Версия для печати темы Нажмите сюда для просмотра этой темы в оригинальном формате

Форум программистов > Администрирование *NIX систем > Борьба с исходящим спамом

Автор: St. Andrew 15.1.2008, 01:46

Здравствуйте! У меня возник вот такой вопрос:  Есть почтовый сервер, MTA Sendmail. Периодически наш домен попадает в спам-листы. Насколько я понимаю, кто-то из локальной сети засылает спам. Наверное, почитав конфиги, можно выяснить кто это делает. Дайте, пожалуйста, дельный совет - куда смотреть и как определить кто это дело творит (какие критерии отличают эти самые вредные письма - многоадресная рассылка или еще что). В логах я обнаружил maillog, похоже что инфа о всей почте хранится в нем, но такой большой...навскидку найти что-то кажется вообще нереальным!   И еще меня очень интересует, существуют ли какие-либо пути настройки sendmail, позволяющие как-то "запретить" внутренний спам? Ес-но, спам, который снаружи валит, нужно лечить антиспамом. Но вот что делать с исходящим? В общем, такая вот проблема. Жду помощи!

Автор: Imple 15.1.2008, 06:15

Цитата(St. Andrew @  15.1.2008,  04:46 ) почитав конфиги, можно выяснить кто это делает Конфиги тут не причем. В самом sendmail'е ничего подобного нет, кроме RBL-листов, которые в данном случае не уместны. Установите и настройте спам-фильтр. Например, http://spamassassin.apache.org/. Документации как прикрутить его практически ко всем MTA в сети навалом. Также, ни в коем случае не настраивайте на почтовом сервере NAT любого рода. Установите и настройте фильтр-антивирус. Также, посмотрите на http://www.amavis.org/, софт который облегчит прикручивание спам-фильтра и вирус-фильтра к MTA. Цитата(St. Andrew @  15.1.2008,  04:46 ) maillog, похоже что инфа о всей почте хранится в нем, Так и есть. Цитата(St. Andrew @  15.1.2008,  04:46 ) но такой большой...навскидку найти что-то кажется вообще нереальным!   Настройте ротацию и архивацию логов.

Автор: bilbobagginz 15.1.2008, 09:06

Цитата(St. Andrew @  15.1.2008,  01:46 ) Периодически наш домен попадает в спам-листы. обычно человек/сервер добавляющий вас в эти листы имеет координаты. соединись с ним, и узнай что он от вашего сервера получал. а почему вы не ограничиваете пользователей количеством исходящих писем в единицу времени ?  почему не настраивате ESMTP с авторизацией, и через SSL ? скорее всего письма отправляют скрипты на перле или что-то такое. посмотрите спам от вас изошедший, и по message-ID найдите кто его послал.... можете предоставить ему счет за время, которое убито на анализ логов, и связь с создателями записей в грей листы. предупредите. но ESMTP надо бы настроить с авторизацией.

Автор: ZeeLax 15.1.2008, 10:11

Ещё потерзайте гугл на предмет анализаторов логов для sendmail.

Автор: St. Andrew 15.1.2008, 11:01

Большое спасибо за советы! Чувствую, что появился вагон пищи для ума, попробую что-нибудь из этих светлых мыслей реализовать! Спасибо!

Автор: St. Andrew 15.1.2008, 18:30

Так...скачал анализатор логов, посмотрел, что с почтой происходит. В принципе, со всех зарегистрированных адресов никакого спама не наблюдается. Зато периодически в логах всплывают адреса типа "bla-bla-bla@mydomen", хотя никакого юзера почты bla-bla-bla в моем домене в помине нет. Попробовал послать письмо с адреса spam@mydomen . Письмо прошло....оказалось, что действительно SMTP у нас без какой-либо аутентификации. И если у кого-то из юзеров троян - он может запросто рассылать спам с левых несуществующих адресов... В общем, явно пора это безобразие заканчивать, только бы вот теперь разобраться, где и как эту самую аутентификацию включать.  bilbobagginz, ссылкой не угостите?

Автор: bilbobagginz 15.1.2008, 18:36

Цитата(St. Andrew @  15.1.2008,  18:30 ) bilbobagginz, ссылкой не угостите? я кроме мануалов самих пакетов или хауту не пользуюсь. хауту подборки есть тут, но не по-русски: http://www.howtoforge.com/ собственно про сендмэйл + AUTH + TLS: http://www.howtoforge.com/howto_sendmail_smtp_auth_tls http://www.tldp.org/

Автор: Imple 15.1.2008, 21:16

Также посмотрите на opennet.ru. Там очень много документов на эту тематику. Удачи!

