Re: [gentoo-user-ru] Борьба со спамом (exim) - gentoo-user-ru

From:	Pavel Gaidai <smeegulists@×××××.com>
To:	gentoo-user-ru@l.g.o
Subject:	Re: [gentoo-user-ru] Борьба со спамом (exim)
Date:	Fri, 05 Dec 2008 23:06:49
Message-Id:	`503e6b5e0812051506s77c3ef06gc5520823944626f9@mail.gmail.com`
In Reply to:	Re: [gentoo-user-ru] Борьба со спамом (exim) by "Andrew A. Sabitov"

1

Кроме cbl.abuseat.org мне еще помогает zen.spamhaus.org.

2

За две недели  29608 писем отбил.

19.11.08, Andrew A. Sabitov<sabitov@×××××××××.ru> написал(а):

9

>

10

> Кстати, только что для себя открыл ZDS cbl.abuseat.org. Мужики в рилтайме

11

> определяют зомбированные компы и тем самым детектируют ботнеты. По форме

12

> использования это обычный RBL.

13

>

14

> У меня в грейлистинге в токенах было 3743 уникальных IP, из них 2505

15

> (почти 2/3) были детектированы как зомби. (Это ситуация до включения

16

> этого БЛ). После включения он мне отсек 17246 писем за 8 часов. Я доволен

17

> :)

18

>

19

> On Wed, 12 Nov 2008, Anton S. Ustyuzhanin wrote:

20

>

21

>> 50 на ящик.

22

>> Спасибо за совет, попробую!

23

>>

24

>> Andrew A. Sabitov wrote:

25

>> > Ну, 20-50 писем в сутки на домен это не много. (или на ящик??? из

26

>> > контекста не понятно)

27

>> >

28

>> > Я использую постфикс, так что конфиги приводить не буду :) Но все

29

>> > основано

30

>> > на самописном фильтре (перловка с мускулом), который реализует

31

>> > грейлистинг

32

>> > + еще кое-какую фильтрацию, например по СПФ, по сендерам вида

33

>> > akstc anilkaraca mnsdgs@ anilkaraca .com # пробелы я вставил :)

34

>> >

35

>> > Этот же фильтр поддерживает понятие белых/черных списков,

36

>> > пользовательских

37

>> > контактов (т.е. не просто IP, а связка IP+сендер+ресипиент), а также

38

>> > список пользователей, для которых фильтрация не выполняется.

39

>> >

40

>> > Спам проходит. Если измерять в штуках, то довольно много, если измерять

41

>> > процентиками... http://ash.catalysis.ru/cgi-bin/mailgraph.cgi

42

>> >

43

>> >

44

>> > Так что "рекомендации ведущих собаководов": пиши свой грейлист и живи в

45

>> > счастье. :)

46

>> >

47

>> >

48

>> > On Tue, 11 Nov 2008, Anton S. Ustyuzhanin wrote:

49

>> >

50

>> >> Всем привет.

51

>> >> Помогите кто как борится со спамом. Я использую exim. Нашел несколько

52

>> >> методов борьбы со спамом на www.lissyara.su:

53

>> >> использую следующие:

54

>> >> ----------------------------------------------------------

55

>> >>   # Запрещаем письма содержащие в локальной части

56

>> >>   # символы @; %; !; /; |. Учтите, если у вас было

57

>> >>   # `percent_hack_domains` то % надо убрать.

58

>> >>   # Проверяются локальные домены

59

>> >>   deny    message       = "Недопустимые символы в адресе"

60

>> >>           domains       = +local_domains

61

>> >>           local_parts   = ^[.] : ^.*[@%!/|]

62

>> >>

63

>> >>   # Проверяем недопустимые символы для

64

>> >>   # нелокальных получателей:

65

>> >>   deny    message       = "Недопустимые символы в адресе"

66

>> >>           domains       = !+local_domains

67

>> >>           local_parts   = ^[./|] : ^.*[@%!] : ^.*/\\.\\./

68

>> >>

69

>> >>   # Принимаем почту для постмастеров локальных доменов без

70

>> >>   # проверки отправителя (я закомментировал, т.к. это -

71

>> >>   # основной источник спама с мой ящик).

