URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3868
[ Назад ]

Исходное сообщение
"огромное кол-во спама"

Отправлено tyomikh , 01-Июл-08 15:37 
Добрый день всем!

настроил почтовый сервачок в небольшой конторе на базе postfix+amavis и заметил, что со временем количество приходящего спама увеличивается в геометрической прогрессии.
скармливаю spamassassin пару раз в месяц образцы спама в количестве 300-1000штук(хама в 10 раз меньше) - не помогает.
пробовал раз в минуту искать в /var/log/maillog адреса, фильтрованные с помощью RBL(spamcop.net,abuseat.org), и добавлять их в таблицу, блокируемую pf(их там уже больше 15тыс) - тоже без особого успеха.
Еще добавил header_checks = regexp:/usr/local/etc/postfix/header_checks  в  main.cf
>cat header_checks

....
/^X-Spam-Status: Yes/   DISCARD
/^\[[0-9]+\]: /         DISCARD
/dsl.*\..*\..*/i        DISCARD AUTO_DSL spam
/[ax]dsl.\.*\..*\..*/   DISCARD AUTO_DSL spam
#/^.*(ppp|pppoe|dsl).*\..*
/^.*pppoe\.avangard-dsl\.ru/ DISCARD AUTO_DSL spam
/^.*pppoe\.mtu-net\.ru/ DISCARD AUTO_DSL spam
/^.*rssp-net\.spb\.ru/ DISCARD AUTO_DSL spam
/^.*@msn\.com/ DISCARD bad sender
/^.*@hotmail\.com/ DISCARD bad sender
/^.*@yahoo\.com/ DISCARD bad sender
#discard emails with too long prefixes of >15 letters in a row:
/^From: .*<[a-zA-Z0-9]{15,}@[a-zA-Z0-9]+(\.[-a-zA-Z0-9]+)*\.[a-zA-Z]{2,4}>/ DISCARD too long prefix
/^Reply-To: .*<[a-zA-Z0-9]{15,}@[a-zA-Z0-9]+(\.[-a-zA-Z0-9]+)*\.[a-zA-Z]{2,4}>/ DISCARD too long prefix
/^Return-path: .*<[a-zA-Z0-9]{15,}@[a-zA-Z0-9]+(\.[-a-zA-Z0-9]+)*\.[a-zA-Z]{2,4}>/ DISCARD too long prefix
/^From: .*[a-zA-Z0-9]{15,}@[a-zA-Z0-9]+(\.[-a-zA-Z0-9]+)*\.[a-zA-Z]{2,4}/ DISCARD too long prefix
/^Reply-To: .*[a-zA-Z0-9]{15,}@[a-zA-Z0-9]+(\.[-a-zA-Z0-9]+)*\.[a-zA-Z]{2,4}/ DISCARD too long prefix
/^Return-path: .*[a-zA-Z0-9]{15,}@[a-zA-Z0-9]+(\.[-a-zA-Z0-9]+)*\.[a-zA-Z]{2,4}/ DISCARD too long prefix
#Discard email from foreign domains:
/^(F|f)rom: .*<[-_.a-zA-Z0-9]+@[a-zA-Z0-9]+(\.[-a-zA-Z0-9]+)*\.(edu|us|gov|uk|ca|it|fr|de|jp|cz|sw|yu|uy|es|ca|br|au|lv|tw|ac|pl|tn|th|si|ar|hu|dk|be|nl|ee|hu|in|gr|tr|il|at|ro|za|no|pt|net|org)>/ DISCARD FOREIGNERZ
/^.*(F|f)rom: .*<[-_.a-zA-Z0-9]+@[a-zA-Z0-9]+(\.[-a-zA-Z0-9]+)*\.(edu|us|gov|uk|ca|it|fr|de|jp|cz|sw|yu|uy|es|ca|br|au|lv|tw|ac|pl|tn|th|si|ar|hu|dk|be|nl|ee|hu|in|gr|tr|il|at|ro|za|no|pt|net|org)>/ DISCARD FOREIGNERZ
....
в итоге сервер все равно устанавливает соединения и с ppp/adsl клиентами и с забугорными доменами :( хотелось бы чтобы он их сразу отфутболивал
Подскажите плз наиболее эффективный способ фильтрации еще на этапе установки соединения, поскольку, хоть после проверки спам частично отсеивается, но трафик сильно отжирает.

