Postfix sposoby ograniczenia spamu
Niechciane maile stały się zmorą dzisiejszych czasów. Atakują nas natrętni reklamodawcy, spamerzy, sklepy, instytucje.
Pocztę traktujemy jako spam gdy posiada jednocześnie następujące cechy:
-treść wiadomości są niezależne od tożsamości odbiorcy
- odbiorca otrzymuje wiadomości których nie może odwołać ani zweryfikować
- nadawca uzyskuje korzyści wynikające z odebrania maila
Postfix pozwala na blokowanie niechcianej poczty na kilka sposobów.
Blokowanie dostępu dla SMTP klienta
Blokowanie dostępu dla protokołu SMTP – Helo restrykcje
Wykorzystywanie reguł ograniczeń dla odbiorców „RHSBL List” (RCPT TO)
Wykorzystywanie reguł antyspamowych „RBL List” (MAIL FROM) opartych na bazie adresów IP podejrzanych o rozsyłanie spamu.
Blokowanie nagłówka – header_check
Blokowanie zawartości maila – body_check
Postfix jest klientem odpowiedzialnym za przyjmowanie połączeń ze zdalnego hosta i odbieranie wiadomości. Można w nim nałożyć ograniczenai na szereg parametrów między innymi można filtrować i blokować nazwy domen, adresy sieciowe, adresy pocztowe, nazwy komputerów.
Ograniczenia poczty na poziomie SMTP.
Ograniczenie na poziomie HELO może być mało wydajne lepiej wykonać ograniczenia na poziomie
Smtpd_client_restrictions
Smtpd_helo_restrictions
Smtpd_sender_restrictions
Ograniczenie SMTPD dla klienta w celu ograniczenia komunikacji zewnętrznej
Ograniczenie wykonujemy w pliku main.cf
smtpd_client_restrictions =
check_client_access hash:/etc/postfix/maps/access_client,
permit
Content of access_client
7.7.7.7 REJECT
Kompilujemy access_client do access_client.db
postmap hash:access
telnet kobieta 25
Trying kobieta...
Connected to kobieta.
Escape character is '^]'.
220 kobieta.2w1.eu ESMTP Postfix
HELO kobieta
250 kobieta.2w1.eu
MAIL FROM: <Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.">
250 Ok
RCPT TO: <Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.">
554 <kablowa-torun.2w1.eu[7.7.7.7]>:
Client host rejected: Access denied
Ograniczenia wysyłającego
Wprowadzamy ograniczenie na wysyłkę dla użytkowników na podstawie adresu nadawcy MAIL FROM
Ograniczenia HELO
Będziemy wymagać by HELO dla każdego maila.
Bez HELLO nie będzie można wysłać maila wprowadzamy to w konfiguracji main.cf w linii smtpd_helo_required = yes
Ograniczenia odbiorcy
Wprowadzamy ograniczenia na jakie będzie reagował klient na podstawie adresu odbiorcy RCPT TO
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination,
reject_invalid_hostname,
reject_unauth_pipelining,
reject_non_fqdn_sender,
reject_unknown_sender_domain,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
check_client_access hash:/etc/postfix/maps/access_client,
check_helo_access hash:/etc/postfix/maps/access_helo,
check_sender_access hash:/etc/postfix/maps/access_sender,
check_recipient_access hash:/etc/postfix/maps/access_recipient,
reject_rhsbl_client blackhole.securitysage.com,
reject_rhsbl_sender blackhole.securitysage.com,
reject_rbl_client relays.ordb.org,
reject_rbl_client blackholes.easynet.nl,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client proxies.blackholes.wirehub.net,
reject_rbl_client bl.spamcop.net,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client opm.blitzed.org,
reject_rbl_client dnsbl.njabl.org,
reject_rbl_client list.dsbl.org,
reject_rbl_client multihop.dsbl.org,
permit
RBL (Real-time, IP Based filtracja Blacklist) – dostępna online baza adresów IP podejrzanych o rozsyłanie spamu. Na tej liście najczęściej widnieją adresy serwerów open relay i użytkowników z dynamicznych adresów IP dial-up.
Serwer Open Reley – przekaźnik – serwer Open Reley pozwala na przekazanie poczty bez dokonania autoryzacji. Serwery te są poszukiwane przez spamerów za pomocą inteligentnych skanerów które po znalezieniu takiego skanera następuje masow rozsyłanie spamu a w konsekwencji wpisanie takiego serwrera na czarną listę RBL.
Kolejnym rodzajem serwerów które służą do rozsyłania spamu to serwery open proxy, są to serwery pośredniczące dla grup użytkowników którzy chcą zamaskować własny adres IP poprzez przykrycie go adresem proxy.
Jest wiele serwerów RBL należy dobrać odpowiednie do swoich potrzeb. Zdarza się że serwery RBL blokują serwery operatorów lokalnych danego kraju.
RHSBL (Real-time, Domain Based Blacklist filtration) – nie zawiera numerów IP a składa się z listy nazw domen.
Kontrola nagłówka oraz treści maila.
Często dobra techniką ograniczenia niechcianej poczty jest filtrowanie nagłówka maila lub jego treści. Przykładem tego mogą być rozsyłane maile z nagłówkiem Viagra.
Kontrolę nagłówka ustawiamy w pliku konfiguracyjnym postfixa main.cf dodając następujące linie
header_checks = regexp:/etc/postfix/maps/header_checks
mime_header_checks = regexp:/etc/postfix/maps/mime_header_checks
Format lini w header_checks pliku jest następujący:
/^HEADER: .*content_to_act_on/ ACTION
Nie należy używać pojedyńczych słów które mogą prowadzić do odrzucania prawidłowych maili. Najlepszą praktyką jest używanie całych fraz.
Przykład:
/^Subject: .*Make Money Fast!/ REJECT
Sprawdzanie nagłówka MIME
W pliku mime_header_cheks umieścimy niebezpieczne rozszerzenia które nie mają przechodzić przez nasz system. Dobrze jest blokować pliki o rozszerzeniach bat, com, exe, dll
Wykonujemy to za pomocą wpisania w pliku następującej frazy:
/name=[^>]*\.(bat|com|exe|dll)/ REJECT
Filtrowanie zawartości maila
Aby dodać filtrowanie zawartości maila wprowadzamy do pliku main.cf następującą linię:
body_checks = regexp:/etc/postfix/maps/body_checks
w pliku body_checks wprowadzamy wpisy w następujący sposób:
/content_to_act_on/ ACTION
Jest to kilka prostych przykładów uszczelnienia swojej poczty opartej na POSTFIXIE