Antispam na poštovní server

Antispam na poštovní server
« kdy: 04. 08. 2019, 12:49:45 »
Roky jsem používal na poštovním serveru SpamAssassin a celkem spokojenost. Občas něco prošlo, ještě méně často se spletl u nějakého strojově generovaného mailu typu faktura od UPC, ale nic dramatického. Většina spamu byla v angličtině a nebyl problém.

Poslední dobou mi začalo chodit velké množství spamu v češtině a SpamAssassin to spíš nedává, než dává. Dokud to chodilo skoro všechno z domény .icu a ještě nějaké podobné exotiky, tak jsem ač nerad dal nesystémově těm doménám hned ze startu vyšší trestné body a pohoda. Tou už ale neplatí.

Poštu poctivě třídím ručně a SpamAssassin učím, ale nic moc se neděje. Graylistu nebo přebírání veřejných blacklistů bych se raději vyhnul.

Nevyrostla v mezičase nějaká schopnější náhrada za SpamAssassin, kterou jsem nezaznamenal?
« Poslední změna: 09. 09. 2019, 09:10:21 od Petr Krčmář »


McFly

  • *****
  • 592
    • Zobrazit profil
    • E-mail
Re:Antispam na poštovní server.
« Odpověď #1 kdy: 04. 08. 2019, 13:07:28 »
Údajně tohle https://rspamd.com/ - ale praktická zkušenost chybí. Mám dlouhé roky SpamAssassin + Greylist + blacklisty... ;)

David

  • ***
  • 151
    • Zobrazit profil
Re:Antispam na poštovní server.
« Odpověď #2 kdy: 04. 08. 2019, 16:31:48 »
Greylisting chápu, ten může být nepříjemný; ale také ho používám.
Jinak s tímhle mi to funguje docela použitelně:

# server applies in the context of a client connection request
smtpd_client_restrictions =
    check_client_access hash:/etc/postfix/rbl_override,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client bl.spamcop.net,
    reject_rbl_client cbl.abuseat.org,
    reject_rbl_client b.barracudacentral.org,
    reject_rhsbl_reverse_client dbl.spamhaus.org,
    reject_rbl_client smtp.dnsbl.sorbs.net,
    reject_rbl_client auth.spamrats.com,
    reject_rbl_client rbl.megarbl.net,
    permit

smtpd_helo_restrictions =
    reject_invalid_helo_hostname,
    reject_rhsbl_helo dbl.spamhaus.org,
    permit

# server applies in the context of the RCPT TO command, before smtpd_recipient_restrictions
smtpd_relay_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_pipelining,
    reject_non_fqdn_recipient,
    reject_unauth_destination,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client bl.spamcop.net,
    reject_rbl_client cbl.abuseat.org,
    reject_rbl_client b.barracudacentral.org,
    reject_rbl_client smtp.dnsbl.sorbs.net,
    reject_rbl_client auth.spamrats.com,
    reject_rbl_client rbl.megarbl.net,
    # sqlgrey
    check_policy_service inet:127.0.0.1:2501,
    permit

Re:Antispam na poštovní server.
« Odpověď #3 kdy: 04. 08. 2019, 17:05:23 »
Greylisting chápu, ten může být nepříjemný; ale také ho používám.
Jinak s tímhle mi to funguje docela použitelně:
Dík. ale ten  reject na postfixu se mi úplně nelíbí. Kdybych se přeci jen rozhodl dát šanci těm blacklistům, je možnost je použít jen k tagování, že jde o spam? Není nic neobvyklého, že na blacklistech skončí SMTP freemailů, ISP a podobně.

Používám Postfix, Amavisd-new a pod ním ten SpamAssassin.

David

  • ***
  • 151
    • Zobrazit profil
Re:Antispam na poštovní server.
« Odpověď #4 kdy: 04. 08. 2019, 17:36:09 »
Jak jsem napsal, používám to takto dlouhodobě a je to funkční dobře. Ty seznamy musíte vybírat tak, aby právě obsahovaly jen opravdu škodlivé adresy a ne oprávněné SMTP servery. Nevím, kde jste získal takovou zkušenost, ale správně nastavené servery se tam nedostanou - u těch free bych čekal antispam i na odchozí maily, rate limit a tak.


David

  • ***
  • 151
    • Zobrazit profil
Re:Antispam na poštovní server.
« Odpověď #5 kdy: 04. 08. 2019, 17:39:15 »
Do barracudy se musíte registrovat na jejich webu. Ostatní by měly být bez registrace.

Re:Antispam na poštovní server.
« Odpověď #6 kdy: 04. 08. 2019, 18:38:54 »
Jak jsem napsal, používám to takto dlouhodobě a je to funkční dobře. Ty seznamy musíte vybírat tak, aby právě obsahovaly jen opravdu škodlivé adresy a ne oprávněné SMTP servery. Nevím, kde jste získal takovou zkušenost, ale správně nastavené servery se tam nedostanou - u těch free bych čekal antispam i na odchozí maily, rate limit a tak.

Bohužel to není až tak výjimečný stav. Kde jaká menší firma má poštu u poskytovatele webhostingu a tam to SMTP sdílí s hromadou dalších zákazníku. Stačí aktivní uživatel, který přes to posílá newsletter, zavirovaný počítač kde braberka vyzobe přihlašovací údaje z poštovního klienta, ... a pokud provozovatel serveru není opravdu nekompromisní, jako že typicky není, tak je problém na světe.

Nemusí nutně jít ale jen o garážovky. Už jsem řešil i situaci, kdy mi Barracuda blokovala konkrétního zákazníka, který používal Office 365 a šlo to přes servery Microsoftu, což už je skoro z kategorie kdo neviděl, neuvěří.

David

  • ***
  • 151
    • Zobrazit profil
Re:Antispam na poštovní server.
« Odpověď #7 kdy: 05. 08. 2019, 07:20:52 »
Souhlasím a uznávám, že bránit se spamu není vůbec jednoduché (navíc s prostředky zadarmo). Také budeme mít jiné zkušenosti při 20 schránkách nebo u serveru s 5000 uživateli. Různé firmy slibují 99% úspěšný antispam, ale to asi těžko; vždycky se asi hledá rovnováha v nastavení a pro každý vzorek uživatelů to může být jiné. Určitě se nikdy nechci dostat do situace, jako to dělá Google, že e-mail hodí do spamu a nikdo neví proč.

ETNyx

Re:Antispam na poštovní server.
« Odpověď #8 kdy: 05. 08. 2019, 09:17:40 »
Dík. ale ten  reject na postfixu se mi úplně nelíbí. Kdybych se přeci jen rozhodl dát šanci těm blacklistům, je možnost je použít jen k tagování, že jde o spam? Není nic neobvyklého, že na blacklistech skončí SMTP freemailů, ISP a podobně.

Používám Postfix, Amavisd-new a pod ním ten SpamAssassin.

SpamAssassin taky umí koukat do Spamlistů a pak za to rozdávat body

https://cwiki.apache.org/confluence/display/SPAMASSASSIN/DnsBlocklists

Re:Antispam na poštovní server.
« Odpověď #9 kdy: 08. 09. 2019, 13:41:41 »
SpamAssassin taky umí koukat do Spamlistů a pak za to rozdávat body

https://cwiki.apache.org/confluence/display/SPAMASSASSIN/DnsBlocklists

Dík. To jsem nevěděl. Nastavil jsem to podle Tvojí rady asi před měsícem a bohužel mi to spíš nefunguje, než funguje. V podstatě jediný blacklist, který mi jede, je Barracuda.

Dnes jsem se dokopal do toho hrábnout trošku víc a zjistil jsem, že u Forpsi, kde mi VPS s pošťákem běží, se mi to chová jinak, než doma a na dalších místech, kde jsem se byl schopen připojit.

Tohle je poslední spam, který mi přišel a tak to vypadá, když to zkusím ručně:
Kód: [Vybrat]
$ nslookup 251.19.227.91.sbl.spamhaus.org
Server: 2001:4860:4860::8888
Address: 2001:4860:4860::8888#53

** server can't find 251.19.227.91.sbl.spamhaus.org: NXDOMAIN

$ nslookup 231.33.82.45.b.barracudacentral.org
Server: 2001:4860:4860::8888
Address: 2001:4860:4860::8888#53

Non-authoritative answer:
Name: 231.33.82.45.b.barracudacentral.org
Address: 127.0.0.2

Jinde jede i ten Spamhaus. Zkusil jsem změnit DNS, změnit preferenci IPv4 před IPv6 a následně tu IPv6 i vypnout, ale problém je zjevně jinde. Chová se to pořád stejně.

V čem by mohl být problém?

Re:Antispam na poštovní server.
« Odpověď #10 kdy: 08. 09. 2019, 17:03:33 »
Boj se spamem bohuzel neni vec, kterou clovek vyresi jednou a provzdy. Cas od casu je potreba upravit pravidla a dalsi drobnosti. Co dle mych zkusenosti funguje:

* DNS blocklisty
* pyzor
* bayes filtrovani, hlavne pravidelne plnit spamem/hamem
* spam nemazat, presouvat do slozek a obcas mrknout co tam chodi, podle toho upravovat pravidla:
# missing RDNS
score RDNS_NONE 2.13

# fucking hadice a baterky!
body LOCAL_CZECH_SPAM /00bcz14\.jpg/
score LOCAL_CZECH_SPAM 5.13
describe LOCAL_CZECH_SPAM Match something from czech spam mails


#score PYZOR_CHECK 3.13
score PYZOR_CHECK 4.13

score URIBL_DBL_SPAM 3.5

# spammy domains
header SPAMMY_TLD_IN_RCVD Received =~ /(\.net\.ae|\.net\.id|\.ro|\.ru|\.co\.jp|\.co\.ke|\.AC\.ZA|\.co\.in|\.com\.vn|\.vn|\.cc|\.cu\.ua|\.com\.br|\.gr|\.hr|\.dk|\.win|\.bid|\.tw|\.br|\.pk|\.top|\.club|\.date|\.stream|\.xyz|biz\.ua|co\.ua)\s/i
score SPAMMY_TLD_IN_RCVD 2.13
describe SPAMMY_TLD_IN_RCVD Spammy TLD used in Received line

header SPAMMY_TLD_IN_FROM From =~ /(\.net\.ae|\.net\.id|\.ro|\.ru|\.co\.jp|\.co\.ke|\.AC\.ZA|\.co\.in|\.com\.vn|\.vn|\.cc|\.cu\.ua|\.com\.br|\.gr|\.hr|\.dk|\.win|\.bid|\.tw|\.br|\.pk|\.top|\.club|\.date|\.stream|\.xyz|biz\.ua|co\.ua)>$/i
score SPAMMY_TLD_IN_FROM 2.13
describe SPAMMY_TLD_IN_FROM Spammy TLD used in From line


FKoudelka

Re:Antispam na poštovní server.
« Odpověď #11 kdy: 09. 09. 2019, 08:42:06 »
Roky jsem používal na poštovním serveru SpamAssassin a celkem spokojenost. Občas něco prošlo, ještě méně často se spletl u nějakého strojově generovaného mailu typu faktura od UPC, ale nic dramatického. Většina spamu byla v angličtině a nebyl problém.

Poslední dobou mi začalo chodit velké množství spamu v češtině a SpamAssassin to spíš nedává, než dává. Dokud to chodilo skoro všechno z domény .icu a ještě nějaké podobné exotiky, tak jsem ač nerad dal nesystémově těm doménám hned ze startu vyšší trestné body a pohoda. Tou už ale neplatí.

Poštu poctivě třídím ručně a SpamAssassin učím, ale nic moc se neděje. Graylistu nebo přebírání veřejných blacklistů bych se raději vyhnul.

Nevyrostla v mezičase nějaká schopnější náhrada za SpamAssassin, kterou jsem nezaznamenal?
Silně doporučuji zavést si na doméně SPF, ev i DKIM a tudíž DMARC.
A následně na přijímacím mail serveru nastavit SPF kontrolu. Vyhodí to nejen příchozí spamy s adresou “z vaší domény” ale taky z ostatních domén , gmail yahoo apod, pokud to opravdu neposílají jejich servery. Tolik stručně

McFly

  • *****
  • 592
    • Zobrazit profil
    • E-mail
Re:Antispam na poštovní server.
« Odpověď #12 kdy: 09. 09. 2019, 13:54:50 »
A následně na přijímacím mail serveru nastavit SPF kontrolu. Vyhodí to nejen příchozí spamy s adresou “z vaší domény” ...

Kontrola SPF se aplikuje na obálkového odesílatele (MAIL FROM), bohužel už tím nelze kontrolovat odesílatele hlavičkového (FROM), takže i se striktní SPF kontrolou může uživateli přistát do mailu spam z jeho vlastní domény, sám jsem to řešil ve firmě. :)

Re:Antispam na poštovní server
« Odpověď #13 kdy: 09. 09. 2019, 15:33:10 »
Dík za postřehy ohledně SPF, DKIM a dalších věcí, ale spíš bych potřeboval zjistit, proč mi nejedou ty blacklisty, viz. https://forum.root.cz/index.php?topic=21625.msg316468#msg316468

Z tohoto chování jsem poněkud zmatený a nevím, co zkusit.
Dík

Re:Antispam na poštovní server.
« Odpověď #14 kdy: 09. 09. 2019, 15:59:57 »
A následně na přijímacím mail serveru nastavit SPF kontrolu. Vyhodí to nejen příchozí spamy s adresou “z vaší domény” ...

Kontrola SPF se aplikuje na obálkového odesílatele (MAIL FROM), bohužel už tím nelze kontrolovat odesílatele hlavičkového (FROM), takže i se striktní SPF kontrolou může uživateli přistát do mailu spam z jeho vlastní domény, sám jsem to řešil ve firmě. :)
To je ale v pořádku. Díky SPF nebo DKIM víte, který server ten email poslal, a řešit to s nimi – a pokud budou spam posílat dál, můžete je dát na blacklist.