The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раздел полезных советов: Блокирование спама в postfix исполь..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Блокирование спама в postfix исполь..."  +/
Сообщение от auto_tips (??) on 30-Мрт-05, 02:34 
Открыл недавно несколько возможностей в Постфиксе для отсеивания нежелательной почты на этапе HELO.
Теперь у меня сервер отсеивает от 90 до 98% почты сразу. Антивирус (clamAV) и SA отдыхают.

Коэффициент SA задрал до 7.3. Все равно до него мало что доходит.

Итак в main.cf стоит:
   smtpd_recipient_restrictions =
       permit_mynetworks,
       reject_non_fqdn_recipient,
       reject_unauth_destination,
       check_helo_access hash:/etc/postfix/helo_checks,
       check_helo_access pcre:/etc/postfix/helo_checks_pcre,
       check_sender_access hash:/etc/postfix/sender_checks,
       check_client_access hash:/etc/postfix/client_checks,
       check_sender_mx_access cidr:/etc/postfix/mx_access,
       check_recipient_mx_access cidr:/etc/postfix/mx_access,
       reject_rbl_client relays.ordb.org,
       reject_rbl_client sbl.spamhaus.org,
       reject_unknown_sender_domain,
       reject_unknown_recipient_domain

/etc/postfix/helo_checks:

      # Reject anybody that HELO's as being in our own domain(s)
      # (Note that if you followed the order suggested in the main.cf
      # examples, above, that machines in mynetworks will be okay.)
      <Мой домен>                  REJECT You are not in trala.la

      # Somebody HELO'ing with our IP address?
      <мой IP>          REJECT You are not me

Это хорошо помогает против вирус и зомби.

/etc/postfix/helo_checks.pcre:
      # Initial expression
      #/^[0-9]+(\.[0-9]+){3}$/        REJECT Invalid hostname (plain D)
      # expression modified by Eugene 22.03.2005
      /[^[] *[0-9]+((\.|-)[0-9]+){3}/ REJECT Invalid hostname (ipable)
      #
      /(modem|dia(l|lup)|dsl|p[cp]p|cable|catv|poo(l|les)|dhcp|client|customer|user|[0
-9]{4,})(-|\.|[0-9])/ REJECT Invalid hostname (client)
      #
      /[0-9]+-[0-9]+/                 REJECT Invalid hostname (D-D)


URL:
Обсуждается: http://www.opennet.ru/tips/info/813.shtml

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Блокирование спама в postfix используя маски для домена в HELO"  +/
Сообщение от pavel (??) on 30-Мрт-05, 02:34 
Приделал тоже самое через mimedefang
-реально работает.Спасибо за идею!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Раздел полезных советов: Блокирование спама в postfix исполь..."  +/
Сообщение от unk (ok) on 30-Мрт-05, 10:00 
Не пойму, почему вы проверяете helo, а не client?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Раздел полезных советов: Блокирование спама в postfix исполь..."  +/
Сообщение от Аноним on 30-Мрт-05, 10:54 
>Не пойму, почему вы проверяете helo, а не client?


HELO пишет сам клиент, а имя в client получается из резолвинга. Для IP без обратной зоны, это помогает.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Раздел полезных советов: Блокирование спама в postfix исполь..."  +/
Сообщение от unk (ok) on 30-Мрт-05, 11:37 
>HELO пишет сам клиент, а имя в client получается из резолвинга. Для
>IP без обратной зоны, это помогает.
А вы логи свои читать не пробовали???
Как много клиентов с адресов типа bla-pool-1.2.3.some.net говорят это "bla-pool-1.2.3.some.net" в helo?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "а как насчет резать и еще и ..."  +/
Сообщение от D.T. on 30-Мрт-05, 11:27 

а как насчет резать и еще и тех кто в helo
говорит что он локалхост ?

то есть в /etc/postfix/helo_checks добавить

localhost    REJECT You are not my localhost
127.0.0.1    REJECT You are not my localhost

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Блокирование спама в postfix используя маски для домена в HELO"  +/
Сообщение от Kiev1.org email on 31-Мрт-05, 00:03 
от таких резальщиков просто кошмар какой-то: приходится почти индивидуально каждого лечить - то один придумает способ как мешать жить нормальной почте - то другой, то ip с резольвингом в customer режут то еще что-то нагородят. единственный выход - spamassassin+razor+pyzor+dcc и нормально по русски настроенный local.cf - сколько можно повторять :(((
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Блокирование спама в postfix используя маски для домена в HE..."  +/
Сообщение от Аноним on 31-Мрт-05, 09:03 
>нагородят. единственный выход - spamassassin+razor+pyzor+dcc и нормально по русски настроенный local.cf
>- сколько можно повторять :(((

Покажите свой local.cf, если не жалко.А то про особенности блокировки русского спама в spamassassin в интернете ничего нет :-(

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Блокирование спама в postfix используя маски для домена в HE..."  +/
Сообщение от Oleg (??) on 08-Апр-05, 22:55 
А чем плох данный метод ? У меня установлен spamassassin правда без razor, pyzor и dcc. Из всех настроек в local.cf - увеличены балы получаемые за Баейс, ну и различные e-mail адреса в белых списках. В сутки отсеивается от 300 до 500 писем спама, ну бывает резанет полезное письмо, но это достаточно редко происходит (в основном из-за кривости пользователей). В месяц приходит 150-170 мегабайт спама. Включив эту фильтрацию (только сегодня), SA практически простаивает, все режется на этапе HELO.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

19. "Блокирование спама в postfix используя маски для домена в HE..."  +/
Сообщение от waldis email on 17-Апр-06, 04:09 
мне так думается, что customers могли бы использовать релей своего провайдера, если уж лениво им для своего сервера назначить нормальное имя.
я не прав?

а идея действительно эффективная, только я кроме проверки helo зодно проверяю и PTR (один и тот же файл с шаблонами для обоих случаев). Список гораздо объёмней. Если кому надо -- могу намылить.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Блокирование спама в postfix используя маски для домена в HELO"  +/
Сообщение от Kiev1.org email on 31-Мрт-05, 14:25 
там в local.cf надо задавить то что мешает - это надо отслеживать периодически, а главное подключить razor+pyzor+dcc - я потом выложу где-нибудь local.cf и все как настраивать,
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Блокирование спама в postfix используя маски для домена в HELO"  +/
Сообщение от dm email(ok) on 07-Апр-05, 02:02 
А есть у когонить мнение по поводу реальных мыл серверов, которые дают не существующие (не правильные) HELO, отключение проверки на HELO в разы увеличивает  приток спама, как бороться (почта от клиентов таких серверов нужна) ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Блокирование спама в postfix используя маски для домена в HELO"  +/
Сообщение от Ghost (??) on 22-Апр-05, 11:27 
да, к сожалению, такие сервера попадаются довольно часто. Как вариант борьбы - писать админу сервера и пытаться втолковать ему что его сервер криво настроен, но успех маловероятен. Если уж нужна почта от таких "криворуких" то только один вариант - отлавливать в логах эти сервера и вносить их в свой белый список "кривых хело серверов"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Блокирование спама в postfix используя маски для домена в HELO"  +/
Сообщение от HACMOPK on 27-Апр-05, 11:47 
Спасибо автору, статья замечательная.
Жалоб нет, а трафик упал в разы !
Ну а по поводу spamassassin+razor+pyzor+dcc, а попробуйте это сделать на 486SX25, боюсь работать всё будет о-очень медленно )))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Блокирование спама в postfix используя маски для домена в HE..."  +/
Сообщение от CRAZY MAX email on 12-Июл-05, 08:54 
А попробуйте взять нормальный сервер, например достаточно дешевый 2xPIII-600,512MB, Стоит такая "игрушка для админа" не более 5000 рублей, а если таких денег нет, значит и почтовый сервер вам не нужен.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Блокирование спама в postfix используя маски для домена в HELO"  +/
Сообщение от antoshkin email(ok) on 16-Июл-05, 10:21 
Как сделать то же самое на сендмыле?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Блокирование спама в postfix используя маски для домена в HELO"  +/
Сообщение от Егоров Евгений email on 22-Сен-05, 10:54 
В дополнение к своей предыдущей заметке.
Сейчас юзаю Postfix 2.1 (кое-где 2.2).
Нашел там такую фичу. Начиная с версии 2.1 Постфикс поддерживает выражения вида

1c.ru    reject_unverified_sender

в файле access. Это означает, для указанного домена проверить наличие отправителя, и если его нет или он запрещен, то режектить его почту. Настройки позволяют кэшировать проверки отправителя. Кажется, по умолчанию положительные проверки кэшатся на 30 суток, отрицательные - на 3 (или на 7). Все настраиваемо в main.cf. Файл для кэша прописывается там же. Таким образом у меня стоят полностью домены com, net, edu, разные экзотические страны типа ws, и выборочно русские домены типа mail.ru, rambler.ru и т.п. Т.е. те домены, которые часто ставят спамеры в своих письмах в качестве поддельных адресов. Иногда улов на таких проверках бывает до 15-20 процентов почты.

