Kéretlen levelek csökkentése

Kéretlen levelek csökkentése

A kéretlen levelek száma egy idő után nagyon zavaró lehet, szeretnénk csökkenteni a számukat. Nálunk a SPAM levelek szűrését linuxon az amavis-new csomag végzi, elvégzi a levelek megjelölését és kategóriázását, illetve súlyozását. Ezen túlmenően szeretnénk azt is, ha sokkal kevesebb ilyen műveletet kellene végeznie a szerverünknek, és főleg, ha több email domaint és email címet kezelünk, akkor jelentősen csökkenjen a beérkezett fölösleges és kéretlen spam száma.

Mi úgy döntöttünk, hogy elfogadjuk az amavis szűrését, és megvizsgáljuk a levelek forrását. Azt találtuk, ami sejthető is volt, hogy a levelek forrása ismétlődő és nagy részük egy jól körülhatárolható helyről érkezik. Tehát, ha legalábbis átmenetileg blokkoljuk ezeket a fertőzött vagy spam forrásként használt IP címeket, akkor ezzel jelentősen redukálhatjuk a kéretlen levelek számát.

A fail2ban amavis modul használata a kéretlen emailt küldő szerverek blokkolására

A fail2ban számomra nagyon kedves, jól használható programcsomag. Egyszerű mintaillesztéssel log fájlokat vizsgálhatunk, amelyből az IP kinyerésével, a megadott szabályok szerint tilthatjuk az adott támadó IP címről érkezett forgalmat.

Ennek megfelelően debian esetén a /var/log/mail.log fájlban láthatjuk, hogy az amavis milyen munkát végzett:

Nov 02 21:20:57 server1 amavis[6751]: (06751-20) Blocked SPAM, [212.162.148.211] [212.162.148.211]
 <magyardkwjjjypatikus@contohpantun.info> -> <pelda@pelda1.hu>, Message-ID: 
<h3c37uz78bhto.tol2p@xnnkh.contohpantun.info>, mail_id: hTf+D-RIVVvK, Hits: 11.542, size: 7496, 1038 ms

Ahogy a logrészletből látható, a 212.162.148.211 IP címről érkezett email, amit az amavis SPAM-nek nyilvánított, a magyardkwjjjypatikus@contohpantun.info email címről küldték a levelet a szerverünk által kiszolgált pelda@pelda1.hu email cím felé. Ez alapján, és az amavis egyéb visszajelzése alapján készítettünk el a szűrést, amit a /etc/fail2ban/filter.d könyvtárban amavis.conf fájlban valósítottunk meg, az általános formátumot most nem részletezem, csak a szűrést:

failregex = ^(.*) (Blocked SPAM|Blocked BANNED|Blocked BAD),.* \[<HOST>\] .*$

Ezt követően az /etc/fail2ban/jail.conf fájlba bekonfigruáljuk és beparaméterezzük a szűrést és a feltételeket. Mi most egy IP-t akkor elölünk valóban SPAM forrásnak, ha legalább 4 kéretlen email érkezett az utóbbi 84400 másodpercben, amit aztán 79800 másodpercre tiltunk. Ahogy korábban jeleztem, a /var/log/mail.log fájl vizsgáljuk a mintával, a szűrőnk neve az amavis, és tiltás esetén az IP cím részére az SMTP, SSMTP portokat fogja a fail2ban tiltani:

[amavis]

enabled = true
port = smtp,ssmtp
filter = amavis
findtime = 84400
bantime = 79800
maxretry = 4
logpath = /var/log/mail.log

Folyamatos SPAM küldő szerverek kiszűrése a fail2ban amavis modul segítségével

Külön most nem írnám le részletesen, csak az elméletet. Tehát a fail2ban egy újabb szűrőjével a /var/log/fail2ban.log-ot vizsgálhatjuk, ott, ha ugyanaz az IP cím ezzel az [amavis] szűrővel blokkolva lett többször, akkor már egy hosszabb időtartamra is lehet az ilyen IP-ket tiltani.

 

 

 

No Comments.

Leave a Reply