Macro Опубликовано 19 октября, 2012 · Жалоба Как обнаруживать и предотвращать рассылку спама от абонентов? SMTP - Postfix. Принимаются предложения и комментарии. :) Интересует работа на предупреждение, SMTP авторизацию включать не рекомендовать - в список mynetworks - внесена провайдерская подсетка, и клиенты должны отправлять письма безо всякой смтп авторизации. Хотя есть пример, и с смтп авторизацией фримайл сервиса, пароли взламываются или регятся заново и рассылают спам, 24 часа сидеть на логами - и как в матрице различать спамеров - неблагодарное дело. Посоветуйте какой нибудь свистелку которая бы предупреждала об аномальной активности клиента. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yandrey Опубликовано 19 октября, 2012 · Жалоба ограничить количество отправляемых писем за определенное время (smtpd_client_message_rate_limit и anvil_rate_time_unit) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 19 октября, 2012 · Жалоба Интересует работа на предупреждение, SMTP авторизацию включать не рекомендовать - в список mynetworks - внесена провайдерская подсетка, и клиенты должны отправлять письма безо всякой смтп авторизации. "Совет повесить щеколду не рекомендовать, но куры через калитку на улицу убегать не должны!". И все-таки стоит внедрить авторизацию, а в mynetworks оставить только отдельные доверенные хосты. Хотя есть пример, и с смтп авторизацией фримайл сервиса, пароли взламываются или регятся заново и рассылают спам, 24 часа сидеть на логами - и как в матрице различать спамеров - неблагодарное дело. За более чем 10 лет использования SMTP-Auth на где-то 3 тыс. активных клиентов, был всего один случай взлома ящика и использование его для рассылки спама и вирусни. При всем при том, у нас клиенты имеют доступ к почте по всем протоколам с любой точки мира, а не только из нашей сети. А для оперативного затыкания фонтана можно к анализу логов прикрутить нечто fail2ban. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 19 октября, 2012 · Жалоба Авторизация, кстати, не панацея :) оно конечно снижает в разы такого рода спам, но таки не до 0. Очень не 1 случай на 10 лет. Года 3 назад вообще пачка была раз 15 за месяц по разным акаунтам. Это учитывая, что на сервере 90% ходит таки без авторизации, т.к. из локалки пускает и так. Если бы все ходили с авторизацией, наверное смыло бы нафиг. И к сожалению вирусы хомяки цепляют регулярно, в том числе и ворующие пароли на почту.Да. помоему ни разу спама через логин-пароль клиента с его машины я не видел. т.е. прут пароль и шлют откуда-то слева. тоже можно подумать в эту сторону. А так да, ограничить количество соединений, писем, получателей в единицу времени. И пассивно миниторить логи на предмет вываливания за пределы. Кстати замечено, что бывают пользователи вообще не пользующиеся провайдеровской почтой (ну тоесть вообще ни разу), но спам от них умудряется пытаться уходить через местный релей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
joesm Опубликовано 19 октября, 2012 · Жалоба Большой вопрос при множестве бесплатных сервисов зачем вообще абоненту давать доступ к провайдерскому smtp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 19 октября, 2012 · Жалоба тем не менее услуга почты востребована.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
joesm Опубликовано 19 октября, 2012 · Жалоба у нас таких набралось пару десятков, желающих взять почтовый ящик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vitalyb Опубликовано 19 октября, 2012 · Жалоба http://www.policyd.org/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 19 октября, 2012 · Жалоба у нас таких набралось пару десятков, желающих взять почтовый ящик. У нас ящик бесплатно создается при подключении и живет все время действия договора. Сначала тоже "да нафиг оно нужно, когда есть mail.ru", месяца через три "че-то место маловато вы даете (бесплатно выделяется 10М чисто под служебную переписку - счета, уведомления и тд), дайте больше", и уже за копейки малые выделяюется дополнительное место и включаются некоторые фичи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 20 октября, 2012 (изменено) · Жалоба 1. "Не рекомендовать" заменить на "в обязательном порядке" 2. Мониторить число адресов, на которые отправляется почта с каждого конкретного аккаунта (как раз по авторизации) либо IP. При резком увеличении числа адресов от предыдущих дней - слать уведомление в саппорт. У меня что-то подобное работает, правда, не для почты, а для телефонии - обнаруживает не частые, но неприятные случаи фрода. Изменено 20 октября, 2012 пользователем Alex/AT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 22 октября, 2012 · Жалоба http://sources.homelink.ru/spamblock/ на шлюзах и почтовом сервере поймает подавляющую часть локальных спамеров. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macro Опубликовано 26 октября, 2012 · Жалоба SMTP авторизация включена, с мира подбирают пароли и отправляют с авторизацией. Думаю какую бы мониторилку прикрутить для реалтайм мониторинга исходящей почты и смтп авторизации. А также где находить свой сервер в блоклистах? Чтобы наиболее полный и популярный список, а не тот который никто не пользуется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 26 октября, 2012 · Жалоба А также где находить свой сервер в блоклистах? Чтобы наиболее полный и популярный список, а не тот который никто не пользуется. mxtoolbox.com . можно не обращать на UCEPROTECTL3, я ещё ни разу не видел, чтоб им кто-то пользовался Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macro Опубликовано 27 октября, 2012 (изменено) · Жалоба Пока прикрутил скрипт который считает кол-во сасл логины за заданный промежуток времени и отправляет на почту, пока не решил какой установить трешолд при которых бить тревогу. #!/bin/sh MAILLOG=/var/log/maillog DAT1=/tmp/smtp_auth-offset.dat /usr/bin/logtail -f $MAILLOG -o $DAT1 | grep sasl_username | awk '{print $9}' | sort | uniq -c | sort -n -r | formail -c -I"Subject: SMTP Auth Statistics" -I"From: postmaster@domain.com" -I"To: admin@domain.com" -I"Received: from mail.domain.com ([xx.xx.xx.xx])" | sendmail admin@domain.com скрипт в кронтаб, например раз в час. Изменено 27 октября, 2012 пользователем Macro Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...