From: Mustafa Kutsal Ay (master@iplikci.com)
Date: Wed 19 Jul 2006 - 11:05:20 GMT
benim bunun icin kullandigim cozum biraz kati.
oncelikle spam gelen IP`leri kaydediyorum. bu spam iki turlu olabilir.
ya varolan bir mailbox`a gelebilir ki bunlardan spamassasin`den SPAM damgasini yiyenleri kaydediyorum.
ya da varolmayan hesaplara gelen ( brian@domain.com alex@domain.com ) gibi bariz olanlarini kaydediyorum.
bunlari hemen firewall`dan yasakliyorum.
yavas yavas olusan bu "spam yapan hostlar IP database"inde 8,16,32,64,128,256`lik network block`larinda kac tane spam gonderen host oldugunu buluyorum. %30`u gecmisse firewall`dan tum IP blogunu yasakliyorum. tek bir SQL query ile bunu hemen yakalayip firewall rule olusturmak mumkun. ayrica araliklarda whois sonucunda donen "route, inetnum, netname" alanlarini da guncelliyorum.
bu sayade ozellikle telekom`un dynamic DSL IP`leri ilk bir haftada otomatik olarak yasaklandi.
85.105.128.0/17 gibi rule`lar olustukca basta firewall`daki binlerce olan rule sayisi da onemli oranda dusuyor.
spam`dan sakinmak icin bu yontemi secmemin nedeni tcp baglantisi acildiktan sonra RBL ile reject etmek karsi sunucu tarafinda `simdi yemiyor sonra bir daha deneriz` gibi algilanabilir.
ama IP paketlerini DROP ettigimde `boyle bir sunucu yok, bosuna ugrasmayalim` seklinde algilanmasini saglayabiliyorum.
IP bazinda paketin red edilmesi ayni zamanda sunucuya da yuk getirmiyor. cunku postfix gelen connexion`i handle etmek icin hic calismiyor bile. ayrica spamassasim ve clam ram canavari oldugu icin bu yuklerden de olabildigince kurtuluyorum.
bir onemli sey de reverse DNS enry var mi ve duzgun bir MX`i var mi bunlara bakmak.
reverse DNS`i olanlarda ise RBL`den gecemeyenler oluyor.
yukarida anlattigim tum bu isler icin mail.log dosyasini okuyup her yarim saatte bir isleyen ve surekli ekledigim rule`lardan olsan CRON`dan tahrikli bir script var. (kam milinden takrikli yag pompasi gibi birsey)
bu sistemin avantaji benim her gun 30bin spam eposta gelen `bu eposta`yi gonderdigim hesabimin oldugu sunucu nefes alabiliyor.
yasaklanan IP`ler 2 gun sonra yeniden erisime aciliyor. bundan sonra bir daha gelirse periyodlari arttiriyorum (1 hafta, 1ay, 3ay....)
en fazla spam yapilan yerler: turkiye ( oley ), brazilya, meksika, china, polonya
anlattigim isleri yapan sunucu ustunde 2 ip var biri disaridan gelen smtp isteklere yanit veriyor. digeri pop3 ve imap sagliyor.
herkese spamsiz gunler dilerim.
Iyi calismalar.
Mustafa Kutsal Ay
master@iplikci.com
Office: 212 612 9090 3220
GSM : 532 676 9778 | 555 448 1213
system admin, software engineer, radiesthesist
weblog: www.iplikci.com/musti
Bana gönderdiginiz epostalar ulasmiyorsa lütfen okuyun.
If you get error sending me emails please read this.
----- Original Message -----
From: "ilker ARABACI" <ilker.arabaci@gmail.com>
To: <linux-guvenlik@liste.linux.org.tr>
Sent: Wednesday, July 19, 2006 1:41 PM
Subject: Re: [Linux-guvenlik] Spamlar gelmesin artık
> Spamlar gelmesin artık
> RBL ile daha mali download etmeden smtp port connection sirasinda
> engellemek oldukça efektif bir çözüm.
> Yakın zaman da oldukça fazla spam gelen bir kaç sunucuya
> - qmail
> - rblmstpd ( tcpserver ile geliyor)
> - simscan { clamd , spamassasin , spf)
>
> kurlumunu yaptim. 90% üzerinde verim aldım.
