Vlákno názorů k článku Greylisting aneb kladivo na spam od Jiří Jurek - Greylisting funguje dobře proti spamu, ale nikde jsem...
-
Jiří Jurek (neregistrovaný)Greylisting funguje dobře proti spamu, ale nikde jsem se nedočetl, jak to rozumně nastavit pro případ, že má doména ještě sekundární MX záznam. V případě chyby by posílající poštovní server měl zkusit doručit email pomocí druhého MX záznamu. Pokud i na záložním serveru bude greylisting, skončí pokus opět chybou. Avšak už to, že se posílající server pokusí o doručení pomocí druhého MX záznamu znamená, že se pravděpodobně nejedná o jednoučelový program na posílání spamu ale o plnohodnotný poštovní server. Pokud greylisting na záložním serveru nebude, bude přes něj chodit spam, protože hodně spamerů využívá rovnou sekundární MX záznamy právě proto, že očekávají menší ochranu na těchto strojích.
-
anonymníAno tahle možnost tady je, nicméně stejně greylisting trochu zabere.
Mám ale jiný problém, zneužívání (správně konfigurovaných) sekundárních MX k rozesílání spamu.
Odesílatel odešle na sekundární MX obyčený ASCII spam s několika větami.
Cílovou adresu zvolí náhodně vymyšlenou (egfgddas) na doméně o které ví že je pro ni stroj sekundární MX.
Jako zdrojovou adresu zadá příjemce spamu (nevím jak to dělá, ale poraří se mu tam zadat i padesát adres jako odesílatele, pravděpodobně nějaká neošetřenost v mém Eximu 4.50).
Sekundár kontaktuje primár, ten řekne že egfgddas@domena.cz neexistuje a formou bouncemailu to rozesílá na dané "zpáteční adresy"
V subjektu takového spamu je sice "undelivered mail" a v těle vysvětlení ale sou tam i ony řádky z původního mailu,
Zatím to neřeším, tem mail je tak jeden do týdne, ale do budoucna asi budu muset na sekundár replikovat databázi uživatelů -
miro pele (neregistrovaný)ja exportujem z primarneho mxka z sqlka virtual_alias_maps a virtual_alias_domains ktory nakopnem do sekundarneho mxka a tam kontrolujem cez relay_domains a relay_recipient_maps
tym padom sa zo sekundarneho mxka da poslat email iba na existujuce adresy danej domeny
takze uz ziadne mailer-daemon sracky v postfix queue :) -
SAL (neregistrovaný)No mohol by si napr. zdielat databazu greylistu medzi tymito serverami. Napr. cez SAGATOR je mozne robit greylist nad SQL databazami, mozes zvolit napr. MySQL a ten dat replikovat (obojsmerne) medzi 2 servery. Tym by si dosiahol, ze na druhom serveri to uz moze byt prijate, ale muselo by to vyhoviet nastaveniam greylistu (takze nesmie poslat mail na 2. server skor, ako je minimalny cas medzi dvomi pokusmi, ktory mozes taktiez konfigurovat).
V pripade obycajneho greylistu by oba servery mali mail zamietnut (4XX) a po case by sa odosielatel mal opat pokusit o durucenie, pricom kazdy z takto skusenych serverov by mal spravu uz prijat. Proste budes ucit greylist na oboch serveroch. -
Sekundarni MX dneska uz fakticky nejsou potreba. Spolehlivost primaru je na takove vysi, ze jedine co se pres sekundarni MX dorucuje jsou spamy. A doby kdy se na MX server jezdilo s paskou a posta se prevazela v kabele na primar, protoze se treba vedelo, ze prekopnuty kabel se bude spravovat tyden, jsou uz davno pryc.
Pokud uz trvate na sekundarnim MX, tak je potreba zajistit, ze bude mit platnou databazi uzivatelu a nebude prijimat k doruceni maily pro neexistujici ucty, jinak se MX server zahlti generovanim bounce zprav, protoze teprve on bude tim, kdo zjisti, ze emailova adresa pro kterou prijal zpravu, je sice podle domeny vase, ale jinak je uplne nesmyslna.
