[postfix-es] Controlar spam

[Carlos Martinez]

Saludos.

La idea de implementar el challenge-response spam filtering, es
hacerlo como ultima defensa contra el spam por ser tan agresivo. Tener
el problema de andar enviando mensajes de confirmacion a diestra y
siniestra no es nada recomendable ya que el mismo servidor que busca
confirmar puede llegar a ser catalogado como origen de spam por otro
despues de un cierto numero de intentos fallidos. Hay otro metodo
similar como el sender addres verification -no recomendable de usar-
que busca 'llamar a casa' antes de entregar el mensaje a un nivel
donde no interviene ningun usuario
(http://www.postfix.org/ADDRESS_VERIFICATION_README.html).

La idea seria la siguiente:
1) Permite pasar sin restriccion a tu red local o hosts confiables
2) Verifica las cabeceras del mensaje
3) Maneja una lista blanca
4) Aplica greylisting con su correspondiente lista blanca
5) Verifica con listas publicas (RBL)
6) Usa spamassassing (o challenge-response spam filtering)
7) Entrega al buzon (despues de pasarlo por un antivirus)

Con una secuencia similar a esta puedes pasar de recibir 20 a 30
mensajes de spam al dia por buzon a solo 1 o 2 por semana dependiendo
de que tan desordenado ha sido el usuario al andar dando su e-mail a
cuanta pagina de promociones y porno se encuentra.

Ahora, terminos de configuracion es algo como:
###
smtpd_helo_required = yes
disable_vrfy_command = yes
###
smtpd_recipient_restrictions =
 permit_mynetworks,
 permit_sasl_authenticated,
 reject_unauth_destination,
 reject_invalid_hostname,
 reject_unauth_pipelining,
 reject_non_fqdn_sender,
 reject_unknown_sender_domain,
 reject_non_fqdn_recipient,
 reject_unknown_recipient_domain,
 check_helo_access hash:/etc/postfix/helo.map, # lista blanca de helo
 reject_non_fqdn_helo_hostname,
 sleep 7,
 check_policy_service inet:127.0.0.1:10023    # esto es postgrey
 check_sender_access hash:/etc/postfix/access, # otra lista mas
 reject_rbl_client dnsbl.sorbs.net,
 reject_rbl_client zen.spamhaus.org,
 reject_rbl_client blackholes.easynet.nl,
 reject_rbl_client cbl.abuseat.org,
 reject_rbl_client proxies.blackholes.wirehub.net,
 reject_rbl_client bl.spamcop.net,
 reject_rbl_client sbl.spamhaus.org,
 reject_rbl_client dul.dnsbl.sorbs.net
 reject_rbl_client dnsbl.njabl.org,
 reject_rbl_client list.dsbl.org,
 reject_rbl_client multihop.dsbl.org,
 check_sender_access hash:/etc/postfix/dominios_uu,  # otra lista mas
 permit

smtpd_data_restrictions =
 reject_unauth_pipelining,
 permit


Como tarea queda ver que hace cada linea, y completar unas 10 o 20
lineas mas de configuracion pero con lo anterior, ya tienes montado tu
sistema de correo con un muy buen antispam, valido para un servidor de
2000 cuentas de correo o incluso 3000. A partir de esa cantidad debes
considerar lo siguiente:

1) Limitar la cantidad de mensajes maximos enviados por persona (ojo,
no un limite general)
2) Tus usuarios seguramente tambien se vuelven spammers asi que toca
filtrarlos tambien
3) si se es jucioso, se tiene mas de un MX con diferentes reglas e
incluso un fake-MX
4) Los filtros heuristicos como spamassassing deben ser afinados al
pelo y combinarlos con algo como entrega de spam, a un buzon especial
5) Los usuarios empiezan a pedir la posibilidad de crear sus propias
reglas de filtrado para fortalecer las existentes (o relajarlas)
6) Implementas cosas como challenge-response spam filtering despues de
haberte creado una extensa lista blanca
7) Te vuelves agresivo (y resentido) con los que no implementan
correctamente SPF
8) Restringes la cantidad de mensajes que recibes por unidad de tiempo
desde servidores y/o dominios

En otras palabras un divertido desafio mental. Seria interesante
conocer los metodos, tips de implementacion y software que usan los
otros listeros para parar el spam en servidores de mas de 10.000
cuentas.

