Filtrování spojení

Michal Dobes dobes na tesnet.cz
Úterý Červen 27 12:44:39 CEST 2006 

Honza Vrbata napsal(a):
> takovato a podobna reseni jsou urcite nekorektni. totez plati o ruznych 
> kontrolach existence a zaznamu pro polozku helo, nebo kontrola mx 
> zaznamu v obalkove hlavicce mail from. ono se totiz v rfc nerika, ze v 
> helo ma byt fqdn existujiciho pocitace, nebo ze mail from ma obsahovat 
> existrujici adresu. pokud vim jsou tam jen pozadavky syntaktickeho razu.
> cili neni zahodno provadet restrikce prijimani posty na zaklade techto 
> veci. je pravda, ze rada mta se takhle bohuzel chova.
> jak ale rika kolega, je mozne tyto informace a udaje pouzivat jako 
> pomocne informativni hodnoty pro dalsi rozhodovani a pripadne penalizace 
> prijimanych majlu ve spojeni s dalsimi metodami, jako je ten greylist.

RFC říká, že v HELO má být doména (od RFC821 výše, předchozí verze už
dávno snad neplatné chtěly jen jméno). Takže kontrola, že to jméno
vypadá aspoň jako doména, takže je v něm jedna tečka je snad OK.
Nepředpokládám příliš mailovou aktivitu přímo od domén prvního řádu.

Bohužel je problém, že databáze greylistingu narostlá dost nechutně,
už teď je to několik set MB dat (teď držím greylist databázi historii
za 6 dní). Samotný greylist s následným SA na zpoždené SPAMy je velmi
efektivní, co je posláno znovu obvykle SA přímo zamítne pro vysoké
skóre. Tak půl na půl zamítne a propustí označkováno.
Výše zmíněná kontrola, že tam má být tečka v helo a nepřijmu spojení,
pokud v helo dá někdo moje jméno IP/mi odfiltrovalo polovinu spojení.

Ta kontrola, že IP má reverz je o ničem, velká část českých mailer
serverů je nemá a bude jich jen přibývat, což je dáno tím, že obvykle
správce DNS je někdo jiný, než můj poskytovatel konektivity. Kdo to má
vše přes jeden subjekt, ten to má obvykle OK.
Většina SPAMerů ze zahraničí reverz má, často pochybný a obsahující
vlastní IP adresu, ale to stejné má většina místních ADSL linek
a i celá řada malých ISP, co má na celé město jednu veřejnou IP
a vše NATují a ani ta veřejná IP nemá rozumný DNS záznam.
Takže tyto testy se hodí spíše až pro spamassassina, než rozhodování
o ne/použítí greylistingu.

Nevím, já začínám být na SPAM hodně alergický (vražda SPAMera by měl být
akt chápán jako nutná sebeobrana). Měl jsme předtím špičkový přísun
i 300 SPAMů za hodinu, teď mám tak 5 denně (vše označkováno
pomocí SA), většinou prošlo to, co šlo nějakým mail listem.

M.

Další informace o konferenci Sendmail