The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Блокирование спама в postfix используя маски для домена в HELO
Открыл недавно несколько возможностей в Постфиксе для отсеивания нежелательной почты на этапе HELO.
Теперь у меня сервер отсеивает от 90 до 98% почты сразу. Антивирус (clamAV) и SA отдыхают. 

Коэффициент SA задрал до 7.3. Все равно до него мало что доходит.

Итак в main.cf стоит:
   smtpd_recipient_restrictions =
       permit_mynetworks,
       reject_non_fqdn_recipient,
       reject_unauth_destination,
       check_helo_access hash:/etc/postfix/helo_checks,
       check_helo_access pcre:/etc/postfix/helo_checks_pcre,
       check_sender_access hash:/etc/postfix/sender_checks,
       check_client_access hash:/etc/postfix/client_checks,
       check_sender_mx_access cidr:/etc/postfix/mx_access,
       check_recipient_mx_access cidr:/etc/postfix/mx_access,
       reject_rbl_client relays.ordb.org,
       reject_rbl_client sbl.spamhaus.org,
       reject_unknown_sender_domain,
       reject_unknown_recipient_domain

/etc/postfix/helo_checks:

      # Reject anybody that HELO's as being in our own domain(s)
      # (Note that if you followed the order suggested in the main.cf
      # examples, above, that machines in mynetworks will be okay.)
      <Мой домен>                  REJECT You are not in trala.la

      # Somebody HELO'ing with our IP address?
      <мой IP>          REJECT You are not me

Это хорошо помогает против вирус и зомби.

/etc/postfix/helo_checks.pcre:
      # Initial expression
      #/^[0-9]+(\.[0-9]+){3}$/        REJECT Invalid hostname (plain D)
      # expression modified by Eugene 22.03.2005
      /[^[] *[0-9]+((\.|-)[0-9]+){3}/ REJECT Invalid hostname (ipable)
      #
      /(modem|dia(l|lup)|dsl|p[cp]p|cable|catv|poo(l|les)|dhcp|client|customer|user|[0
-9]{4,})(-|\.|[0-9])/ REJECT Invalid hostname (client)
      #
      /[0-9]+-[0-9]+/                 REJECT Invalid hostname (D-D)
 
28.03.2005 , Автор: Евгений Егоров
Ключи: postfix, helo, block, spam / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевые сервисы / Mail, почта / Борьба со спамом, фильтрация почты

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, pavel (??), 02:34, 30/03/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Приделал тоже самое через mimedefang
    -реально работает.Спасибо за идею!
     
  • 1.2, unk (ok), 10:00, 30/03/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не пойму, почему вы проверяете helo, а не client?
     
     
  • 2.3, Аноним (-), 10:54, 30/03/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Не пойму, почему вы проверяете helo, а не client?


    HELO пишет сам клиент, а имя в client получается из резолвинга. Для IP без обратной зоны, это помогает.

     
     
  • 3.5, unk (ok), 11:37, 30/03/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >HELO пишет сам клиент, а имя в client получается из резолвинга. Для
    >IP без обратной зоны, это помогает.
    А вы логи свои читать не пробовали???
    Как много клиентов с адресов типа bla-pool-1.2.3.some.net говорят это "bla-pool-1.2.3.some.net" в helo?
     

  • 1.4, D.T. (?), 11:27, 30/03/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/

    а как насчет резать и еще и тех кто в helo
    говорит что он локалхост ?

    то есть в /etc/postfix/helo_checks добавить

    localhost    REJECT You are not my localhost
    127.0.0.1    REJECT You are not my localhost

     
  • 1.6, Kiev1.org (?), 00:03, 31/03/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    от таких резальщиков просто кошмар какой-то: приходится почти индивидуально каждого лечить - то один придумает способ как мешать жить нормальной почте - то другой, то ip с резольвингом в customer режут то еще что-то нагородят. единственный выход - spamassassin+razor+pyzor+dcc и нормально по русски настроенный local.cf - сколько можно повторять :(((
     
     
  • 2.7, Аноним (-), 09:03, 31/03/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >нагородят. единственный выход - spamassassin+razor+pyzor+dcc и нормально по русски настроенный local.cf
    >- сколько можно повторять :(((

    Покажите свой local.cf, если не жалко.А то про особенности блокировки русского спама в spamassassin в интернете ничего нет :-(

     
  • 2.10, Oleg (??), 22:55, 08/04/2005 [^] [^^] [^^^] [ответить]  
  • +/
    А чем плох данный метод ? У меня установлен spamassassin правда без razor, pyzor и dcc. Из всех настроек в local.cf - увеличены балы получаемые за Баейс, ну и различные e-mail адреса в белых списках. В сутки отсеивается от 300 до 500 писем спама, ну бывает резанет полезное письмо, но это достаточно редко происходит (в основном из-за кривости пользователей). В месяц приходит 150-170 мегабайт спама. Включив эту фильтрацию (только сегодня), SA практически простаивает, все режется на этапе HELO.
     
  • 2.19, waldis (?), 04:09, 17/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    мне так думается, что customers могли бы использовать релей своего провайдера, если уж лениво им для своего сервера назначить нормальное имя.
    я не прав?

    а идея действительно эффективная, только я кроме проверки helo зодно проверяю и PTR (один и тот же файл с шаблонами для обоих случаев). Список гораздо объёмней. Если кому надо -- могу намылить.

     

  • 1.8, Kiev1.org (?), 14:25, 31/03/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    там в local.cf надо задавить то что мешает - это надо отслеживать периодически, а главное подключить razor+pyzor+dcc - я потом выложу где-нибудь local.cf и все как настраивать,
     
  • 1.9, dm (ok), 02:02, 07/04/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А есть у когонить мнение по поводу реальных мыл серверов, которые дают не существующие (не правильные) HELO, отключение проверки на HELO в разы увеличивает  приток спама, как бороться (почта от клиентов таких серверов нужна) ?
     
