Spam, Adathalászat

Azt hiszem itt az ideje egy olyan topicnak amiben érdemben körbejárjuk hogyan is lenne érdemes 2016-ban megoldani a SPAM szűrést.

Sajnos azt tapasztaljuk hogy az idáig bevált megoldásokon kezdenek kifogni a tömeges levélküldő barátaink, nem nagyon, de már éppen annyira hogy kapjuk a leveleket ügyfelektől hogy ma is kaptunk 2-10 SPAM-et, és ehhez nem vagyunk hozzá szokva.

Fontos hogy itt én most a dolog technikai oldalát szeretném körbe járni, tudom hogy lehet vásárolni X-Y terméket, dobozt, HW megoldást, etc, de ez nagyon sok helyen nem játszik.

A használni kívánt megoldás OS független, vagyis lehet Debian, Centos, OpenBSD …, a szükséges komponensek általában elérhetőek minden OS-ban.

Maga az SMTP is másodlagos, mi jellemzően Exim-et és ritkábban Postfix-et használunk.
SMTP szinten a következőkkel szűrjük a SPAM-et:

• SMTP banner késleltetés
• SMTP connection limitek
• HELO check
• hostnév, IP nem lehet u.a. mint fogadó SMTP
• RBL listák
• feladó email cím validálás
• ahol van lehetőség recipient email ellenőrzés
• ip reverse check

Ezek a bejövő levelek 70-80%-át már dobják is, ebből 99,9999%-ban nincsen hibásan eldobott levél.

Kiegészítő script exim-ben ami ZIP|ARJ|RAR …-okat kibontja, és ha JS, és hasonlók vannak benne akkor azokat eldobjuk.

Általában SMTP szinten használt RBL listák:

• sbl-xbl.spamhaus.org
• zen.spamhaus.org
• b.barracudacentral.org (regisztrációval)
• bl.spamcop.net

Következő lépés Vírus keresés, ezt jellemzően ClamAV-val.
Extra DB források:

• sanesecurity.com
• malwarepatrol.net (fizetős)

SPAM szűrést spamassassin-el:

• bayes alapú szűrés, közel 500e+ HAM, és 1millió+ SPAM tanítva
• RBL itt is:
  dnsbl-X.uceprotect.net
  ips.backscatterer.org
  cidr.bl.mcafee.com
  truncate.gbudb.net
• senderbase (cisco)
• URL szűrés , uribl.com
• SA channelek:
  sought.rules.yerp.org
  updates.spamassassin.org
  spamassassin.heinlein-support.de

Vegyük ezeket technikai alapoknak, ezek mellett sajnos szaporodnak a panaszok hogy nem jó a szűrés.

Arra lennék kíváncsi ki hogyan csinálja technikailag, és azt mennyire érzi hatékonynak.
Milyen külső forrásokat (akár fizetős) használ tanításra (bayes), vírusszűrésre, levél-ben lévő URL-ek ellenőrzésére, etc …

Vagyis hogy mivel lehet hatékonyabbá tenni ezt a szélmalom harcot ! :)

update #1.
RBL ellenőrzéshez megfelelő DNS-ek!
Ellenőrízd kézzel lefut-e rendben RBL DNS kérés, google DNS nem jó!

update #2.
DKIM, SPF-et jobb nem lepontozni, false erdményt ad, már sok a valid SPF, DKIM -el küldőtt SPAM!

Sziasztok!

A http://pastebin.com/NjrT9tkL linken lathato a postfix es az amavis rendszerek spam filterre vonatkozo konfigom. A spamszuro tokeletesen mukodik, viszont azt a hibat tapasztalom, hogy a kimeno leveleket is szuri, pedig azokat nem szeretnem :(

Valakinek tapasztalata ez ugyben?

Sziasztok!

Adott egy Azure-ban futó Ubuntu Linux 14.04-es VPS amire egy Vesta Control Panel van feltelepítve. A mail beállításaim elméletileg hibátlanok. Teszteltem MX Toolboxal és mail-testerrel is, mindegyiken átment hiba nélkül. SPF,DKIM,DMARC,rDNS van beállítva és mind működik is helyesen. Mégis mi lehet a probléma?

Itt a mail header hátha segít: http://pastebin.com/N1yCQZdi

A válaszokat előre is köszönöm!

Hello,

valaki@upcmail.hu címre küldenék hivatalos ESET Smart Security licencelevelet. A upcmail ezt visszadobja "detected unsolicited content" üzenettel.
Nincs melléklete a levélnek... ez valami vicc a upcmail részéről? :D

Van itt upcmailes kollega, aki segítene?

Köszönöm!

Hali!

Van egy postfix mail szerver, ami kb. 10 ember levelezését szolgálja ki. Nincs nagy mennyiségű levél (tegnap 1400 bejövő smtp kapcsolat volt összesen, vírusokkal, spammel együtt).

Arra gondoltam, hogy beállítanék DNS alapú blacklistet a jelenlegi greylist és vírus és spamszűrés mellé. Viszont azon gondolkozom, hogy lehet ezt hatékonyan megoldani. Vagy egyáltalán.

Úgy gondolom, az lenne hatékony, ha először persze ellenőrizné, hogy létezik-e az email cím, stb.
Másodjára ugrana a greylist
Harmadjára (ha a greylisten átjutott), jöhente a blacklist
Negyedikként futna le az elemzés.