72

>> >>

73

>> >>   #  accept  local_parts   = postmaster

74

>> >>   #          domains       = +local_domains

75

>> >>

76

>> >>   # Запрещщаем, если невозможно проверить отправителя

77

>> >>   # (отсутствует в списке локальных пользователей)

78

>> >>   # У себя я это закоментил, по причине, что некоторые

79

>> >>   # железяки (принтеры, & etc) и программы (Касперский, DrWEB)

80

>> >>   # умеют слать почту, в случае проблем но не умеют ставить

81

>> >>   # нужного отправителя. Такие письма эта проверка не пускает.

82

>> >>   #  require verify        = sender

83

>> >>

84

>> >>   # Запрещщаем тех, кто не обменивается приветственными

85

>> >>   # сообщениями (HELO/EHLO)

86

>> >>   deny    message       = "HELO/EHLO обязано быть по SMTP RFC"

87

>> >>           condition     = ${if eq{$sender_helo_name}{}{yes}{no}}

88

>> >>

89

>> >>

90

>> >>

91

>> >>   # Рубаем нах, тех, кто подставляет свой IP в HELO

92

>> >>   deny    message       = "Не надо пихать свой IP в качестве HELO!"

93

>> >>           hosts         =  *:!+relay_from_hosts

94

>> >>           condition     = ${if eq{$sender_helo_name}\

95

>> >>                           {$sender_host_address}{true}{false}}

96

>> >>

97

>> >>

98

>> >>   # Рубаем тех, кто в HELO пихает мой IP (2500 за месяц!)

99

>> >>   deny    condition     = ${if eq{$sender_helo_name}\

100

>> >>                           {$interface_address}{yes}{no}}

101

>> >>           hosts         = !127.0.0.1 : !localhost : *

102

>> >>           message       = "Это мой IP-адрес! Пшёл прочь!"

103

>> >>

104

>> >>   # Рубаем тех, кто в HELO пихает только цифры

105

>> >>   # (не бывает хостов ТОЛЬКО из цифр)

106

>> >>   deny    condition     = ${if match{$sender_helo_name}\

107

>> >>                           {\N^\d+$\N}{yes}{no}}

108

>> >>           hosts         = !127.0.0.1:!localhost:*

109

>> >>           message       = "В HELO не могут быть тока цифры!"

110

>> >>

111

>> >>   # Рубаем хосты типа *adsl*; *dialup*; *pool*;....

112

>> >>   # Нормальные люди с таких не пишут. Если будут

113

>> >>   # проблемы - уберёте проблемный пункт (у меня клиенты

114

>> >>   # имеют запись типа asdl-1233.zone.su - я ADSL убрал...)

115

>> >>   deny    message       = "Не нравится мне Ваш хост..."

116

>> >>           condition     = ${if match{$sender_host_name} \

117

>> >>                                {adsl|dialup|pool|peer|dhcp} \

118

>> >>                                {yes}{no}}

119

>> >>

120

>> >>   # Рубаем тех, кто в блэк-листах. Серваки перебираются

121

>> >>   # сверху вниз, если не хост не найден на первом, то

122

>> >>   # запрашивается второй, и т.д. Если не найден ни в одном

123

>> >>   # из списка - то почта пропускается.

124

>> >>   deny    message       = "host in blacklist - $dnslist_domain \n

125

>> >> dnslist_text"

126

>> >>           dnslists      = opm.blitzed.org : \

127

>> >>                           proxies.blackholes.easynet.nl : \

128

>> >>                           cbl.abuseat.org : \

129

>> >>                           bl.spamcop.net : \

130

>> >>                           bl.csma.biz : \

131

>> >>                           dynablock.njabl.org : \

132

>> >>

133

>> >>   # Задержка. (это такой метод борьбы со спамом,

134

>> >>   # основанный на принципе его рассылки) На этом рубается

135

>> >>   # почти весь спам. Единственно - метод неприменим на

136

>> >>   # реально загруженных MTA - т.к. в результате ему

137

>> >>   # приходится держать много открытых соединений.

