Forum Debian Users Gang

life · 2015-12-05 17:22:11

Witam używam postfixa, do walki ze spamem poza standardowym sitem jak poprawność konfiguracji serwera (HELO itp.), SPF itp. itd. mam własny skrypt w perlu (przed puszczeniem na RBL) gdzie każdy user w panelu klienta może wpisać domeny lub adresy IP które będą odrzucane i tak się dzieje, reguła ta jest przed RBL (praktycznie na początku: blacklist_spam):

Kod:

smtpd_recipient_restrictions =
  reject_non_fqdn_recipient,
  reject_unauth_pipelining,
  blacklist_spam,
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_unauth_destination,
  check_helo_access hash:/etc/postfix/helo_access,
  reject_unknown_helo_hostname,
  reject_non_fqdn_hostname,
  reject_non_fqdn_helo_hostname,
  reject_unverified_recipient,
  check_policy_service unix:private/policy-spf,
  check_policy_service inet:127.0.0.1:10023,
  check_client_access hash:/etc/postfix/rbl_whitelist,
  reject_rbl_client bl.spamcop.net,
  reject_rbl_client dnsbl.sorbs.net,
  permit

I działa to bardzo fajnie, ostatnio doinstalowałem spamassassina i dopisałem do skryptu whiteliste.
Działanie skryptu jest proste, sprawdza czy w bazie danych dla danego usera (konta pocztowego) widnieją wpisy, które zgadzały by się z domeną albo adresem IP i jeśli tak to zwraca kod 550 a jeśli jest czysto to akcja DUNNO (sprawdzając resztę).
Whiteliste dla adresów nadawcy zrobiłem podobnie i tu jeśli adres nadawcy jest na białej liście to zwracam OK czyli powinno zaprzestać sprawdzania kolejnych reguł, ale ... no właśnie idzie to jeszcze na spamassasina, który to markuje i pomimo tego może oznaczyć maila jako SPAM.

Jest jakaś opcja by ominąć spamassassina?

Ostatnio edytowany przez life (2015-12-05 19:31:06)

Jacekalex · 2015-12-05 17:32:01

Zawsze idzie przez całego SA, whitelista oznacza po prostu te -10, -100 czy -1000 punktów, zależy, jak sobie ustawisz.

Chyba, żeby whitelistę robić na poziomie Postfixa, a do SA puszczać tylko to, co nie jest dopasowane do whitelisty.
Ale w tej chwili nie mam pomysłu, jak to zakodzić w oparciu o bazę SQL, chociaż to na 99% wykonalne.

life · 2015-12-05 19:28:01

W tej chwili tak mam, że czarna i biała lista jest na "poziomie" postfixa (kolejność reguł w main.cf - kod w pierwszym poście).
Zauważyłem że to i tak potem wszystko idzie przez SA, i moja whitelista nie ma nic wspólnego z SA, tu właśnie jest ten problem.
A punktacji np. -100 nie mogę dać przed trafieniem do SA, no chyba że przeszło by coś takiego (ale teraz teoretyzuje), że ustawił bym jakiś tag np. w nagłówku (nie wiem czy z poziomu postfixa mogę ingerować nagłówki wiadomości. Potem w regułach SA wyłapywać ten tag i przyznawać za niego np. -100 punktów.

Tylko właśnie będę musiał sprawdzić czy jest taka opcja. Chyba, że ktoś ma jakiś inny pomysł.

Jacekalex · 2015-12-05 19:37:31

Moim zdaniem prochu w sztywnej konfiguracji nie wymyślisz.

Jeśli moc za mała, to może mocniejszy sprzęt potrzebny?

Ja zazwyczaj stawiam preferencje SA w Mysql, do tego Roundcube i wtyczka do konfiguracji opcji SA w Mysql (SAuserprefs), i każdy pacjent sam sobie ustala punktacje wtyczek i whitelisty.
Dzięki temu admin ma mniej roboty ;)

winnetou · 2015-12-05 20:38:49

W tym swoim skrypcie do sprawdzania (white|black)listy dodaj po prostu nagłówek A potem do SA dodaj regułkę która doda +-X punktów jeśli nagłówek istnieje
Mail to nic innego jak zwykły tekst - możesz na nim spokojnie operować. Sam postfix też może dodać nagłówki do maila.
[url=http://serverfault.com/questions/302676/postfix-add-custom-header-based-on-mysql-result]sznurek[/url]

life · 2015-12-05 23:15:11

Tak też zrobiłem, nie wiedziałem że można w tak prosty sposób dodać nagłówek, w skrypcie perla dodaję swój znacznik (nagłówek) poprzez PREPEND

do SA dodałem regułę, która sprawdza czy w nagłówku jest owy znacznik i jeśli tak to punktacja -100 :)

proste i działa jak trzeba DZIĘKI!