Jelenleg a fenti a sorrend, kivéve a blacklistet.

Egy kicsit el is akadtam, hogy hogyan konfiguráljam be. Beírtam valami ilyesmit (nem vagyok most épp a gépnél, szóval csak fejből):
smtpd_recipient_restrictions = permit ez az, policy_service localhost:10023, reject_rbl RBL

Na de ez nem jó, mert az első találatnál megáll - az meg a greylist lesz. Akár visszadobja, akár elfogadja, nem megy tovább. Ez nem jó.

Betehetném a blacklist elé - de ezzel megnőne a netes forgalom. Ami levelet újra akarja küldeni a másik oldal, azt legalább kétszer, türelmetlen küldő esetén többször is meg kell nézni.

Nem tudom, hogy ez okozna-e igazából gondot. Lehet, hogy nem, de nem tetszik az ötlet.

Viszont greylist után most csak az az ötletem van, hogy átadom egy új postfix processznek, és így már három lépcsőn menne át.

Az első megkapja a netről, ellenőrzi a szokásos dolgokat, megvizsgálja a greylistet.
Aztán ha minden jó, átadja a másodiknak, ami meg a blacklistet megnézi, és átadja az amavisnak vírusszűrésre és spam keresésre.
Aztán az amavis átadja a harmadiknak, ami minden ellenőrzés nélkül kézbesíti.

Egyfelől nem tetszik az ötlet, hogy kettő helyett most már három postix processz kezén menjen át minden jó levél, másfelől a master.cf-ben nem is tudtam beállítani az smtpd_recipient_restrictions opciónak a policy service-t annak idején (lehet, hogy be lehet, de az összes példa csak main.cf-ben mutatja, és a próbálkozással eljutottam ugyan valameddig, de feladtam).
Gyanítom, hogy az RBL-t is hasonlóan nehezen tudnám betenni a master.cf-be csak a második processzhez.

Szóval a kérdések:
Ti hogyan csináljátok a hasonlót? Más sorrendben? Többször ellenőrizve a feketelistát?
Vagy ügyesen be tudjátok állítani valahogy?

Köszi
G

A rendszer Debian stable, postfix 2.11

Egy pár napja nem tudom lekérni pop3-on keresztül a leveleimet, authentikációs hiba miatt. Webes felületen be tudok jelentkezni ugyanazzal a login/jelszó-párral, de a leveleket nem érem el (eleinte elértem, de láthatóan nem frissült és nem is érkezett meg a teszt-levél.) telnettel szintúgy nem tudok bejelentkezni, azonosításnál kidob. Lehet ezzel valamit kezdeni, vagy felejtsem el kedvenc spamgyüjtő pöcegödrömet?

Ennek apropojan megemlekeztem a magam szereny modjan: http://sj.acts.hu/2016/07/12/wolf-gabor-marketing-commando-spammer-befe…

Sziasztok!

Egyre frusztrálóbb, hogy a telefontól az usb átalakítón át a plüsmaciig mindent belepakolnak egy hirdetésbe az emberek. Persze én értem, hogy ez marketing és így több emberhez eljut a hirdetésük, mert így az is látja, akit tökre nem érdekel a 3-ból min 2, amikor keres.

Nem lehet ezeket valahogy kiszűrni és csak az olyan hirdetésekre keresni, amiknek konkrét ára van és nem intervallum van megadva? ...ebay-en régebben próbálkoztam, hogy egyesével teszem fekete listára az ilyen hirdetőket, de az nem igazán hatékony...

Ötletek?

Sziasztok!

A DigitalOcean-től kaptam egy teljesen random külső IP-t, ami viszont fent van a Hotmail által vezetett (vagy használt) DNSBL-en.

Arról szeretnék tudakolódni, hogy mások futottak-e bele már ilyen problémába (azaz a Hotmail nem fogadta el a levelet, mert a levél tartalma spam gyanús vagy az adott IP cím blacklist-en van), és ha igen, akkor miként lehet kapcsolatba lépni az ottani üzemeltetőkkel, hogy árulják el a pontos indokot , és hogyan tudnék lekerülni onnan?

Esetlegesen hogyan tudnám ellenőrizni, hogy adott IP cím fent van-e a Hotmail DNSBL listáján? (Az alapvető DNSBL check-et tudom, hogy kell elvégezni, viszont Hotmail esetén sose lehet tudni, meg hogy pontosan milyen DNS lekérésen keresztül kaphatnám azt meg).

Mindenféle segítséget előre is köszönök. :)

Ma újabb remek levelet kaptam:

http://e.microsoft.com/ViewInBrowser/list1/DyJYjT/Key-1986201.C.DQkD.z…

A https://profile.microsoft.com/PromotionalCommunicationsManager/securepa… és a https://profile.microsoft.com/ContactPreferences/securepages/default.as… lapon meg mindehol már rég ki van kapcsolva minden nyomor, igaz ott áll, hogy "You may still receive mandatory notifications we are required to send you and communications that you receive as part of using certain Microsoft products, services and programs." Namost ha nagyon akarom se tudom a konkrét reklámlevelet ide beszuszakolni.

Mi ilyenkor a teendő hogy kotródjanak a vérbe?