Antispam na poštovní server

[Tomáš G.]

Roky jsem používal na poštovním serveru SpamAssassin a celkem spokojenost. Občas něco prošlo, ještě méně často se spletl u nějakého strojově generovaného mailu typu faktura od UPC, ale nic dramatického. Většina spamu byla v angličtině a nebyl problém.

Poslední dobou mi začalo chodit velké množství spamu v češtině a SpamAssassin to spíš nedává, než dává. Dokud to chodilo skoro všechno z domény .icu a ještě nějaké podobné exotiky, tak jsem ač nerad dal nesystémově těm doménám hned ze startu vyšší trestné body a pohoda. Tou už ale neplatí.

Poštu poctivě třídím ručně a SpamAssassin učím, ale nic moc se neděje. Graylistu nebo přebírání veřejných blacklistů bych se raději vyhnul.

Nevyrostla v mezičase nějaká schopnější náhrada za SpamAssassin, kterou jsem nezaznamenal?

[Reklama]

[McFly]

Údajně tohle https://rspamd.com/ - ale praktická zkušenost chybí. Mám dlouhé roky SpamAssassin + Greylist + blacklisty...

[David]

Greylisting chápu, ten může být nepříjemný; ale také ho používám.
Jinak s tímhle mi to funguje docela použitelně:

# server applies in the context of a client connection request
smtpd_client_restrictions =
    check_client_access hash:/etc/postfix/rbl_override,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client bl.spamcop.net,
    reject_rbl_client cbl.abuseat.org,
    reject_rbl_client b.barracudacentral.org,
    reject_rhsbl_reverse_client dbl.spamhaus.org,
    reject_rbl_client smtp.dnsbl.sorbs.net,
    reject_rbl_client auth.spamrats.com,
    reject_rbl_client rbl.megarbl.net,
    permit

smtpd_helo_restrictions =
    reject_invalid_helo_hostname,
    reject_rhsbl_helo dbl.spamhaus.org,
    permit

# server applies in the context of the RCPT TO command, before smtpd_recipient_restrictions
smtpd_relay_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_pipelining,
    reject_non_fqdn_recipient,
    reject_unauth_destination,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client bl.spamcop.net,
    reject_rbl_client cbl.abuseat.org,
    reject_rbl_client b.barracudacentral.org,
    reject_rbl_client smtp.dnsbl.sorbs.net,
    reject_rbl_client auth.spamrats.com,
    reject_rbl_client rbl.megarbl.net,
    # sqlgrey
    check_policy_service inet:127.0.0.1:2501,
    permit

[Tomáš G.]

Greylisting chápu, ten může být nepříjemný; ale také ho používám.
Jinak s tímhle mi to funguje docela použitelně:

Dík. ale ten  reject na postfixu se mi úplně nelíbí. Kdybych se přeci jen rozhodl dát šanci těm blacklistům, je možnost je použít jen k tagování, že jde o spam? Není nic neobvyklého, že na blacklistech skončí SMTP freemailů, ISP a podobně.

Používám Postfix, Amavisd-new a pod ním ten SpamAssassin.

[David]

Jak jsem napsal, používám to takto dlouhodobě a je to funkční dobře. Ty seznamy musíte vybírat tak, aby právě obsahovaly jen opravdu škodlivé adresy a ne oprávněné SMTP servery. Nevím, kde jste získal takovou zkušenost, ale správně nastavené servery se tam nedostanou - u těch free bych čekal antispam i na odchozí maily, rate limit a tak.

[Reklama]

[David]

Do barracudy se musíte registrovat na jejich webu. Ostatní by měly být bez registrace.

[Tomáš G.]

Jak jsem napsal, používám to takto dlouhodobě a je to funkční dobře. Ty seznamy musíte vybírat tak, aby právě obsahovaly jen opravdu škodlivé adresy a ne oprávněné SMTP servery. Nevím, kde jste získal takovou zkušenost, ale správně nastavené servery se tam nedostanou - u těch free bych čekal antispam i na odchozí maily, rate limit a tak.

Bohužel to není až tak výjimečný stav. Kde jaká menší firma má poštu u poskytovatele webhostingu a tam to SMTP sdílí s hromadou dalších zákazníku. Stačí aktivní uživatel, který přes to posílá newsletter, zavirovaný počítač kde braberka vyzobe přihlašovací údaje z poštovního klienta, ... a pokud provozovatel serveru není opravdu nekompromisní, jako že typicky není, tak je problém na světe.

Nemusí nutně jít ale jen o garážovky. Už jsem řešil i situaci, kdy mi Barracuda blokovala konkrétního zákazníka, který používal Office 365 a šlo to přes servery Microsoftu, což už je skoro z kategorie kdo neviděl, neuvěří.

[David]

Souhlasím a uznávám, že bránit se spamu není vůbec jednoduché (navíc s prostředky zadarmo). Také budeme mít jiné zkušenosti při 20 schránkách nebo u serveru s 5000 uživateli. Různé firmy slibují 99% úspěšný antispam, ale to asi těžko; vždycky se asi hledá rovnováha v nastavení a pro každý vzorek uživatelů to může být jiné. Určitě se nikdy nechci dostat do situace, jako to dělá Google, že e-mail hodí do spamu a nikdo neví proč.

[ETNyx]

Dík. ale ten  reject na postfixu se mi úplně nelíbí. Kdybych se přeci jen rozhodl dát šanci těm blacklistům, je možnost je použít jen k tagování, že jde o spam? Není nic neobvyklého, že na blacklistech skončí SMTP freemailů, ISP a podobně.

Používám Postfix, Amavisd-new a pod ním ten SpamAssassin.

SpamAssassin taky umí koukat do Spamlistů a pak za to rozdávat body

https://cwiki.apache.org/confluence/display/SPAMASSASSIN/DnsBlocklists

[Tomáš G.]

SpamAssassin taky umí koukat do Spamlistů a pak za to rozdávat body

https://cwiki.apache.org/confluence/display/SPAMASSASSIN/DnsBlocklists

Dík. To jsem nevěděl. Nastavil jsem to podle Tvojí rady asi před měsícem a bohužel mi to spíš nefunguje, než funguje. V podstatě jediný blacklist, který mi jede, je Barracuda.

Dnes jsem se dokopal do toho hrábnout trošku víc a zjistil jsem, že u Forpsi, kde mi VPS s pošťákem běží, se mi to chová jinak, než doma a na dalších místech, kde jsem se byl schopen připojit.

Tohle je poslední spam, který mi přišel a tak to vypadá, když to zkusím ručně:

Kód: [Vybrat]

$ nslookup 251.19.227.91.sbl.spamhaus.org
Server: 2001:4860:4860::8888
Address: 2001:4860:4860::8888#53

** server can't find 251.19.227.91.sbl.spamhaus.org: NXDOMAIN

$ nslookup 231.33.82.45.b.barracudacentral.org
Server: 2001:4860:4860::8888
Address: 2001:4860:4860::8888#53

Non-authoritative answer:
Name: 231.33.82.45.b.barracudacentral.org
Address: 127.0.0.2
Jinde jede i ten Spamhaus. Zkusil jsem změnit DNS, změnit preferenci IPv4 před IPv6 a následně tu IPv6 i vypnout, ale problém je zjevně jinde. Chová se to pořád stejně.

V čem by mohl být problém?

[⚫⚫⚫]

Boj se spamem bohuzel neni vec, kterou clovek vyresi jednou a provzdy. Cas od casu je potreba upravit pravidla a dalsi drobnosti. Co dle mych zkusenosti funguje:

* DNS blocklisty
* pyzor
* bayes filtrovani, hlavne pravidelne plnit spamem/hamem
* spam nemazat, presouvat do slozek a obcas mrknout co tam chodi, podle toho upravovat pravidla:

# missing RDNS
score RDNS_NONE 2.13

# fucking hadice a baterky!
body LOCAL_CZECH_SPAM /00bcz14\.jpg/
score LOCAL_CZECH_SPAM 5.13
describe LOCAL_CZECH_SPAM Match something from czech spam mails


