Nelle scorse settimane s’è verificata una possente ondata di spam che passava indenne qualsiasi tipo di filtro. Non servivano spamassassin, razor, blacklist o che altro.
Conscio del fatto che non poteva andare avanti così (e meravigliato che i clienti non si lamentavano) non ho potuto semplicemente attendere che l’ondata, come sempre, si esaurisse.
Mi sono messo alla ricerca di qualche consiglio ed ho trovato un piccolo tesoro: questa pagina.
Ho implementato all’istante due consigli
- Long delay (high latency): ho introdotto un SMTP Prompt Delay, cioè un ritardo prima che il server accetti la comunicazione. Tutto quello che viene spedito senza attendere tale delay viene scartato. Gli spammer tipicamente vanno di fretta e questo accorgimento permette di scartare molta immondizia
- introdotti degli MX fake su ogni dominio gestito dal nostro server. Ne ho messo uno falso con priorità 10, quello vero con priorità 20 e altri due fake con priorità 30 e 40. Un server di posta regolare prova il primo, non ce la fa e prova con il secondo. Uno spammer, invece, o prova con il primo e, non facendocela, abbandona, oppure molto più spesso cominciano con quelli secondari partendo dalla assunzione o speranza che un MX di backup sia meno protetto. Dato che gli ultimi due MX sono dei fake, anche in questo caso nulla viene consegnato
Infine mi sono creato una cartella IMAP dove sposto lo spam che passa indenne. Un cron, ad intervalli regolari, consulta quella casella e fa un sa-learn, cioè viene fatto un training dei filtri Bayesiani di spamassassin.
Risultato finale: spam ridotto praticamente a zero.
Sono orgoglione di ciò.
Bè, e chi non lo sarebbe.
Complimenti per il rimedio! Mi viene da dire “Buttha il cinque”…
Ne ho sentite di tutte sullo stile “buttha la pasta” et similia, ma “buttha il cinque” ancora no
I miei utenti invece si sono lamentati eccome. Alla fine ho dovuto fare due cose:
- un calcolo, per far capire loro che di tutte le mail che ricevevano, filtrava il 5%.
- abilitare la DNBLS zen di SpamHaus, che avevo tenuto disattivata (usavo le altre) perché ho il timore che mi blocchi anche qualche mail buona. Prima o poi capiterà di sicuro.
Lo spam così si è ridotto praticamente a zero. Non uso sa-learn perché ho capito che oltre allo spam ha bisogno pure dell’ham, e non mi fido dell’ham degli utenti. Per il contesto dove faccio questo genere di cose (un ospedale) le mie mail ham sono molto differenti dalle mail ham degli utenti, quindi preferisco non usarle.
Se dovesse ricapitare aumenterò il peso del filtro DNSBL_SBL di SpamAssassin da 1 a 5 (come consigliato su SpamHaus stesso). Il trucco dell’MX farlocco lo conosco, ma ho utenti diciamo esigenti che vedono la posta elettronica come una specie di SMS: se mandano vogliono ricevere SUBITO :-/
le blacklist è da una vita che non le aggiorno.
Uso sbl-xbl.spamhaus.org (che da quando ho capito dovrei sostituirla con la zen), list.dsbl.org, combined.njabl.org e dul.dnsbl.sorbs.net ma non so se sia un elenco obsoleto oppure no.
triste notizia questa non è angelina jolie
http://www.fake-detective.com/wanted/wanted56.jpg
Sì, assolutamente, usa la Zen che aggiunge a sbl-xbl anche al pbl (blocca le mail che usano SMTP su indirizzi dinamici, quello che in pratica vorresti bloccare con dul.dnsbl.sorbs.net).
Per quanto riguarda le liste che indichi, dsbl è chiusa da un pezzo, la seconda è vecchia, mentre di sorbs non mi fido un granché. Con Zen e basta campi parecchio bene.
Poi ovviamente ti serve uno SpamAssasin ben configurato. Ero andato a memoria e ho confuso la regola, non DNSBL_PBL ma URIBL_SBL. Con questa in pratica blocchi le mail che linkano siti di spammer ma che per qualche ragione sarebbero passate. Peraltro la regola è già attiva di default (sta, mi pare, in 25_uribl.cf) ma pesa poco (in 50_scores.cf devi aumentarla da 1.xxx a 5 o 6 su consiglio di SpamHaus).
Insomma, lo spam si riduce e di parecchio se si seguono questi consigli
Infine, sa-update da cron (ma attento che sovrascrive 50_scores.cf!)
Un’ultima cosa, mi è venuta in mente dopo.
Se su amavis (o quel che usi) attivi gli header sempre (altrimenti sotto un certo punteggio non li aggiunge), per ogni mail di spam che ha ricevuto un punteggio troppo basso, puoi verificare quali sono i test che hanno hanno generato punti ed eventualmente aumentarne il peso.
Lo so che sono menate, ma lo spam l’è una brutta bestia
ok, farò un po’ di pulizia con le blacklist, grazie!
Spamassassin, invece, credo di averlo configurato bene.
URIBL lo uso da un bel po’ di tempo ed è stato un vero toccasana! Gli ho dato un peso di 3.0 per la URIBL_BLACK e un peso di 0.25 per la URIBL_GRAY
Il problema delle mail di spam oggetto delle ultime cure descritte in questo post è che passavano indenni qualsiasi controllo, anche quello di google. Il fake MX e il delay sull’SMTP hanno fermato il flusso di botto che, via filtri, non si arginava.