* [gentoo-user-ru] Борьба со спамом (exim)
@ 2008-11-11 16:52 Anton S. Ustyuzhanin
2008-11-11 17:44 ` Andrew A. Sabitov
2008-11-12 5:33 ` Anton Kvashin
0 siblings, 2 replies; 7+ messages in thread
From: Anton S. Ustyuzhanin @ 2008-11-11 16:52 UTC (permalink / raw
To: gentoo-user-ru
Всем привет.
Помогите кто как борится со спамом. Я использую exim. Нашел несколько
методов борьбы со спамом на www.lissyara.su:
использую следующие:
----------------------------------------------------------
# Запрещаем письма содержащие в локальной части
# символы @; %; !; /; |. Учтите, если у вас было
# `percent_hack_domains` то % надо убрать.
# Проверяются локальные домены
deny message = "Недопустимые символы в адресе"
domains = +local_domains
local_parts = ^[.] : ^.*[@%!/|]
# Проверяем недопустимые символы для
# нелокальных получателей:
deny message = "Недопустимые символы в адресе"
domains = !+local_domains
local_parts = ^[./|] : ^.*[@%!] : ^.*/\\.\\./
# Принимаем почту для постмастеров локальных доменов без
# проверки отправителя (я закомментировал, т.к. это -
# основной источник спама с мой ящик).
# accept local_parts = postmaster
# domains = +local_domains
# Запрещщаем, если невозможно проверить отправителя
# (отсутствует в списке локальных пользователей)
# У себя я это закоментил, по причине, что некоторые
# железяки (принтеры, & etc) и программы (Касперский, DrWEB)
# умеют слать почту, в случае проблем но не умеют ставить
# нужного отправителя. Такие письма эта проверка не пускает.
# require verify = sender
# Запрещщаем тех, кто не обменивается приветственными
# сообщениями (HELO/EHLO)
deny message = "HELO/EHLO обязано быть по SMTP RFC"
condition = ${if eq{$sender_helo_name}{}{yes}{no}}
# Рубаем нах, тех, кто подставляет свой IP в HELO
deny message = "Не надо пихать свой IP в качестве HELO!"
hosts = *:!+relay_from_hosts
condition = ${if eq{$sender_helo_name}\
{$sender_host_address}{true}{false}}
# Рубаем тех, кто в HELO пихает мой IP (2500 за месяц!)
deny condition = ${if eq{$sender_helo_name}\
{$interface_address}{yes}{no}}
hosts = !127.0.0.1 : !localhost : *
message = "Это мой IP-адрес! Пшёл прочь!"
# Рубаем тех, кто в HELO пихает только цифры
# (не бывает хостов ТОЛЬКО из цифр)
deny condition = ${if match{$sender_helo_name}\
{\N^\d+$\N}{yes}{no}}
hosts = !127.0.0.1:!localhost:*
message = "В HELO не могут быть тока цифры!"
# Рубаем хосты типа *adsl*; *dialup*; *pool*;....
# Нормальные люди с таких не пишут. Если будут
# проблемы - уберёте проблемный пункт (у меня клиенты
# имеют запись типа asdl-1233.zone.su - я ADSL убрал...)
deny message = "Не нравится мне Ваш хост..."
condition = ${if match{$sender_host_name} \
{adsl|dialup|pool|peer|dhcp} \
{yes}{no}}
# Рубаем тех, кто в блэк-листах. Серваки перебираются
# сверху вниз, если не хост не найден на первом, то
# запрашивается второй, и т.д. Если не найден ни в одном
# из списка - то почта пропускается.
deny message = "host in blacklist - $dnslist_domain \n
dnslist_text"
dnslists = opm.blitzed.org : \
proxies.blackholes.easynet.nl : \
cbl.abuseat.org : \
bl.spamcop.net : \
bl.csma.biz : \
dynablock.njabl.org : \
# Задержка. (это такой метод борьбы со спамом,
# основанный на принципе его рассылки) На этом рубается
# почти весь спам. Единственно - метод неприменим на
# реально загруженных MTA - т.к. в результате ему
# приходится держать много открытых соединений.
# но на офисе в сотню-две человек - шикарный метод.
#
# более сложный вариант, смотрите в статье по exim и
# курьер имап. Т.к. там метод боле умный (просто правил
# больше :), то можно и на более загруженные сервера ставить)
warn
# ставим дефолтовую задержку в 20 секунд
set acl_m0 = 25s
warn
# ставим задержку в 0 секунд своим хостам и
# дружественным сетям (соседняя контора :))
hosts = +relay_from_hosts
set acl_m0 = 0s
warn
# пишем в логи задержку (если оно вам надо)
logwrite = Delay $acl_m0 for $sender_host_name \
[$sender_host_address] with HELO=$sender_helo_name. Mail \
from $sender_address to $local_part@$domain.
delay = $acl_m0
-----------------------------------------------------------
Так вот у меня все равно очень много спама приходит. по 20 -50 писем в
сутки. Задолбало уже. У кого есть рецепты - делитесь.
