet küldeni.) Azt szeretném legfőképp elkerülni, hogy felkerüljek egy blacklist-re. Miket lehet még beállítani?

Előre is köszönöm.

smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_pipelining,
reject_invalid_hostname,
reject_unknown_hostname,
reject_unknown_client,
reject_non_fqdn_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_multi_recipient_bounce,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_unauth_destination,
permit

  • 3910 megtekintés

( bandy | 2007. 12. 27., cs – 20:53 )

Tulajdonképp a blacklistre kerülést nem lehet elkerülni. Mivel nincs mindenütt ellenőrzés, ezért egyszerű "vicces" kedvű egyének is felrakathatnak, aztán nyomozgathatsz napokig, illetve ha egy egész /24-es tartományt tiltanak egyetlen gép miatt, akkor megint te szívsz...
(évek óta működő, qmail alapú mailszerverünk egyik napról a másikra nem tudott t-online.hu-ra küldeni. Kiderült, hogy blacklisten van nem ellenőrizték, csak feldobtak egy komplett /24-es IPtartományt)

De ha elfogadsz egy tanácsot, annakidején GTNetnek ezt tanácsolták:
"DDoS ellen a legjobb ellenszer, ha az ember nem túráztatja az arcát az IRCen".

Bejövő vagy kimenő? Kimenő nincs, csak vírus. Bejövő a Postfix mindenféle lehetősége és Spamassassin DCC-vel, Pyzor-ral, Razor-ral. Tervezem a dspam-et is. Bevált, de simogatni kell. Vannak kritikus/problémás felhasználói címek, nekik külön smtpd_restriction_classes van, ill. Spamassassinban is vannak whitelist-ek. Fejlesztési tervek között szerepel az egyénenként állítható szűrés, Postfixben is és Spamassassinban is van erre támogatás. De szerintem a fokozatosságot tarsd szem előtt. A kevésbé szigú szűréstől haladj a szigorú felé, és meglátod, hogy hogyan működik...

Kimenő levelen hogyan lehet spam-et és vírust szűrni?

Kb egy hónapja én is beállítottam: amavisd-new,Spamassassin,DCC,Pyzor,Razor

Megírtam a felületet, amelyen az ügyfelek maguknak állíthatják a spam és vírusszűrést. És rendezhetik a quarantént. Jelenleg úgy működik, hogy ha egy levél olyan helyről jön, amelyik fenn van egy bl-en, akkor quaranténba teszi. Lehet jobb lesz,ha a postfixal reject-elem, mert így a spamassassin nagyon dolgozik. Te rejecteled ezeket a leveleket?

Spamassassin kimenő SPAM szűrést ezt títja:
@whitelist_sender_acl = ( ".$mydomain" );
A vírust kellene szűrnie, ezeket nézd meg:
@bypass_virus_checks_maps = (
\%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);

@bypass_spam_checks_maps = (
\%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);

Nálunk ha Postfix fogja meg, akkor reject. A Postfix még sokminden mást is szűr SMTP szinten, a legtöbb reject. De mint írtam ez nem mindenhol lehet jó megoldás.
A felületed nem GPL véletlenül? :)

( Mik v | 2007. 12. 27., cs – 21:05 )

A fentieknek nem sok köze van hozzá. Lehetőleg:
- a hostname legyen egyenlő a HELO névvel
- a hostname-nek legyen PTR rekordja
- ne küldj SPAM-et :)
ezek lennének az alapok. Az IRC-es jótanács is megfontolandó :)

Mik

myhostname = domain.nev.hu
a PTR meg a DNS-ben van. Pl:

$ host mail.t-online.hu
mail.t-online.hu has address 84.2.46.3
mail.t-online.hu has address 84.2.44.3
$ host 84.2.46.3
3.46.2.84.in-addr.arpa domain name pointer mail.t-online.hu.
$ host 84.2.44.3
3.44.2.84.in-addr.arpa domain name pointer mail.t-online.hu.

Na ez igaz, de van egy kerdesem ezzel kapcsolatban. Azt hogy lehet megoldani, hogy egy mail szerver kezel kb 10 domaint, nem lehhe jo ha barmelyik kiderulne ha ah headerbe kukkant valaki. Mert ugy ervenytelen host nevet nem lehet megadni (meglehet, mukodik, de blacklist veszelyes). Erre mit lehet tenni?

Mi egyszer egy belso xp-s gep miatt kerultunk blacklistre ket helyen is. Azota tiltva van a forward lancon a 25 port a gw-en. (butasag volt ezt a beallitast ilyen kesore hagyni)
-
budacsik

( asch v | 2007. 12. 27., cs – 22:14 )

Nincs olyan érzésetek, hogy a blacklist mint olyan az internet szabadságát veszélyezteti?
Mit idéz az, hogy valaki névtelenül feljelent te meg napokig szívsz miatta?
Szerintem a spam ellen nem így kellene küzdeni. Mielőtt letámad valaki: nincs jobb ötletem, csak kicsit nyilvánosan mérgelődök :-).

Hála Istennek léteznek feketelisták és tudok szűrni a segítségükkel.
Csak dnsrbl és reverse dns szűréssel a szpemek majdnem teljes részét ki tudom irtani.

Egyszer mi is felkerültünk egyre. Egy ügyfél szarul megírt php-jával kezdtek el szpemmelni. Leirtottam, s jeleztük, s levettek.

