První dvě opatření chrání lokální uživatele, nejdůležitější je ale třetí -- uzly, které nebrání relayingu, se mohou dostat na černou listinu stejně jako spameři.
Received:
IP adresu odkud dopis
převzaly)
U většiny MTA jsou dostupné až v posledních verzích. Sendmail použijte verze nejméně 8.8.8.
check_relay
v sendmailu; jméno SMTP klienta i jeho IP adresu
sice lze falšovat DNS a IP spoofingem, není to ale zcela snadné, navíc lze
toto opatření díky mechanismu MX záznamů a relayingu snadno obejít, ale jako
jedno z opatření je užitečné (k odmítnutí dojde už při pokusu o navázání
SMTP session).check_mail
v sendmailu; adresu odesilatele lze sice snadno zfalšovat, ale proti
části spamu stále učinné; lze udržovat černou listinu spammerů nebo pouze
ověřovat, zda doména odesilatele existuje v DNS.check_compat
. Ale pozor: budou zadrženy i dopisy od
externího odesilatele přesměrované pomocí aliasů nebo mailing listu mimo
uzel, což tuto metodu činí téměř nepoužitelnou. Lepším řešením
je kontrolovat, zda dopisy, které přicházejí z externích počítačů, nejsou
určeny externím adresátům -- u sendmailu sadou pravidel check_rcpt
(adresa stroje, odkud přichází dopisy, je v $&{client_addr}
); při
přesměrování zprávy pomocí aliasů nebo mailing listu je
$&{client_addr}
lokální, takže tato metoda funguje správně i v tomto
případě.
Další informace:
http://www.informatik.uni-kiel.de/~ca/email/check.html
http://maps.vix.com
http://spam.abuse.net/spam/
Asi nejúplnější kolekce antispamových a antirelayových pravidel pro sendmail
verze 8.8 je
v http://www.informatik.uni-kiel.de/~ca/email/rules/check.tar
.
Balík se rozbalí v adresáři cf
, vznikne adresář hack
a
soubory *.check
s popisem použití. Přinejmenším antirelayová pravidla
by měla být nainstalována na každém počítači, který je trvale připojen
k Internetu bez použití firewallu, a na kterém běží SMTP démon.
Pro podřízené poštovní počítače na uzlu mohou stačit pravidla, která
nepoužívají hašované databáze. Tato pravidla je možné použít i pro počítače,
na nichž se podporu používání datábází nepodařilo zprovoznit. Ze zmíněného
balíku to jsou sady z hack/check_mail.m4
a hack/check_rcpt2.m4
:
Pro hlavní poštovní počítače by měly být použity pravidla
z hack/check_mail3.m4
a hack/check_rcpt4.m4
a
hack/check_relay3.m4
.
Petr Kolář <Petr.Kolar@vslib.cz>