^ permalink raw reply [flat|nested] 7+ messages in thread* Re: [gentoo-user-ru] Борьба со спамом (exim) 2008-11-11 16:52 [gentoo-user-ru] Борьба со спамом (exim) Anton S. Ustyuzhanin @ 2008-11-11 17:44 ` Andrew A. Sabitov 2008-11-12 4:53 ` Anton S. Ustyuzhanin 2008-11-12 5:33 ` Anton Kvashin 1 sibling, 1 reply; 7+ messages in thread From: Andrew A. Sabitov @ 2008-11-11 17:44 UTC (permalink / raw To: gentoo-user-ru Ну, 20-50 писем в сутки на домен это не много. (или на ящик??? из контекста не понятно) Я использую постфикс, так что конфиги приводить не буду :) Но все основано на самописном фильтре (перловка с мускулом), который реализует грейлистинг + еще кое-какую фильтрацию, например по СПФ, по сендерам вида akstc anilkaraca mnsdgs@ anilkaraca .com # пробелы я вставил :) Этот же фильтр поддерживает понятие белых/черных списков, пользовательских контактов (т.е. не просто IP, а связка IP+сендер+ресипиент), а также список пользователей, для которых фильтрация не выполняется. Спам проходит. Если измерять в штуках, то довольно много, если измерять процентиками... http://ash.catalysis.ru/cgi-bin/mailgraph.cgi Так что "рекомендации ведущих собаководов": пиши свой грейлист и живи в счастье. :) On Tue, 11 Nov 2008, Anton S. Ustyuzhanin wrote: > Всем привет. > Помогите кто как борится со спамом. Я использую exim. Нашел несколько > методов борьбы со спамом на www.lissyara.su: > использую следующие: > ---------------------------------------------------------- > # Запрещаем письма содержащие в локальной части > # символы @; %; !; /; |. Учтите, если у вас было > # `percent_hack_domains` то % надо убрать. > # Проверяются локальные домены > deny message = "Недопустимые символы в адресе" > domains = +local_domains > local_parts = ^[.] : ^.*[@%!/|] > > # Проверяем недопустимые символы для > # нелокальных получателей: > deny message = "Недопустимые символы в адресе" > domains = !+local_domains > local_parts = ^[./|] : ^.*[@%!] : ^.*/\\.\\./ > > # Принимаем почту для постмастеров локальных доменов без > # проверки отправителя (я закомментировал, т.к. это - > # основной источник спама с мой ящик). > > # accept local_parts = postmaster > # domains = +local_domains > > # Запрещщаем, если невозможно проверить отправителя > # (отсутствует в списке локальных пользователей) > # У себя я это закоментил, по причине, что некоторые > # железяки (принтеры, & etc) и программы (Касперский, DrWEB) > # умеют слать почту, в случае проблем но не умеют ставить > # нужного отправителя. Такие письма эта проверка не пускает. > # require verify = sender > > # Запрещщаем тех, кто не обменивается приветственными > # сообщениями (HELO/EHLO) > deny message = "HELO/EHLO обязано быть по SMTP RFC" > condition = ${if eq{$sender_helo_name}{}{yes}{no}} > > > > # Рубаем нах, тех, кто подставляет свой IP в HELO > deny message = "Не надо пихать свой IP в качестве HELO!" > hosts = *:!+relay_from_hosts > condition = ${if eq{$sender_helo_name}\ > {$sender_host_address}{true}{false}} > > > # Рубаем тех, кто в HELO пихает мой IP (2500 за месяц!) > deny condition = ${if eq{$sender_helo_name}\ > {$interface_address}{yes}{no}} > hosts = !127.0.0.1 : !localhost : * > message = "Это мой IP-адрес! Пшёл прочь!" > > # Рубаем тех, кто в HELO пихает только цифры > # (не бывает хостов ТОЛЬКО из цифр) > deny condition = ${if match{$sender_helo_name}\ > {\N^\d+$\N}{yes}{no}} > hosts = !127.0.0.1:!localhost:* > message = "В HELO не могут быть тока цифры!" > > # Рубаем хосты типа *adsl*; *dialup*; *pool*;.... > # Нормальные люди с таких не пишут. Если будут > # проблемы - уберёте проблемный пункт (у меня клиенты > # имеют запись типа asdl-1233.zone.su - я ADSL убрал...) > deny message = "Не нравится мне Ваш хост..." > condition = ${if match{$sender_host_name} \ > {adsl|dialup|pool|peer|dhcp} \ > {yes}{no}} > > # Рубаем тех, кто в блэк-листах. Серваки перебираются > # сверху вниз, если не хост не найден на первом, то > # запрашивается второй, и т.д. Если не найден ни в одном > # из списка - то почта пропускается. > deny message = "host in blacklist - $dnslist_domain \n > dnslist_text" > dnslists = opm.blitzed.org : \ > proxies.blackholes.easynet.nl : \ > cbl.abuseat.org : \ > bl.spamcop.net : \ > bl.csma.biz : \ > dynablock.njabl.org : \ > > # Задержка. (это такой метод борьбы со спамом, > # основанный на принципе его рассылки) На этом рубается > # почти весь спам. Единственно - метод неприменим на > # реально загруженных MTA - т.к. в результате ему > # приходится держать много открытых соединений. > # но на офисе в сотню-две человек - шикарный метод. > # > # более сложный вариант, смотрите в статье по exim и > # курьер имап. Т.к. там метод боле умный (просто правил > # больше :), то можно и на более загруженные сервера ставить) > warn > # ставим дефолтовую задержку в 20 секунд > set acl_m0 = 25s > warn > # ставим задержку в 0 секунд своим хостам и > # дружественным сетям (соседняя контора :)) > hosts = +relay_from_hosts > set acl_m0 = 0s > warn > # пишем в логи задержку (если оно вам надо) > logwrite = Delay $acl_m0 for $sender_host_name \ > [$sender_host_address] with HELO=$sender_helo_name. Mail \ > from $sender_address to $local_part@$domain. > delay = $acl_m0 > ----------------------------------------------------------- > > Так вот у меня все равно очень много спама приходит. по 20 -50 писем в > сутки. Задолбало уже. У кого есть рецепты - делитесь. > -- <> 56 <> Поток вина - родник душевного покоя, Врачует сердце он усталое, больное. Потоп отчаянья тебе грозит? Ищи Спасение в вине: ты с ним в ковчеге Ноя. Омар Хайям. Рубаи. ,,,, /'^'\ ( o o ) --oOOO--(_)--OOOo------------------------------------------------ | Andrew A. Sabitov | Email: sabitov@sabitov.pp.ru | WWW: sabitov.pp.ru | .oooO Еж птица гордая - пока не пнешь, не полетит! | ( ) Oooo. ---\ (----( )------------------------------------------------- \_) ) / (_/ ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [gentoo-user-ru] Борьба со спамом (exim) 2008-11-11 17:44 ` Andrew A. Sabitov @ 2008-11-12 4:53 ` Anton S. Ustyuzhanin 2008-11-19 16:21 ` Andrew A. Sabitov 0 siblings, 1 reply; 7+ messages in thread From: Anton S. Ustyuzhanin @ 2008-11-12 4:53 UTC (permalink / raw To: gentoo-user-ru 50 на ящик. Спасибо за совет, попробую! Andrew A. Sabitov wrote: > Ну, 20-50 писем в сутки на домен это не много. (или на ящик??? из > контекста не понятно) > > Я использую постфикс, так что конфиги приводить не буду :) Но все основано > на самописном фильтре (перловка с мускулом), который реализует грейлистинг > + еще кое-какую фильтрацию, например по СПФ, по сендерам вида > akstc anilkaraca mnsdgs@ anilkaraca .com # пробелы я вставил :) > > Этот же фильтр поддерживает понятие белых/черных списков, пользовательских > контактов (т.е. не просто IP, а связка IP+сендер+ресипиент), а также > список пользователей, для которых фильтрация не выполняется. > > Спам проходит. Если измерять в штуках, то довольно много, если измерять > процентиками... http://ash.catalysis.ru/cgi-bin/mailgraph.cgi > > > Так что "рекомендации ведущих собаководов": пиши свой грейлист и живи в > счастье. :) > > > On Tue, 11 Nov 2008, Anton S. Ustyuzhanin wrote: > >> Всем привет. >> Помогите кто как борится со спамом. Я использую exim. Нашел несколько >> методов борьбы со спамом на www.lissyara.su: >> использую следующие: >> ---------------------------------------------------------- >> # Запрещаем письма содержащие в локальной части >> # символы @; %; !; /; |. Учтите, если у вас было >> # `percent_hack_domains` то % надо убрать. >> # Проверяются локальные домены >> deny message = "Недопустимые символы в адресе" >> domains = +local_domains >> local_parts = ^[.] : ^.*[@%!/|] >> >> # Проверяем недопустимые символы для >> # нелокальных получателей: >> deny message = "Недопустимые символы в адресе" >> domains = !+local_domains >> local_parts = ^[./|] : ^.*[@%!] : ^.*/\\.\\./ >> >> # Принимаем почту для постмастеров локальных доменов без >> # проверки отправителя (я закомментировал, т.к. это - >> # основной источник спама с мой ящик). >> >> # accept local_parts = postmaster >> # domains = +local_domains >> >> # Запрещщаем, если невозможно проверить отправителя >> # (отсутствует в списке локальных пользователей) >> # У себя я это закоментил, по причине, что некоторые >> # железяки (принтеры, & etc) и программы (Касперский, DrWEB) >> # умеют слать почту, в случае проблем но не умеют ставить >> # нужного отправителя. Такие письма эта проверка не пускает. >> # require verify = sender >> >> # Запрещщаем тех, кто не обменивается приветственными >> # сообщениями (HELO/EHLO) >> deny message = "HELO/EHLO обязано быть по SMTP RFC" >> condition = ${if eq{$sender_helo_name}{}{yes}{no}} >> >> >> >> # Рубаем нах, тех, кто подставляет свой IP в HELO >> deny message = "Не надо пихать свой IP в качестве HELO!" >> hosts = *:!+relay_from_hosts >> condition = ${if eq{$sender_helo_name}\ >> {$sender_host_address}{true}{false}} >> >> >> # Рубаем тех, кто в HELO пихает мой IP (2500 за месяц!) >> deny condition = ${if eq{$sender_helo_name}\ >> {$interface_address}{yes}{no}} >> hosts = !127.0.0.1 : !localhost : * >> message = "Это мой IP-адрес! Пшёл прочь!" >> >> # Рубаем тех, кто в HELO пихает только цифры >> # (не бывает хостов ТОЛЬКО из цифр) >> deny condition = ${if match{$sender_helo_name}\ >> {\N^\d+$\N}{yes}{no}} >> hosts = !127.0.0.1:!localhost:* >> message = "В HELO не могут быть тока цифры!" >> >> # Рубаем хосты типа *adsl*; *dialup*; *pool*;.... >> # Нормальные люди с таких не пишут. Если будут >> # проблемы - уберёте проблемный пункт (у меня клиенты >> # имеют запись типа asdl-1233.zone.su - я ADSL убрал...) >> deny message = "Не нравится мне Ваш хост..." >> condition = ${if match{$sender_host_name} \ >> {adsl|dialup|pool|peer|dhcp} \ >> {yes}{no}} >> >> # Рубаем тех, кто в блэк-листах. Серваки перебираются >> # сверху вниз, если не хост не найден на первом, то >> # запрашивается второй, и т.д. Если не найден ни в одном >> # из списка - то почта пропускается. >> deny message = "host in blacklist - $dnslist_domain \n >> dnslist_text" >> dnslists = opm.blitzed.org : \ >> proxies.blackholes.easynet.nl : \ >> cbl.abuseat.org : \ >> bl.spamcop.net : \ >> bl.csma.biz : \ >> dynablock.njabl.org : \ >> >> # Задержка. (это такой метод борьбы со спамом, >> # основанный на принципе его рассылки) На этом рубается >> # почти весь спам. Единственно - метод неприменим на >> # реально загруженных MTA - т.к. в результате ему >> # приходится держать много открытых соединений. >> # но на офисе в сотню-две человек - шикарный метод. >> # >> # более сложный вариант, смотрите в статье по exim и >> # курьер имап. Т.к. там метод боле умный (просто правил >> # больше :), то можно и на более загруженные сервера ставить) >> warn >> # ставим дефолтовую задержку в 20 секунд >> set acl_m0 = 25s >> warn >> # ставим задержку в 0 секунд своим хостам и >> # дружественным сетям (соседняя контора :)) >> hosts = +relay_from_hosts >> set acl_m0 = 0s >> warn >> # пишем в логи задержку (если оно вам надо) >> logwrite = Delay $acl_m0 for $sender_host_name \ >> [$sender_host_address] with HELO=$sender_helo_name. Mail \ >> from $sender_address to $local_part@$domain. >> delay = $acl_m0 >> ----------------------------------------------------------- >> >> Так вот у меня все равно очень много спама приходит. по 20 -50 писем в >> сутки. Задолбало уже. У кого есть рецепты - делитесь. >> > ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [gentoo-user-ru] Борьба со спамом (exim) 2008-11-12 4:53 ` Anton S. Ustyuzhanin @ 2008-11-19 16:21 ` Andrew A. Sabitov 2008-12-05 23:06 ` Pavel Gaidai 0 siblings, 1 reply; 7+ messages in thread From: Andrew A. Sabitov @ 2008-11-19 16:21 UTC (permalink / raw To: gentoo-user-ru Кстати, только что для себя открыл ZDS cbl.abuseat.org. Мужики в рилтайме определяют зомбированные компы и тем самым детектируют ботнеты. По форме использования это обычный RBL. У меня в грейлистинге в токенах было 3743 уникальных IP, из них 2505 (почти 2/3) были детектированы как зомби. (Это ситуация до включения этого БЛ). После включения он мне отсек 17246 писем за 8 часов. Я доволен :) On Wed, 12 Nov 2008, Anton S. Ustyuzhanin wrote: > 50 на ящик. > Спасибо за совет, попробую! > > Andrew A. Sabitov wrote: > > Ну, 20-50 писем в сутки на домен это не много. (или на ящик??? из > > контекста не понятно) > > > > Я использую постфикс, так что конфиги приводить не буду :) Но все основано > > на самописном фильтре (перловка с мускулом), который реализует грейлистинг > > + еще кое-какую фильтрацию, например по СПФ, по сендерам вида > > akstc anilkaraca mnsdgs@ anilkaraca .com # пробелы я вставил :) > > > > Этот же фильтр поддерживает понятие белых/черных списков, пользовательских > > контактов (т.е. не просто IP, а связка IP+сендер+ресипиент), а также > > список пользователей, для которых фильтрация не выполняется. > > > > Спам проходит. Если измерять в штуках, то довольно много, если измерять > > процентиками... http://ash.catalysis.ru/cgi-bin/mailgraph.cgi > > > > > > Так что "рекомендации ведущих собаководов": пиши свой грейлист и живи в > > счастье. :) > > > > > > On Tue, 11 Nov 2008, Anton S. Ustyuzhanin wrote: > > > >> Всем привет. > >> Помогите кто как борится со спамом. Я использую exim. Нашел несколько > >> методов борьбы со спамом на www.lissyara.su: > >> использую следующие: > >> ---------------------------------------------------------- > >> # Запрещаем письма содержащие в локальной части > >> # символы @; %; !; /; |. Учтите, если у вас было > >> # `percent_hack_domains` то % надо убрать. > >> # Проверяются локальные домены > >> deny message = "Недопустимые символы в адресе" > >> domains = +local_domains > >> local_parts = ^[.] : ^.*[@%!/|] > >> > >> # Проверяем недопустимые символы для > >> # нелокальных получателей: > >> deny message = "Недопустимые символы в адресе" > >> domains = !+local_domains > >> local_parts = ^[./|] : ^.*[@%!] : ^.*/\\.\\./ > >> > >> # Принимаем почту для постмастеров локальных доменов без > >> # проверки отправителя (я закомментировал, т.к. это - > >> # основной источник спама с мой ящик). > >> > >> # accept local_parts = postmaster > >> # domains = +local_domains > >> > >> # Запрещщаем, если невозможно проверить отправителя > >> # (отсутствует в списке локальных пользователей) > >> # У себя я это закоментил, по причине, что некоторые > >> # железяки (принтеры, & etc) и программы (Касперский, DrWEB) > >> # умеют слать почту, в случае проблем но не умеют ставить > >> # нужного отправителя. Такие письма эта проверка не пускает. > >> # require verify = sender > >> > >> # Запрещщаем тех, кто не обменивается приветственными > >> # сообщениями (HELO/EHLO) > >> deny message = "HELO/EHLO обязано быть по SMTP RFC" > >> condition = ${if eq{$sender_helo_name}{}{yes}{no}} > >> > >> > >> > >> # Рубаем нах, тех, кто подставляет свой IP в HELO > >> deny message = "Не надо пихать свой IP в качестве HELO!" > >> hosts = *:!+relay_from_hosts > >> condition = ${if eq{$sender_helo_name}\ > >> {$sender_host_address}{true}{false}} > >> > >> > >> # Рубаем тех, кто в HELO пихает мой IP (2500 за месяц!) > >> deny condition = ${if eq{$sender_helo_name}\ > >> {$interface_address}{yes}{no}} > >> hosts = !127.0.0.1 : !localhost : * > >> message = "Это мой IP-адрес! Пшёл прочь!" > >> > >> # Рубаем тех, кто в HELO пихает только цифры > >> # (не бывает хостов ТОЛЬКО из цифр) > >> deny condition = ${if match{$sender_helo_name}\ > >> {\N^\d+$\N}{yes}{no}} > >> hosts = !127.0.0.1:!localhost:* > >> message = "В HELO не могут быть тока цифры!" > >> > >> # Рубаем хосты типа *adsl*; *dialup*; *pool*;.... > >> # Нормальные люди с таких не пишут. Если будут > >> # проблемы - уберёте проблемный пункт (у меня клиенты > >> # имеют запись типа asdl-1233.zone.su - я ADSL убрал...) > >> deny message = "Не нравится мне Ваш хост..." > >> condition = ${if match{$sender_host_name} \ > >> {adsl|dialup|pool|peer|dhcp} \ > >> {yes}{no}} > >> > >> # Рубаем тех, кто в блэк-листах. Серваки перебираются > >> # сверху вниз, если не хост не найден на первом, то > >> # запрашивается второй, и т.