Автор: St. Andrew 5.3.2008, 18:15

Решил реанимировать свою тему, так как заново шлюз собираю. )) Сейчас ковыряюсь с SMTP-аутентификацией. Насколько понял, это делается по RFC 2554.  А вот вопрос какой - а имеет ли смысл вообще делать TLS-подключение, если почтовый сервер - это по сути шлюз, а юзеры коннектятся (отправляют и получают почту) только из локальной сети? Вроде как безопасность соединения в данном случае не играет большой роли! И еще мысль пришла - ведь sendmail слушает по 25-му порту и внешнюю сеть, письма-то входящие нужно как-то принимать от других серверов. Тут могут быть какие-либо проблемы с безопасностью? Где можно указать, чтобы письма можно было отсылать только из локальной сети?

Автор: marykone 5.3.2008, 18:28

найдите какое нибудь how to и настройте по нему  свой сендмайл  Цитата /etc/mail/relay-domains сдесь пропишите домены которые могут пересылать через ваш шлюз почтовый (желательно с ip адрессом ) Цитата(St. Andrew @  5.3.2008,  18:15 ) Где можно указать, чтобы письма можно было отсылать только из локальной сети? по другому скажите  ps не читайте советы про релей домен

Автор: St. Andrew 6.3.2008, 16:30

Спасибо за ответ. В общем, остался по сути только один вопрос - как заставить юзеров проходить smtp-аутентификацию? Получается такая ситуация, что Bat запрашивает ее у сервера (и она работает), но если она не срабатывает - то происходит следующее:   Код 06.03.2008, 15:21:33: SEND  - Соединение с SMTP сервером прошло удачно  06.03.2008, 15:21:33: SEND  - Аутентификация (программный CRAM-MD5)...  06.03.2008, 15:21:33: SEND  - Сервер сообщает об ошибке: 5.7.0 authentication failed  06.03.2008, 15:21:33: SEND  - ВНИМАНИЕ: не удалось обнаружить на сервере подходящих алгоритмов аутентификации  06.03.2008, 15:21:33: SEND  - Отправка письма для [email protected] <06.03.2008, 15:21:33: SEND  - Отправлено письмо для [email protected] (647 байт)  06.03.2008, 15:21:33: SEND  - Соединение завершено - отправлено писем: 1 Насколько я понимаю, если аутентификация не проходит, то она просто-напросто игнорируется! А вот как бы сделать так, чтобы либо аутентификация, либо - REJECT? Делал все, как написано здесь: http://sendmail.by.ru/documents/SMTPAuth.htm Подскажите, пожалуйста! PS: Привожу файл sendmail.mc: Код divert(-1)dnl include(`/usr/share/sendmail-cf/m4/cf.m4')dnl VERSIONID(`setup for linux')dnl OSTYPE(`linux')dnl dnl # dnl # Do not advertize sendmail version. dnl # dnl define(`confSMTP_LOGIN_MSG', `$j Sendmail; $b')dnl dnl # dnl # default logging level is 9, you might want to set it higher to dnl # debug the configuration dnl # dnl define(`confLOG_LEVEL', `9')dnl dnl # dnl # Uncomment and edit the following line if your outgoing mail needs to dnl # be sent out through an external mail server: dnl # dnl # ST_ANDREW define(`SMART_HOST', `smtp.your.provider')dnl dnl # define(`confDEF_USER_ID', ``8:12'')dnl dnl define(`confAUTO_REBUILD')dnl define(`confTO_CONNECT', `1m')dnl define(`confTRY_NULL_MX_LIST', `True')dnl define(`confDONT_PROBE_INTERFACES', `True')dnl define(`PROCMAIL_MAILER_PATH', `/usr/bin/procmail')dnl define(`ALIAS_FILE', `/etc/aliases')dnl define(`STATUS_FILE', `/var/log/mail/statistics')dnl define(`UUCP_MAILER_MAX', `2000000')dnl define(`confUSERDB_SPEC', `/etc/mail/userdb.db')dnl define(`confPRIVACY_FLAGS', `authwarnings,novrfy,noexpn,restrictqrun')dnl define(`confAUTH_OPTIONS', `A')dnl dnl # dnl # The following allows relaying if the user authenticates, and disallows dnl # plaintext authentication (PLAIN/LOGIN) on non-TLS links dnl # define(`confAUTH_OPTIONS', `A p')dnl dnl #  dnl # PLAIN is the preferred plaintext authentication method and used by dnl # Mozilla Mail and Evolution, though Outlook Express and other MUAs do dnl # use LOGIN. Other mechanisms should be used if the connection is not dnl # guaranteed secure. dnl # Please remember that saslauthd needs to be running for AUTH.  dnl # TRUST_AUTH_MECH(`EXTERNAL DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl define(`confAUTH_MECHANISMS', `EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl define(`confDEF_AUTH_INFO', `/etc/mail/auth/auth-info')dnl  DAEMON_OPTIONS(`Port=25, Name=MSA, M=E')dnl  define(`confTO_IDENT', `0')dnl dnl