Spam

Allikas: Kuutõrvaja

Sissejuhatus

Nimekiri võimalustest võidelda postiteel leviva rämpsuga ja veidi juhendeid nende seadistamiseks.

Kirja teekond ja seal leiduvad spamitõrjuvad mehanismused ühes tüüpilises postfixiga käivas meiliserveris

                                                amavisd(4) (clamav, spamassassin)
                                                   |
                                                   |
 Kiri internetist(1)-----> postgrey(2) ------> postfix(3) (rbl) -----> mbox/maildir++/cyrus(5)
                                                                            
  1. Kiri tuleb internetist
  2. läbib greylist kontrolli
  3. postfix kontrollib kirja rbl tabeli alusel
  4. postfix teisaldab kirja amavisd'le mis läbi socketi vahendab selle clamavile, kontorllib spammasasssiniga ja kui korras annab postfixile tagasi koos listatud skoori jms lisainfoga
  5. kiri potsatab postkasti kas siis otse postfixi poolt edasi kantuna maildir või mbox formaati.Võimalus ka ,et antakse imap deemonile tegelemiseks nt cyrusele kes ise selle õigesse kohta tõstab, ka dovecot omab vastavad mehanismi

Sisufiltrid

Tarkvarad, mis otsivad kirjade seest teatud mustreid, on serveritele üsnagi töömahukad ja koormavad teenused.

  • amavisd-new
  • clamav
  • spamassassin

Lihtsalt viiruset2rje paigaldamiseks nagu clamavi + posfix tasub lugeda http://memberwebs.com/stef/software/clamsmtp/postfix.html

RBL listid

Vastavates nimekirjades nagu bl.spamcop.net relays.ordb.org sbl-xbl.spamhaus.org kirjas olevate masiante nimekirja alusel blokeeritakse ühenduskatsed mailiserveriga juba eos

postfix main.cf seadistus

smtpd_sender_restrictions =
        reject_unknown_sender_domain,
        permit_mynetworks,
        reject_rbl_client bl.spamcop.net,                   
        reject_rbl_client sbl-xbl.spamhaus.org

Greylist

Grey Listing on põhimõtteliselt nimekiri "tuttavatest" saatjatest, kuhu lisatakse ka kõik esmakordselt nähtud saatjad, kuid koos timestampiga, millest arvates mingi aja jooksul öeldakse sellelt aadressilt tulevate kirjade kohta, et "postkast ajutiselt kati, proovi uuesti". Idee kohaselt spämmarid ei proovi uuesti, kuid head MTA-d küll. Sellise skeemi rakendamisel pidada spämm vähenema kuni 99%, miinuseks asjaolu, et esmakordselt uuelt aadressilt saadud kirja tuleb näiteks 5 minutit kauem oodata (järgnevad kirjad juba hetkeliselt).

Greylisti juurde saab alati panna loendi aadressidest, mis kohe läbi lastakse. Näiteks .ee whitelistimine on mõistlik, sest .ee domeenidelt olulisel määral rämpsu ei tule. Vajadusel võib ka tihedamini suheldavate mitte-.ee aadresside nimekirja lisada.

Greylistinging töötab üsna hästi - ühe töötava näitena langes 2005. aasta keskel rakendatud greylisti mõjul kuus ühele aadressile laekunud spämmi hulk 1000+ kirjalt alla saja.

Greyl.png

Antud pildil on mailgraph info masinast kus greylisting rakendati alates augustist


Install

Paigaldus serverile äärmiselt lihtne

Insallida tuleb tarkvara

postgrey-1.31       Greylisting policy server for Postfix

Startida see vastavalt operatsioonisüsteemile.

FreeBSD's /etc kaustas rc.conf faili rida postgrey_enable="YES" gentoos rc-update add postgrey default

Ja postfixi main.cf faili read

smtpd_recipient_restrictions =
  permit_mynetworks,
  reject_unauth_destination,
  check_policy_service inet:127.0.0.1:10023

Et kirjaliikumist kiirendada tasub kontrollida kas auto white list on sisselülitatud nii ,et peale esmakordset ootamist ja filtri läbimist edaspidi kiri pääseks koheselt edasi.

SPF Listing

SPF tähendab põhimõtteliselt seda, et domeeni haldaja paneb DNS TXT kirjesse, millised arvutid tohivad väita, et nad saadavad kirja sellest konkreetsest domeenist.

NB! Kontroll on vastuvõtja poolne. Seega näiteks GMail kontrollib iga sissetulnud kirja üle, et kas saatja server (mail.neti.ee, elvis.itcollege.ee jne) tohib ikka antud domeeni (linux.ee, eesti.ee jne) kirju edastada, välja saata.

Näiteks eenet.ee puhul:

"v=spf1 a mx ip4:193.40.0.0/24 -all"

Lubatud on kõik aadressid kõik, kelle A (või AAAA) on eenet.ee domeenis, kes on eenet.ee MX-iks või on EENeti IP-ruumis.

Tõlgime selle kirje lahti:

  • v=spf1 - tegu on SPF kirjega
  • a - a kirje kirjeldab host'i IP aadressi
  • mx - mx kirje kirjeldab antud domeeni kirjavahetusega (Mail eXchange) tegelevad serverid
  • ip4: - IP versioon 4 subnet 24 bitti seega antud domeeni kirju võivad saata ka serverid, host'id IP aadressidega vahemikus 193.40.0.0-193.40.0.255.
  • -all - kõik teised on keelatud. NB! -all tuleb panna kõige lõppu, sest edasi ei vaadata kirjet. Kui -all on kõige alguses või vahepeal, siis ei vaadata kirjes pärast -all märget jäävat infot.

Kui täpsemalt ära seletada, siis:

  • - tähendab keelatud, mitte usaldusväärne, blacklist
  • ? tähendab neutraalne sealt võib ka kirju saata greylist
  • + tähendab lubatud, usaldusväärne, whitelist

Toome veel ühe näite, meil on DNS kirje:

zoo.edu.ee.        86400    IN    TXT    "v=spf1 mx -all"

See lubab väljuvaid kirju saata ainult serverist mail.zoo.edu.ee (mis on zoo.edu.ee MX)

Peale TXT kirje on DNS süsteemis ka SPF kirje olemas, aga vanemad bind9 versioonid (vanemad kui 9.2.x) ei oma SPF kirje tuge. Sellepärast on mõistlik SPF kirje kirjeldada TXT kirjes.

Võimalik on seda nt vaadata käsuga

# host -t txt eitsa.ee
eitsa.ee descriptive text "v=spf1 a:itk-gw.itcollege.ee a:zerblat.itcollege.ee a:earl.itcollege.ee  a:mail.edu.ee ?all" 

Kahjuks pole SPF väga levinud, kuigi näiteks GMail ja Hotmail on selle omale seadistanud.