Hasta la proxima.
Carlos Martinez.

2008/9/18 Juan José Sánchez Mesa <juanjo.listas en doblej.net>:
> Estos sistemas viene bien para eliminar mucho SPAM, pero tienen un gran
> incoveniente.
>
> Hoy en día, la mayoría del SPAM viene con el FROM con e-mails
> falsificados. Por lo que estos sistemas, envían los correos de
> confirmación a direcciones inexistentes. Por un lado te evitarás mucho
> SPAM, pero por otro, vas a recibir cantidad de notificaciones de
> servidores informándote de direcciones inexistentes.
>
> Todo iría mucho mejor si los administradores de servidores de correo
> configuraran sus sistemas para rechazar los correos durante la
> conversación SMTP, y no que muchos se lo tragan aunque la dirección no
> exista, y después lo rebotan. Esto genera muchisima basura.
>
> Estos sistemas también tienen muchos problemas con correo reenviado,
> listas de correo y métodos parecidos, donde el envelope no tiene nada
> que ver con el From: del mensaje. Tienes que andar metiendo direcciones
> en la whitelist, sino perderás correo.
>
> Saludos.
>
> On 18/09/2008 6:30, Carlos Martinez wrote:
>> Saludos.
>>
>> Postgrey sirve para hacer 'greylisting'. En esencia rechaza la
>> recepcion del mensaje por un corto espacio de tiempo con un error
>> temporal (digamos 5 minutos) y una vez ha expirado dicho periodo,
>> acepta el mensaje (http://en.wikipedia.org/wiki/Greylisting)
>>
>> Lo que se especifica en el e-mail original se llama challenge-response
>> spam filtering (http://en.wikipedia.org/wiki/Challenge-response_spam_filtering)
>>
>> El greylisting es automatico y no requiere la intervencion del
>> usuario. El otro metodo, por el contrario, requiere accion por parte
>> del sender.
>>
>> Para implementar greylisting en postfix, no hay nada tan simple y
>> bueno como postgrey. Combinado como SpamAssassin + listas publicas,
>> proporciona una muy buena proteccion contra el spam
>>
>> Para implementar challenge-response spam filtering tenemos:
>>
>> Active Spam killer (ASK): http://a-s-k.sourceforge.net
>> Tagged Message Delivery Agent (TMDA): http://tmda.net/index.html
>>
>> Hasta ahora no he tenido que trabajar con estos, asi que si un
>> colistero tiene experiencia en ellos, puede recomendar el mejor.
>>
>> Hasta la proxima.
>>
>> Carlos Martinez
>>
>> Hasta la proxima
>>
>> Carlos Martinez
>>
>> 2008/9/17 Luis Croker<lcroker en megacable.com.mx>
>>>
>>>     Fe de Erratas... Postgrey.
>>>
>>> On Wed, 2008-09-17 at 09:30 -0500, Luis Croker wrote:
>>>
>>>     Creo que te refieres al postfrey ? Las listas grises... o algo asi como mailhurdle.
>>>
>>>     Saludos.
>>>
>>>
>>> On Mon, 2008-09-15 at 23:11 +0200, Nicolás López de Lerma Aymerich wrote:
>>>
>>> Hola Lista!
>>>
>>>   Recientemente he tenido que responder a un correo con dominio
>>> @codigolibre.org, el tema es que me ha quedado sorprendido el
>>> funcionamiento del antispam, cuando se envía un correo el server lo
>>> devuelve a su remitente con un mensaje para que responda a ese correo sin
>>> tocar nada del asunto y con un Nº de verificación. Al enviar este de
>>> nuevo, el server te añade a una lista donde queda verificada tu
>>> direccion, etc.. pues ya puedes enviar los correos sin problemas a esa
>>> persona.
>>>
>>>   Bueno a lo que vamos, sabe alguien como se hace esto?
>>>
>>> Saludos.
>>>
>>>
>>>
>>> Luis Croker
>>> SCSA - SCNA
>>> Administrador de Sistemas
>>> Megacable Comunicaciones
>>> GPG Key1024D/48C1764B
>>> Key fingerprint = E8B6 E84F ECE4 661E 30C7 7208 042D BD09 48C1 764B
>>>