д. Если не найден ни в одном > >> # из списка - то почта пропускается. > >> deny message = "host in blacklist - $dnslist_domain \n > >> dnslist_text" > >> dnslists = opm.blitzed.org : \ > >> proxies.blackholes.easynet.nl : \ > >> cbl.abuseat.org : \ > >> bl.spamcop.net : \ > >> bl.csma.biz : \ > >> dynablock.njabl.org : \ > >> > >> # Задержка. (это такой метод борьбы со спамом, > >> # основанный на принципе его рассылки) На этом рубается > >> # почти весь спам. Единственно - метод неприменим на > >> # реально загруженных MTA - т.к. в результате ему > >> # приходится держать много открытых соединений. > >> # но на офисе в сотню-две человек - шикарный метод. > >> # > >> # более сложный вариант, смотрите в статье по exim и > >> # курьер имап. Т.к. там метод боле умный (просто правил > >> # больше :), то можно и на более загруженные сервера ставить) > >> warn > >> # ставим дефолтовую задержку в 20 секунд > >> set acl_m0 = 25s > >> warn > >> # ставим задержку в 0 секунд своим хостам и > >> # дружественным сетям (соседняя контора :)) > >> hosts = +relay_from_hosts > >> set acl_m0 = 0s > >> warn > >> # пишем в логи задержку (если оно вам надо) > >> logwrite = Delay $acl_m0 for $sender_host_name \ > >> [$sender_host_address] with HELO=$sender_helo_name. Mail \ > >> from $sender_address to $local_part@$domain. > >> delay = $acl_m0 > >> ----------------------------------------------------------- > >> > >> Так вот у меня все равно очень много спама приходит. по 20 -50 писем в > >> сутки. Задолбало уже. У кого есть рецепты - делитесь. > >> > > > > -- <> 304 <> Кто урод, кто красавец - не ведает страсть. В ад согласен безумец влюбленный попасть. Безразлично влюбленным, во что одеваться, Что на землю стелить, что под голову класть. Омар Хайям. Рубаи. ,,,, /'^'\ ( o o ) --oOOO--(_)--OOOo------------------------------------------------ | Andrew A. Sabitov | Email: sabitov@sabitov.pp.ru | WWW: sabitov.pp.ru | .oooO Еж птица гордая - пока не пнешь, не полетит! | ( ) Oooo. ---\ (----( )------------------------------------------------- \_) ) / (_/ ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [gentoo-user-ru] Борьба со спамом (exim) 2008-11-19 16:21 ` Andrew A. Sabitov @ 2008-12-05 23:06 ` Pavel Gaidai 2008-12-06 9:40 ` Andrew A. Sabitov 0 siblings, 1 reply; 7+ messages in thread From: Pavel Gaidai @ 2008-12-05 23:06 UTC (permalink / raw To: gentoo-user-ru Кроме cbl.abuseat.org мне еще помогает zen.spamhaus.org. За две недели 29608 писем отбил. 19.11.08, Andrew A. Sabitov<sabitov@catalysis.ru> написал(а): > > Кстати, только что для себя открыл ZDS cbl.abuseat.org. Мужики в рилтайме > определяют зомбированные компы и тем самым детектируют ботнеты. По форме > использования это обычный RBL. > > У меня в грейлистинге в токенах было 3743 уникальных IP, из них 2505 > (почти 2/3) были детектированы как зомби. (Это ситуация до включения > этого БЛ). После включения он мне отсек 17246 писем за 8 часов. Я доволен > :) > > On Wed, 12 Nov 2008, Anton S. Ustyuzhanin wrote: > >> 50 на ящик. >> Спасибо за совет, попробую! >> >> Andrew A. Sabitov wrote: >> > Ну, 20-50 писем в сутки на домен это не много. (или на ящик??? из >> > контекста не понятно) >> > >> > Я использую постфикс, так что конфиги приводить не буду :) Но все >> > основано >> > на самописном фильтре (перловка с мускулом), который реализует >> > грейлистинг >> > + еще кое-какую фильтрацию, например по СПФ, по сендерам вида >> > akstc anilkaraca mnsdgs@ anilkaraca .com # пробелы я вставил :) >> > >> > Этот же фильтр поддерживает понятие белых/черных списков, >> > пользовательских >> > контактов (т.е. не просто IP, а связка IP+сендер+ресипиент), а также >> > список пользователей, для которых фильтрация не выполняется. >> > >> > Спам проходит. Если измерять в штуках, то довольно много, если измерять >> > процентиками... http://ash.catalysis.ru/cgi-bin/mailgraph.cgi >> > >> > >> > Так что "рекомендации ведущих собаководов": пиши свой грейлист и живи в >> > счастье. :) >> > >> > >> > On Tue, 11 Nov 2008, Anton S. Ustyuzhanin wrote: >> > >> >> Всем привет. >> >> Помогите кто как борится со спамом. Я использую exim. Нашел несколько >> >> методов борьбы со спамом на www.lissyara.su: >> >> использую следующие: >> >> ---------------------------------------------------------- >> >> # Запрещаем письма содержащие в локальной части >> >> # символы @; %; !; /; |. Учтите, если у вас было >> >> # `percent_hack_domains` то % надо убрать. >> >> # Проверяются локальные домены >> >> deny message = "Недопустимые символы в адресе" >> >> domains = +local_domains >> >> local_parts = ^[.] : ^.*[@%!/|] >> >> >> >> # Проверяем недопустимые символы для >> >> # нелокальных получателей: >> >> deny message = "Недопустимые символы в адресе" >> >> domains = !+local_domains >> >> local_parts = ^[./|] : ^.*[@%!] : ^.*/\\.\\./ >> >> >> >> # Принимаем почту для постмастеров локальных доменов без >> >> # проверки отправителя (я закомментировал, т.к. это - >> >> # основной источник спама с мой ящик). >> >> >> >> # accept local_parts = postmaster >> >> # domains = +local_domains >> >> >> >> # Запрещщаем, если невозможно проверить отправителя >> >> # (отсутствует в списке локальных пользователей) >> >> # У себя я это закоментил, по причине, что некоторые >> >> # железяки (принтеры, & etc) и программы (Касперский, DrWEB) >> >> # умеют слать почту, в случае проблем но не умеют ставить >> >> # нужного отправителя. Такие письма эта проверка не пускает. >> >> # require verify = sender >> >> >> >> # Запрещщаем тех, кто не обменивается приветственными >> >> # сообщениями (HELO/EHLO) >> >> deny message = "HELO/EHLO обязано быть по SMTP RFC" >> >> condition = ${if eq{$sender_helo_name}{}{yes}{no}} >> >> >> >> >> >> >> >> # Рубаем нах, тех, кто подставляет свой IP в HELO >> >> deny message = "Не надо пихать свой IP в качестве HELO!" >> >> hosts = *:!+relay_from_hosts >> >> condition = ${if eq{$sender_helo_name}\ >> >> {$sender_host_address}{true}{false}} >> >> >> >> >> >> # Рубаем тех, кто в HELO пихает мой IP (2500 за месяц!) >> >> deny condition = ${if eq{$sender_helo_name}\ >> >> {$interface_address}{yes}{no}} >> >> hosts = !127.0.0.1 : !localhost : * >> >> message = "Это мой IP-адрес! Пшёл прочь!" >> >> >> >> # Рубаем тех, кто в HELO пихает только цифры >> >> # (не бывает хостов ТОЛЬКО из цифр) >> >> deny condition = ${if match{$sender_helo_name}\ >> >> {\N^\d+$\N}{yes}{no}} >> >> hosts = !127.0.0.1:!localhost:* >> >> message = "В HELO не могут быть тока цифры!" >> >> >> >> # Рубаем хосты типа *adsl*; *dialup*; *pool*;.... >> >> # Нормальные люди с таких не пишут. Если будут >> >> # проблемы - уберёте проблемный пункт (у меня клиенты >> >> # имеют запись типа asdl-1233.zone.su - я ADSL убрал...) >> >> deny message = "Не нравится мне Ваш хост..." >> >> condition = ${if match{$sender_host_name} \ >> >> {adsl|dialup|pool|peer|dhcp} \ >> >> {yes}{no}} >> >> >> >> # Рубаем тех, кто в блэк-листах. Серваки перебираются >> >> # сверху вниз, если не хост не найден на первом, то >> >> # запрашивается второй, и т.д. Если не найден ни в одном >> >> # из списка - то почта пропускается. >> >> deny message = "host in blacklist - $dnslist_domain \n >> >> dnslist_text" >> >> dnslists = opm.blitzed.org : \ >> >> proxies.blackholes.easynet.nl : \ >> >> cbl.abuseat.org : \ >> >> bl.spamcop.net : \ >> >> bl.csma.biz : \ >> >> dynablock.njabl.org : \ >> >> >> >> # Задержка. (это такой метод борьбы со спамом, >> >> # основанный на принципе его рассылки) На этом рубается >> >> # почти весь спам. Единственно - метод неприменим на >> >> # реально загруженных MTA - т.к. в результате ему >> >> # приходится держать много открытых соединений. >> >> # но на офисе в сотню-две человек - шикарный метод. >> >> # >> >> # более сложный вариант, смотрите в статье по exim и >> >> # курьер имап. Т.к. там метод боле умный (просто правил >> >> # больше :), то можно и на более загруженные сервера ставить) >> >> warn >> >> # ставим дефолтовую задержку в 20 секунд >> >> set acl_m0 = 25s >> >> warn >> >> # ставим задержку в 0 секунд своим хостам и >> >> # дружественным сетям (соседняя контора :)) >> >> hosts = +relay_from_hosts >> >> set acl_m0 = 0s >> >> warn >> >> # пишем в логи задержку (если оно вам надо) >> >> logwrite = Delay $acl_m0 for $sender_host_name \ >> >> [$sender_host_address] with HELO=$sender_helo_name. Mail \ >> >> from $sender_address to $local_part@$domain. >> >> delay = $acl_m0 >> >> ----------------------------------------------------------- >> >> >> >> Так вот у меня все равно очень много спама приходит. по 20 -50 писем в >> >> сутки. Задолбало уже. У кого есть рецепты - делитесь. >> >> >> > >> >> > > -- > <> 304 <> > > Кто урод, кто красавец - не ведает страсть. > В ад согласен безумец влюбленный попасть. > Безразлично влюбленным, во что одеваться, > Что на землю стелить, что под голову класть. > Омар Хайям. Рубаи. > ,,,, > /'^'\ > ( o o ) > --oOOO--(_)--OOOo------------------------------------------------ > | Andrew A. Sabitov > | Email: sabitov@sabitov.pp.ru > | WWW: sabitov.pp.ru > | .oooO Еж птица гордая - пока не пнешь, не полетит! > | ( ) Oooo. > ---\ (----( )------------------------------------------------- > \_) ) / > (_/ > > ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [gentoo-user-ru] Борьба со спамом (exim) 2008-12-05 23:06 ` Pavel Gaidai @ 2008-12-06 9:40 ` Andrew A. Sabitov 0 siblings, 0 replies; 7+ messages in thread From: Andrew A. Sabitov @ 2008-12-06 9:40 UTC (permalink / raw To: gentoo-user-ru On Sat, 6 Dec 2008, Pavel Gaidai wrote: > Кроме cbl.abuseat.org мне еще помогает zen.spamhaus.org. > За две недели 29608 писем отбил. Да, я тоже не этот список перешел. Если внимательно почитать, что пишут на сайте ЦБЛ, то там есть прямая просьба использовать спамхаус. Но и не могу не похвастаться статистикой за 5 дней: blocked using zen.spamhaus.org (total: 914408) На серые списки попадает порядка 3% от общего числа попыток. И если раньше грейлистинг у меня именно фильтровал почту, то сейчас его основная задача отбить зомби в первые минуты активности, пока они не попали в ЦБЛ (дзен.спамхауз включает в себя ЦБЛ) -- <> 95 <> Чье сердце не горит любовью страстной к милой, - Без утешения влачит свой век унылый. Дни, проведенные без радостей любви, Считаю тяготой ненужной и постылой. Омар Хайям. Рубаи. ,,,, /'^'\ ( o o ) --oOOO--(_)--OOOo------------------------------------------------ | Andrew A. Sabitov | Email: sabitov@sabitov.pp.ru | WWW: sabitov.pp.ru | .oooO Еж птица гордая - пока не пнешь, не полетит! | ( ) Oooo. ---\ (----( )------------------------------------------------- \_) ) / (_/ ^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [gentoo-user-ru] Борьба со спамом (exim) 2008-11-11 16:52 [gentoo-user-ru] Борьба со спамом (exim) Anton S. Ustyuzhanin 2008-11-11 17:44 ` Andrew A. Sabitov @ 2008-11-12 5:33 ` Anton Kvashin 1 sibling, 0 replies; 7+ messages in thread From: Anton Kvashin @ 2008-11-12 5:33 UTC (permalink / raw To: gentoo-user-ru Anton S. Ustyuzhanin пишет: > Помогите кто как борится со спамом. Я использую exim. > Так вот у меня все равно очень много спама приходит. по 20 -50 писем в > сутки. Задолбало уже. У кого есть рецепты - делитесь. http://wiki.exim.org/HowTo По конфигу не видно использование spf, clamav, spamassasin, sender verify, посмотрите на greylisting, например postgrey (грейлистинг делать не всех, а подозрительных, валидные письма будут ходить без задержки). Изучайте приходящие письма, заголовки, составляйте правила (exim в этом могуч). -- Anton Kvashin ^ permalink raw reply [flat|nested] 7+ messages in thread
end of thread, other threads:[~2008-12-06 9:40 UTC | newest] Thread overview: 7+ messages (download: mbox.gz follow: Atom feed -- links below jump to the message on this page -- 2008-11-11 16:52 [gentoo-user-ru] Борьба со спамом (exim) Anton S. Ustyuzhanin 2008-11-11 17:44 ` Andrew A. Sabitov 2008-11-12 4:53 ` Anton S. Ustyuzhanin 2008-11-19 16:21 ` Andrew A. Sabitov 2008-12-05 23:06 ` Pavel Gaidai 2008-12-06 9:40 ` Andrew A. Sabitov 2008-11-12 5:33 ` Anton Kvashin
This is a public inbox, see mirroring instructions for how to clone and mirror all data and code used for this inbox