( pepo v | 2007. 12. 28., p – 07:43 )

Nekem sikerült nemrég bl-re rakni egy szerveremet. Agyonbombázták ismeretlen címzettel, és a mindenféle ellenőrzés nélkül visszahajigáltam a látszólagos feladónak a levelet az ismeretlen címzett miatt. Egy idő után az egyik smtp szolgáltató bl-re tette a szerveremet.
Leleveleztem velük, whitelistre tettek.
Ez ellen úgy tudsz védekezni, hogy a spamként azonosított levelek, amik ismeretlen címzettet céloznak meg ->/dev/null. (Ez mondjuk a kőbunkós megoldás, biztosan van finomabb is, de nekem ez volt kézenfekvő.)

Persze szó nélkül eldobálni a leveleket nagyon etikátlan, mert ha a feladó rossz címet ad meg, akkor joga van megtudni hogy a levele nem ért célba! Senki nem venné jónéven, ha a postás a kukába dobálná a leveleit, csak azért mert rosszúl címezték azt meg. Ilyenkor "vissza a feladónak..." a korrekt eljárás. Ha a feladó is rossz, akkor az enyészeté lesz a cucc.
Sokan kérik, hogy a rossz helyre címzett leveleket is gyűjtsük össze egy "catch all" fiókba, mert szeretnék azokat is megkapni, és ez elsősorban üzleti etikai kérdés sokaknál!
Ha meg jogtalanul felkerülsz egy RBL-re, akkor írni kell nekik is és annak a szolgáltatónak is aki használja a listájukat.
Én a magam részéről nem használok rbl-t, szerintem már több a gond vele mint a várható hasznossága.

Én meg azt mondom: igenis tessék figyelni a címzésre. Természetesen mindkét oldalon.
Azaz: a címzettnek legyen normális e-mail címe, ne egy random karaktersorozat, a feladó pedig igenis figyeljen oda arra, hogy jó címet írjon. Alap dolog szerintem.
Pár éve egyébként hallottam egy olyan szűrőről, ami minden levelet megnézett, hogy a feladója szerepel-e a listájában (címjegyzékében), és ha nem, akkor visszadobta a feladónak, hogy küldje újra.
Ha a feladó elküldte újra, átengedte. Nem tudom már, mi volt a progi neve, azt ne kérdezd.
A hagyományos posta pedig elég kettős... Egyrészt van címnyomozás, másrészt anno, x évvel ezelőtt vödörszámra dobták ki a leveleket. Pedig azoknak még csak nem is a címzésük volt rossz.

- rezso -

( sj | 2007. 12. 28., p – 15:54 )

A feketelista ellen ugy tudsz vedekezni, hogy mindenkit lebeszelsz a hasznalatarol. Ha rbl-t hasznalsz, akkor tudva, nem tudva azt mondod, hogy figyelj maps, spews, spamhaus, ..., itt van a mailbox-om, nyomogasd a DEL gombot. Merthogy amire ok azt mondjak, hogy spam, azt te eldobod, vagy /dev/null-ba kuldod. Ez nagyon franko, ha az rbl nem tartalmaz fals pozitiv hibat (azaz olyan IP-cimet, ahonnan ham level is jon). Ez a gyakorlatban nem nagyon szokott teljesulni. Eddig egyetlen rbl-t probaltam ki (a spamhaus fizetos zen listajat), ami az en leveleim eseten meg nem adott fals pozitivat a decemberi levelezesemre, es a akar 85% koruli spamet is felismert decemberben. A magyar spambol pedig nalam ~17%-t ismert fel (hosszabb idoszak alatt gyult ossze vagy 30 magyar spam).

Ha mar halozati szinten akarod megfogni a spamet, akkor sokkal inkabb szurkelista (jelenleg meg jol muzsikal), vagy tarpit.

ASK Me No Questions, I'll Tell You No Lies

( budee | 2007. 12. 30., v – 11:48 )

Emm, ez igy ebben a formaban nem igaz.
A greylist az amikor eloszor visszadobod az emailt 4xx hibauzenettel, hogy kuldje ujra. Ha ujra kuldi akkor elfogadod.
Ami ellenorzi a felado cimet az sender address verification. Postfixben a reject_unverified_sender szolgal erre.
En ugy csinalom hogy az smtpd_client_restrictions vege fele beszurok egy sort:

check_sender_access pcre:/etc/postfix/sender_access_pcre

Es a sender_access_pcre tartalma (erre a filera nem kell futtatni a postmap-ot):
!/(sk|hu)$/ reject_unverified_sender

Ez azt jelenti hogy minden domainre ami nem sk-ra vagy hu-ra vegzodik vegezzen sender address verificationt.

(Szerk.: erre akart lenni a valasz: http://hup.hu/node/48773#comment-478717 )

( sibidiba | 2008. 02. 18., h – 14:32 )

Egyszer azért került fel a mailserver blacklistre, mert az egyik NAT mögötti kedves user vírusos gépe DDoS támadásban vett részt a blacklistet üzemeltetők honlapja ellen. Erre ők countermeasureként minden DDoS-oló IP tartományát felrakták a blacklistjükre.
Már csak azt felejtették el, hogy ezt a tényt bárhol a megemlítsék a honalapjukon vagy fórumon.

--
The Net is indeed vast and infinite...
http://gablog.eu