> ama network yapısına göre uygulabilirlik değişir.
>
> -b -r dnsbl.sorbs.net \
> # özellikle dynamic ip lerden gelen smtp reuestlerini reddetmek için ideal.
> ISP görebvi üstleniyorsanız
> # smtp -in ve smtp -out ayırmalısınız, yoksa TT ADSL clientlariniz mail
> atamaz..
> # gerci qmail de RBLSMTPD env. variable ile bu çözüleiblir olmasi lazım.
> smtp auth dan gecenleri by pass edecek bir cozum de oaliblir.
> # ya da ayri bir spam server daemon yada fizksel server
> -r sbl-xbl.spamhaus.org \
> #
> # hergun karsilaşmakdan ve surekli adres değiştiren spam filterelerinden de
> basariyla gecen viTagra mail lairni da tespit ettigni gordum
> # spamhause duyaca unlu spammerleri bir fenomen olrak ele alip kendileirne
> uygun çözümler sunuyor :P
> # sbaha bir şekilde spam gonderen birisi öğlen olmadan black liste giriyor.
> sürekli guncelleniyor.
>
> -r blackholes.njabl.org \
> # uzak dogulu aşiri girişken arkadaşlar için ideal çözüm. spamhaus dan
> kurtulan burada genellikle yakalnıyor.
>
>
> -r relays.ordb.org \
> -r dnsbl.njabl.org \
> # bu listeler eski klasik open relay sunculari tespit ediyor. open relay
> olan bir sunucu inetenere acildikdan bir kaç saat sonra kesinlikle
> # kullanılmaya başlamiştir, emin olun ;) uzak dogulu hecüc mecücler sürekli
> taraniyorlar.
>
>
> buradan gectikden sonra devereye spamassasin gibi tool lar girebilir.
> simscan ile direk drop enable ediyorum. işin bütük bölümü RBl ile
> halledildigi için fazla iş düşmüyor.
> hem network performansi hem de makine performansı etkilenmiyor.
>
> tek handicap lokal kullanılarin smtp iletişimini RBL den cikarmak.
> bunun için ise
> yari bir daemon/ supervise servis (qmail ile bu cok kolay)
> yahut yukarida dedigim env. variable lar işe yarayacaktir.
> en kötü ihtimal in/out smtp serverlar ayrilaiblir.
>
> ayrica eger tek bir suncuudan bahsedilmiyorsa, bridged bir fw ile
> trasnparent bir spam server kurmak mümkün. tabiki bu serverin relay
> desteginin alabldigince acik olamsi gerektigi için , FW haricinde
> calişmayacak ve 127.0.0.1 üzereinde iş yapacak olmasi laızm.
>
>
> ilker ARABACI
>
>
>
>
>
> ----- Original Message -----
> From: EMRE
> To: linux-guvenlik@liste.linux.org.tr
> Sent: Wednesday, July 19, 2006 11:15 AM
> Subject: [Linux-guvenlik] Spamlar gelmesin artık
>
>
> Selamlar,
> Network de spam e-mail'lerden artık gına geldi. Bunları
> bilgisayarlara düşmeden engelleyecek bir sunucu sisteme ihtiyacım var ipcop
> ile yapmaya çalıştım herşey çok güzel çalışıyor ama bir süre sonra internet
> bağlantısını kesiliyor. Ya buna birçözüm bulmam lazım yada yeni bir sisteme
> nasıl bir şey önerirsiniz. İpcop da internet bağlantısı kopduktan sonra
> client bilgisayarı yeniden başlatıyorum internet bağlantısı tekrar geliyor.
> LÜTFEN YARDIM EDİN
>
>
> Emre Yılmazer
>
>
>
> _______________________________________________
> Linux-guvenlik mailing list
> Linux-guvenlik@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
>
> _______________________________________________
> Linux-guvenlik mailing list
> Linux-guvenlik@liste.linux.org.tr
> http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik
_______________________________________________
Linux-guvenlik mailing list
Linux-guvenlik@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik