Exim: проверка спама. Кто какими правилами пользуется?

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
McLeod095
рядовой
Сообщения: 11
Зарегистрирован: 2009-07-14 9:38:52

Exim: проверка спама. Кто какими правилами пользуется?

Непрочитанное сообщение McLeod095 » 2009-07-14 10:01:06

Всем ДД!

Тут занимаясь антиспам фильтром spamassassin немного добавил правил в exim и был удивлен, тем что новые правила стали пропускать намного меньше спама. сейчас в день приходит порядка 50 писем спама, которые помечаются spamassassin, до этого их количество переваливало за 100.
Вот хочу поделиться своими правилами и выслушать критику.

Код: Выделить всё

# Запретить ip адрес отправителя в HELO
# Deny if IP address in HELO
    deny	message		=	"Your IP in HELO - access denied!"
                hosts          	=	*:!+relay_from_hosts:!+local_network:!127.0.0.1:!localhost
                condition          =	${if eq{$sender_helo_name} {$sender_host_address}{true}{false}}

# Запретить IP адрес сетевого интерфейса в HELO
# Deny if IP address in HELO         
    deny	message		=	"main IP in your HELO! Access denied!"
                hosts		=	*:!+relay_from_hosts:!+local_network:!127.0.0.1:!localhost
                condition	=	${if eq {$sender_helo_name} {$interface_address}{yes}{no}}

# Запретить если в HELO только цифры (Попадается мало)                                                
# Deny number in HELO       
    deny	message		=	"can not be only number in HELO"
                hosts		=	!127.0.0.1:!localhost:*
                condition	=	${if match{$sender_helo_name} {\N^\d+$\N}{yes}{no}}

# Запретить если в HELO только буквы (Попадается довольно много, в основном отрубается порно спам)
# Deny only literals in HELO       
    deny	message		=	"can not be only literals in HELO"
                hosts		=	!127.0.0.1:!localhost:*
                condition	=	${if match{$sender_helo_name} {\N^\w+$\N}{yes}{no}}

# Запретить если в HELO только символы пробелов или табуляций (Пока не заметил много срабатываний)
# Deny only space in HELO       
    deny	message		=	"can not be only spaces in HELO"
                hosts		=	!127.0.0.1:!localhost:*
                condition	=	${if match{$sender_helo_name} {\N^\s+$\N}{yes}{no}}

# Запретить в HELO использование имени моего почтового сервера                                                                        
# Deny if my name in HELO
    deny	message		=	"It's my name - access denied (HELO is not accept)"
    		hosts		=	!127.0.0.1:!localhost:*
                condition	=	${if match{$sender_helo_name} {my_mx}{yes}{no}}

# Запретить в HELO использование имени моего почтового сервера                                                                                                 
# Deny if my name in HELO
    deny	message		=	"It's my name - access denied (HELO is not accept)"
    		hosts		=	!127.0.0.1:!localhost:*
        	condition	=	${if match{$sender_helo_name} {my_mx2}{yes}{no}}
                                                                                                                        
# Запретить в HELO символ подчеркивания (Поправьте меня если не правильно понял регекс)
    deny        condition       =	${if match{$sender_helo_name}{\N_\N}{yes}{no}}
		message		=	"This is not HELO name"
                hosts           =	*:!127.0.0.1:!localhost:!+relay_from_hosts:!+local_network
Почти все правила были взяты из примеров lissyara кроме проверок на одни буквы и пробелы
На двух серверах проверка на одни буквы находится в пятерке самых используемых, после этого кстати почти нет спама с порно
Отчет existats
39259 Rejected RCPT: dnsbl
25309 Rejected RCPT: "can not be only literals in HELO"
14119 Rejected RCPT: Sorry, we dont accept mail from dialup and so on. Please, use mail server of Your ISP
5763 Rejected RCPT: Sender verify failed
5386 Rejected RCPT: User unknown (my.domain)

Хотелось бы что бы данная тема не умерла и по мере возможности Уважаемые посетители форума тоже оставляли свои фильтры для отсеивания спама.

Заранее всем спасибо!
Последний раз редактировалось McLeod095 2009-07-14 11:53:55, всего редактировалось 1 раз.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Exim: проверка спама. Кто какими правилами пользуется?

Непрочитанное сообщение Morty » 2009-07-14 11:37:37

вообще много чего на эту тему лежит в разделе Полезные скрипты
но для поддержания темы -)

Код: Выделить всё

deny condition  =  ${lookup{$sender_host_address}iplsearch\
                             {/usr/local/etc/exim/blacklist_hostaddress}{yes}{no}}
                           hosts     =!+relay_from_hosts : *
                           logwrite    = "$sender_host_address you are in NETIPblacklist"
файл - пример blacklist_hostaddress

Код: Выделить всё

133.0.0.0/8
23.12.12.0/24
PS: это было блокировка сетей/подсетей/ипшников со списоком в отдельный файл

McLeod095
рядовой
Сообщения: 11
Зарегистрирован: 2009-07-14 9:38:52

Re: Exim: проверка спама. Кто какими правилами пользуется?

Непрочитанное сообщение McLeod095 » 2009-07-14 11:56:54

Кстати вопрос к гуру!

заметил что спам который проходит в принципе является нормальным со всех точек зрения.
но HELO у них может быть такого содержания
dsl-192-168-1-1.corbina.ru
Хотелось бы спросить
если составить регекс на отбрасывание писем с таким HELO не будет ли это противоречить RFC и не зарежется много нужной почты?

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Exim: проверка спама. Кто какими правилами пользуется?

Непрочитанное сообщение Morty » 2009-07-14 12:58:46

спам который проходит в принципе является нормальным
каламбур какой-то
если составить регекс на отбрасывание писем с таким HELO не будет ли это противоречить RFC и не зарежется много нужной почты?
не нарушиш - можешь начинать составлять

McLeod095
рядовой
Сообщения: 11
Зарегистрирован: 2009-07-14 9:38:52

Re: Exim: проверка спама. Кто какими правилами пользуется?

Непрочитанное сообщение McLeod095 » 2009-07-14 13:49:30

Ну можно для начала еще также запретить все ипы в helo
# Deny any IP address in HELO

Код: Выделить всё

   deny   message      =   "IP in your HELO! Access denied!"
                hosts      =   *:!+relay_from_hosts:!+local_network:!127.0.0.1:!localhost
                condition   =   ${if eq {$sender_helo_name} {\N^\d{1,3}\.d{1,3}\.d{1,3}\.d{1,3}$\N}{yes}{no}}
а если запретить в HELO то что писал выше то поступил так, хотя мой пример для имени хоста, я думаю подправить его не сложно будет

Код: Выделить всё

   deny	message		=	"You DNS name don't accept for this server ($sender_host_name)"
		condition	=	${if match{$sender_host_name}{\N\d{1,3}[-.]\d{1,3}[-.]\d{1,3}\N}{yes}{no}}

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: Exim: проверка спама. Кто какими правилами пользуется?

Непрочитанное сообщение Laa » 2009-07-14 14:05:33

У меня были случаи нормальной почты с кривыми HELO. Все остальное было нормально. Письма достаточно важные были (договор или счет... уже не помню). Вы бы их отбили! :st:

Считаю, что лучше давать deny после нескольких проверок, а не сразу по одной и не совсем критичной проверке. Сами же и пострадаете. :-o
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

McLeod095
рядовой
Сообщения: 11
Зарегистрирован: 2009-07-14 9:38:52

Re: Exim: проверка спама. Кто какими правилами пользуется?

Непрочитанное сообщение McLeod095 » 2009-07-14 14:15:16

Laa писал(а):У меня были случаи нормальной почты с кривыми HELO. Все остальное было нормально. Письма достаточно важные были (договор или счет... уже не помню). Вы бы их отбили! :st:

Считаю, что лучше давать deny после нескольких проверок, а не сразу по одной и не совсем критичной проверке. Сами же и пострадаете. :-o
Я согласен что иногда важные письма приходят с почтовиков которые не правильные админы не правильно настроили.
При просмотре логов и их анализе даже письма с таких как mail.ru и gmail.com проходят нормально, хотя они и рассылаются с разных хостов, но у всех имена соответствуют правилам которые в перечисленные не попадают.

У меня тоже была практика когда важные письма не проходили из-за того что на другой стороне стоял своеобразный greylist, который при приеме письма на уровне smtp сессии открывал новую сессию к моему серверу и пытался выполнить HELO, mail from, rcpt to и если на это мой сервер выдавал OK то принимал почту. Если нет просто обрубал сессию от моего сервера. Оказалось что у них это видимо выполнялось скриптом, который работал в асинхронном режиме. В итоге пришлось данный домен внести в acl в котором для данного домена отключалось требование синхронизации сессии.

Такие случаи довольно редки. И легко отслеживаются, особенно после жалоб пользователей :smile: .

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: Exim: проверка спама. Кто какими правилами пользуется?

Непрочитанное сообщение princeps » 2009-07-14 14:56:58

интересно, кто-нибудь использует проверку по наличию удаленной картинки в теле письма? Лет пять назад GFI у меня много таких лавливал.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: Exim: проверка спама. Кто какими правилами пользуется?

