blacklist per la posta elettronica

[eaman]

Signori voi cosa usate / consigliate di blacklist per la posta al giorno d'oggi, oltre a zen.spamhaus.org ?

[shodan]

Quote:

Originariamente inviato da eaman

Signori voi cosa usate / consigliate di blacklist per la posta al giorno d'oggi, oltre a zen.spamhaus.org ?

Ciao,
io uso anche dnsbl-1.uceprotect.net e spam.dnsbl.sorbs.net

Queste liste sono però molto severe, e a volte bloccano anche mittenti leciti. L'ideale sarebbe quello di bloccare un'email solo se il mittente è presente in _entrambe_ le liste.

Per fare un check rapido e vedere quali altre liste esistono, puoi usare questo sito: http://www.anti-abuse.org/multi-rbl-check/

Ciao.

[eaman]

@shodan
Molte grazie.
Ieri ho migrato il mio server di posta principale e come sempre mi sono spaventato a vedere quanto spam gli arrivava.

In genere usavo solo postgrey + spamassasin e nessuna blacklist (mi fido|fidavo poco) ma ora che sono su una macchina virtuale con poca RAM vorrei evitare spamassasin e cercare di arginare il possibile.

Con postfix come SMTP sto provando ad usare:

Codice:

# new ones:
smtpd_sender_restrictions = reject_unknown_sender_domain
smtpd_helo_restrictions = reject_unknown_helo_hostname,
                          reject_invalid_hostname,
                          reject_unknown_hostname,
                          reject_non_fqdn_hostname
smtpd_helo_required = yes

# Postgrey, SPAM lists:
smtpd_recipient_restrictions =
        permit_mynetworks,
        reject_invalid_hostname,
        reject_non_fqdn_hostname,
        reject_non_fqdn_sender,
        reject_rbl_client zen.spamhaus.org,
        reject_rbl_client b.barracudacentral.org,
        #reject_rbl_client bl.spamcop.net,
        check_sender_access hash:/etc/postfix/sender_access,
        reject_unauth_destination,
        check_policy_service inet:127.0.0.1:10023

Qualche strategia da suggerire che non sia esosa di risorse?

Con queste impostazioni oggi il mio dominio personale ha fatto:

Codice:

messages

     18   received
     13   delivered
      0   forwarded
      0   deferred
      4   bounced
    332   rejected (96%)
      0   reject warnings
      0   held
      0   discarded (0%)

message reject detail
---------------------
  RCPT
    blocked using zen.spamhaus.org (total: 238
    Helo command rejected: Host not found (total: 15)
    Recipient address rejected: Greylisted (total: 77)
    Recipient address rejected: User unknown in virtual alias table (total: 1)
    Relay access denied (total: 1)

Per lo meno vedo che mi vengono cassati molti piu' messaggi indirizzati a utenti non esistenti rispetto a ieri, messaggi che prima andavano ad attivare postgrey.

Quote:

io uso anche dnsbl-1.uceprotect.net e spam.dnsbl.sorbs.net

Questo pomeriggio come spam e' andata bene, nei prossimi giorni a seconda di quanto mi sberleggiano provo anche quelle. Thanks!

[eaman]

[null]

[shodan]

Quote:

Originariamente inviato da eaman

@shodan
Molte grazie.
Ieri ho migrato il mio server di posta principale e come sempre mi sono spaventato a vedere quanto spam gli arrivava.

In genere usavo solo postgrey + spamassasin e nessuna blacklist (mi fido|fidavo poco) ma ora che sono su una macchina virtuale con poca RAM vorrei evitare spamassasin e cercare di arginare il possibile.

Con postfix come SMTP sto provando ad usare:

Codice:

# new ones:
smtpd_sender_restrictions = reject_unknown_sender_domain
smtpd_helo_restrictions = reject_unknown_helo_hostname,
                          reject_invalid_hostname,
                          reject_unknown_hostname,
                          reject_non_fqdn_hostname
smtpd_helo_required = yes

# Postgrey, SPAM lists:
smtpd_recipient_restrictions =
        permit_mynetworks,
        reject_invalid_hostname,
        reject_non_fqdn_hostname,
        reject_non_fqdn_sender,
        reject_rbl_client zen.spamhaus.org,
        reject_rbl_client b.barracudacentral.org,
        #reject_rbl_client bl.spamcop.net,
        check_sender_access hash:/etc/postfix/sender_access,
        reject_unauth_destination,
        check_policy_service inet:127.0.0.1:10023

Qualche strategia da suggerire che non sia esosa di risorse?

Con queste impostazioni oggi il mio dominio personale ha fatto:

Codice:

messages

     18   received
     13   delivered
      0   forwarded
      0   deferred
      4   bounced
    332   rejected (96%)
      0   reject warnings
      0   held
      0   discarded (0%)

message reject detail
---------------------
  RCPT
    blocked using zen.spamhaus.org (total: 238
    Helo command rejected: Host not found (total: 15)
    Recipient address rejected: Greylisted (total: 77)
    Recipient address rejected: User unknown in virtual alias table (total: 1)
    Relay access denied (total: 1)

Per lo meno vedo che mi vengono cassati molti piu' messaggi indirizzati a utenti non esistenti rispetto a ieri, messaggi che prima andavano ad attivare postgrey.


Questo pomeriggio come spam e' andata bene, nei prossimi giorni a seconda di quanto mi sberleggiano provo anche quelle. Thanks!

Ciao,
Io uso un setup con CentOS 6 + postfix + amavis + spamassassin + clamav il tutto su una macchina virtuale con 1GB di RAM allocata e le prestazioni non sono affatto male.

Se vuoi usare spamassassin, quello che devi fare ė limitare la grandezza delle email che puoi dargli in pasto. Tramite amavis c'ė il parametro $sa_mail_body_size_limit che permette di specificare quanta parte del body passare, al massimo, a spamassassin.

Sul mio sistema, questo vale è piuttosto conservativo (64 KB) ma mi permette comunque di beccare la stragrande maggioranza dello spam: anche quando l'email ė grossa, in genere esaminando i primi 64KB si capisce se ė spam oppure no.

Se non usi amavis deve impostare il body size in postfix, ma qui il discorso diventa un po' più complesso perché le email che superano il limite i stato verrebbero proprio rigettate dall'MTA e quindi non puoi essere troppo conservativo.

In questo caso, ti conviene davvero fare il setup di piú liste rbl, anche se lo svantaggio ė che le liste piú severe bloccano a volte interi provider e/o alcuni dei loro server (es: é successo varie volte che sorbs bloccasse i relay di libero e impresasemplice).

Ciao.

[eaman]

Quote:

Originariamente inviato da shodan

Ciao,
Io uso un setup con CentOS 6 + postfix + amavis + spamassassin + clamav il tutto su una macchina virtuale con 1GB di RAM allocata e le prestazioni non sono affatto male.

La mia macchina virtuale, che e' un container openVZ debian, ha mezzo giga di RAM e sara' l'equivalente di un atom o un core2 a ~1.5Ghz. Pero' mi deve far girare bind e apache (o nginx) + python e php, un demone git. Gli antivirus mi sa che li evito anche perche' io non li soffro.
Al momento e' OK: almeno non sto ancora swappando e sembra molto responsiva.

Quote:

Se vuoi usare spamassassin, quello che devi fare ė limitare la grandezza delle email che puoi dargli in pasto.

Questa e' una buona idea, adesso mi spulcio un po' di documentazione.

Forse una cosa che farebbe al caso mio sarebbe uno di quegli script che aggiornano iptables per bloccare a livello di rete quegli IP che decidono di iniettarmi decine di messaggi.

Quote:

Se non usi amavis deve impostare il body size in postfix, ma qui il discorso diventa un po' più complesso perché le email che superano il limite i stato verrebbero proprio rigettate dall'MTA e quindi non puoi essere troppo conservativo.

He questo sarebbe un po invasivo...

Comunque oggi zen.spamhaus.org sembra aver lavorato molto:

Codice:

# pflogsumm -d today /var/log/mail.log

Grand Totals
------------
messages

266   rejected (100%)

message reject detail
---------------------
  RCPT
    blocked using zen.spamhaus.org (total: 256)
    Helo command rejected: Host not found (total: 9)
    Relay access denied (total: 1)

Grazie ancora e saluti.

[shodan]

Quote:

Originariamente inviato da eaman

La mia macchina virtuale, che e' un container openVZ debian, ha mezzo giga di RAM e sara' l'equivalente di un atom o un core2 a ~1.5Ghz. Pero' mi deve far girare bind e apache (o nginx) + python e php, un demone git. Gli antivirus mi sa che li evito anche perche' io non li soffro.
Al momento e' OK: almeno non sto ancora swappando e sembra molto responsiva.

Ciao,
con 512 MB di RAM effettivamente far girare un antivirus (come ClamAV) diventa proibitivo.

Postifix usa molta poca memoria, mentre spamassassin usa principalmente CPU (per i filtri baynesiani e per regexpr matching delle sua regole).

Quote:

Questa e' una buona idea, adesso mi spulcio un po' di documentazione.

Forse una cosa che farebbe al caso mio sarebbe uno di quegli script che aggiornano iptables per bloccare a livello di rete quegli IP che decidono di iniettarmi decine di messaggi.

Puoi anche provare con un controllo sull'HELO/EHLO... secondo me beccherai già un sacco di roba http://www.unixwiz.net/techtips/postfix-HELO.html

Quote:

Comunque oggi zen.spamhaus.org sembra aver lavorato molto:

Codice:

# pflogsumm -d today /var/log/mail.log

Grand Totals
------------
messages

266   rejected (100%)

message reject detail
---------------------
  RCPT
    blocked using zen.spamhaus.org (total: 256)
    Helo command rejected: Host not found (total: 9)
    Relay access denied (total: 1)

Grazie ancora e saluti.

Eh eh ho un cliente le cui liste RBL bloccavano quasi 90.000 connessioni al giorno