FEATURE(delay_checks)dnl FEATURE(`no_default_msa', `dnl')dnl FEATURE(`smrsh', `/usr/sbin/smrsh')dnl FEATURE(`mailertable', `hash -o /etc/mail/mailertable.db')dnl FEATURE(`virtusertable', `hash -o /etc/mail/virtusertable.db')dnl FEATURE(redirect)dnl FEATURE(always_add_domain)dnl FEATURE(use_cw_file)dnl FEATURE(use_ct_file)dnl dnl # dnl # The following limits the number of processes sendmail can fork to accept  dnl # incoming messages or process its message queues to 20.) sendmail refuses  dnl # to accept connections once it has reached its quota of child processes. dnl # dnl define(`confMAX_DAEMON_CHILDREN', `20')dnl dnl # dnl # Limits the number of new connections per second. This caps the overhead  dnl # incurred due to forking new sendmail processes. May be useful against  dnl # DoS attacks or barrages of spam. (As mentioned below, a per-IP address  dnl # limit would be useful but is not available as an option at this writing.) dnl # dnl define(`confCONNECTION_RATE_THROTTLE', `3')dnl dnl # dnl # The -t option will retry delivery if e.g. the user runs over his quota. dnl # FEATURE(local_procmail, `', `procmail -t -Y -a $h -d $u')dnl FEATURE(`access_db', `hash -T<TMPF> -o /etc/mail/access.db')dnl FEATURE(`blacklist_recipients')dnl EXPOSED_USER(`root')dnl dnl # dnl # For using Cyrus-IMAPd as POP3/IMAP server through LMTP delivery uncomment dnl # the following 2 definitions and activate below in the MAILER section the dnl # cyrusv2 mailer. dnl # dnl define(`confLOCAL_MAILER', `cyrusv2')dnl dnl define(`CYRUSV2_MAILER_ARGS', `FILE /var/lib/imap/socket/lmtp')dnl dnl # dnl # The following causes sendmail to only listen on the IPv4 loopback address dnl # 127.0.0.1 and not on any other network devices. Remove the loopback dnl # address restriction to accept email from the internet or intranet. dnl # dnl # The following causes sendmail to additionally listen to port 587 for dnl # mail from MUAs that authenticate. Roaming users who can't reach their dnl # preferred sendmail daemon due to port 25 being blocked or redirected find dnl # this useful. dnl # dnl DAEMON_OPTIONS(`Port=submission, Name=MSA, M=Ea')dnl dnl # dnl # The following causes sendmail to additionally listen to port 465, but dnl # starting immediately in TLS mode upon connecting. Port 25 or 587 followed dnl # by STARTTLS is preferred, but roaming clients using Outlook Express can't dnl # do STARTTLS on ports other than 25. Mozilla Mail can ONLY use STARTTLS dnl # and doesn't support the deprecated smtps; Evolution <1.1.1 uses smtps dnl # when SSL is enabled-- STARTTLS support is available in version 1.1.1. dnl # dnl # For this to work your OpenSSL certificates must be configured. dnl # dnl DAEMON_OPTIONS(`Port=smtps, Name=TLSMTA, M=s')dnl dnl # dnl # The following causes sendmail to additionally listen on the IPv6 loopback dnl # device. Remove the loopback address restriction listen to the network. dnl # dnl DAEMON_OPTIONS(`port=smtp,Addr=::1, Name=MTA-v6, Family=inet6')dnl dnl # dnl # enable both ipv6 and ipv4 in sendmail: dnl # dnl DAEMON_OPTIONS(`Name=MTA-v4, Family=inet, Name=MTA-v6, Family=inet6') dnl # dnl # We strongly recommend not accepting unresolvable domains if you want to dnl # protect yourself from spam. However, the laptop and users on computers dnl # that do not have 24x7 DNS do need this. dnl # dnl FEATURE(`accept_unresolvable_domains')dnl dnl # FEATURE(relay_hosts_only)dnl dnl FEATURE(`relay_based_on_MX')dnl dnl #  dnl # Also accept email sent to "localhost.localdomain" as local email. dnl #  LOCAL_DOMAIN(`localhost.localdomain')dnl dnl # dnl # The following example makes mail from this host and any additional dnl # specified domains appear to be sent from mydomain.com dnl # dnl MASQUERADE_AS(`mydomain.com')dnl dnl # dnl # masquerade not just the headers, but the envelope as well dnl # dnl FEATURE(masquerade_envelope)dnl dnl # dnl # masquerade not just @mydomainalias.com, but @*.mydomainalias.com as well dnl # dnl FEATURE(masquerade_entire_domain)dnl dnl # dnl MASQUERADE_DOMAIN(localhost)dnl dnl MASQUERADE_DOMAIN(localhost.localdomain)dnl dnl MASQUERADE_DOMAIN(mydomainalias.com)dnl dnl MASQUERADE_DOMAIN(mydomain.lan)dnl MAILER(smtp)dnl MAILER(procmail)dnl MAILER(cyrusv2)dnl

