jak się powiedziało część 1 to musi byc i nr 2:) Rozwijając temat który był wspomniany w częsci 1. Domeny czasem istnieja sobie, spamer je lubi kupił i ma. Zmienia login które służa do rozsyłania maili. przykład z życia wziety. Doemna @newspoczta.pl zmienia loginy co kampanie:extraportfel@ tmobile@ peugeot@ itd. Tu są dwa wyjścia: zablokować cała domenę. To proste łatwe i skuteczne. Drugie rozwiązanie jest idące głebiej. Zaczynamy szukać inne domeny które rozsyłaja spam powiedzmy z konta pegeot@. I znajdujemy domeny @newspoczta.pl @hotmessage @emberta.pl
Wszystkie trzy domeny założone w tym roku. Zapewne zostaną wycisnięte jak cytryna i porzucone. W końcu domena na rok kosztuje ok 15zl. Zaden koszt. Dalsze sprawdzenie to, że maile są rozsyłane przez serwer specialclick.pl . Message-ID są z różnych domen. najlepszy sposób blokady? Adresy IP specialclick.pl i po sprawie.
Podobnie analiza mówi o mailach z samsung@. część wspólna to specialclick. Ciekawe czy tylko oni stosują taką metodę czy jest powszechna.
Najprawdopodobniej specialclick posiada pulę adresów IP i zmienia adres dla serwera co jakiś czas. Analiza logów pocztowych z lipca pokazuje następujące adresy:
185.70.36.60
185.70.36.61
185.70.36.62
185.70.36.63
185.70.36.65
185.70.36.66
185.70.36.68
185.70.36.69
185.70.36.70
185.70.36.71
Dzisiaj zaś mx.info.specialclick.pl wskazuje na 185.70.36.64.
Pytanie, dodajesz adres IP do blacklisty w spamassassinie, czy już blokujesz na poziomie dostępu do postfixa (czyli na firewallu)?
ja adresy dodaje so SA. Co do firewalla. Jak zaczniesz blokowac czesc w SA czesc w firewalu a inen an poziomie Postfia to sie pogubisz:) Lepiej uznac ze SA i Postfix np. Wtedy w logach jest Postfixa troche do analizyc. W firewallu mialem kiedys cale Chiny tylko.
Przyjmujesz zasade i sie jej trzymasz.
Mozna by zrobic fajną reguła do Postfixa z clientami. Jest to jakis pomysl.Tylko obawiam sie, ze oni czesto zmieniaja pule adresów. Dodanie nowego serwera to zaden problem.
Najlepsym rozwiazaniem bylaby baza uaktulniana online czyliw sumie RBL:)
Podniosę kwestię wydajności.
Filtrowanie w spamassassinie zachodzi po przyjęciu treści emaila przez nasz serwer pocztowy. To zajmuje zarówno nasze łącze, jak i czas procesora jak i miejsce na dysku jeżeli mamy kwarantannę. Z plusów mamy w kwarantannie spam, który potem można wysłać do SpamCopa.
W postfixie można mieć czarne listy adresów IP (mapa hash), sieci (mapa cidr), revdnsów (mapa hash lub pcre), adresów email i domen. Odrzucanie w sesji przed DATA oszczędza zasoby.
Wydajnościowo mapa cidr jest słaba – lepiej przekonwertować to (i użyć) do rbldnsd.
Wydajnościowo pcre jest zabójcze.
Jeżeli chodzi o firewalla to setki wpisów w iptablesach też nie są wydajne. Lepiej używać ipset-a.
Na spamerów zajmujących wiele adresów IP/sieci najlepszy jest blackholing w DNSach.