и еще вопрос:
корректно ли я делаю когда скармливаю спам и хам следующим образом:
в аутглюке с помощью drag'n'drop перетаскиваю сообщения в папку, там образуется куча *.msg файлов, я их переименовываю чтобы исключить русские буквы в названии файла и заливаю на сервер, там "sa-learn --progress --spam /folder/to/spam/messages"
смущает, понимает ли spamassassin при обучении кодировку, в которой аутлук сохраняет *.msg файлы.

заранее спасибо за помощь!


Содержание

Сообщения в этом обсуждении
"огромное кол-во спама"
Отправлено tyomikh , 01-Июл-08 17:25 
кстати заметил еще: спаммеры успевают за минуту между обработками maillog и обновлениями таблицы блокируемых с помощью pf отправителей послать десятки писем:
# grep "Blocked - see http://cbl.abuseat.org/lookup.cgi?" /var/log/maillog | awk '{print $17}' | uniq -c | sort -rn | head

  97 [79.189.130.170]
  51 [86.102.237.122]
  47 [89.216.50.217]
  35 [122.160.65.72]
  28 [91.188.146.124]
  27 [85.172.19.33]
  26 [91.188.146.124]
  25 [79.139.141.51]
  19 [189.31.106.100]
  18 [89.163.111.159]

Т.е. потом то они, конечно, будут заблокированы, но трафик, гады, съедают :(

Можно ли как-то ограничивать количество сессий от одного отправителя(хоста) в минуту(например до разумной 1 сессии)?
простое ограничение сессий не годится, т.к. легитимным отправителям вполне вероятно будет отказано в облуживании

прочитал на http://www.postfix.org/rate.html

>Unfortunately, the Postfix SMTP server does not yet know how to limit the number of connections  from the same client, other than by limiting the total number of SMTP server processes

ЖАЛЬ! :(

но можно попробовать решить эту проблему с помощью pf:
http://www.bgnett.no/~peter/pf/en/bruteforce.html


"огромное кол-во спама"
Отправлено vagif , 01-Июл-08 17:32 
>Добрый день всем!
>
>настроил почтовый сервачок в небольшой конторе на базе postfix+amavis и заметил, что
>со временем количество приходящего спама увеличивается в геометрической прогрессии.
>скармливаю spamassassin пару раз в месяц образцы спама в количестве 300-1000штук(хама в
>10 раз меньше) - не помогает.

поставь Greylist http://wiki.zeynalov.com/vagif:docs:freebsd:sendmail:greylist
количество спама уменьшится на 99.99%!
я сам не ожидал такого результата ;-)


"огромное кол-во спама"
Отправлено tyomikh , 03-Июл-08 14:19 
Объясните мне плз еще:
как может быть amavis[93170]:...Passed CLEAN...
когда Hits: 6.215
и при этом grep required_score /usr/local/etc/mail/spamassassin/local.cf: required_score 3.0
?!?!?!
как спаммеры умудряются пролезать?

"огромное кол-во спама"
Отправлено vagif , 03-Июл-08 14:47 
>Объясните мне плз еще:

...
>как спаммеры умудряются пролезать?

поставь greylist и не ломай голову... до spamassin'а дело просто не будет доходить ;-)


"огромное кол-во спама"
Отправлено tyomikh , 03-Июл-08 15:29 

>поставь greylist и не ломай голову... до spamassin'а дело просто не будет
>доходить ;-)

я планирую, просто хочу 2 дня выждать, чтобы с помощью mailgraph отследить после инсталляции изменившееся кол-во сообщений


"огромное кол-во спама"
Отправлено vagif , 16-Июл-08 00:14 
>
>>поставь greylist и не ломай голову... до spamassin'а дело просто не будет
>>доходить ;-)
>
>я планирую, просто хочу 2 дня выждать, чтобы с помощью mailgraph отследить
>после инсталляции изменившееся кол-во сообщений

во, посмотри http://munin.zeynalov.com/local/mailrelay.local.html прикрутил munin, чтобы визуально было видно кто сколько спама ловит

тут четко видно, что greylist рубит практически все на корню! ;-)