Topic: Attivazione ANTISPAM

[Fumetto]

Salve a tutti.

Come da oggetto ho provveduto ad attivare un primo livello di antispam su uno SME utilizando le istruzioni che ho trovato qui.
Ho controllato che i domini per le liste siano attivi e sembrano tutti ok, la mia configurazione attuale è:

Code: [Select]

[root@server ~]# config show qpsmtpd
qpsmtpd=service
    Bcc=disabled
    BccMode=cc
    BccUser=maillog
    DNSBL=enabled
    LogLevel=6
    MaxScannerSize=25000000
    RBLList=bl.spamcop.net:dnsbl-1.uceprotect.net:dnsbl-2.uceprotect.net:psbl.surriel.com:zen.spamhaus.org
    RHSBL=enabled
    RelayRequiresAuth=enabled
    SBLList=multi.surbl.org:black.uribl.com:rhsbl.sorbs.net
    TlsBeforeAuth=1
    access=public
    qplogsumm=disabled
    status=enabled
[root@server ~]#Se ho ben capito questo tipo di filtro "cestina" direttamente le email i cui server mittenti sono inclusi in una lista di "spammoni".
Ma che differenza c'è tra RBLList e SBLList?
Mi sembra di aver capito che la prima è una lista di IP, la seconda una lista di domini... giusto?

Speriamo basti così... non vorrei dover attivare spamassassin...

Commenti consigli e pareri sono ben accetti... 

[Stefano]

http://it.wikipedia.org/wiki/Spam
http://it.wikipedia.org/wiki/DNSBL

diciamo che si, è come hai detto tu

attenzione che non è sufficiente che i domini siano attivi.. e se una delle liste risponde in modo anomalo, tutte le meial vengono rigettate.. quindi occhio subito ai log (qpsmtpd nel dettaglio)

quanto a spamassassin, è necessario.. quello che non viene bloccato perchè l'origine è legittima è possibile che sia spam per contenuti e/o riferimenti (i link contenuti nelle mail)

nella mia esperienza lo spam residuo dopo il controllo a livello BL è poco.. inoltre le BL permettono di bloccare anche molto traffico in quanto bloccano il tutto ancora nella fase di handshacking, quindi senza scaricare la mail

[Fumetto]

In effetti avrei intenzione di eliminare tutte le liste da RBLList e lasciare solo quella di spamhaus e fare lo stesso con la SBLList (qui devo ancora vedere quale "provider" mi sembra più affidabile) per evitare di incappare in problemi di "multireject"...

Per quanto riguarda spamassassin vorrei prima abilitare l'antispam del client nelle singole postazioni (in modo che se la sbrigano gli utOnti, se fanno loro qualche cazzata gli addebbito l'intervento per il recupero) e veder se riesco a risolvere così... altrimentio sarò costretto a studiarmi spamassassin per bene e vedere come gestirlo (filtri bayesiani, modalità standard, sarcazzi... è un mondo nuovo!!!)

Intanto grazie  per la dritta... avevo letto ma tralasciato questo (importante) particolare

..e se una delle liste risponde in modo anomalo, tutte le meial vengono rigettate.. quindi occhio subito ai log (qpsmtpd nel dettaglio)

[Stefano]

In effetti avrei intenzione di eliminare tutte le liste da RBLList e lasciare solo quella di spamhaus e fare lo stesso con la SBLList (qui devo ancora vedere quale "provider" mi sembra più affidabile) per evitare di incappare in problemi di "multireject"...

no.. SME, una volta che una singola lista mi da "pollice verso", sega..
e va bene così.. se qualcuno finisce in BL non è colpa "nostra" e no, il cliente che si lamenta non è un motivo valido per stroncare le BL

Per quanto riguarda spamassassin vorrei prima abilitare l'antispam del client nelle singole postazioni (in modo che se la sbrigano gli utOnti, se fanno loro qualche cazzata gli addebbito l'intervento per il recupero) e veder se riesco a risolvere così... altrimentio sarò costretto a studiarmi spamassassin per bene e vedere come gestirlo (filtri bayesiani, modalità standard, sarcazzi... è un mondo nuovo!!!)

Intanto grazie  per la dritta... avevo letto ma tralasciato questo (importante) particolare

sbagli candeggio.. SA marca le mail.. una mail con 5 è già, al 99%, spam.. una con 10 è SPAM al 110%
visto che comunque le mail non vengono eliminate (se non sopra il 10), non perdi nulla.. e no, lasciare che sia il client non va bene.. e no, che sia l'utonto non va bene.. impara a mettere paletti.. altrim enti poi, se non funziona, è sempre e solo colpa tua.
inoltre se devi formattare pc o altro, le impostazioni sul client le perdi.. sarebbe da svincolarsi più possibile dal client (se non ne hai giusto 2)

[Fumetto]

Ok... quindi vediamo se ho capito...

