INFORMATICS

Niechciane maile stały się zmorą dzisiejszych czasów. Atakują nas natrętni  reklamodawcy, spamerzy, sklepy, instytucje.

Pocztę traktujemy jako spam gdy posiada jednocześnie następujące cechy:

-treść wiadomości są niezależne od tożsamości odbiorcy

- odbiorca otrzymuje wiadomości których nie może odwołać ani zweryfikować

- nadawca uzyskuje korzyści  wynikające z odebrania maila

Postfix pozwala na blokowanie niechcianej poczty na kilka sposobów.

Blokowanie dostępu dla SMTP klienta

Blokowanie dostępu dla protokołu SMTP – Helo restrykcje

Wykorzystywanie reguł ograniczeń dla odbiorców „RHSBL List” (RCPT TO)

Wykorzystywanie reguł antyspamowych „RBL List” (MAIL FROM) opartych na bazie adresów IP podejrzanych o rozsyłanie spamu.

Blokowanie nagłówka – header_check

Blokowanie zawartości maila – body_check

Postfix jest klientem odpowiedzialnym za przyjmowanie połączeń ze zdalnego hosta i odbieranie wiadomości. Można w nim nałożyć ograniczenai na szereg parametrów między innymi można filtrować i blokować nazwy domen, adresy sieciowe, adresy pocztowe, nazwy komputerów.

Ograniczenia poczty na poziomie SMTP.

Ograniczenie na poziomie HELO może być mało wydajne lepiej wykonać ograniczenia na poziomie

Smtpd_client_restrictions

Smtpd_helo_restrictions

Smtpd_sender_restrictions

Ograniczenie SMTPD dla klienta w celu ograniczenia komunikacji zewnętrznej

Ograniczenie wykonujemy w pliku main.cf

smtpd_client_restrictions =

check_client_access hash:/etc/postfix/maps/access_client,

 permit

Content of access_client

7.7.7.7 REJECT

Kompilujemy access_client do access_client.db

postmap hash:access

telnet kobieta 25

Trying kobieta...

Connected to kobieta.

Escape character is '^]'.

220 kobieta.2w1.eu ESMTP Postfix

HELO kobieta

250 kobieta.2w1.eu

MAIL FROM: <This email address is being protected from spambots. You need JavaScript enabled to view it.">

 250 Ok

RCPT TO: <This email address is being protected from spambots. You need JavaScript enabled to view it.">

 554 <kablowa-torun.2w1.eu[7.7.7.7]>:

Client host rejected: Access denied

 Ograniczenia wysyłającego

Wprowadzamy ograniczenie na wysyłkę dla użytkowników na podstawie adresu nadawcy MAIL FROM

Ograniczenia HELO

Będziemy wymagać by HELO dla każdego maila.

Bez HELLO nie będzie można wysłać  maila wprowadzamy to w konfiguracji main.cf w linii smtpd_helo_required = yes

Ograniczenia odbiorcy

Wprowadzamy ograniczenia na jakie będzie reagował klient na podstawie adresu odbiorcy RCPT TO

smtpd_recipient_restrictions =

permit_mynetworks,

permit_sasl_authenticated,

reject_unauth_destination,

reject_invalid_hostname,

reject_unauth_pipelining,

reject_non_fqdn_sender,

reject_unknown_sender_domain,

reject_non_fqdn_recipient,

reject_unknown_recipient_domain,

check_client_access hash:/etc/postfix/maps/access_client,

check_helo_access hash:/etc/postfix/maps/access_helo,

check_sender_access hash:/etc/postfix/maps/access_sender,

check_recipient_access hash:/etc/postfix/maps/access_recipient,

reject_rhsbl_client blackhole.securitysage.com,

reject_rhsbl_sender blackhole.securitysage.com,

reject_rbl_client relays.ordb.org,

reject_rbl_client blackholes.easynet.nl,

reject_rbl_client cbl.abuseat.org,

reject_rbl_client proxies.blackholes.wirehub.net,

reject_rbl_client bl.spamcop.net,

reject_rbl_client sbl.spamhaus.org,

reject_rbl_client opm.blitzed.org,

reject_rbl_client dnsbl.njabl.org,

reject_rbl_client list.dsbl.org,

reject_rbl_client multihop.dsbl.org,

permit

 RBL (Real-time, IP Based filtracja Blacklist) – dostępna online baza adresów IP podejrzanych o rozsyłanie spamu. Na tej liście najczęściej widnieją adresy serwerów open relay i użytkowników z dynamicznych adresów IP dial-up.

Serwer Open Reley – przekaźnik – serwer Open Reley pozwala na przekazanie poczty bez dokonania autoryzacji. Serwery te są poszukiwane przez spamerów za pomocą inteligentnych skanerów które po znalezieniu takiego skanera następuje masow rozsyłanie spamu a w konsekwencji wpisanie takiego serwrera na czarną listę RBL.

Kolejnym rodzajem serwerów które służą do rozsyłania spamu to serwery open proxy, są to serwery pośredniczące dla grup użytkowników którzy chcą zamaskować własny adres IP poprzez przykrycie go adresem proxy.

Jest wiele serwerów RBL należy dobrać odpowiednie do swoich potrzeb. Zdarza się że serwery RBL blokują serwery operatorów lokalnych danego kraju.

RHSBL (Real-time, Domain Based Blacklist filtration) – nie zawiera numerów IP a składa się z listy nazw domen.

 Kontrola nagłówka oraz treści maila.

Często dobra techniką ograniczenia niechcianej poczty jest filtrowanie nagłówka maila lub jego treści. Przykładem tego mogą być rozsyłane maile z nagłówkiem Viagra.

Kontrolę nagłówka ustawiamy w pliku konfiguracyjnym postfixa main.cf dodając następujące linie

header_checks = regexp:/etc/postfix/maps/header_checks

mime_header_checks = regexp:/etc/postfix/maps/mime_header_checks

Format lini w header_checks pliku jest następujący:

 /^HEADER: .*content_to_act_on/ ACTION

Nie należy używać pojedyńczych słów które mogą prowadzić do odrzucania prawidłowych maili. Najlepszą praktyką jest używanie całych fraz.

Przykład:

 /^Subject: .*Make Money Fast!/ REJECT

Sprawdzanie nagłówka MIME

W pliku mime_header_cheks  umieścimy niebezpieczne rozszerzenia które nie mają przechodzić przez nasz system. Dobrze jest blokować pliki o rozszerzeniach bat, com, exe, dll

Wykonujemy to za pomocą wpisania w pliku następującej frazy:

/name=[^>]*\.(bat|com|exe|dll)/ REJECT

Filtrowanie zawartości maila

Aby dodać filtrowanie zawartości maila wprowadzamy do pliku main.cf następującą linię:

body_checks = regexp:/etc/postfix/maps/body_checks

w pliku body_checks wprowadzamy wpisy w następujący sposób:

/content_to_act_on/ ACTION

Jest to kilka prostych przykładów uszczelnienia swojej poczty opartej na POSTFIXIE