[Postfixbuch-users] policyd mit leerem form umgangen

Uwe Driessen driessen at fblan.de
Do Feb 19 00:18:21 CET 2009


On Behalf Of Jan P. Kessler
> Stolzenberg, Marcus schrieb:
> > Hallo Liste.
> >
> > Habe seit ein paar Tagen das Problem, dass wohl von Spamern ein leeres
> > From benutzt wird um den Policyd zu umgehen.
> > Zu allem Übel kommen diese Mails dann auch noch 2 Mal und Passieren
> > das Greylisting.
> >
> > Das ganze sieht dann z.B. so aus:
> >
> > postfix/policyd-weight[15368]: decided action=DUNNO NULL (<>) Sender;
> > <client=88.226.113.204> <helo=dsl88-226-29132.ttnet.net.tr> <from=>
> > <to=foo.bar.com <mailto:to=device-fault-manager at ekom21.de>>; delay: 0
> >
> > Jemand einen Tip wie ich diese Spams los werden kann?
> 
> Konservativ:
> - Überlasse das einem Contentfilter.

Clamav mit den Sanesecuritys ergänzt (http://www.sanesecurity.org/)
Amavis mit Sarerules gepimpt (http://www.rulesemporium.com/)


> 
> Mutig:
> - Nimm ein paar knallharte Blacklisten in die Konfiguration auf. Eine
> Auswahl dazu am Ende der Mail.

Dazu muß man nicht mutig sein nur verzweifelt genug *g

> 
> Irgendwo dazwischen:
> - Schreib Dir eine Restriction Class mit verschiedenen RBLs und
> "härteren" Prüfungen und lass nur den Absender "<>" via
> check_sender_access gegen diese Prüfungen laufen.
> - Bau Dir ein eigenes Regelwerk mit einem policy daemon (z.b.
> www.postfwd.org)

Policyd-weight um zusätzliche RBL's ergänzen und bei den "knallharten" Listen geringere
Punktzahlen so das NICHT nur durch Listung in EINER RBL eine Ablehnung erfolgt.
(ist für den Anfang evtl. einfacher wie einen komplett eigenen policy daemon, der ist
dafür besser scalierbar und weiter ausbaufähig)

Eigene check_sender_accsess PCRE Liste schreiben in der diese generischen Clients als
regex aufgeführt werden.

Beispiel unter www.fblan.de/postfix dynip (aber bitte nur als Beispiel nehmen und genau
prüfen!!!!!!!!) 
Ein Testscript liegt dort auch. 

Gewünschte Mails sollten natürlich IMMER durch diese Restriktionen kommen.  

(wie immer 1000 Maschinen 2000 Möglichkeiten *g)  

> 
> Es hängt ein wenig von Deinem Umfeld, Deinem Wissenstand und Deiner
> Motivation ab.
> 
> 
> jpk at mail:~ $ rblcheck2.pl 88.226.113.204
> 

Gibt es den rblcheck2 zum runterladen?

Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397





Mehr Informationen über die Mailingliste Postfixbuch-users