#score PYZOR_CHECK 3.13
score PYZOR_CHECK 4.13

score URIBL_DBL_SPAM 3.5

# spammy domains
header SPAMMY_TLD_IN_RCVD Received =~ /(\.net\.ae|\.net\.id|\.ro|\.ru|\.co\.jp|\.co\.ke|\.AC\.ZA|\.co\.in|\.com\.vn|\.vn|\.cc|\.cu\.ua|\.com\.br|\.gr|\.hr|\.dk|\.win|\.bid|\.tw|\.br|\.pk|\.top|\.club|\.date|\.stream|\.xyz|biz\.ua|co\.ua)\s/i
score SPAMMY_TLD_IN_RCVD 2.13
describe SPAMMY_TLD_IN_RCVD Spammy TLD used in Received line

header SPAMMY_TLD_IN_FROM From =~ /(\.net\.ae|\.net\.id|\.ro|\.ru|\.co\.jp|\.co\.ke|\.AC\.ZA|\.co\.in|\.com\.vn|\.vn|\.cc|\.cu\.ua|\.com\.br|\.gr|\.hr|\.dk|\.win|\.bid|\.tw|\.br|\.pk|\.top|\.club|\.date|\.stream|\.xyz|biz\.ua|co\.ua)>$/i
score SPAMMY_TLD_IN_FROM 2.13
describe SPAMMY_TLD_IN_FROM Spammy TLD used in From line

[FKoudelka]

Roky jsem používal na poštovním serveru SpamAssassin a celkem spokojenost. Občas něco prošlo, ještě méně často se spletl u nějakého strojově generovaného mailu typu faktura od UPC, ale nic dramatického. Většina spamu byla v angličtině a nebyl problém.

Poslední dobou mi začalo chodit velké množství spamu v češtině a SpamAssassin to spíš nedává, než dává. Dokud to chodilo skoro všechno z domény .icu a ještě nějaké podobné exotiky, tak jsem ač nerad dal nesystémově těm doménám hned ze startu vyšší trestné body a pohoda. Tou už ale neplatí.

Poštu poctivě třídím ručně a SpamAssassin učím, ale nic moc se neděje. Graylistu nebo přebírání veřejných blacklistů bych se raději vyhnul.

Nevyrostla v mezičase nějaká schopnější náhrada za SpamAssassin, kterou jsem nezaznamenal?

Silně doporučuji zavést si na doméně SPF, ev i DKIM a tudíž DMARC.
A následně na přijímacím mail serveru nastavit SPF kontrolu. Vyhodí to nejen příchozí spamy s adresou “z vaší domény” ale taky z ostatních domén , gmail yahoo apod, pokud to opravdu neposílají jejich servery. Tolik stručně

[McFly]

A následně na přijímacím mail serveru nastavit SPF kontrolu. Vyhodí to nejen příchozí spamy s adresou “z vaší domény” ...

Kontrola SPF se aplikuje na obálkového odesílatele (MAIL FROM), bohužel už tím nelze kontrolovat odesílatele hlavičkového (FROM), takže i se striktní SPF kontrolou může uživateli přistát do mailu spam z jeho vlastní domény, sám jsem to řešil ve firmě.

[Tomáš G.]

Dík za postřehy ohledně SPF, DKIM a dalších věcí, ale spíš bych potřeboval zjistit, proč mi nejedou ty blacklisty, viz. https://forum.root.cz/index.php?topic=21625.msg316468#msg316468

Z tohoto chování jsem poněkud zmatený a nevím, co zkusit.
Dík

[Filip Jirsák]

A následně na přijímacím mail serveru nastavit SPF kontrolu. Vyhodí to nejen příchozí spamy s adresou “z vaší domény” ...

Kontrola SPF se aplikuje na obálkového odesílatele (MAIL FROM), bohužel už tím nelze kontrolovat odesílatele hlavičkového (FROM), takže i se striktní SPF kontrolou může uživateli přistát do mailu spam z jeho vlastní domény, sám jsem to řešil ve firmě.

To je ale v pořádku. Díky SPF nebo DKIM víte, který server ten email poslal, a řešit to s nimi – a pokud budou spam posílat dál, můžete je dát na blacklist.