Непрочитанное сообщение Laa » 2009-07-14 15:01:43

McLeod095 писал(а): Такие случаи довольно редки. И легко отслеживаются, особенно после жалоб пользователей :smile: .
Сперва теряется важный договор на мульйон долларав, потом отправитель попадает в белый список... и бывает, что админ уже не работает после этого... :-D
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

McLeod095
рядовой
Сообщения: 11
Зарегистрирован: 2009-07-14 9:38:52

Re: Exim: проверка спама. Кто какими правилами пользуется?

Непрочитанное сообщение McLeod095 » 2009-07-14 15:28:05

Laa писал(а):
McLeod095 писал(а): Такие случаи довольно редки. И легко отслеживаются, особенно после жалоб пользователей :smile: .
Сперва теряется важный договор на мульйон долларав, потом отправитель попадает в белый список... и бывает, что админ уже не работает после этого... :-D
Ну здесь надо и самому админу быть осторожнее.
Не рубить так с горяча все, это первое.
Второе если пользователи визжат что много спама опять админ виноват.
Если не настраивать вообще никаких правил фильтрации то вся работа по разбору спама будет ложиться на плечи пользователей, которым в день будет приходить такое количество что они пару часов в день будут тратить только на разбор спама, что довольно не эффективно с точки зрения работодателя.

Ну а если уж договора в несколько мульенов не отслеживаются еще и по телефону, то таких менеджеров и т.п. надо гнать в три шеи.
На моей практике все договора, особенно важные отслеживаются самими пользователями по телефону. А практика состоит в администрировании фирмы в 700 и более ящиков. И в течении 3ех лет таких важных писем не терялось, а если и были проблемы то о них я узнавал в самое короткое время, и приходилось решать их.

И воообще я считаю не стоит разводить холивар как в соседней теме.

Если не нравится правило отпишитесь чем именно, и приведите пример. Будет полезно не только мне но и всем остальным кто будет читать данную тему.

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: Exim: проверка спама. Кто какими правилами пользуется?

Непрочитанное сообщение Laa » 2009-07-14 16:15:06

McLeod095 писал(а): Если не нравится правило отпишитесь чем именно, и приведите пример. Будет полезно не только мне но и всем остальным кто будет читать данную тему.
Ок. Не нравится. Не стоит давать deny по ошибкам в хело. Есть маленькие шансы, что там будет нормальное письмо. Эти шансы не стоит терять. Вообще не стоит давать deny по одной какой-то проверке. И еще, не стоит давать deny до predata если отправитель <>. Потому что... см мою подпись.
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35411
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Exim: проверка спама. Кто какими правилами пользуется?

Непрочитанное сообщение Alex Keda » 2009-07-19 23:43:35

а я вообще не даю deny
у меня на все ошибки, даже когда пиьсмо точно никогда не будет приянто - дефер - темпорари локал проблем.
ничего никогда не теряется, но расплата - повышенная нагрузка на сервер и канал.
пока старый третий пенёк с двумя бошками тянет.
Убей их всех! Бог потом рассортирует...

moury
сержант
Сообщения: 249
Зарегистрирован: 2009-02-06 23:02:40
Откуда: Москва
Контактная информация:

Re: Exim: проверка спама. Кто какими правилами пользуется?

Непрочитанное сообщение moury » 2009-07-20 13:29:44

lissyara писал(а): а я вообще не даю deny
у меня на все ошибки, даже когда пиьсмо точно никогда не будет приянто - дефер - темпорари локал проблем.
Ненавижу! :evil:

Контора несколько раз едва не пролетала, когда почтовик получателя деферил важные письма, вместо режекта.
Да, через четыре часа генерится уведомление о недоставке, но там же английским по белому: "Не дергайтесь, будем долбиться до победного".
Что письмо не будет принято вообще, узнавали в лучшем назавтра, из статистики почтовика.

Ну чем плохо, если отправитель сразу узнает, что он опечатался в адресе, или что почтовик залетел в dnsbl, или что "Access denied (reason TS01), please contact our system administrator"? Юзер или админ начнут восстанавливать связь сразу, а не через пять суток после отправки.

Наболело.
Сисадмин - вождь апачей

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35411
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Exim: проверка спама. Кто какими правилами пользуется?

Непрочитанное сообщение Alex Keda » 2009-07-20 14:28:27

та мне пофигу. просто при таком раскладе с меня спросу нет никакого =)
Убей их всех! Бог потом рассортирует...