„Litevsky“ spam procházející filtry

[Jiri Dobry]

Zdar,

poslednich asi 1/2 roku pozoruji masivni narust spamu ktery ma parametry, ktere me prekvapuji.
Email je formalne "spravne". Projde overenim DKIM, SPF atd. Domeny jsou nahodne generovane z .com, .eu, .co atd.
Prekvapuje me to proto, ze uz jen to formalni zarizeni domeny, ktera se brzy proflakne a museji pouzivat jinou stoji penize. Jmeno odesilatele je nahodne generovane (a obcas i zabavne znejici jako Cecílie Červinka), ale obtezuje to.

Momentalne je spolecny jmenovatel IP 45.146.201.* coz me vede do Litvy k UAB Baltnetos komunikacijos. Jeste nedavno to bylo Madarsko.

A nejsou me jasne 2 veci:
1) kde na to berou penize? Nakup domeny, sehnani !hromady! IPv4 adres ke znehodnoceni (potoze RBL) taky neni zadarmo. To vazne chyti tolik obeti, ze se na ten sunt (ostricky nozu, baterky, hadice atd) chyti dost lidi?
2) jak tomu zatnout tipec.

SPAM score to vyfasuje vysoke, ale u dost emailu ne dost vysoke ani s naucenym filtrem

Kód: [Vybrat]

X-Spam-Flag: YES
X-Spam-Score: 8.952
X-Spam-Level: ********
X-Spam-Status: Yes, score=8.952 tagged_above=-999 required=4.5
tests=[BAYES_99=3.5, BAYES_999=0.2, DKIM_SIGNED=0.1, DKIM_VALID=-0.1,
DKIM_VALID_AU=-0.1, DKIM_VALID_EF=-0.1, HTML_IMAGE_ONLY_32=0.001,
HTML_MESSAGE=0.001, LOCAL_FROM_COM=-5, LOCAL_FROM_TLD=5,
SPF_HELO_NONE=0.001, SPF_PASS=-0.001, URIBL_ABUSE_SURBL=1.25,
URIBL_BLACK=1.7, URIBL_DBL_SPAM=2.5] autolearn=no autolearn_force=no

[Reklama]

[analogic]

1. pokud je email dobře udělaný a zboží má dobrý zásah tak účinnost může být 3-10%. Tohle zboží má navíc velkou marži...
2. Ze zvědavosti jsem se na ten subnet podíval na jednom menším mailserveru dělá cca 4% provozu denně, což je docela masakr.

Každopádně zkusil bych přesedlat na RSPAMD, všechno to padá do spamu, byť za to z velký míry můžou blacklisty...

[redustin]

Zajímavé, ten rspamd si stahuje nějaké aktualizované databáze, kde má aktuální nedůvěryhodné IP adresy? Díky.

[Jiri Dobry]

RSPAMD zkusim nasadit az bude cas resit pripadne problemy.
Ale jak rikate. Drtivou vetsinu zahazuje kvuli blacklistum. A v tom je prave ta potiz a predmet puvodniho dotazu.
Jak to dokazi tak efektivne tlacit, kdyz se kazda IPv4 adresa pres kterou to zkousi se na blacklist dostane. Kde porad berou nove?
Moje nastaveni ted ma na tento spam asi 95% ucinnost. Ale i tak je toho tolik, ze ta troska co projde obtezuje.

[analogic]

Zajímavé, ten rspamd si stahuje nějaké aktualizované databáze, kde má aktuální nedůvěryhodné IP adresy? Díky.

Nene, to je čistě reputační systém. Z každého oskenovaného emailu se počítá spamovitost IP/Subnetu/ASN...

[Reklama]

[Boban]

rspamd můžu jen doporučit! Váhal jsem delší dobu, a nelituju.

Tento týden jsem si v reakci na spamy z LT navýšil score pro maily z LT ASN.

Při kontrole většina spamů nemá validní MX, na což mám také navýšené score.

U rspamd je výhoda, že by default když nemá mail vyloženě dobrou reputaci, tj. nižší než 0, je email greylistován.
Další výhoda je, že AS kontrola probíhá před přijmutím emailu, takže spamy jsou rovnou odmítány/greylistovány na vstupu postfixu.

[analogic]

Jak to dokazi tak efektivne tlacit, kdyz se kazda IPv4 adresa pres kterou to zkousi se na blacklist dostane. Kde porad berou nove?

Deravej router? Prohnilej AS operator?

Jinak zkousel jsem vyfiltrovat vsechny IP z ASN (grep -E "45\.146\.(200|201|202|203)|45\.82\.(32|33|34|35)|45\.95\.(32|33|35)|5\.133\.66") a jsem nekde na 7-8% denniho provozu!§

[Tomáš G.]

Tenhle adresní rozsah je fakt výživný. Podíval jsem se na svůj soukromý poštovní servřík a od 5.9., kdy mi začal chodit spam i z tohoto rozsahu, mi od nich přišlo 2849 z 14233 spamů celkem. Poctivých 20%.

[Jiri Dobry]

Tak jsem zkusil ten adresni rozsah pokutovat +6 bodu v SA. Nechtel jsem to uplne bloknout, protoze nevim co vsechno tam sidli. Ja byt na miste spamerra, tak se snazim tam hostovat realne sluzby, ktere tomu davaji legitimitu (proto neblokuji natvrdo). Hranici pro uplne zahozeni do karanteny bez infa uzivateli mam 10 bodu, a to je plus ostatni SA body s rezervou az dost. Zatim nic neprolezlo.

Kód: [Vybrat]

header    LOCAL_RULE_IP_1   Received =~ /\[70\.98\.79\.d{1,3}\]/
describe  LOCAL_RULE_IP_1   Spam passed through possible spammer relay 1
score     LOCAL_RULE_IP_1   6

header    LOCAL_RULE_IP_2   Received =~ /\[45\.146\.(200|201|202|203)\.\d{1,3}\]/
describe  LOCAL_RULE_IP_2   Spam passed through possible spammer relay 2
score     LOCAL_RULE_IP_2   6

header    LOCAL_RULE_IP_3   Received =~ /\[45\.82\.(32|33|34|35)\.\d{1,3}\]/
describe  LOCAL_RULE_IP_3   Spam passed through possible spammer relay 3
score     LOCAL_RULE_IP_3   6

header    LOCAL_RULE_IP_4   Received =~ /\[45\.95\.(32|33|35)\.\d{1,3}\]/
describe  LOCAL_RULE_IP_4   Spam passed through possible spammer relay 4
score     LOCAL_RULE_IP_4   6


[analogic]

Ještě bych zkusil být tebou nastavit do SA http://uribl.com/ nebo potunit skórování.

Drtivá většina těchle emailů stejně koncipovaných (čeština + shity produkt) mi defakto končí na tom, že jsou v uribl BLACK. A zatím jsem žádné false positive od nich neviděl...

black.uribl.com
- This lists contains domain names belonging to and used by spammers, including but not restricted to those that appear in URIs found in Unsolicited Bulk and/or Commercial Email (UBE/UCE). This list has a goal of zero False Positives. This zone rebuilds frequently as new data is added

[Jiri Dobry]

URIBL je samozrejme pouzite.
Viz hned ten prvni prispevek:

Kód: [Vybrat]

URIBL_ABUSE_SURBL=1.25,
URIBL_BLACK=1.7, URIBL_DBL_SPAM=2.5Vyfasuje body, ale v souctu ne dost bodu.

[kotelgg]

A reverzní DNS sedí taky? Mně už nechodily maily ani na seznam, když jsem ho neměl nastavený. Je zvláštní, že jim tohle dneska někdo povolí, protože 1 takovej spamer pak zablokuje celýho poskytovatele a proto si to dost hlídají. Já musel často hostingu vysvětlovat, proč můj server někam poslal stovky paketů, protože někde to nějaký firewall vyhodnotil jako ddos. Šlo samozřejmě jen na odpověď při užití služby.