  • 1.11, Ghost (??), 11:27, 22/04/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    да, к сожалению, такие сервера попадаются довольно часто. Как вариант борьбы - писать админу сервера и пытаться втолковать ему что его сервер криво настроен, но успех маловероятен. Если уж нужна почта от таких "криворуких" то только один вариант - отлавливать в логах эти сервера и вносить их в свой белый список "кривых хело серверов"
     
  • 1.12, HACMOPK (?), 11:47, 27/04/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Спасибо автору, статья замечательная.
    Жалоб нет, а трафик упал в разы !
    Ну а по поводу spamassassin+razor+pyzor+dcc, а попробуйте это сделать на 486SX25, боюсь работать всё будет о-очень медленно )))
     
     
  • 2.13, CRAZY MAX (?), 08:54, 12/07/2005 [^] [^^] [^^^] [ответить]  
  • +/
    А попробуйте взять нормальный сервер, например достаточно дешевый 2xPIII-600,512MB, Стоит такая "игрушка для админа" не более 5000 рублей, а если таких денег нет, значит и почтовый сервер вам не нужен.
     

  • 1.14, antoshkin (ok), 10:21, 16/07/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как сделать то же самое на сендмыле?
     
  • 1.15, Егоров Евгений (?), 10:54, 22/09/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В дополнение к своей предыдущей заметке Сейчас юзаю Postfix 2 1 кое-где 2 2 ... большой текст свёрнут, показать
     
  • 1.16, Егоров Евгений (?), 11:35, 22/09/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А здесь немного про SA.
    Недавно поставил Spamassassin версии 3.10 и хочу предостеречь народ от торопливой установки сего продукта на своих серверах. До этого был 3.01. После доводки его (ранее был 2.63) жалоб в процессе эксплуатации больше не было. А с 3.10 чувствую придется  помучиться, либо вернуться на 3.01.
    Началось с того, что почему-то сильно поменялись (и далеко в нелучшую сторону) коэффициенты. Вдруг bayes_99 упал до 3.5, а русские буквы в заголовках from и  subj вдруг стали весить более 4 баллов. Ужас! Стал проходить спам и отсеиваться почта от роботов и рассылок. Ведь роботы пишут наши криворукие программеры, которые не читают RFC. Видимо, это может полечиться ручной правкой баллов local.cf. Но что печальнее, появились непонятки в работе журналирования и стал глючить sa-learn.
    Хотя начинает появляться мысль, а нафиг он нужен? Spamassassin, то есть. Он сейчас отлавливает у меня всего то 3-5 писем в день. Да и то раз в неделю неправильно отсеивает "правильную" (вернее нужную, но корявую) почту с рассылок с работных сайтов. Кадровики жалуются :-(
    Так недавно пришло письмо с 11.5 баллов и было забраковано. Оказалось, это было хорошее письмо по рассылке. Все после того, как в 10-м SA были увеличены баллы за FROM_ILLEGAL_CHARS и
    SUBJ_ILLEGAL_CHARS до нереально высоких величин.
     
  • 1.17, Ionich (?), 06:34, 03/02/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как в postfix запретить прием писем с com доменов?
     
     
  • 2.18, Угпуту (?), 18:07, 14/02/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Как в postfix запретить прием писем с com доменов?

    com   Reject .com not allowed

     

  • 1.20, bosschifra (??), 00:21, 27/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    /(modem|dia(l|lup)|dsl|p[cp]p|cable|catv|poo(l|les)|dhcp|client|customer|user|[0
    -9]{4,})(-|\.|[0-9])/ REJECT Invalid hostname (client)

    нужно удалить |[0-9]{4,} иначе почта с gmail неидет ((((

     
  • 1.21, Анна (??), 08:03, 23/02/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а можно что-то аналогичное прикрутить на qmail?
     
     
  • 2.22, z1 (??), 15:11, 11/04/2008 [^] [^^] [^^^] [ответить]  
  • +/
    ll /etc/postfix/helo_checks

    -rw-r--r--  1 root root 336 Апр 10 10:35 /etc/postfix/helo_checks

    less /var/log/maillog

    Apr 10 10:40:23 localhost postfix/smtpd[29324]: fatal: open database /etc/postfix/helo_checks.db: No such file or directory


    cat /etc/postfix/main.cf  |grep helo_ch

    check_helo_access hash:/etc/postfix/helo_checks,

    Где ошиПка ?


    ЗЫ
    Apr 11 14:10:43 localhost postfix/postfix-script: starting the Postfix mail system
    Apr 11 14:10:43 localhost postfix/master[24983]: daemon started -- version 2.2.2, configuration /etc/postfix

     
     
  • 3.23, dm (ok), 16:14, 11/04/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >
    >Apr 10 10:40:23 localhost postfix/smtpd[29324]: fatal: open database /etc/postfix/helo_checks.db: No such file
    >or directory
    >
    >
    >cat /etc/postfix/main.cf  |grep helo_ch
    >
    >check_helo_access hash:/etc/postfix/helo_checks,
    >
    >Где ошиПка ?

    cd /etc/postfix
    postmap helo_checks

    man postmap


     

  • 1.24, zilberstein (?), 16:49, 04/06/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Spamhaus -- организация, которая пытается ввести цензуру в интернете. Блокирует сети датацентров и целые страны.

    НЕ ИСПОЛЬЗУЙТЕ Spamhaus !

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру