LINUX.ORG.RU
ФорумAdmin

Подделка Email адреса и метод борьбы со спамом


0

0

Есть связка Postfix+SpamAssassin.

Есть домен mydomain.ru. SpamAssassin имеет след. настройки (кратко):

trusted_networks 192.168.2/24, 127/8

whitelist_from localhost whitelist_from *@mydomain.ru

rewrite_header subject ****SPAM****(_SCORE_)

add_header all Report _REPORT_

required_hits 4.0

report_safe 0

auto_learn 1

use_bayes 1

так вот. в последнее время стали подделывать адрес спамеры в Replay на user@mydomain.ru, т.о. получается что письма попадают под маску whitelist_from. а это 100% white адрес. Походу схема спуфинга. Анализирую тело письма, видно что спам письма идут с разных IP адресов, и постоянно меняются, что выловить конкретно затруднительно.

как с этим бороться можно?

dnsmasq, pxe, 2 dhcp в сети
kernel.panic и работа через IP-KVM

Я не знаю, как насчет Postfix, с Sendmail я использую SMC-milter (http://milter.sourceforge.net/). Один из его алгоритмов (autoSPF) как раз определяет, имеет ли право данный ip-адрес послылать почту от определенного домена.

Noldor
()

1) принимать письма со своего домена только через аутентификацию
2) убрать white лист, так как это потенциальная дыра

chocholl ★★
()

хм... выкинуть вайтлист. Прикрутить грейлистинг... убрать доверенные домены, вообще. почта будет ходить с задержкой в пару минут, но и спама меньше будет

delilen ★☆
()
Ответ на: комментарий от chocholl

изнутри стоит аутентификация это точно. здесь рассылка спама от всяких троянов исключена. подделка идет не изнутри. Если убрать WhiteList иногда помогает, но иногда нормальные письма с локальной сети попадают в спам. Это не есть хорошо.

Хотя с другой стороны такие параметры как в SpamAssassin'e:

trusted_networks 192.168.2/24, 127/8

#internal_networks 192.168.2/24

по идее не должны проверяться на спам программой SpamAssassin, но это не происходит.

vladrnd
() автор топика
Ответ на: комментарий от vladrnd

а из локальной сети вообще не советую ничего проверять на спам

chocholl ★★
()
Ответ на: комментарий от vladrnd

Use of this setting is not recommended, since it blindly trusts the message, which is routinely and easily forged by spammers and phish senders. The recommended solution is to instead use whitelist_auth or other authenticated whitelisting methods, or whitelist_from_rcvd.

zgen ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
dnsmasq, pxe, 2 dhcp в сети
Admin
kernel.panic и работа через IP-KVM