Code: [Select]

2014-07-17 22:32:34.742544500 9505 Accepted connection 2/40 from 188.118.132.121 / xdsl-188-118-132-121.dip.osnanet.de
2014-07-17 22:32:34.742819500 9505 Connection from xdsl-188-118-132-121.dip.osnanet.de [188.118.132.121]
2014-07-17 22:32:34.747426500 9505 tls plugin (init): ciphers: HIGH:!SSLv2:!ADH:!aNULL:!MD5:!RC4
2014-07-17 22:32:34.752971500 9505 tls plugin (init): ciphers: HIGH:!SSLv2:!ADH:!aNULL:!MD5:!RC4
2014-07-17 22:32:34.771138500 9505 tls plugin (init): ciphers: HIGH:!SSLv2:!ADH:!aNULL:!MD5:!RC4
2014-07-17 22:32:35.779750500 9505 check_earlytalker plugin (connect): remote host said nothing spontaneous, proceeding
2014-07-17 22:32:35.799923500 9505 220 server.vendomacchinecare_pagopoco.it ESMTP
2014-07-17 22:32:35.915193500 9505 dispatching EHLO xdsl-188-118-132-121.dip.osnanet.de
2014-07-17 22:32:35.917016500 9505 250-vendomacchinecare_pagopoco.it Hi xdsl-188-118-132-121.dip.osnanet.de [188.118.132.121]
2014-07-17 22:32:35.917058500 9505 250-PIPELINING
2014-07-17 22:32:35.917099500 9505 250-8BITMIME
2014-07-17 22:32:35.917163500 9505 250-SIZE 20000000
2014-07-17 22:32:35.917203500 9505 250 STARTTLS
2014-07-17 22:32:36.132216500 9505 dispatching MAIL FROM:<amministrazione2ccb4@cornelisjohannes.nl>
2014-07-17 22:32:36.132716500 9505 full from_parameter: FROM:<amministrazione2ccb4@cornelisjohannes.nl>
2014-07-17 22:32:36.583162500 9505 getting mail from <amministrazione2ccb4@cornelisjohannes.nl>
2014-07-17 22:32:36.583166500 9505 250 <amministrazione2ccb4@cornelisjohannes.nl>, sender OK - how exciting to get mail from you!
2014-07-17 22:32:36.583169500 9505 dispatching RCPT TO:<amministrazione2@vendomacchinecare_pagopoco.it>
2014-07-17 22:32:36.796177500 9505 logging::logterse plugin (deny): ` 188.118.132.121 xdsl-188-118-132-121.dip.osnanet.de xdsl-188-118-132-121.dip.osnanet.de <amministrazione2ccb4@cornelisjohannes.nl> dnsbl 903 http://www.spamhaus.org/query/bl?ip=188.118.132.121 msg denied before queued
2014-07-17 22:32:36.796184500 9505 delivery denied (http://www.spamhaus.org/query/bl?ip=188.118.132.121)
2014-07-17 22:32:36.796186500 9505 550 http://www.spamhaus.org/query/bl?ip=188.118.132.121
2014-07-17 22:32:36.796188500 9505 click, disconnecting
2014-07-17 22:32:36.946323500 3241 cleaning up after 9505
Qui qualcuno ha tentato di connettersi, la connessione è stata accettata da SME ma il messaggio non è stato messo in coda per la consegna in quanto l'IP di provenienza era "blacklistato" da spamhaus.

Quello che non capisco è questo:

Code: [Select]

2014-07-17 22:37:12.125522500 9630 Accepted connection 1/40 from 127.0.0.200 / Unknown
2014-07-17 22:37:12.125773500 9630 Connection from Unknown [127.0.0.200]
2014-07-17 22:37:12.130399500 9630 tls plugin (init): ciphers: HIGH:!SSLv2:!ADH:!aNULL:!MD5:!RC4
2014-07-17 22:37:12.135868500 9630 tls plugin (init): ciphers: HIGH:!SSLv2:!ADH:!aNULL:!MD5:!RC4
2014-07-17 22:37:12.154050500 9630 tls plugin (init): ciphers: HIGH:!SSLv2:!ADH:!aNULL:!MD5:!RC4
2014-07-17 22:37:13.162520500 9630 check_earlytalker plugin (connect): remote host said nothing spontaneous, proceeding
2014-07-17 22:37:13.172420500 9630 220 server.vendomacchinecare_pagopocomapago.it ESMTP
2014-07-17 22:37:13.172422500 9630 dispatching EHLO server.vendomacchinecare_pagopocomapago.it
2014-07-17 22:37:13.172423500 9630 250-vendomacchinecare_pagopocomapago.it Hi Unknown [127.0.0.200]
2014-07-17 22:37:13.172423500 9630 250-PIPELINING
2014-07-17 22:37:13.172424500 9630 250-8BITMIME
2014-07-17 22:37:13.172424500 9630 250-SIZE 20000000
2014-07-17 22:37:13.172425500 9630 250 STARTTLS
2014-07-17 22:37:13.172425500 9630 dispatching MAIL FROM:<indelicacyatmt13@surewest.com> BODY=7BIT SIZE=2013
2014-07-17 22:37:13.172426500 9630 full from_parameter: FROM:<indelicacyatmt13@surewest.com> BODY=7BIT SIZE=2013
2014-07-17 22:38:46.002024500 9630 require_resolvable_fromhost plugin (mail): 9630 query for surewest.com failed:  query timed out
2014-07-17 22:38:46.003703500 9630 getting mail from <indelicacyatmt13@surewest.com>
2014-07-17 22:38:46.003748500 9630 250 <indelicacyatmt13@surewest.com>, sender OK - how exciting to get mail from you!
2014-07-17 22:38:46.219939500 3241 cleaning up after 9630
Qui una connessione viene dal nulla (?) e pare (a me) che il messaggio non venga scartato a causa del plugin "require_resolvable_fromhost plugin", ma a mio parere, se il controllo non passa, la mail dovrebbe essere scartata...
Ma io non vedo nessun "diconnect" da nessuna parte... sono io che non ho capito qualcosa?

[Fumetto]

Per la cronaca...

Da alcuni giorni su due server diverse email "buone" vengono rigettate in quanto sono "blacklistati" alcuni range di IP di Telecom business...
Ho dovuto quindi "ovviare" con

Code: [Select]

config setprop qpsmtpd RBLList bl.spamcop.net:psbl.surriel.com:zen.spamhaus.org
signal-event email-updateper eliminare uceprotect.net che mi blacklistava gli IP "buoni".