Ostatnio edytowany przez life (2015-12-05 23:15:59)

Jacekalex · 2015-12-06 04:53:57

[quote=life]Tak też zrobiłem, nie wiedziałem że można w tak prosty sposób dodać nagłówek, w skrypcie perla dodaję swój znacznik (nagłówek) poprzez PREPEND

do SA dodałem regułę, która sprawdza czy w nagłówku jest owy znacznik i jeśli tak to punktacja -100 :)

proste i działa jak trzeba DZIĘKI![/quote]
Tylko że wtedy i tak leci przez całego SA, chociaż decyzją Postfixa ma te -100 na dzień dobry.

Technicznie nie ma żadnej różnicy wobec sytuacji, gdyby whitelisty per-pacjent siedziały w bazie Spamassasssina w Mysql.

Sznurki:
https://wiki.apache.org/spamassassin/UsingSQL
http://notes.sagredo.eu/node/77

i klikajło do preferencji:
https://plugins.roundcube.net/packages/johndoh/sauserprefs

Pozdro
;-)

life · 2015-12-06 11:28:31

Tak tylko że wówczas jak robię to na poziomie postfixa to omijam kolejne reguły, a na końcu jest sprawdzanie RBL-i, miałem taką sytuację że jeden z dostawców klienta był na RBL-u i wówczas sama whitelista w SA nic nie pomoże bo mail "odbije" się od serwera bo nadawca jest na RBL-u.

W przypadku jak robię to z poziomu postfixa, to serwer może przepuścić nawet największy "szajs" na życzenie klienta. Dlatego też adresy w whitelist mają, krótki termin żywotności (ustawiane z poziomu klienta, 1, 2 lub 3 dni) po tym czasie musi ponownie je ustawić albo do tego czasu admin tamtego serwera zdejmie go z RBL-i.

Whitelista w samym SA by mi tego nie zapewniła.

Ostatnio edytowany przez life (2015-12-06 11:30:35)

Jacekalex · 2015-12-06 11:34:15

RBLi bym nie przeceniał, SPF, DKIM i greylisting dają razem lepsze rezultaty.

Poza tym, jak odpaliłeś już SA, to w nim masz możliwość stosowania wszystkich list RBL na świecie z odpowiednią punktacją (nawet dla każdej listy RBL ustawić punktację z osobna).

Ostatnio edytowany przez Jacekalex (2015-12-06 11:34:51)

ethanak · 2015-12-06 12:33:17

@jacekalex: spf za przeproszenie shit ci daje jeśli każda domena na końcu ma ?all albo ~all.
o kwiatkach w stylu home.pl czy yahoo.co.uk to już nie wspomnę...

Ostatnio edytowany przez ethanak (2015-12-06 12:41:29)

Jacekalex · 2015-12-06 12:50:54

Yahoo używa DKIM, i ten ładnie działa (odbijają maile bez podpisów lub z wadliwymi), ale trzeba troszkę zabawy z konfiguracją.
Maile z Yahoo, Gmaila i innych większych serwerów możesz odbijać, jeśli nie mają podpisu DKIM, albo mają wadliwy, jest na to opcja konfiguracyjna w OpenDKIM.
Zobacz, do czego służą opcje:

Kod:

On-BadSignature 
On-NoSignature
On-KeyNotFound
PeerList

i inne: http://www.opendkim.org/opendkim.conf.5.html

SPF też można ustawić, żeby odbijał softfaile, i liczba problematycznych domen maleje znacząco, chociaż nie jest zerowa.
Na home zrobiłem małą zmianę w [s]skrypcie do sprawdzania SPF[/s],
i też odbija co trzeba.
Dokładnie:
w pliku: [b]/usr/lib64/perl5/vendor_perl/5.20.2/Mail/SPF/Result.pm[/b]

Kod:

package Mail::SPF::Result::NeutralByDefault;
our @ISA = 'Mail::SPF::Result::Fail';
use constant name => 'neutral-by-default';
    # This is a special-case of the Neutral result that is thrown as a default
    # when "falling off" the end of the record.  See Mail::SPF::Record::eval().

Reklamacji na razie nie było.

Rezultat:

Kod:

swaks -f test@home.pl -t pacjent@domena.tld -s box -p 25 
=== Trying box:25...
=== Connected to box.
<-  220 domena.tld ESMTP Exim4
 -> EHLO localhost
<-  250-mail.domena.tld
<-  250-PIPELINING
<-  250-SIZE 10240000
<-  250-VRFY
<-  250-ETRN
<-  250-STARTTLS
<-  250-ENHANCEDSTATUSCODES
<-  250-8BITMIME
<-  250-DSN
<-  250 SMTPUTF8
 -> MAIL FROM:<test@home.pl>
<-  250 2.1.0 Ok
 -> RCPT TO:<pacjent@domena.tld>
<** 450 4.7.1 <pacjent@domena.tld>: Recipient address rejected: Please see http://www.openspf.net/Why?s=mfrom;id=test%40home.pl;ip=127.0.0.1;r=localhost
 -> QUIT
<-  221 2.0.0 Bye
=== Connection closed with remote host.

Greylisting też jest dosyć skuteczny.

I nie każda domena ma ~all albo ?all.

Dlatego napisałem:

SPF, DKIM i greylisting [b]dają razem lepsze rezultaty[/b][/quote]
Reasumując, SPF sam ma spore wady, ale razem z DKIM już jest nie najgorszy, a z greylistingiem to już całkiem ładna i dosyć skuteczna furtka.

W SA też można dopisać regułę, która będzie sprawdzała nagłówki dodane przez DKIM i SPF, i podejmowała dowolne akcje, z resztą sam SA też obrabia i SPF i DKIM z praktycznie dowolną punktacją dla każdego typu rezultatu testu.

Pozdro

Ostatnio edytowany przez Jacekalex (2015-12-06 13:35:39)

W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)

Time (s)	Query
0.00010	SET CHARSET latin2
0.00003	SET NAMES latin2
0.00121	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.16.203.27' WHERE u.id=1
0.00069	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.16.203.27', 1732427210)
0.00053	SELECT * FROM punbb_online WHERE logged<1732426910
0.00058	DELETE FROM punbb_online WHERE ident='3.136.22.184'
0.00033	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=27969 AND t.moved_to IS NULL
0.00028	SELECT search_for, replace_with FROM punbb_censoring
0.00193	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=27969 ORDER BY p.id LIMIT 0,25
0.00081	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=27969
Total query time: 0.00649 s

Forum Debian Users Gang

Ogłoszenie

#1 2015-12-05 17:22:11

life - Użytkownik

Postfix + spamassassin + whitelist

Kod:

#2 2015-12-05 17:32:01

Jacekalex - Podobno człowiek...;)

Re: Postfix + spamassassin + whitelist

#3 2015-12-05 19:28:01

life - Użytkownik

Re: Postfix + spamassassin + whitelist

#4 2015-12-05 19:37:31

Jacekalex - Podobno człowiek...;)

Re: Postfix + spamassassin + whitelist

#5 2015-12-05 20:38:49

winnetou - złodziej wirków ]:->

Re: Postfix + spamassassin + whitelist

#6 2015-12-05 23:15:11

life - Użytkownik

Re: Postfix + spamassassin + whitelist

#7 2015-12-06 04:53:57

Jacekalex - Podobno człowiek...;)

Re: Postfix + spamassassin + whitelist

#8 2015-12-06 11:28:31

life - Użytkownik

Re: Postfix + spamassassin + whitelist

#9 2015-12-06 11:34:15

Jacekalex - Podobno człowiek...;)

Re: Postfix + spamassassin + whitelist

#10 2015-12-06 12:33:17

ethanak - Użytkownik

Re: Postfix + spamassassin + whitelist

#11 2015-12-06 12:50:54

Jacekalex - Podobno człowiek...;)

Re: Postfix + spamassassin + whitelist

Kod:

Kod:

Kod:

#12 2015-12-06 13:37:30

ethanak - Użytkownik

Re: Postfix + spamassassin + whitelist

#13 2015-12-06 13:48:49

Jacekalex - Podobno człowiek...;)

Re: Postfix + spamassassin + whitelist

Kod:

Kod:

#14 2015-12-06 13:59:58

ethanak - Użytkownik

Re: Postfix + spamassassin + whitelist

#15 2015-12-06 14:07:08

Jacekalex - Podobno człowiek...;)

Re: Postfix + spamassassin + whitelist

#16 2015-12-06 14:13:29

ethanak - Użytkownik

Re: Postfix + spamassassin + whitelist

#17 2015-12-06 14:48:25

Jacekalex - Podobno człowiek...;)

Re: Postfix + spamassassin + whitelist

#18 2015-12-06 14:58:32

ethanak - Użytkownik

Re: Postfix + spamassassin + whitelist

#19 2015-12-06 15:04:55

Jacekalex - Podobno człowiek...;)

Re: Postfix + spamassassin + whitelist

Stopka forum

Informacje debugowania