[Macro]

Как обнаруживать и предотвращать рассылку спама от абонентов?

SMTP - Postfix.

Принимаются предложения и комментарии. :)

 

Интересует работа на предупреждение, SMTP авторизацию включать не рекомендовать - в список mynetworks - внесена провайдерская подсетка, и клиенты должны отправлять письма безо всякой смтп авторизации.

Хотя есть пример, и с смтп авторизацией фримайл сервиса, пароли взламываются или регятся заново и рассылают спам, 24 часа сидеть на логами - и как в матрице различать спамеров - неблагодарное дело.

Посоветуйте какой нибудь свистелку которая бы предупреждала об аномальной активности клиента.

[yandrey]

ограничить количество отправляемых писем за определенное время (smtpd_client_message_rate_limit и anvil_rate_time_unit)

[taf_321]

Интересует работа на предупреждение, SMTP авторизацию включать не рекомендовать - в список mynetworks - внесена провайдерская подсетка, и клиенты должны отправлять письма безо всякой смтп авторизации.

 

"Совет повесить щеколду не рекомендовать, но куры через калитку на улицу убегать не должны!". И все-таки стоит внедрить авторизацию, а в mynetworks оставить только отдельные доверенные хосты.

 

Хотя есть пример, и с смтп авторизацией фримайл сервиса, пароли взламываются или регятся заново и рассылают спам, 24 часа сидеть на логами - и как в матрице различать спамеров - неблагодарное дело.

 

За более чем 10 лет использования SMTP-Auth на где-то 3 тыс. активных клиентов, был всего один случай взлома ящика и использование его для рассылки спама и вирусни.

 

При всем при том, у нас клиенты имеют доступ к почте по всем протоколам с любой точки мира, а не только из нашей сети.

 

А для оперативного затыкания фонтана можно к анализу логов прикрутить нечто fail2ban.

[st_re]

Авторизация, кстати, не панацея :) оно конечно снижает в разы такого рода спам, но таки не до 0. Очень не 1 случай на 10 лет. Года 3 назад вообще пачка была раз 15 за месяц по разным акаунтам. Это учитывая, что на сервере 90% ходит таки без авторизации, т.к. из локалки пускает и так. Если бы все ходили с авторизацией, наверное смыло бы нафиг. И к сожалению вирусы хомяки цепляют регулярно, в том числе и ворующие пароли на почту.Да. помоему ни разу спама через логин-пароль клиента с его машины я не видел. т.е. прут пароль и шлют откуда-то слева. тоже можно подумать в эту сторону.

 

А так да, ограничить количество соединений, писем, получателей в единицу времени. И пассивно миниторить логи на предмет вываливания за пределы.

 

Кстати замечено, что бывают пользователи вообще не пользующиеся провайдеровской почтой (ну тоесть вообще ни разу), но спам от них умудряется пытаться уходить через местный релей.

[joesm]

Большой вопрос при множестве бесплатных сервисов зачем вообще абоненту давать доступ к провайдерскому smtp.

[st_re]

тем не менее услуга почты востребована..

[joesm]

у нас таких набралось пару десятков, желающих взять почтовый ящик.

[vitalyb]

http://www.policyd.org/

[taf_321]

у нас таких набралось пару десятков, желающих взять почтовый ящик.

 

У нас ящик бесплатно создается при подключении и живет все время действия договора. Сначала тоже "да нафиг оно нужно, когда есть mail.ru", месяца через три "че-то место маловато вы даете (бесплатно выделяется 10М чисто под служебную переписку - счета, уведомления и тд), дайте больше", и уже за копейки малые выделяюется дополнительное место и включаются некоторые фичи.

[Alex/AT]

1. "Не рекомендовать" заменить на "в обязательном порядке"

2. Мониторить число адресов, на которые отправляется почта с каждого конкретного аккаунта (как раз по авторизации) либо IP. При резком увеличении числа адресов от предыдущих дней - слать уведомление в саппорт. У меня что-то подобное работает, правда, не для почты, а для телефонии - обнаруживает не частые, но неприятные случаи фрода.

Изменено 20 октября, 2012 пользователем Alex/AT

[Ilya Evseev]

http://sources.homelink.ru/spamblock/ на шлюзах и почтовом сервере поймает подавляющую часть локальных спамеров.

[Macro]

SMTP авторизация включена, с мира подбирают пароли и отправляют с авторизацией.

Думаю какую бы мониторилку прикрутить для реалтайм мониторинга исходящей почты и смтп авторизации.

А также где находить свой сервер в блоклистах? Чтобы наиболее полный и популярный список, а не тот который никто не пользуется.

[s.lobanov]

 

А также где находить свой сервер в блоклистах? Чтобы наиболее полный и популярный список, а не тот который никто не пользуется.

 

mxtoolbox.com . можно не обращать на UCEPROTECTL3, я ещё ни разу не видел, чтоб им кто-то пользовался

[Macro]

Пока прикрутил скрипт который считает кол-во сасл логины за заданный промежуток времени и отправляет на почту, пока не решил какой установить трешолд при которых бить тревогу.

#!/bin/sh
MAILLOG=/var/log/maillog
DAT1=/tmp/smtp_auth-offset.dat

/usr/bin/logtail -f $MAILLOG -o $DAT1 | grep sasl_username | awk '{print $9}' | sort | uniq -c | sort -n -r | formail -c -I"Subject: SMTP Auth Statistics" -I"From: postmaster@domain.com" -I"To: admin@domain.com" -I"Received: from mail.domain.com ([xx.xx.xx.xx])" | sendmail admin@domain.com

скрипт в кронтаб, например раз в час.

Изменено 27 октября, 2012 пользователем Macro