Антиспамовый фильтр (Sendmail + DrWeb + SpamAssassin)

На доскональное знание данной темы, не может претендовать, пожалуй ни один спец, из ныне живущих на земле. ;-)
Так поможем друг другу.

Модераторы: Trinity admin`s, Free-lance moderator`s

Nitro
member
Сообщения: 20
Зарегистрирован: 26 дек 2003, 14:52
Контактная информация:

Сообщение Nitro » 29 дек 2003, 10:47

ilyushka писал(а):а возможно ли отключить фильтрацию на спам для каждого конкретного пользователя?
в local.cf
whitelist_from add@ress.com

PS Скажите как зделать чтоб весь спам переноправлялся на определенный адресс или удалялся.
у мя демон запускается с -b add@ress.com -r10
в local.cf написал
all_spam_to add@ress.com
required_hits 5.0
Но все равно почта идет и на add@ress.com и к получателю письма а хотелось бы чтоб адресат его не получал.....

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1990
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 29 дек 2003, 14:57

to Nitro
В корне неверная опция all_spam_to add@ress.com
Любые письма присланные на этот адрес будут признаны спамом со всеми вытекающими!
Сюда заносится липовый адрес специально подставленный для роботов сканеров mail адресов с пометкой не пишите сюда если вы не спаммер ;)

P.S. Для удаления почты спамовой просто не ставим ключа -b или -B

AndreyDV
Junior member
Сообщения: 13
Зарегистрирован: 04 янв 2004, 03:45
Откуда: СПб
Контактная информация:

Сообщение AndreyDV » 04 янв 2004, 04:16

Уважаемый Setar,
Спасибо за очень полезный и грамотный материал.
Но есть 2 вопроса/замечания
1. В Вашем скрипте запуска /etc/rc.d/init.d/drweb присутствует маленькая ошибка, которая проявляется на drweb 4.30, а именно
строчка:
DAEMON_OPT=" -ini:/usr/local/drweb/drweb32.ini"
должна писаться как:
DAEMON_OPT=" -ini=/usr/local/drweb/drweb32.ini"
иначе в логе проскакивает одна маленькая ошибочка.
2. Смотрел Ваши скрипты для запуска приложений и возник вопрос: Вы случайно не знакомы с проектом Openna?

ЗЫ: У меня есть несколько подробнейших пошаговых статей, написанных мною и основанных на моём личном опыте, правда сам являюсь фанатом шапки (естественно мануалы расписаны и подогнаны под него), так что если кому то нужна будет помощь, буду рад помочь. Одни из самых интересных:
- MySQL (4.0.17)
- Apache (2.0.47)+PHP (4.3.4)+PHP Acelerator(1.3.3r2)
- BIND (9.2.3)
- ProFTPD (1.2.9)
- тюнинг системы (секьюрити+оптимизация), построенная на основе RedHat 9.0 (без GUI) + основанная на технологии Openna (тот кто знает, тот поймёт принципы).

Спасибо ещё раз автору за интерсную статью. (Кстати для себя сделал статью заточенную под RedHat, правда обучением займусь только через пару дней, так как сейчас нет свободного времени, а сама "связка" уже работает)

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1990
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 08 янв 2004, 03:51

to AndreyDV
Да ошибочка в скрипте есть, перекочевала по наследству с младших версий drweb, как доберусь до рабочего места подправлю.

С проектом Openna не знаком, сейчас глянул - похоже коммерческая версия вылизанного по надёжности и безопасности linux? (если конечно я правильно уловил суть при бегом ознакомлении).
А к чему вопрос ?

P.S. секьюрити+оптимизацией занимался затачивая RH под програмно-аппаратную систему обеспечивающую криптозащищённое файловое хранилище. Особенность в том, что ОС распологается в RAM и загрузка ведётся с USB Flash HDD, который изымается после старта системы.

AndreyDV
Junior member
Сообщения: 13
Зарегистрирован: 04 янв 2004, 03:45
Откуда: СПб
Контактная информация:

Сообщение AndreyDV » 08 янв 2004, 23:27

С проектом Openna не знаком, сейчас глянул - похоже коммерческая версия вылизанного по надёжности и безопасности linux? (если конечно я правильно уловил суть при бегом ознакомлении).
А к чему вопрос ?
Да, именно этим они и занимаются. Я некоторое время занимался тем, что вникал в суть того, что они делают. Очень не плохо.
У меня есть их ver.2 книга. Собственно они и стали примером лично для меня. А вопрос я задал без всяких корыстных целей, просто ваш запускной скрипт к sendmail был строчка в строчку из их книги. Вот и подумал, что встретил ещё одного "фаната" опенны.
секьюрити+оптимизацией занимался затачивая RH под програмно-аппаратную систему обеспечивающую криптозащищённое файловое хранилище. Особенность в том, что ОС распологается в RAM и загрузка ведётся с USB Flash HDD, который изымается после старта системы.
Респект, интересная задача, и к тому же очень актуальная.
Приятно общаться с такими людьми.

ilyushka
Junior member
Сообщения: 3
Зарегистрирован: 29 дек 2003, 09:43

Сообщение ilyushka » 13 янв 2004, 09:46

вопрос немного не по теме топика - но про спамеров ;)
если использовать фичу dnsbl - по какому протоколу и портам идет общение с сервером? (актуально - т.к. на выход все ненужные соединения режутся в том числе www). есть тока smtp, dns и т..п

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1990
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 13 янв 2004, 11:46

ilyushka писал(а):вопрос немного не по теме топика - но про спамеров ;)
если использовать фичу dnsbl - по какому протоколу и портам идет общение с сервером? (актуально - т.к. на выход все ненужные соединения режутся в том числе www). есть тока smtp, dns и т..п

Код: Выделить всё

dnsbl		Turns on rejection of hosts found in an DNS based rejection
		list.  If an argument is provided it is used as the domain
		in which blocked hosts are listed; otherwise it defaults to
		blackholes.mail-abuse.org.  An explanation for an DNS based
		rejection list can be found at http://mail-abuse.org/rbl/.
		A second argument can be used to change the default error
		message.  Without that second argument, the error message
		will be
			Rejected: IP-ADDRESS listed at SERVER
		where IP-ADDRESS and SERVER are replaced by the appropriate
		information.  By default, temporary lookup failures are
		ignored.  This behavior can be changed by specifying a
		third argument, which must be either `t' or a full error
		message.  See the anti-spam configuration control section for
		an example.  The dnsbl feature can be included several times
		to query different DNS based rejection lists.  See also
		enhdnsbl for an enhanced version.

		Some DNS based rejection lists cause failures if asked
		for AAAA records. If your sendmail version is compiled
		with IPv6 support (NETINET6) and you experience this
		problem, add

			define(`DNSBL_MAP', `dns -R A')

		before the first use of this feature.  Alternatively you
		can use enhdnsbl instead (see below).

		NOTE: The default DNS blacklist, blackholes.mail-abuse.org,
		is a service offered by the Mail Abuse Prevention System
		(MAPS).  As of July 31, 2001, MAPS is a subscription
		service, so using that network address won't work if you
		haven't subscribed.  Contact MAPS to subscribe
		(http://mail-abuse.org/).
То есть это обычные DNS tcp запросы на 53 порт и UDP для трансфера данных.

Nitro
member
Сообщения: 20
Зарегистрирован: 26 дек 2003, 14:52
Контактная информация:

Сообщение Nitro » 14 янв 2004, 17:21

Привет.
Возможно ли сделать чтоб всем почта помечалась в теме как *SPAM* а для одного или группы юзаров удалялась.
В доке ни чего не нашел.. или может плохо искал, с ангийским не очень у мя.

P.S.
setar писал(а):
P.S. Для удаления почты спамовой просто не ставим ключа -b или -B
Убрал -b а спам все равно доходит до пользователя :(
Сделал так, в ключе -b и required_hits поставил одинаковые оценки например 5 тогда почта блокируется...
по другому не нашел как сделать...
Последний раз редактировалось Nitro 15 янв 2004, 16:18, всего редактировалось 1 раз.

Nitro
member
Сообщения: 20
Зарегистрирован: 26 дек 2003, 14:52
Контактная информация:

help

Сообщение Nitro » 15 янв 2004, 16:18

Да и еще проблемка выявилась..

Обнаружил что большие письма с вложенными файлами например 2-3 мб не проходят в логи пишет вот что..
В чем проблема то?

