Další: Příklady konfigurací Vzhůru: Sendmail Předchozí: MIME - Multipurpose Internet

Ochrana proti spamu

• Zamezení příjmu pošty z počítačů, z nichž byl posílán spam v minulosti a jejichž správce účinně nereagoval.
• Zamezení příjmu dopisů, které nesou neklamné příznaky spamu.
• Zamezení relayingu (posílání spamu přes další uzel, v tomto případě přes váš).

První dvě opatření chrání lokální uživatele, nejdůležitější je ale třetí -- uzly, které nebrání relayingu, se mohou dostat na černou listinu stejně jako spameři.

Proč spammeři používají relaying?

• Přenášejí zátěž se směrováním a distribucí pošty na jiné
• Obcházejí jednodušší prostředky proti spamu (TCP wrappery, apod.)
• Snáze mohou skrýt svoji identitu (starší sendmaily a některé jiné MTA nepřidávají do hlaviček Received: IP adresu odkud dopis převzaly)

Prostředky ochrany proti spamu

U většiny MTA jsou dostupné až v posledních verzích. Sendmail použijte verze nejméně 8.8.8.

• Odmítat SMTP spojení od určitých strojů; pomocí TCP wrapperů nebo sady pravidel check_relay v sendmailu; jméno SMTP klienta i jeho IP adresu sice lze falšovat DNS a IP spoofingem, není to ale zcela snadné, navíc lze toto opatření díky mechanismu MX záznamů a relayingu snadno obejít, ale jako jedno z opatření je užitečné (k odmítnutí dojde už při pokusu o navázání SMTP session).
• Odmítat dopisy podle adresy odesilatele; sada pravidel check_mail v sendmailu; adresu odesilatele lze sice snadno zfalšovat, ale proti části spamu stále učinné; lze udržovat černou listinu spammerů nebo pouze ověřovat, zda doména odesilatele existuje v DNS.
• Zabránit relayingu: principem je odmítat dopisy, jejichž adresát ani odesilatel není z uzlu; k tomuto účelu sendmail poskytuje sadu pravidel check_compat. Ale pozor: budou zadrženy i dopisy od externího odesilatele přesměrované pomocí aliasů nebo mailing listu mimo uzel, což tuto metodu činí téměř nepoužitelnou. Lepším řešením je kontrolovat, zda dopisy, které přicházejí z externích počítačů, nejsou určeny externím adresátům -- u sendmailu sadou pravidel check_rcpt (adresa stroje, odkud přichází dopisy, je v $&{client_addr}); při přesměrování zprávy pomocí aliasů nebo mailing listu je $&{client_addr} lokální, takže tato metoda funguje správně i v tomto případě.
• Odmítat dopisy podle obsahu; bývá považováno za cenzuru; dobrá účinnost vyžaduje rafinované algoritmy na pomezí umělé inteligence.

Další informace:
http://www.informatik.uni-kiel.de/~ca/email/check.html
http://maps.vix.com
http://spam.abuse.net/spam/

Antispamová opatření

Asi nejúplnější kolekce antispamových a antirelayových pravidel pro sendmail verze 8.8 je v http://www.informatik.uni-kiel.de/~ca/email/rules/check.tar. Balík se rozbalí v adresáři cf, vznikne adresář hack a soubory *.check s popisem použití. Přinejmenším antirelayová pravidla by měla být nainstalována na každém počítači, který je trvale připojen k Internetu bez použití firewallu, a na kterém běží SMTP démon.

Pro podřízené poštovní počítače na uzlu mohou stačit pravidla, která nepoužívají hašované databáze. Tato pravidla je možné použít i pro počítače, na nichž se podporu používání datábází nepodařilo zprovoznit. Ze zmíněného balíku to jsou sady z hack/check_mail.m4 a hack/check_rcpt2.m4:

Pro hlavní poštovní počítače by měly být použity pravidla z hack/check_mail3.m4 a hack/check_rcpt4.m4 a hack/check_relay3.m4.

Další: Příklady konfigurací Vzhůru: Sendmail Předchozí: MIME - Multipurpose Internet