Автор: marykone 6.3.2008, 17:39

sasl аутентификацию прикрутили ? все нормально без ошибок ? метод PLANT уберите  maillog покажите

Автор: St. Andrew 6.3.2008, 19:10

Да, все работает, PLAIN убрал!! Покопавшись часок-другой нашел в чем дело: Строку DAEMON_OPTIONS(`Port=25, Name=MSA, M=E')dnl  заменил на DAEMON_OPTIONS(`Port=25, Name=MSA, M=a')dnl  Аутентификация "пошла", все вроде как теперь пашет и не дает отправлять письма без пароля!

Автор: bilbobagginz 9.3.2008, 02:35

Цитата(St. Andrew @  5.3.2008,  18:15 ) А вот вопрос какой - а имеет ли смысл вообще делать TLS-подключение, если почтовый сервер - это по сути шлюз, а юзеры коннектятся (отправляют и получают почту) только из локальной сети? Вроде как безопасность соединения в данном случае не играет большой роли! да, но: 1. авто-боты обычно через TLS не работают. поэтому снижается шанс автоматизированной атаки, т.е. попытки отсыла нехороших сообщений всякими сркиптами. 2. при настроенной TLS можно дойти до того, что будешь разрешать отправку почты только обладателям сертификата, который будет выдаваться в качестве дигитального удостоверения личности. Данное удостоверение является легальным идентификатором во многих странах, поэтому, если кто-то пошалит, а потом скажет "сертификат стырили", то его можно вести за лапки в суд, т.к. он обязывался сохранять сертификат. обычно так делают в компаниях, в которых утечка инфы - потеря денег или рынка (т.е. денег) Цитата(St. Andrew @  5.3.2008,  18:15 ) И еще мысль пришла - ведь sendmail слушает по 25-му порту и внешнюю сеть, письма-то входящие нужно как-то принимать от других серверов. Тут могут быть какие-либо проблемы с безопасностью? Где можно указать, чтобы письма можно было отсылать только из локальной сети?  нужно фильтровать базар серверов спам-фильтрами, кроме того relay можно давать по каким-то критериям, напр. закрытому списку, или другим. кстати и эту коммуникацию тоже можно настроить через TLS.

Автор: St. Andrew 11.3.2008, 01:19

Наводит на мысли...буду TLS внедрять как только время появится! bilbobagginz, спасибо!

Автор: bilbobagginz 11.3.2008, 03:25

Цитата(St. Andrew @  11.3.2008,  01:19 ) Наводит на мысли...буду TLS внедрять как только время появится! ессно учитывая напряг сервера: если сервер слабый то с TLS он будет пропускать меньше писем чем без него... нужно это дело просчитать до внедрения изменений.

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)