138

>> >>   # но на офисе в сотню-две человек - шикарный метод.

139

>> >>   #

140

>> >>   # более сложный вариант, смотрите в статье по exim и

141

>> >>   # курьер имап. Т.к. там метод боле умный (просто правил

142

>> >>   # больше :), то можно и на более загруженные сервера ставить)

143

>> >>   warn

144

>> >>         # ставим дефолтовую задержку в 20 секунд

145

>> >>         set acl_m0 = 25s

146

>> >>   warn

147

>> >>         # ставим задержку в 0 секунд своим хостам и

148

>> >>         # дружественным сетям (соседняя контора :))

149

>> >>         hosts = +relay_from_hosts

150

>> >>         set acl_m0 = 0s

151

>> >>   warn

152

>> >>         # пишем в логи задержку (если оно вам надо)

153

>> >>         logwrite = Delay $acl_m0 for $sender_host_name \

154

>> >> 	[$sender_host_address] with HELO=$sender_helo_name. Mail \

155

>> >> 	from $sender_address to $local_part@$domain.

156

>> >>         delay = $acl_m0

157

>> >> -----------------------------------------------------------

158

>> >>

159

>> >> Так вот у меня все равно очень много спама приходит. по 20 -50 писем в

160

>> >> сутки. Задолбало уже. У кого есть рецепты - делитесь.

161

>> >>

162

>> >

163

>>

164

>>

165

>

166

> --

167

>                                  <> 304 <>

168

>

169

>                Кто урод, кто красавец - не ведает страсть.

170

>                В ад согласен безумец влюбленный попасть.

171

>                Безразлично влюбленным, во что одеваться,

172

>                Что на землю стелить, что под голову класть.

173

>                                              Омар Хайям. Рубаи.

174

>        ,,,,

175

>        /'^'\

176

>       ( o o )

177

> --oOOO--(_)--OOOo------------------------------------------------

178

> |                  Andrew A. Sabitov

179

> |                  Email: sabitov@××××××××××.ru

180

> |                  WWW:   sabitov.pp.ru

181

> | .oooO   Еж птица гордая - пока не пнешь, не полетит!

182

> | (   )   Oooo.

183

> ---\ (----(   )-------------------------------------------------

184

>     \_)    ) /

185

>           (_/

186

>

187

>

Gentoo Archives: gentoo-user-ru

Replies

1	Кроме cbl.abuseat.org мне еще помогает zen.spamhaus.org.
2	За две недели 29608 писем отбил.
3
4
5
6
7
8	19.11.08, Andrew A. Sabitov<sabitov@×××××××××.ru> написал(а):
9	>
10	> Кстати, только что для себя открыл ZDS cbl.abuseat.org. Мужики в рилтайме
11	> определяют зомбированные компы и тем самым детектируют ботнеты. По форме
12	> использования это обычный RBL.
13	>
14	> У меня в грейлистинге в токенах было 3743 уникальных IP, из них 2505
15	> (почти 2/3) были детектированы как зомби. (Это ситуация до включения
16	> этого БЛ). После включения он мне отсек 17246 писем за 8 часов. Я доволен
17	> :)
18	>
19	> On Wed, 12 Nov 2008, Anton S. Ustyuzhanin wrote:
20	>
21	>> 50 на ящик.
22	>> Спасибо за совет, попробую!
23	>>
24	>> Andrew A. Sabitov wrote:
25	>> > Ну, 20-50 писем в сутки на домен это не много. (или на ящик??? из
26	>> > контекста не понятно)
27	>> >
28	>> > Я использую постфикс, так что конфиги приводить не буду :) Но все
29	>> > основано
30	>> > на самописном фильтре (перловка с мускулом), который реализует
31	>> > грейлистинг
32	>> > + еще кое-какую фильтрацию, например по СПФ, по сендерам вида
33	>> > akstc anilkaraca mnsdgs@ anilkaraca .com # пробелы я вставил :)
34	>> >
35	>> > Этот же фильтр поддерживает понятие белых/черных списков,
36	>> > пользовательских
37	>> > контактов (т.е. не просто IP, а связка IP+сендер+ресипиент), а также
38	>> > список пользователей, для которых фильтрация не выполняется.
39	>> >
40	>> > Спам проходит. Если измерять в штуках, то довольно много, если измерять
41	>> > процентиками... http://ash.catalysis.ru/cgi-bin/mailgraph.cgi
42	>> >
43	>> >
44	>> > Так что "рекомендации ведущих собаководов": пиши свой грейлист и живи в
45	>> > счастье. :)
46	>> >
47	>> >
48	>> > On Tue, 11 Nov 2008, Anton S. Ustyuzhanin wrote:
49	>> >
50	>> >> Всем привет.
51	>> >> Помогите кто как борится со спамом. Я использую exim. Нашел несколько
52	>> >> методов борьбы со спамом на www.lissyara.su:
53	>> >> использую следующие:
54	>> >> ----------------------------------------------------------
55	>> >> # Запрещаем письма содержащие в локальной части
56	>> >> # символы @; %; !; /; \|. Учтите, если у вас было
57	>> >> # `percent_hack_domains` то % надо убрать.
58	>> >> # Проверяются локальные домены
59	>> >> deny message = "Недопустимые символы в адресе"
60	>> >> domains = +local_domains
61	>> >> local_parts = ^[.] : ^.*[@%!/\|]
62	>> >>
63	>> >> # Проверяем недопустимые символы для
64	>> >> # нелокальных получателей:
65	>> >> deny message = "Недопустимые символы в адресе"
66	>> >> domains = !+local_domains
67	>> >> local_parts = ^[./\|] : ^.[@%!] : ^./\\.\\./
68	>> >>
69	>> >> # Принимаем почту для постмастеров локальных доменов без
70	>> >> # проверки отправителя (я закомментировал, т.к. это -
71	>> >> # основной источник спама с мой ящик).
72	>> >>
73	>> >> # accept local_parts = postmaster
74	>> >> # domains = +local_domains
75	>> >>
76	>> >> # Запрещщаем, если невозможно проверить отправителя
77	>> >> # (отсутствует в списке локальных пользователей)
78	>> >> # У себя я это закоментил, по причине, что некоторые
79	>> >> # железяки (принтеры, & etc) и программы (Касперский, DrWEB)
80	>> >> # умеют слать почту, в случае проблем но не умеют ставить
81	>> >> # нужного отправителя. Такие письма эта проверка не пускает.
82	>> >> # require verify = sender
83	>> >>
84	>> >> # Запрещщаем тех, кто не обменивается приветственными
85	>> >> # сообщениями (HELO/EHLO)
86	>> >> deny message = "HELO/EHLO обязано быть по SMTP RFC"
87	>> >> condition = ${if eq{$sender_helo_name}{}{yes}{no}}
88	>> >>
89	>> >>
90	>> >>
91	>> >> # Рубаем нах, тех, кто подставляет свой IP в HELO
