Погода: 13 °C
16.0615...19пасмурно, дождь
17.0618...22облачно, небольшие дожди
  • Хай всем
    Тут сегодня перебирал спам, дабы обучать своего постфикса по байесану.
    И что то порядка 60% всего спама имеет в себе обратный адрес *@seznam.cz
    Что бы это могло означать?

    ---
    Full
    -------
    Hажмите мышь. Что значит "yбежала" ?!

  • Что этот домен - окрытый релей?

    Wir werden alle sterben

  • Дык шлются с кучи адресов, которые не совпадают с айпишником сервера
    Еще такой же t-online.de

    ЛЮДИ!!! хелп что ли...
    Из 433 писем, пришедших ко мне за сутки, только 103 не спам.
    И еще 1279 было отброшено по несоответствию dns-ip
    И еще 48 было отброшено по черным спискам (dnsbl)
    Но ведь 330 то я получил!!!
    Как бы их килять сразу?

    ---
    Full
    -------
    Здравоохренение

  • Дык этого, того, у тя на постфиксе чво за фильтр стоит-то?
    У мя, вот, стоит Spamassassin - режет кучу спама (процентов 90 - на вскидку). И это не считая того, что модуль Байеса я ещё не обучил - и он не участвует в фильтрации...

    Wir werden alle sterben

  • ну насколько я понял вопль вопиющего в пустыне был малость в другом ракурсе. а именно как отсекать спам _ДО_ его приема т.к. траффик то не халявный Ж-(
    бибизяны это всё хорошо..но они шерстят уже принятую почту. а от всяких релеев только rbl и спасает самую малость. ну ещё позакрывал нафик всякие yahoo.de и прочие hotmailы.
    мерзкая статистика по спаму в целом. а если ещё и приплюсовать сюда траффик от всяких почтовых вирей которые теперь тоже юзают спам-технологии то не удивлюсь что почтовый траффик с начала года вырос в 2 раза, а % полезных писем при этом остался как был на начало года Ж-((((((

    --
    FL Cee'd SportyWagon 2010

  • то, что у большинства писем такой обратный адрес ни о чем не говорит:

    в поле "from" или "replay to" можно поставить, что угодно.

    (хотя нет. говорит о том, что спамерам почему-то понравился такой домен,

    вот они и ставят его в качестве обратного адреса).

    смотреть надо только на тот ip-адрес, с которого пришло письмо на твой сервер,

    остальной заголовок может быть также подделкой.



    как бороться... по-моему, только так (говорю про postfix, если кто знает

    про sendmail и qmail, может, поделятся):



    1) запретить прием писем от "неизвестных" клиентов, т.е. тех, у которых

    отсутствует обратный днс:

    smtpd_client_restrictions = reject_unknown_client



    2) не принимать почту от клиентов из rbl

    smtpd_client_restrictions = reject_maps_rbl



    боле-менее надежные бесплатные сервисы такого рода с моей точки зрения:

    bl.spamcop.net, spamguard.leadmon.net, blackholes.five-ten-sg.com,

    dnsbl.sorbs.net. главное, не перестараться, т.к. есть такие сервиса,

    которые борются очень по-простому: затыкают целую подсеть /24 или

    даже /16, что не есть хорошо. а ты какой пользуешь dnsbl?



    у обоих методов есть недостатки. у первого --- многие "благонадежные

    пользователи" не имеют обратного днс-а, их приходится прописывать отдельно,

    если хотите от них принимать почту.

    некоторые бесплатные почтовые веб-службы нахотятся в "черных списках",

    например, subscribe.ru и yahoo.com засветились в five-ten, их также, если

    есть желание принимать от них почту, придется прописать отдельно.

  • В заглавном посте шла речь об обучении модуля Байеса - а он не умеет фильтровать не приняв.

    2All

    Надыть всяко настраивать, чтобы почтовик производил обратный резолвинг клиента. То, что некоторые клиенты (а это конечные пользователи-отправители - я правильно понял?) не имеют постоянного доменного имени - дык это легко исправимо с помощью AuthSMTP.

    Метод простой:
    1) Настраиваем обратный резолвинг адресов-отправителей
    2) Прописываем доверенные подсети (заведомо благонадёжные - например, подсеть организации, которую обслуживает сервак). Хотя лучше всего _ВСЕХ_ клиентов сервера перевести на (3).
    3) Для остальных клиентов (если есть извне корпоративной сети) - ASMTP
    4) Настраиваем на несколько чёрных списков (relays.ordb.org, bl.spamcop.net, rbl-plus.mail-abuse.org, etc...). Главное, как уже сказали - не переборщить.

    Сбственно, этим заканчивается список, которым спам чистится _ДО_ получения почты. Если у кого-ныбудь есть, что добавить к нему - прошу не стесняться %)

    Далее идут способы избавиться от спама _ПОСЛЕ_ получения. Раз трафик уже потерян - надо хрть не допустить этих надоедливых писем до конечного адрессата.

    5) Ставить антиспамовую программу, попросту говоря spam-filter. Здесь можно извращаться разными способами. Я себе нашёл решение в виде SpamAssassin. Комплексное решение против спама, когда он уже у вас на руках (на вашем сервере). Этот зверь в первую очередь силён кучей методов анализа тела письма.

    6) Ну и прикручивание антивируса. По последним тенденциям почтовые вири стали вливаться в итак немаленький поток спама.

    ЗЫ: Теперь медлено и верно скармливаю почту модулю Байеса на обучение. Но вот парадокс - ему нужна и "хорошая" почта и "плохая". А с "хорошей" как-то в последнее время туго %(

    ЗЗЫ: В принципе, ничего нового я не написал. Но, возможно, это поможет начинающим админам. А кто-то, может, внесёт и свой вклад в пользу пользователей в этой войне со спамом.

    ЗЗЗЫ: Наблюдение по жизни: спамеры себя таковыми как правило не считают. Оне свято верят, что несут пользу человечеству (хм... а может всё-таки своему кошельку?).

    Wir werden alle sterben

  • Как дополнительный вариант для sendmail - файл access.
    Там можно оперативно "рубить" наиболее назойливые домены, откуда явно ничего хорошего не идет.
    Это типа: attbi.com, comcast.net (те еще уроды), net.br (вообще анархия СПАМа),
    rr.com (засраный до невозможности домен), wanadoo.fr, t-online.de, seznam.cz, t-dialin.net, static-shaper.zetcom.ru (засел там основательно один спамер).
    Вот часть ежедневной статистики по reject:
    380 t-online.de
    329 seznam.cz
    ...
    22 msn.com
    22 c-65-34-143-150.se.client2.attbi.com
    ...
    Общей суммой где-то 1500 отвергнутых соединений на почтовик.
    И это только "тихий день".

    "Nell'era Delle Сamminatore"

  • Ну... У меня много чего стоит при постфиксе ))
    Тем более, что в конфигурации по дефолту спамассасин стоит в режиме самообучения..
    Итак.
    Конфиги постфикса (принципиальные)
    main.cf
    ============
    smtpd_helo_restrictions =
    permit_mynetworks,
    reject_invalid_hostname,
    reject_unknown_hostname,
    reject_non_fqdn_hostname


    smtpd_recipient_restrictions =
    permit_sasl_authenticated,
    permit_mynetworks,
    reject_unauth_destination,
    reject_rbl_client list.dsbl.org,
    reject_rbl_client relays.ordb.org,
    reject_rbl_client dynablock.wirehub.net,
    reject_rbl_client dnsbl.njabl.org
    ============
    То есть у меня стоит sasl авторизация на отправку мыла...
    Ну и небольшой список для тех редисок, кто не может правильно настроить софт, приходится разрешать айпишники.
    То есть они в список mynetworks внесены

    Далее.
    В master.cf стоит проверка на вирусы и спам (X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp))
    В конфиге убивцы:
    ==============
    whitelist_from ixbt-news@ixbt.com

    blacklist_from *@yahoo.com
    blacklist_from *@msn.com
    blacklist_from *@hotmail.com
    blacklist_from *@seznam.cz
    blacklist_from *@t-online.de

    ok_languages en ru
    ok_locales en ru

    use_pyzor 1
    use_razor2 1
    use_bayes 1
    ==============
    Байесан обучен, на текущий момент порядка 2300 писем спама и 750 не спама.
    Вот только, сабака, не скушал, почему то, что рассылка от хобота не спам.. ну это лана, еще разберусь.

    Фишка юмора то в чем? В том, что когда я скармливаю письмо убивцу (assassin - убийца, если кто не знал), то ведь письмо то я уже получил письмо, и потратился на это... Реджектить бы их сразу, вопрос только как...

    ---
    Full
    -------
    Пpежде чем что-то сделать хоpошенько поDOOMай

    PS:
    Ну вот, написал ответ, потом прочитал всю ветку...
    А все уже и расписано....
    Единственно что - подключить больше модулей втыид
    Но ведь упорно скармливаю спамеров ordb (которым пользуюсь) - так 90% по их данных - благонадежные товарищи..
    У постфикса нет опции типа reject ip from file? :))

  • ННП
    Кстати, НГС-почта в описалове своих фильтров говорит, что умеет рубить диалапщиков.
    Как они это сделали - никто не в курсе?

    ---
    Full
    -------
    Конечно, люди умирали и раньше, но не от такой жизни

  • Погугли на тему DUL - Dial-up User List. Работает в том же контексте, что и RBL

    Wir werden alle sterben

  • В ответ на: У постфикса нет опции типа reject ip from file?
    Пропиши нехорошие IP в файле access и сделай
    smtpd_recipient_restrictions = hash:/etc/postfix/access, и потом все то, что у тебя. И будет он тебе reject ip from file.:улыб:

  • также в этот самый файл (access, упомянутый выше) можно внести и адреса

    "тех редисок, которые не могут правильно настроить софт", будет лучше,

    чем описывать их, как mynetwork, ведь mynetwork скорее всего могут

    релеить через тебя, а в access можно написать, что ты разрешил только

    принимать от них почту (подробности, скорее всего, можно посмотреть так:

    man 5 access, или на сайте postfix-a)

  • Фенькс..
    Мысля хорошая.

    ---
    Full
    -------
    Каждый йог должен сделать в жизни три вещи: проглотить дерево, родить сына и посадить слона в позу лотоса.

Записей на странице:

Перейти в форум

Модераторы: