[Sysadmins] spam, spamassassin - bayes

JaMm =?iso-8859-1?q?myjamm_=CE=C1_gmail=2Ecom?=
Пт Мар 28 07:38:44 MSK 2008 

27.03.08, Vladimir V. Kamarzin <vvk на vvk.pp.ru> написал(а):
>
> Это называется backscatter mail.
> http://www.postfix.org/BACKSCATTER_README.html
>
> Я бы не стал кормить таким. Лучше настройте postfix (или что у вас там) по
> аналогии с примерами из вышеуказанного readme.
>
> postfix :)
В readme написано:

/etc/postfix/main.cf:
header_checks = pcre:/etc/postfix/header_checks
body_checks = pcre:/etc/postfix/body_checks

/etc/postfix/header_checks:
if /^Received:/
/^Received: +from +(porcupine\.org) +/
reject forged client name in Received: header: $1
/^Received: +from +[^ ]+ +\(([^ ]+ +[he]+lo=|[he]+lo +)(porcupine\.org)\)/
reject forged client name in Received: header: $2
/^Received:.* +by +(porcupine\.org)\b/
reject forged mail server name in Received: header: $1
endif
#|
#именно эта проверка направлена на то что если спамерами используется в поле
recived porcupine.net, а не как должно host.porcupine.net
#но в отлупах которые приходят мне в этом поле всё правильно напсано
host.porcupine.net, т. е. эта проверка работать не будет.

/^Message-ID:.* <!&!/ DUNNO
/^Message-ID:.*@(porcupine\.org)/
reject forged domain name in Message-ID: header: $1
#|
#эта проверка смотрит на то как указан адрес (проходит если
user на host.porcupine.org), но на нашей системе используются
user на porcupine.org

/etc/postfix/body_checks:
if /^[> ]*Received:/
/^[> ]*Received: +from +(porcupine\.org) /
reject forged client name in Received: header: $1
/^[> ]*Received: +from +[^ ]+ +\(([^ ]+ +[he]+lo=|[he]+lo
+)(porcupine\.org)\)/
reject forged client name in Received: header: $2
/^[> ]*Received:.* +by +(porcupine\.org)\b/
reject forged mail server name in Received: header: $1
endif
#|
#то же что и в header_checks

/^[> ]*Message-ID:.* <!&!/ DUNNO
/^[> ]*Message-ID:.*@(porcupine\.org)/
reject forged domain name in Message-ID: header: $1
#|
#то же что и в header_checks

Очевидно что проверки основанные на тонкости между host.porcupine.org и
porcupine.org работать не будут на нашей системе. Следующий из этого вопрос
как эффективно фильтровать такой вид спамерской атаки?
Внимательно изучив backscatter сообщения я заметил что во всех письмах в
поле recived в теле письма (отчёт mailer-daemona атакованного спамером)
напротив нашего хоста указывается не наш IP:
Received: from [62.221.98.202] by host.porcupine.org; Thu, 27 Mar 2008
21:39:52 +0300
                        #|
                        #не наш IP
Может возможно на этом построить проверку? Какое тогда должно быть
регулярное выражение?
-- 
С уважением, Андрей Степнов,
администратор сахалинского сегмента корпоративной сети ДВО РАН
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/sysadmins/attachments/20080328/28eeb204/attachment-0002.html>

Подробная информация о списке рассылки Sysadmins