Кроме того, я поменял некоторые настройки в helo_checks_pcre:
# My net below
/192\.168\.82\.\d+/             OK
/\d+((\.|-)\d+){3}/             REJECT Invalid hostname (ipable)
#/(dsl|p[cp]p|cable|catv|dhcp|dynamic|client|customer|user|net|modem|di(a|au)(l|lup)|po(ol|oles|ll))(-|\.|\d)/ REJECT Invalid hostname (client)
/(dsl|p[cp]p|cable|catv|dhcp|dynamic|client|customer|modem|di(a|au)(l|lup)|po(ol|oles|ll))(-|\.|\d)/ REJECT Invalid hostname (client)
/\d{2,}[-\.]+\d{2,}/            REJECT Invalid hostname (D-D)
/\d{2,}.*?(t-dialin|optonline|comcast)\.net/ REJECT Invalid hostname (D-risk)
/\d{2,}.*?(isp\.belgacom\.be|chello\.|gehc-cmms1\.co\.uk|mundo-r\.com|sb\.brewet\.pl|adelphia\.net|affinity\.com|home\.nl|virtua\.com\.br|nckcn\.co
m|brewet\.pl|\.jp$|\.cz$|\.pl$)/ REJECT Invalid hostname (D-risk)
/^(((newm|em|gm|m)ail|yandex|rambler|hotbox|chat|rbc|subscribe|spbnit)\.ru)$/ REJECT Faked hostname ($1)
/^(((mcim|newm|em)ail|post|hotbox|msn|microsoft|aol|news|compuserve|yahoo|google|earthlink|netscape)\.(com|net))$/ REJECT Faked hostname ($1)
# YAHOO use big numbers
/yahoo\.com/                    OK
#/\d{6,}/                       REJECT Invalid hostname (D6)
#/^localhost/                   REJECT localhost not allowed here

Выражение в для задания проверок в main.cf выглядит так (с учетом оптимизации трафика и вероятности попадания):
smtpd_sender_restrictions =
    reject_non_fqdn_sender,
    check_helo_access hash:/etc/postfix/helo_checks,
    check_helo_access pcre:/etc/postfix/helo_checks_pcre,
    check_sender_access hash:/etc/postfix/sender_checks,
    check_client_access hash:/etc/postfix/client_checks,
    check_sender_mx_access cidr:/etc/postfix/mx_access,
    reject_unknown_sender_domain,
    hash:/etc/postfix/access,
    reject_rbl_client relays.ordb.org,
    reject_rbl_client sbl.spamhaus.org
#    reject_unknown_hostname

Последняя строка закомментирована из-за кривости настройки DNS у некоторых почтовых админов (не прописан обратный резолв по адресу для почтовика). Хотя работает очень даже неплохо.

Файл mx_access:
# Netblock returned by Verisign domain hijacking .com and .net domains
64.94.110.0/24  REJECT 010 Verisign hijacked domain
# My Net
#192.168.82.0/24        OK
0.0.0.0/8       REJECT 020 Domain MX in broadcast network
10.0.0.0/8      REJECT 030 Domain MX in RFC 1918 private network
127.0.0.0/8     REJECT 040 Domain MX in loopback network
169.254.0.0/16  REJECT 050 Domain MX in link local network
172.16.0.0/12   REJECT 060 Domain MX in RFC 1918 private network
192.0.2.0/24    REJECT 070 Domain MX in TEST-NET network
#192.168.0.0/16 REJECT 080 Domain MX in RFC 1918 private network
224.0.0.0/4     REJECT 090 Domain MX in class D multicast network
240.0.0.0/5     REJECT 100 Domain MX in class E reserved network
248.0.0.0/5     REJECT 110 Domain MX in reserved network


