[Sysadmins] Борьба со спамом!!!
Shcherbina N. Timur
=?iso-8859-1?q?timur_=CE=C1_hlbprime=2Ecom?=
Вт Мар 4 11:52:23 MSK 2008
Mail.ru для меня сказка, с ним spamassasin вполне справляется, а так как
домен .com, то проблематично с предложениями увеличению органов и продажей
виагры, причем замечена одна закономерность, а именно:
Вот часть main.cf
smtpd_client_restrictions = permit_sasl_authenticated, permit_mynetworks,
check_client_access hash:/etc/postfix/client_access, check_client_access
regexp:/etc/postfix/dul_checks, reject_rbl_client bl.spamcop.net,
reject_rbl_client cbl.abuseat.org, reject_rbl_client list.dsbl.org, permit
smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated,
check_helo_access hash:/etc/postfix/helo-access, check_helo_access
regexp:/etc/postfix/helo-regexp, reject_invalid_hostname,
reject_non_fqdn_hostname, reject_unknown_hostname, permit
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks,
reject_unlisted_recipient, reject_unauth_destination, permit
smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks,
check_sender_access regexp:/etc/postfix/sender_access,
reject_non_fqdn_sender, reject_unknown_sender_domain, permit
Файл /etc/postfix/dul_checks
/([0-9]*-){3}[0-9]*(\..*){2,}/i 553 SPAM_ip-add-rr-ess_networks
/([0-9]*\.){4}(.*\.){3,}.*/i 553 SPAM_ip-add-rr-ess_networks
Файл /etc/postfix/helo-regexp
/([0-9]{1,3}(\.|-)){3}[0-9]{1,3}/i REJECT IP-able helo SPAM
Вообщем весь этот конфиг говорит о том что запрещаем ИП-адрес в качестве
HELO.
Но каким то чудным образом пролезают письма с таким заголовком(см. ниже),
проанализировав логи и заголовки, пришел к выводу что с данного ИП создается
максимальное кол-во подключений и во всех практически заголовках первый
Received: from ИП (HELO ИП), также при анализе понял, что такие письма
проходят тока на алиасы, в примере внизу admin это алиас timur на hlbprime.com:
Mar 3 19:33:45 post postfix/anvil[12847]: statistics: max connection rate
7/60s for (smtp:190.50.106.101) at Mar 3 19:30:31
Received: by post.hlbprime.com (Postfix, from userid 121)
id 157842000342; Mon, 3 Mar 2008 19:30:03 +0300 (MSK)
X-Spam-Checker-Version: SpamAssassin 3.2.1 (2007-05-02) on post.hlbprime.com
X-Spam-Level: **
X-Spam-Status: No, score=2.2 required=7.0 tests=AWL,HTML_EXTRA_CLOSE,
HTML_MESSAGE,RCVD_FORGED_WROTE2,RDNS_NONE autolearn=no version=3.2.1
Received: from ps-av.com (unknown [190.50.106.101])
by post.hlbprime.com (Postfix) with SMTP id 7EF16200034E
for <admin на hlbprime.com>; Mon, 3 Mar 2008 19:29:54 +0300 (MSK)
Received: from 67.39.166.4 (HELO nospam.ivnet.com)
by hlbprime.com with esmtp ({nChar[8-12]} {nChar[4-6]})
id GEJkZB-VhSSrV-7l
for admin на hlbprime.com; Mon, 03 Mar 2008 14:31:59 -0300
Подробная информация о списке рассылки Sysadmins