Код: Выделить всё

18:08:07 mail sendmail[25247]: i0FF6OOv025247: from=<aaa@domain.com>, size=3844337, class=0, nrcpts=1, msgid=<6E23F81A6EAFED448FA7B1F88A9ABE8E47A5C9@linux.domain.com>, proto=ESMTP, daemon=MTA, relay=server.domain.com [192.168.0.0]
18:08:08 mail spamass-milter[21212]: Could not extract score from <>
18:08:11 mail drweb-smf: dwlib: fd: recv() req=4 failed - connection closed by remote side
18:08:11 mail drweb-smf: dwlib: scan[617]: scanfile(/var/drweb/spool/drweb.tmp.cYSDWk) failed (internal transport subsystem) - possible problem with client or daemon
18:08:11 mail drweb-smf: [i0FF6OOv025247]: processing message from aaa@domain.com is over
18:08:11 mail sendmail[25247]: i0FF6OOv025247: Milter: data, discard
18:08:11 mail sendmail[25247]: i0FF6OOv025247: discarded

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1990
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 15 янв 2004, 16:34

надпись "Could not extract score from <>"
появляется на письмах с пустым полем Subject:
именно пустым, а не отсутствующим.
К недоставке писем это отношения скорее всего не имеет, смотрите ограничения сендмейла на размер файлов и свободное пространство на диске.

Rust
Junior member
Сообщения: 16
Зарегистрирован: 09 дек 2003, 15:38

Сообщение Rust » 16 янв 2004, 10:47

Спасибо за статью. Поставил все на РХ7, поправил некоторые ошибки .

Стоял тоже drweb - но каждый день с десяток писем все равно прилетало c exe в аттаче и с сообщениеми типа
hello, I am from Switzerland and you'll don't believe me,
but a trojan horse in on your computer.
I've scanned the network-ports on the internet. (I know, that's illegal)
And I have found your pc. Your pc is open on the internet for everybody!
Because the lsass.exe trojan is running on your system.
Check this, open the task manager and try to stop that!
You'll see, you can't stop this trojan.
When you use win98/me you can't see the trojan!!

On my system was this trojan, too!
And I've found a tool to kill that bad thing.
I hope that I've helped you!

greets


Поставил вместо drweb clamav сразу же начал перехватывать то что drweb не ловил.

Также поставил dnsbl через ordb и spamcop - для того, чтобы на этапе соединения проверялся ip адрес на наличие в базе спаммеров.
dnl# ремарки в файле конфигурации вводятся через # при этом эти ремарки попадают в файл назначения .cf
dnl# чтобы исключить ремарки из файла .cf необходимо использовать слово dnl (do not list)
dnl# решетка после dnl используется мной исключительно для подсветки ремарок в редакторе

VERSIONID(`$Id: Vinet 29.10.2003 $')dnl
define(`confSMTP_LOGIN_MSG',`Vinet Antispam; "Non-authorized relaying DENIED." -=Bastard=-')
OSTYPE(`linux')


define(`confMAX_HEADERS_LENGTH',16384)
define(`confMAX_MIME_HEADER_LENGTH', `256/128')
define(`confNO_RCPT_ACTION', `add-to-undisclosed')
dnl don't allow spam as big rcpts list, no more than 25 recepients
define(`confMAX_RCPTS_PER_MESSAGE', `25')
dnl don't allow vrfy,etrn,expn
dnl nobodyreturn - use it for unwant full body-letter from error/bonuce mail
define(`confPRIVACY_FLAGS', `authwarnings,noexpn,novrfy,noetrn,nobodyreturn,goaway')


FEATURE(`use_cw_file')dnl
EXPOSED_USER(`root')dnl


dnl# всякие опции
dnl# define(`',`')dnl
define(`confRUN_AS_USER',`root')dnl
define(`confTRUSTED_USERS',`drweb,spam')dnl

define(`ALIAS_FILE', `/etc/mail/aliases')dnl
define(`LOCAL_MAILER_CHARSET', `windows-1251')dnl

define(`confDOMAIN_NAME',`gate.vostok-inc.com')dnl
define(`confEIGHT_BIT_HANDLING',`pass8')dnl
define(`confMAX_MESSAGE_SIZE',`20000000')dnl
define(`confDONT_EXPAND_CNAMES')dnl
define(`confLOG_LEVEL',`6')
define(`confNO_RCPT_ACTION',`add-to-undisclosed')dnl
define(`confCOPY_ERRORS_TO',`postmaster')dnl
define(`confUSE_ERRORS_TO',`postmaster')dnl
define(`confDONT_PROBE_INTERFACES',true)dnl
define(`confALIAS_WAIT',`10s')dnl
define(`confDEF_CHAR_SET', `windows-1251')dnl



FEATURE(`dnsbl', `relays.ordb.org', `Spam bloked - see http://ordb.org/')dnl
FEATURE(`dnsbl', `bl.spamcop.net', `Spam bloked see: http://spamcop.net/bl.shtml?$&{client_addr}')
FEATURE(`dnsbl', `ex.dnsbl.org', `Spam bloked - see http://www.dnsbl.org/')

dnl# SpamAssassin, clamav
INPUT_MAIL_FILTER(`spamassassin', `S=local:/var/run/spamass-milter, F=T, T=C:15m;S:4m;R:4m;E:10m')dnl
INPUT_MAIL_FILTER(`clmilter',`S=local:/var/run/clmilter.sock,F=, T=S:4m;R:4m')dnl
dnl# define(`confINPUT_MAIL_FILTERS', `clmilter')


define(`confMILTER_MACROS_CONNECT',`b, j, _, {daemon_name}, {if_name}, {if_addr}')dnl
define(`confMILTER_LOG_LEVEL',`6')

dnl# фичи
FEATURE(`virtusertable',`hash -o /etc/mail/virtusertable.db')dnl
FEATURE(`access_db',`hash -o -T<TMPF> /etc/mail/access.db')dnl
FEATURE(`blacklist_recipients')dnl
FEATURE(`nouucp',`reject')dnl
FEATURE(`delay_checks')dnl
FEATURE(`relay_hosts_only')dnl
FEATURE(`relay_based_on_MX')dnl
FEATURE(`smrsh',`/usr/sbin/smrsh')dnl


MAILER(`local')dnl
MAILER(`smtp')dnl
MAILER(`procmail')dnl

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1990
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 16 янв 2004, 10:54

dnsbl лучше не использовать,
я неоднократно сталкивался с тем что в этих базах находятся целые сетки принадлежащие деловым центрам. Кто то оттуда спамит, но это не повод не принимать писем от сотен организаций находящихся в том же здании.

P.S. :D -=Bastard=- это название моей тачки, похоже теперь многие мылеры будут представляться так же ;)

smart
Junior member
Сообщения: 5
Зарегистрирован: 28 янв 2004, 15:20
Откуда: Kiev, Ukraine
Контактная информация:

Сообщение smart » 29 янв 2004, 16:41

Кстати, сегодня получил письмо со спамом, которому spamassassin выставил оценку -1.0. Привожу X-Spam-Status этого письма:

Код: Выделить всё

X-Spam-Status: No, hits=-1.0 required=6.0 tests=BAYES_99,HABEAS_SWE,
        HTML_50_60,HTML_MESSAGE,MIME_HTML_ONLY,MIME_HTML_ONLY_MULTI
        autolearn=no version=2.63
В заголовке письма также было вот это:

Код: Выделить всё

X-Habeas-SWE-1: winter into spring
X-Habeas-SWE-2: brightly anticipated
X-Habeas-SWE-3: like Habeas SWE (tm)
X-Habeas-SWE-4: Copyright 2002 Habeas (tm)
X-Habeas-SWE-5: Sender Warranted Email (SWE) (tm). The sender of this
X-Habeas-SWE-6: email in exchange for a license for this Habeas
X-Habeas-SWE-7: warrant mark warrants that this is a Habeas Compliant
X-Habeas-SWE-8: Message (HCM) and not spam. Please report use of this
X-Habeas-SWE-9: mark in spam to <http://www.habeas.com/report/>.
В google нашел вот такую статью http://toys.lerdorf.com/index.php?/arch ... assin.html (извините, нет времени переводить статью).

Чтобы не получать подобные сообщения, я добавил в свой local.cf

Код: Выделить всё

score HABEAS_SWE 0.0

Аватара пользователя
setar
Site Admin
Site Admin
Сообщения: 1990
Зарегистрирован: 22 авг 2002, 12:03
Откуда: St. Petersburg

Сообщение setar » 30 янв 2004, 11:47

to Smart, важное замечание, спасибо.

P.S. Однако спамеры не лохи ... ладно придётся быть нам сильнее ;)

AlexZol
Junior member
Сообщения: 3
Зарегистрирован: 30 янв 2004, 13:37

Учиться не хочет !

Сообщение AlexZol » 30 янв 2004, 13:40

Все поставил работает вроде. Решил по обучать. положил почти 500 писем в папочку и послал его учиться ... а он :

[root@ns local]# sa-learn --spam /root/upload/mail/spam/
Learned from 0 message(s) (487 message(s) examined).

В чем проблема ???

Ответить

Вернуться в «Серверы - ПО, Unix подобные системы»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 12 гостей