Відстеження ваших реальних поштових сполук: spamlogd

За сценою, про що рідко згадується і, що слабо документовано, знаходиться одна з

найбільш важливих допоміжних програм spamd: система оновлення білих списків spamlogd Як випливає з назви, spamlogd працює у фоновому режимі, веде

протоколювання зєднань від ваших поштових серверів з метою оновлення ваших

білих списків Ідея полягає в упевненості, що чинна пошта, що відправляється між регулярно спілкуються хостами проходить з мімнімум суєти

Якщо ви дотримувалися всіх дії до цього моменту, ваш spamlogd швидше за все вже працює Якщо ваша первісна конфігурація spamd не включала режим сірих списків, spamlogd може бути не запущений, і ви можете зіткнутися з дивними симптомами, подібними тому, що сірі і білі списків не оновлюються належним чином Перезапуск spamd після включення режиму сірих списків повинен так само запустити spamlogd

Для того, щоб функціонувати належним чином, spamlogd потребує журналированием ваших SMTP сполук з і до ваших поштових серверів, таким же чином, як ми вже робили в главі 5:

emailserver = &quot19202225&quot

pass log proto tcp to $emailserver port $email pass log proto tcp from $emailserver to port smtp

На OpenBSD 41 і вище (і еквівалентних системах), ви можете створити кілька інтерфейсів pflog і вказати які правила повинні журналіроваться Ось як відокремити дані які повинен читати spamlogd від інших журналів PF:

1 Створіть окремий інтерфейс pflog1 використовуючи ifconfig pflog1 create, або створіть файл hostnamepflog1 з рядком up

2 Змініть відповідні правила до наступного вигляду:

pass log (to pflog1) proto tcp to $emailserver port $email pass log (to pflog1) proto tcp from $emailserver to port smtp

3 Додайте -l pflog1 до параметрів початкового завантаження spamlogd

Таким чином, ви відокремте дані реєстрації spamd від усіх інших (дивіться главу 8 докладно обговорювали журналирование) За наявності відповідних правил, spamlogd буде додавати IP адреси, отримали ваші електронні листи в білий список Це не залізна гарантія того, що відповідь буде проходити негайно, але в більшості конфігурацій, деякі речі значно прискорюються

Greytrapping                                                                               Як ми вже знаємо, спамери рідко використовують повну відповідність реалізації SMTP при відправці своїх повідомлень, і саме з цієї причини працюють сірі списики Так само, ми знаємо, що спамери рідко перевіряють адреси згодовуються викраденим машинам

Обєднуючи ці факти, ми побачимо, що, якщо машина перебуває в сірому списку намагається надіслати повідомлення на неправильну адресу у вашому домені, існує шанс,

що лист є спамом або вірусом Усвідомлення цього факту призвело до наступного

еволюційному кроці в розвитку spamd – техніки званої greytrapping Коли хост з сірого списку намагається доставити пошту до невідомого адресою в нашому домені, цей хост буде додано до локальний чорний список, званий spamd-greytrap Члени spamd-greytrap так само отримують траппінг зі швидкістю 1 байт в секунду як і учасники чорних списків Greytrapping реалізований в spamd вельми просто і елегантно Все що вам потрібно – щоб spamd працював в режимі сірих списків Інші важливі компоненти – список адрес в домені обслуживаемом сервером електронної пошти домену, тих, які ніколи не отримують легітимного пошту Кількість адрес у списку не має значення,

повинен бути принаймні один адресу, а верхня межа визначається тільки вашими вимогами

Далі, ви згодовуєте список функції greytrapping і просто чекаєте По-перше, відправник намагається відправити лист на адресу у списку greytrap, і при цьому просто

працюють сірі списки, як і у випадку з будь-яким відправником, з яким ви ще не обмінювалися електронною поштою Якщо хост повторює відправку, на той же самий,

невірну адресу або іншу адресу вашого сірого списку, спрацьовує greytrap, і порушник вводиться в spamd-greytrap на 24 години Протягом наступних 24 годин

будь SMTP трафік від хоста потрапив під greytrapping буде заїкатися зі швидкістю відповідей 1 байт в секунду

Цей 24 годинний період є досить коротким щоб не викликати серйозних порушень легітимного трафіку, оскільки повноцінна реалізація SMTP буде

намагатися здійснити доставку принаймні кілька днів Досвід крупномаштабних реалізацій даної технології показує, що вона рідко викликає хибні

спрацьовування Машини які продовжать розсилку спаму після 24 годинного інтервалу досить скоро знову потраплять у Тарп

Установка траплістаДля установки вашого трапліста (списку трапів), використовуйте spamdb з опцією-T У моєму випадку, дивні адреса4 про які я згадував на сторінці 96 Практика використання сірих списків , стали природними кандидатами для включення:

$ sudo spamdb -T -a wkitp98zpufsf@datadokno

Команда, яку я ввів, фактично виглядає як$   sudo   spamdb   -T   -a &quot&ltwkitp98zpufsf@datadokno&gt&quot. У OpenBSD 41 і новіших релізах, spamdb не вимагає введення кутових дужок або лапок, але так само буде їх приймати Ви можете додати стільки адрес скільки захочете Я завжди намагаюся знайти нові доповнення для свого локального списку spamtrap-адрес, переглядаючи сірі списки серверів і поштові журнали на предмет невдалих спроб доставки або спроб доставки на неіснуючі адреси в моєму домені (та я знаю що це звучить як сумашествие)