92	>> >> deny message = "Не надо пихать свой IP в качестве HELO!"
93	>> >> hosts = *:!+relay_from_hosts
94	>> >> condition = ${if eq{$sender_helo_name}\
95	>> >> {$sender_host_address}{true}{false}}
96	>> >>
97	>> >>
98	>> >> # Рубаем тех, кто в HELO пихает мой IP (2500 за месяц!)
99	>> >> deny condition = ${if eq{$sender_helo_name}\
100	>> >> {$interface_address}{yes}{no}}
101	>> >> hosts = !127.0.0.1 : !localhost : *
102	>> >> message = "Это мой IP-адрес! Пшёл прочь!"
103	>> >>
104	>> >> # Рубаем тех, кто в HELO пихает только цифры
105	>> >> # (не бывает хостов ТОЛЬКО из цифр)
106	>> >> deny condition = ${if match{$sender_helo_name}\
107	>> >> {\N^\d+$\N}{yes}{no}}
108	>> >> hosts = !127.0.0.1:!localhost:*
109	>> >> message = "В HELO не могут быть тока цифры!"
110	>> >>
111	>> >> # Рубаем хосты типа adsl; dialup; pool;....
112	>> >> # Нормальные люди с таких не пишут. Если будут
113	>> >> # проблемы - уберёте проблемный пункт (у меня клиенты
114	>> >> # имеют запись типа asdl-1233.zone.su - я ADSL убрал...)
115	>> >> deny message = "Не нравится мне Ваш хост..."
116	>> >> condition = ${if match{$sender_host_name} \
117	>> >> {adsl\|dialup\|pool\|peer\|dhcp} \
118	>> >> {yes}{no}}
119	>> >>
120	>> >> # Рубаем тех, кто в блэк-листах. Серваки перебираются
121	>> >> # сверху вниз, если не хост не найден на первом, то
122	>> >> # запрашивается второй, и т.д. Если не найден ни в одном
123	>> >> # из списка - то почта пропускается.
124	>> >> deny message = "host in blacklist - $dnslist_domain \n
125	>> >> dnslist_text"
126	>> >> dnslists = opm.blitzed.org : \
127	>> >> proxies.blackholes.easynet.nl : \
128	>> >> cbl.abuseat.org : \
129	>> >> bl.spamcop.net : \
130	>> >> bl.csma.biz : \
131	>> >> dynablock.njabl.org : \
132	>> >>
133	>> >> # Задержка. (это такой метод борьбы со спамом,
134	>> >> # основанный на принципе его рассылки) На этом рубается
135	>> >> # почти весь спам. Единственно - метод неприменим на
136	>> >> # реально загруженных MTA - т.к. в результате ему
137	>> >> # приходится держать много открытых соединений.
138	>> >> # но на офисе в сотню-две человек - шикарный метод.
139	>> >> #
140	>> >> # более сложный вариант, смотрите в статье по exim и
141	>> >> # курьер имап. Т.к. там метод боле умный (просто правил
142	>> >> # больше :), то можно и на более загруженные сервера ставить)
143	>> >> warn
144	>> >> # ставим дефолтовую задержку в 20 секунд
145	>> >> set acl_m0 = 25s
146	>> >> warn
147	>> >> # ставим задержку в 0 секунд своим хостам и
148	>> >> # дружественным сетям (соседняя контора :))
149	>> >> hosts = +relay_from_hosts
150	>> >> set acl_m0 = 0s
151	>> >> warn
152	>> >> # пишем в логи задержку (если оно вам надо)
153	>> >> logwrite = Delay $acl_m0 for $sender_host_name \
154	>> >> [$sender_host_address] with HELO=$sender_helo_name. Mail \
155	>> >> from $sender_address to $local_part@$domain.
156	>> >> delay = $acl_m0
157	>> >> -----------------------------------------------------------
158	>> >>
159	>> >> Так вот у меня все равно очень много спама приходит. по 20 -50 писем в
160	>> >> сутки. Задолбало уже. У кого есть рецепты - делитесь.
161	>> >>
162	>> >
163	>>
164	>>
165	>
166	> --
167	> <> 304 <>
168	>
169	> Кто урод, кто красавец - не ведает страсть.
170	> В ад согласен безумец влюбленный попасть.
171	> Безразлично влюбленным, во что одеваться,
172	> Что на землю стелить, что под голову класть.
173	> Омар Хайям. Рубаи.
174	> ,,,,
175	> /'^'\
176	> ( o o )
177	> --oOOO--(_)--OOOo------------------------------------------------
178	> \| Andrew A. Sabitov
179	> \| Email: sabitov@××××××××××.ru
180	> \| WWW: sabitov.pp.ru
181	> \| .oooO Еж птица гордая - пока не пнешь, не полетит!
182	> \| ( ) Oooo.
183	> ---\ (----( )-------------------------------------------------
184	> \_) ) /
185	> (_/
186	>
187	>