Antispam ochranné techniky

Antispam ochranné techniky
« kdy: 08. 05. 2020, 16:42:35 »
Ahoj,
jake se pouzivaji techniky, jak ochranit svoji domenu a mailserver proti spamu, krome SPF, ADSP, DKIM, DMARC?
Mate na mailserverech nasazene vsechny tyto mechanizmy?
Muzete se nekdo podelit o zkusenosti?
Predem diky!
PP
« Poslední změna: 08. 05. 2020, 19:21:08 od Petr Krčmář »


Re:Antispam ochranné techniky
« Odpověď #1 kdy: 09. 05. 2020, 12:17:06 »
Velmi komplexna tema. Vacsina spravcov email servrov ti asi odpovie, ze nasadili take opratrenia, ktore su v ich prostredi efektivne a funguju. Neexistuje asi univerzalna odpoved. Budes musiet skusat ty sam, sledovat logy, staznosti pouzivatelov a neustale sa tomu prisposobovat. Email server nie je krabica, ktoru postavis a potom si ju viac nebudes vsimat.
V minulosti  stacilo, ked tvoj email server fungoval. Dnes je coraz viac dolezitejsie, aby nielen fungoval, ale mal aj dobru reputaciu, pretoze viacere antispam technologie sa spoliehaju aj na reputacne skore. Spameri aj uzivatelia su vynaliezavi a budu tvoje pravidla obchadzat.

Zakladne pravidla:
- dobre nastavene DNS, spravne reverzne DNS zaznamy pre tvoju IP.
- Spravne fungujuci SMTP server. Pozor na OpenRelay.
- SMTP autentifikacia tvojich uzivatelov pri odosielani.


Zakladna implementacia antispamu (moznosti je vela...)
- kazda slusna distribucia uz ma balicky, ktore po nainstalovani funguju uspokojivo. Hladaj  napr. spamassassin, clamav, amavisd.
- kontrolovat treba prichodziu, ale aj odosielanu postu.
- pravidelne updatovat spamfilter (sa-update v crone) a antivir signatury (freshclam).
- zvaz doplnenie externych 3rd party filtrov pre spamassassin (KAM.cf) a signatur pre clamav (https://sanesecurity.com/usage/linux-scripts/). Tu pozor, niektore signatury rapidne zvysia naroky na mnozstvo volnej RAM pre clamav.  Z mojich skusenosti mozem povedat, ze pre email server s clamav antivirom a externymi signaturami pocitaj s min. 2 GB RAM.
- Zvaz doplnenie pluginov perl-RAZOR, Pyzor a DCC k spamassassinu.


Zvysenie reputacie tvojho email servra:
- spravne SPF zaznamy v DNS. Na zaciatku nastav volnu politiku, neskor ju nastav na restriktivnu. Samozrejme osveta medzi tvojimi uzivatelmi, aby posielali postu u teba hostovanej domeny len cez tvoj email server.
- DKIM podpisovanie emailov.
- DMARC zaznam - opät nastav na zaciatku volnu politiku, neskor viac restriktivnu.
Google GMAIL ma rad SPF/DKIM/DMARC. Ale spameri tiez a velakrat dostanes SPAM s validnym SPF aj DKIM. Tieto opatrenia nie su vseliek.

Tweakovanie:
- TLS sifrovanie je dnes snad uz samozrejmost. Implementuj ho a vyzaduj jeho pouzivanie.
- V nedavnej minulosti bolo mnozstvo utokov na SSL/TLS starsich verzii, takze nastuduj a nastav - https://github.com/ssllabs/research/wiki/SSL-and-TLS-Deployment-Best-Practices
- zvaz doplnenie filtrovania prijmu emailov na zaklade RBL (IP blacklistov) - mozes to spravit na urovni SMTP servra, alebo az Spamassassin filtracie. A hlavne to neprehanaj, IP blacklistov je vela a nie kazdy je vhodny.

Zacni zakladom, studuj, pochop fungovanie kazdej komponenty email servra, ktoru pridas. Analyzuj logy, posielaj si zo svojho email servra testovacie emaily napr. na GMAIL a nasledne pozri cele hlavicky v GMAILi, kde mas detailnu analyzu tvojich SPF, DKIM a ci sa GMAILu pacili.

Aj tu na roote najdes vyborne zdroje:
https://www.root.cz/serialy/stavime-mailserver/

Dalsie zdroje a nastroje:
https://www.linuxtechi.com/configure-domainkeys-with-postfix-on-centos-7/
https://mxtoolbox.com/SuperTool.aspx - tu si otestuj, ako dobre si implementoval DNS, SPF, DKIM, DMARC atď...


Re:Antispam ochranné techniky
« Odpověď #2 kdy: 09. 05. 2020, 12:44:19 »

Re:Antispam ochranné techniky
« Odpověď #3 kdy: 19. 05. 2020, 15:14:09 »
Děkuji za informace, SA mam nakonfigurovanýho a funguje dobře. Jde mi spíše o zvýšení kreditibility mého SMTP serveru již konkrétně zmiňovanými technikami.
Zajímalo by mně kolik adminů tyto techniky používá, jak se konkrétně vypořádali s přeposíláním emailů, jestli nasazovali nějaké SRS, jestli nasazovali i ADSP a podobně. O těchto věcech se v návodech až tak moc nemluví, většinou jen o SPF, DKIM a DMARC a už vůbec ne o zkušenostech, co mně zajímá nejvíc.

Re:Antispam ochranné techniky
« Odpověď #4 kdy: 20. 05. 2020, 09:50:33 »
SPF, DKIM a nasledne DMARC prispievaju najmä k doveryhodnosti tvojho mailservra a mailov z neho odchadzajucich.
Samozrejme, po nasadeni treba tiez vhodne restriktivne nastavit aj politiku SPF a DMARC (SPF -all miesto ~all, a DMARC p=quarantine, alebo p=reject) to vsak sleduj, ak by sa uzivatelia stazovali, ze sa ich emaily nedorucuju prijemcom.
Pokial z tvojho mailservra este forwardujem emaily po doruceni dalej, tak musis nasadit aj SRS, inak prijemca vyhodnoti SPF ako FAIL.

A samozrejme, dbaj aby tvoji uzivatelia neposielali SPAM. Vinnikov pre vystrahu strielaj.


Re:Antispam ochranné techniky
« Odpověď #5 kdy: 25. 05. 2020, 07:40:13 »
Nezmiňujete se vůbec o ADSP. Má to tedy nějakou přidanou hodnotu, nebo se ADSP nepoužívá/nedoporučuje?

A to SRS, nestěžují si pak uživatelé na koncovém systému, že “neví kdo jim píše”,  když je odesílatel přepsán případně je možné pak dělat nějak filtry na adresu odesílatele?
Děkuji.

Re:Antispam ochranné techniky
« Odpověď #6 kdy: 25. 05. 2020, 08:01:42 »
ADSP nema vyznam, DMARC ho uplne nahradzuje a pridava veci navyse.
SRS som u seba zatial nenasadil, takze nemam skusenost.

McFly

  • *****
  • 560
    • Zobrazit profil
    • E-mail
Re:Antispam ochranné techniky
« Odpověď #7 kdy: 25. 05. 2020, 20:51:53 »
Já definuju ADSP politiku u každé domény. Spamassassin na to má nějakou tu kontrolu.

Re:Antispam ochranné techniky
« Odpověď #8 kdy: 27. 05. 2020, 18:21:01 »
DMARC je fajn, ale nekdo se o to musi starat a to neco stoji. Dalsi z veci je, ze neni jednoduche identifikovat co vlastne spam je a neni. Vetsina nastroju analyzuje obsah emailu (po tom co si zkontroluji SPF a DKIM), takze i kdyz mate vsechno vporadku, muze se vam stat, ze urcite emaily budou i tak vyhodnoceny jako spam a to i presto, ze nejsou a dokonce i kdyz adresat email ocekava.

Doporucoval bych se drzet rad od velkych hracu:
https://sendersupport.olc.protection.outlook.com/pm/policies.aspx
https://support.google.com/mail/answer/81126?hl=en

Cas od casu se vam ale stane, ze nekteri "mensi hraci" vetsinou lokalni telekomy implementuji nove spam ochrany a na zacatku to vzdycky drnca no :)


Re:Antispam ochranné techniky
« Odpověď #9 kdy: 09. 06. 2020, 00:01:01 »
Podle toho co jsem jsi četl, tak ADSP se i z důvodu různých problémů již nedoporučuje a DMARC ho kompletně nahradil.

Mimochodem řešil jste někdo podepisování různých domén rozdílnými klíči pomocî DKIM na jednom mailserveru?

Re:Antispam ochranné techniky
« Odpověď #10 kdy: 09. 06. 2020, 09:08:58 »
Mimochodem řešil jste někdo podepisování různých domén rozdílnými klíči pomocî DKIM na jednom mailserveru?

Áno. Používam http://opendkim.org/ spolu s postgresom. Druhý deň v mesiaci vygenerujem nové DKIM podpisy. Tieto sú následne publikované do DNS a od 1. nasledujúceho mesiaca sa začnú používať. Ten delay je síce zbytočne dlhý, ale nevadí to ničomu.