Переконайтеся, що адреси, які ви додаєте в свої списки spamtrap є недійсними і будуть такими залишатися Через деякий час, можуть виникнути труднощі згадати, що ви занесли адресу в spamtrap

Наступний фрагмент журналу показує, як намагається вперше зєднатися машина спамера що знаходиться в сірому списку, а потім повертається знову і грубо намагається доставити повідомлення на будь-які адреси, які я додав в трапліст, тільки для того щоб потрапити через кілька хвилин у чорний список spamd-greytrap Ми точно знаємо, що ця машина буде робити наступні 20 з гаком годин

Nov 6 09:50:25 delilah spamd[23576]:2102141257: connected (1/0) Nov 6 09:50:32 delilah spamd[23576]:2102141257: connected (2/0)

Nov 6 09:50:40 delilah spamd[23576]:(GREY) 2102141257: &ltgilbert@keyholesnet&gt -&gt

&ltwkitp98zpufsf@datadokno&gt

Nov 6 09:50:40 delilah spamd[23576]:2102141257: disconnected after 15 seconds

Nov 6 09:50:42 delilah spamd[23576]:2102141257: connected (2/0)

Nov 6 09:50:45 delilah spamd[23576]:(GREY) 2102141257: &ltbounce-3C7E40A4B3@branch15summer- bargainzcom&gt -&gt &ltadm@datapedno&gt

Nov 6 09:50:45 delilah spamd[23576]:2102141257: disconnected after 13 seconds

Nov 6 09:50:50 delilah spamd[23576]:2102141257: connected (2/0)

Nov 6 09:51:00 delilah spamd[23576]:(GREY) 2102141257: &ltgilbert@keyholesnet&gt -&gt

&ltwkitp98zpufsf@datadokno&gt

Nov 6 09:51:00 delilah spamd[23576]:2102141257: disconnected after 18 seconds

Nov 6 09:51:02 delilah spamd[23576]:2102141257: connected (2/0)

Nov 6 09:51:02 delilah spamd[23576]:2102141257: disconnected after 12 seconds

Nov 6 09:51:02 delilah spamd[23576]:2102141257: connected (2/0)

Nov 6 09:51:18 delilah spamd[23576]:(GREY) 2102141257: &ltgilbert@keyholesnet&gt -&gt

&ltwkitp98zpufsf@datadokno&gt

Nov 6 09:51:18 delilah spamd[23576]:2102141257: disconnected after 16 seconds

Nov 6 09:51:18 delilah spamd[23576]:(GREY) 2102141257: &ltbounce-3C7E40A4B3@branch15summer- bargainzcom&gt -&gt &ltadm@datapedno&gt

Nov 6 09:51:18 delilah spamd[23576]:2102141257: disconnected after 16 seconds

4 Звичайно, ця адреса явлетс підробленим Ця ідея використовувалася поштовими генераторами ID і GNUS, і генерується новинним клієнтом Скоріш за все він узятий з спула новин або поштової скриньки який небудь жертви

Nov 6 09:51:20 delilah spamd[23576]:2102141257: connected (1/1), lists: spamd-greytrap Nov 6 09:51:23 delilah spamd[23576]:2102141257: connected (2/2), lists: spamd-greytrap Nov 6 09:55:33 delilah spamd[23576]:(BLACK) 2102141257: &ltgilbert@keyholesnet&gt -&gt

&ltwkitp98zpufsf@datadokno&gt

Nov 6 09:55:34 delilah spamd[23576]:(BLACK) 2102141257: &ltbounce-3C7E40A4B3@branch15summer- bargainzcom&gt -&gt &ltadm@datapedno&gt

До відома, навіть якщо спамер змінив відправляє машину, обидві адреси From: і To: залишилися колишніми Те, що він все ще намагається відправити на адресу якого небуло в доставці, є показником того, що спамер не надто часто перевіряє свій список адрес

Керування списками з використанням spamdbМожуть виникнути ситуації, коли вам необхідно переглянути або змінити вміст чорного, білого або сірого списків Ці записи перебувають в базі даних / var / db / spamdb, і основним інструментом для їх адміністрування є spamdb

Ранні версії spamdb просто пропонували варіанти додавання запису в базу даних білого списку або оновлення існуючої запису (spamdb-a nnmmnnmm) Ви можете видалити записи білого списку (Spamdb-d nnmmnnmm) для компенсації недоліків у чорних списках або підвищення ефективності алгоритму сірих списків Нові версії spamdb, крім того, пропонують кілька цікавих функцій для підтримки greytrapping

Оновлення списківЯкщо ви запустите spamdb без параметрів, буде виведений список вмісту бази даних, і ви зможете додавати або видаляти адреси spamtrap і запису траплістов Крім того, ви можете, на льоту додавати записи білого списку Якщо ви хочете додати хост в білий список, чи не додаючи його на постійній основі в файл nospamd і перезавантажити ваш Неборов прпавіл або таблицю, ви можете зробити це з командного рядка приблизно

так:

$ sudo spamdb -a 213187179198

Якщо спамеру все таки вдалося провести доставку повідомлення, незважаючи на всі ваші зусилля, ви можете спробувати виправити ситуацію, додавши спамера в список spamd-greytrap, наприклад так:

$ sudo spamdb -a -t 1921682128

Додати нову пастку адреси так само просто:

$ sudo spamdb -a -T _-medvetsky@ehtriborg

Якщо ви хочете скасувати будь-яке з цих рішень, вам слід зауваж ключ-а на-b в обох командах

Джерело: Книга про PF, by Peter NM Hansteen, Переклад виконав Михайлов Олексій aka iboxjo

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*