На информационном ресурсе применяются cookie-файлы. Оставаясь на сайте, вы подтверждаете свое согласие на их использование.
spam filter
3020
13
Full
guru
Хай всем
Тут сегодня перебирал спам, дабы обучать своего постфикса по байесану.
И что то порядка 60% всего спама имеет в себе обратный адрес *@seznam.cz
Что бы это могло означать?
---
Full
-------
Hажмите мышь. Что значит "yбежала" ?!
Тут сегодня перебирал спам, дабы обучать своего постфикса по байесану.
И что то порядка 60% всего спама имеет в себе обратный адрес *@seznam.cz
Что бы это могло означать?
---
Full
-------
Hажмите мышь. Что значит "yбежала" ?!
Дык шлются с кучи адресов, которые не совпадают с айпишником сервера
Еще такой же t-online.de
ЛЮДИ!!! хелп что ли...
Из 433 писем, пришедших ко мне за сутки, только 103 не спам.
И еще 1279 было отброшено по несоответствию dns-ip
И еще 48 было отброшено по черным спискам (dnsbl)
Но ведь 330 то я получил!!!
Как бы их килять сразу?
---
Full
-------
Здравоохренение
Еще такой же t-online.de
ЛЮДИ!!! хелп что ли...
Из 433 писем, пришедших ко мне за сутки, только 103 не спам.
И еще 1279 было отброшено по несоответствию dns-ip
И еще 48 было отброшено по черным спискам (dnsbl)
Но ведь 330 то я получил!!!
Как бы их килять сразу?
---
Full
-------
Здравоохренение
Дык этого, того, у тя на постфиксе чво за фильтр стоит-то?
У мя, вот, стоит Spamassassin - режет кучу спама (процентов 90 - на вскидку). И это не считая того, что модуль Байеса я ещё не обучил - и он не участвует в фильтрации...
У мя, вот, стоит Spamassassin - режет кучу спама (процентов 90 - на вскидку). И это не считая того, что модуль Байеса я ещё не обучил - и он не участвует в фильтрации...
ну насколько я понял вопль вопиющего в пустыне был малость в другом ракурсе. а именно как отсекать спам _ДО_ его приема т.к. траффик то не халявный Ж-(
бибизяны это всё хорошо..но они шерстят уже принятую почту. а от всяких релеев только rbl и спасает самую малость. ну ещё позакрывал нафик всякие yahoo.de и прочие hotmailы.
мерзкая статистика по спаму в целом. а если ещё и приплюсовать сюда траффик от всяких почтовых вирей которые теперь тоже юзают спам-технологии то не удивлюсь что почтовый траффик с начала года вырос в 2 раза, а % полезных писем при этом остался как был на начало года Ж-((((((
бибизяны это всё хорошо..но они шерстят уже принятую почту. а от всяких релеев только rbl и спасает самую малость. ну ещё позакрывал нафик всякие yahoo.de и прочие hotmailы.
мерзкая статистика по спаму в целом. а если ещё и приплюсовать сюда траффик от всяких почтовых вирей которые теперь тоже юзают спам-технологии то не удивлюсь что почтовый траффик с начала года вырос в 2 раза, а % полезных писем при этом остался как был на начало года Ж-((((((
то, что у большинства писем такой обратный адрес ни о чем не говорит:
в поле "from" или "replay to" можно поставить, что угодно.
(хотя нет. говорит о том, что спамерам почему-то понравился такой домен,
вот они и ставят его в качестве обратного адреса).
смотреть надо только на тот ip-адрес, с которого пришло письмо на твой сервер,
остальной заголовок может быть также подделкой.
как бороться... по-моему, только так (говорю про postfix, если кто знает
про sendmail и qmail, может, поделятся):
1) запретить прием писем от "неизвестных" клиентов, т.е. тех, у которых
отсутствует обратный днс:
smtpd_client_restrictions = reject_unknown_client
2) не принимать почту от клиентов из rbl
smtpd_client_restrictions = reject_maps_rbl
боле-менее надежные бесплатные сервисы такого рода с моей точки зрения:
bl.spamcop.net, spamguard.leadmon.net, blackholes.five-ten-sg.com,
dnsbl.sorbs.net. главное, не перестараться, т.к. есть такие сервиса,
которые борются очень по-простому: затыкают целую подсеть /24 или
даже /16, что не есть хорошо. а ты какой пользуешь dnsbl?
у обоих методов есть недостатки. у первого --- многие "благонадежные
пользователи" не имеют обратного днс-а, их приходится прописывать отдельно,
если хотите от них принимать почту.
некоторые бесплатные почтовые веб-службы нахотятся в "черных списках",
например, subscribe.ru и yahoo.com засветились в five-ten, их также, если
есть желание принимать от них почту, придется прописать отдельно.
в поле "from" или "replay to" можно поставить, что угодно.
(хотя нет. говорит о том, что спамерам почему-то понравился такой домен,
вот они и ставят его в качестве обратного адреса).
смотреть надо только на тот ip-адрес, с которого пришло письмо на твой сервер,
остальной заголовок может быть также подделкой.
как бороться... по-моему, только так (говорю про postfix, если кто знает
про sendmail и qmail, может, поделятся):
1) запретить прием писем от "неизвестных" клиентов, т.е. тех, у которых
отсутствует обратный днс:
smtpd_client_restrictions = reject_unknown_client
2) не принимать почту от клиентов из rbl
smtpd_client_restrictions = reject_maps_rbl
боле-менее надежные бесплатные сервисы такого рода с моей точки зрения:
bl.spamcop.net, spamguard.leadmon.net, blackholes.five-ten-sg.com,
dnsbl.sorbs.net. главное, не перестараться, т.к. есть такие сервиса,
которые борются очень по-простому: затыкают целую подсеть /24 или
даже /16, что не есть хорошо. а ты какой пользуешь dnsbl?
у обоих методов есть недостатки. у первого --- многие "благонадежные
пользователи" не имеют обратного днс-а, их приходится прописывать отдельно,
если хотите от них принимать почту.
некоторые бесплатные почтовые веб-службы нахотятся в "черных списках",
например, subscribe.ru и yahoo.com засветились в five-ten, их также, если
есть желание принимать от них почту, придется прописать отдельно.
В заглавном посте шла речь об обучении модуля Байеса - а он не умеет фильтровать не приняв.
2All
Надыть всяко настраивать, чтобы почтовик производил обратный резолвинг клиента. То, что некоторые клиенты (а это конечные пользователи-отправители - я правильно понял?) не имеют постоянного доменного имени - дык это легко исправимо с помощью AuthSMTP.
Метод простой:
1) Настраиваем обратный резолвинг адресов-отправителей
2) Прописываем доверенные подсети (заведомо благонадёжные - например, подсеть организации, которую обслуживает сервак). Хотя лучше всего _ВСЕХ_ клиентов сервера перевести на (3).
3) Для остальных клиентов (если есть извне корпоративной сети) - ASMTP
4) Настраиваем на несколько чёрных списков (relays.ordb.org, bl.spamcop.net, rbl-plus.mail-abuse.org, etc...). Главное, как уже сказали - не переборщить.
Сбственно, этим заканчивается список, которым спам чистится _ДО_ получения почты. Если у кого-ныбудь есть, что добавить к нему - прошу не стесняться %)
Далее идут способы избавиться от спама _ПОСЛЕ_ получения. Раз трафик уже потерян - надо хрть не допустить этих надоедливых писем до конечного адрессата.
5) Ставить антиспамовую программу, попросту говоря spam-filter. Здесь можно извращаться разными способами. Я себе нашёл решение в виде SpamAssassin. Комплексное решение против спама, когда он уже у вас на руках (на вашем сервере). Этот зверь в первую очередь силён кучей методов анализа тела письма.
6) Ну и прикручивание антивируса. По последним тенденциям почтовые вири стали вливаться в итак немаленький поток спама.
ЗЫ: Теперь медлено и верно скармливаю почту модулю Байеса на обучение. Но вот парадокс - ему нужна и "хорошая" почта и "плохая". А с "хорошей" как-то в последнее время туго %(
ЗЗЫ: В принципе, ничего нового я не написал. Но, возможно, это поможет начинающим админам. А кто-то, может, внесёт и свой вклад в пользу пользователей в этой войне со спамом.
ЗЗЗЫ: Наблюдение по жизни: спамеры себя таковыми как правило не считают. Оне свято верят, что несут пользу человечеству (хм... а может всё-таки своему кошельку?).
2All
Надыть всяко настраивать, чтобы почтовик производил обратный резолвинг клиента. То, что некоторые клиенты (а это конечные пользователи-отправители - я правильно понял?) не имеют постоянного доменного имени - дык это легко исправимо с помощью AuthSMTP.
Метод простой:
1) Настраиваем обратный резолвинг адресов-отправителей
2) Прописываем доверенные подсети (заведомо благонадёжные - например, подсеть организации, которую обслуживает сервак). Хотя лучше всего _ВСЕХ_ клиентов сервера перевести на (3).
3) Для остальных клиентов (если есть извне корпоративной сети) - ASMTP
4) Настраиваем на несколько чёрных списков (relays.ordb.org, bl.spamcop.net, rbl-plus.mail-abuse.org, etc...). Главное, как уже сказали - не переборщить.
Сбственно, этим заканчивается список, которым спам чистится _ДО_ получения почты. Если у кого-ныбудь есть, что добавить к нему - прошу не стесняться %)
Далее идут способы избавиться от спама _ПОСЛЕ_ получения. Раз трафик уже потерян - надо хрть не допустить этих надоедливых писем до конечного адрессата.
5) Ставить антиспамовую программу, попросту говоря spam-filter. Здесь можно извращаться разными способами. Я себе нашёл решение в виде SpamAssassin. Комплексное решение против спама, когда он уже у вас на руках (на вашем сервере). Этот зверь в первую очередь силён кучей методов анализа тела письма.
6) Ну и прикручивание антивируса. По последним тенденциям почтовые вири стали вливаться в итак немаленький поток спама.
ЗЫ: Теперь медлено и верно скармливаю почту модулю Байеса на обучение. Но вот парадокс - ему нужна и "хорошая" почта и "плохая". А с "хорошей" как-то в последнее время туго %(
ЗЗЫ: В принципе, ничего нового я не написал. Но, возможно, это поможет начинающим админам. А кто-то, может, внесёт и свой вклад в пользу пользователей в этой войне со спамом.
ЗЗЗЫ: Наблюдение по жизни: спамеры себя таковыми как правило не считают. Оне свято верят, что несут пользу человечеству (хм... а может всё-таки своему кошельку?).
Сейчас читают
Заправка для "корейских" салатов
48412
145
13 июля (часть 1, F)
226646
1000
Как питаться правильно при условии нехватки времени?
49705
101
Как дополнительный вариант для sendmail - файл access.
Там можно оперативно "рубить" наиболее назойливые домены, откуда явно ничего хорошего не идет.
Это типа: attbi.com, comcast.net (те еще уроды), net.br (вообще анархия СПАМа),
rr.com (засраный до невозможности домен), wanadoo.fr, t-online.de, seznam.cz, t-dialin.net, static-shaper.zetcom.ru (засел там основательно один спамер).
Вот часть ежедневной статистики по reject:
380 t-online.de
329 seznam.cz
...
22 msn.com
22 c-65-34-143-150.se.client2.attbi.com
...
Общей суммой где-то 1500 отвергнутых соединений на почтовик.
И это только "тихий день".
Там можно оперативно "рубить" наиболее назойливые домены, откуда явно ничего хорошего не идет.
Это типа: attbi.com, comcast.net (те еще уроды), net.br (вообще анархия СПАМа),
rr.com (засраный до невозможности домен), wanadoo.fr, t-online.de, seznam.cz, t-dialin.net, static-shaper.zetcom.ru (засел там основательно один спамер).
Вот часть ежедневной статистики по reject:
380 t-online.de
329 seznam.cz
...
22 msn.com
22 c-65-34-143-150.se.client2.attbi.com
...
Общей суммой где-то 1500 отвергнутых соединений на почтовик.
И это только "тихий день".
Ну... У меня много чего стоит при постфиксе ))
Тем более, что в конфигурации по дефолту спамассасин стоит в режиме самообучения..
Итак.
Конфиги постфикса (принципиальные)
main.cf
============
smtpd_helo_restrictions =
permit_mynetworks,
reject_invalid_hostname,
reject_unknown_hostname,
reject_non_fqdn_hostname
smtpd_recipient_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
reject_rbl_client list.dsbl.org,
reject_rbl_client relays.ordb.org,
reject_rbl_client dynablock.wirehub.net,
reject_rbl_client dnsbl.njabl.org
============
То есть у меня стоит sasl авторизация на отправку мыла...
Ну и небольшой список для тех редисок, кто не может правильно настроить софт, приходится разрешать айпишники.
То есть они в список mynetworks внесены
Далее.
В master.cf стоит проверка на вирусы и спам (X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp))
В конфиге убивцы:
==============
whitelist_from ixbt-news@ixbt.com
blacklist_from *@yahoo.com
blacklist_from *@msn.com
blacklist_from *@hotmail.com
blacklist_from *@seznam.cz
blacklist_from *@t-online.de
ok_languages en ru
ok_locales en ru
use_pyzor 1
use_razor2 1
use_bayes 1
==============
Байесан обучен, на текущий момент порядка 2300 писем спама и 750 не спама.
Вот только, сабака, не скушал, почему то, что рассылка от хобота не спам.. ну это лана, еще разберусь.
Фишка юмора то в чем? В том, что когда я скармливаю письмо убивцу (assassin - убийца, если кто не знал), то ведь письмо то я уже получил письмо, и потратился на это... Реджектить бы их сразу, вопрос только как...
---
Full
-------
Пpежде чем что-то сделать хоpошенько поDOOMай
PS:
Ну вот, написал ответ, потом прочитал всю ветку...
А все уже и расписано....
Единственно что - подключить больше модулей втыид
Но ведь упорно скармливаю спамеров ordb (которым пользуюсь) - так 90% по их данных - благонадежные товарищи..
У постфикса нет опции типа reject ip from file? :))
Тем более, что в конфигурации по дефолту спамассасин стоит в режиме самообучения..
Итак.
Конфиги постфикса (принципиальные)
main.cf
============
smtpd_helo_restrictions =
permit_mynetworks,
reject_invalid_hostname,
reject_unknown_hostname,
reject_non_fqdn_hostname
smtpd_recipient_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
reject_rbl_client list.dsbl.org,
reject_rbl_client relays.ordb.org,
reject_rbl_client dynablock.wirehub.net,
reject_rbl_client dnsbl.njabl.org
============
То есть у меня стоит sasl авторизация на отправку мыла...
Ну и небольшой список для тех редисок, кто не может правильно настроить софт, приходится разрешать айпишники.
То есть они в список mynetworks внесены
Далее.
В master.cf стоит проверка на вирусы и спам (X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp))
В конфиге убивцы:
==============
whitelist_from ixbt-news@ixbt.com
blacklist_from *@yahoo.com
blacklist_from *@msn.com
blacklist_from *@hotmail.com
blacklist_from *@seznam.cz
blacklist_from *@t-online.de
ok_languages en ru
ok_locales en ru
use_pyzor 1
use_razor2 1
use_bayes 1
==============
Байесан обучен, на текущий момент порядка 2300 писем спама и 750 не спама.
Вот только, сабака, не скушал, почему то, что рассылка от хобота не спам.. ну это лана, еще разберусь.
Фишка юмора то в чем? В том, что когда я скармливаю письмо убивцу (assassin - убийца, если кто не знал), то ведь письмо то я уже получил письмо, и потратился на это... Реджектить бы их сразу, вопрос только как...
---
Full
-------
Пpежде чем что-то сделать хоpошенько поDOOMай
PS:
Ну вот, написал ответ, потом прочитал всю ветку...
А все уже и расписано....
Единственно что - подключить больше модулей втыид
Но ведь упорно скармливаю спамеров ordb (которым пользуюсь) - так 90% по их данных - благонадежные товарищи..
У постфикса нет опции типа reject ip from file? :))
ННП
Кстати, НГС-почта в описалове своих фильтров говорит, что умеет рубить диалапщиков.
Как они это сделали - никто не в курсе?
---
Full
-------
Конечно, люди умирали и раньше, но не от такой жизни
Кстати, НГС-почта в описалове своих фильтров говорит, что умеет рубить диалапщиков.
Как они это сделали - никто не в курсе?
---
Full
-------
Конечно, люди умирали и раньше, но не от такой жизни
Погугли на тему DUL - Dial-up User List. Работает в том же контексте, что и RBL
У постфикса нет опции типа reject ip from file?Пропиши нехорошие IP в файле access и сделай
smtpd_recipient_restrictions = hash:/etc/postfix/access, и потом все то, что у тебя. И будет он тебе reject ip from file.
также в этот самый файл (access, упомянутый выше) можно внести и адреса
"тех редисок, которые не могут правильно настроить софт", будет лучше,
чем описывать их, как mynetwork, ведь mynetwork скорее всего могут
релеить через тебя, а в access можно написать, что ты разрешил только
принимать от них почту (подробности, скорее всего, можно посмотреть так:
man 5 access, или на сайте postfix-a)
"тех редисок, которые не могут правильно настроить софт", будет лучше,
чем описывать их, как mynetwork, ведь mynetwork скорее всего могут
релеить через тебя, а в access можно написать, что ты разрешил только
принимать от них почту (подробности, скорее всего, можно посмотреть так:
man 5 access, или на сайте postfix-a)
Фенькс..
Мысля хорошая.
---
Full
-------
Каждый йог должен сделать в жизни три вещи: проглотить дерево, родить сына и посадить слона в позу лотоса.
Мысля хорошая.
---
Full
-------
Каждый йог должен сделать в жизни три вещи: проглотить дерево, родить сына и посадить слона в позу лотоса.