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Блокирование спама в postfix используя маски для домена в HELO"  +/
Сообщение от Егоров Евгений email on 22-Сен-05, 11:35 
А здесь немного про SA.
Недавно поставил Spamassassin версии 3.10 и хочу предостеречь народ от торопливой установки сего продукта на своих серверах. До этого был 3.01. После доводки его (ранее был 2.63) жалоб в процессе эксплуатации больше не было. А с 3.10 чувствую придется  помучиться, либо вернуться на 3.01.
Началось с того, что почему-то сильно поменялись (и далеко в нелучшую сторону) коэффициенты. Вдруг bayes_99 упал до 3.5, а русские буквы в заголовках from и  subj вдруг стали весить более 4 баллов. Ужас! Стал проходить спам и отсеиваться почта от роботов и рассылок. Ведь роботы пишут наши криворукие программеры, которые не читают RFC. Видимо, это может полечиться ручной правкой баллов local.cf. Но что печальнее, появились непонятки в работе журналирования и стал глючить sa-learn.
Хотя начинает появляться мысль, а нафиг он нужен? Spamassassin, то есть. Он сейчас отлавливает у меня всего то 3-5 писем в день. Да и то раз в неделю неправильно отсеивает "правильную" (вернее нужную, но корявую) почту с рассылок с работных сайтов. Кадровики жалуются :-(
Так недавно пришло письмо с 11.5 баллов и было забраковано. Оказалось, это было хорошее письмо по рассылке. Все после того, как в 10-м SA были увеличены баллы за FROM_ILLEGAL_CHARS и
SUBJ_ILLEGAL_CHARS до нереально высоких величин.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Блокирование спама в postfix используя маски для домена в HELO"  +/
Сообщение от Ionich email on 03-Фев-06, 06:34 
Как в postfix запретить прием писем с com доменов?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Блокирование спама в postfix используя маски для домена в HE..."  +/
Сообщение от Угпуту email on 14-Фев-06, 18:07 
>Как в postfix запретить прием писем с com доменов?

com   Reject .com not allowed

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "Блокирование спама в postfix используя маски для домена в HELO"  +/
Сообщение от bosschifra email(??) on 27-Окт-07, 00:21 
/(modem|dia(l|lup)|dsl|p[cp]p|cable|catv|poo(l|les)|dhcp|client|customer|user|[0
-9]{4,})(-|\.|[0-9])/ REJECT Invalid hostname (client)

нужно удалить |[0-9]{4,} иначе почта с gmail неидет ((((

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Блокирование спама в postfix используя маски для домена в HELO"  +/
Сообщение от Анна (??) on 23-Фев-08, 08:03 
а можно что-то аналогичное прикрутить на qmail?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Блокирование спама в postfix используя маски для домена в HE..."  +/
Сообщение от z1 email(??) on 11-Апр-08, 15:11 
ll /etc/postfix/helo_checks

-rw-r--r--  1 root root 336 Апр 10 10:35 /etc/postfix/helo_checks

less /var/log/maillog

Apr 10 10:40:23 localhost postfix/smtpd[29324]: fatal: open database /etc/postfix/helo_checks.db: No such file or directory


cat /etc/postfix/main.cf  |grep helo_ch

check_helo_access hash:/etc/postfix/helo_checks,

Где ошиПка ?


ЗЫ
Apr 11 14:10:43 localhost postfix/postfix-script: starting the Postfix mail system
Apr 11 14:10:43 localhost postfix/master[24983]: daemon started -- version 2.2.2, configuration /etc/postfix

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Блокирование спама в postfix используя маски для домена в HE..."  +/
Сообщение от dm email(ok) on 11-Апр-08, 16:14 
>[оверквотинг удален]
>
>Apr 10 10:40:23 localhost postfix/smtpd[29324]: fatal: open database /etc/postfix/helo_checks.db: No such file
>or directory
>
>
>cat /etc/postfix/main.cf  |grep helo_ch
>
>check_helo_access hash:/etc/postfix/helo_checks,
>
>Где ошиПка ?

cd /etc/postfix
postmap helo_checks

man postmap


Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Блокирование спама в postfix используя маски для домена в HELO"  +/
Сообщение от zilberstein email on 04-Июн-13, 16:49 
Spamhaus -- организация, которая пытается ввести цензуру в интернете. Блокирует сети датацентров и целые страны.

НЕ ИСПОЛЬЗУЙТЕ Spamhaus !

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру