Jakiś czas temu, jeden z kolegów z forum zwrócił się do mnie o poradę w sprawie spamu, który od pewnego czasu znacząco zwiększył swą ilość. Serwery, które mam pod opieką, nie są jakoś nadmiernie atakowane, ale ponieważ dawno nie zajmowałem się pocztą, postanowiłem się znów przyjrzeć konfiguracji. Używam exima i pewne rozwiązania są dla niego inne, niż np. w postfixie, jednak mniej interesują mnie szczegóły techniczne, a bardziej "filozofia" rozwiązywania problemów. Ciekaw też jestem doświadczeń innych administratorów poczty.
Sprawdzam sobie ostatnio przez analizę logów, co i w jakiej ilości jest odrzucane przez serwer, a ile spamu się przedostaje. Jak to wygląda proporcjonalnie i czy można coś jeszcze ulepszyć.
Mam dwa serwery, jeden swój prywatny i drugi szkolny, nie są szczególnie obciążone, ale ten pierwszy egzystuje już ponad 10 lat, więc nie jest nieznany spamerom, a drugi... no cóż, jest szkolny, spamu tam kiedyś było pełno. Teraz jest lepiej, ale nie idealnie.
Oto dzisiejsze dane:
Greylistowane: 24 (część z greylistowanych to spamboty i się nie przedostają, ale część potem dochodzi i nie zawsze jest to spam)
Odrzucone (RCPT): 11(wysyłane do nieistniejących userów, czasem wynik skanowania newsów, np. mail do maciekskasujto@domena)
Odrzucone (RBL): 26(tu nie ma wątpliwości, korzystam tylko z zen.spamhaus.org, tu mieści się także lokalna blacklista)
Odrzucone (Sender verify): 2(odrzucone z powodu fałszywego adresu nadawcy np.
nadawca@sadasrfcsdce.com)
Odrzucone (EHLO): 8(próby podszycia się w helo pod mój IP lub domenę, helo localhost, helo tylko IP)
Odrzucone (FQDN): 18(również na etapie helo, jeśli nazwa serwera nie jest nazwą domenową, a np. komputer1)
Odrzucone (ADSL): 4(wszystkie dynamiczne IP w rodzaju ADSL, PPPOE, GPRS itp)
Dostarczone i wysłane: 34Spamu zero. Zwykle mam od 3 do 8 tygodniowo.
Na szkolnym serwerze jest podobnie, tylko maili więcej i więcej zatrzymanych na RBL, za to mniej na nieistniejącym odbiorcy (RCPT).
Nie stosuję systemu antyspamowego. Dlaczego? Jeśli spam wpada użytkownikowi do osobnego katalogu w programie lub webmailu, to on tam wcale nie zagląda. A może się zdarzyć, że wpadnie dam dobry mail i nie zostanie przeczytany. Obecnie, jeśli nadawca wysyła z zabronionego adresu, to mail po prostu nie dochodzi i jeśli to nie jest spam, nadawca o tym wie i może szukać innej drogi kontaktu. Jeśli mail wpadnie do katalogu ze spamem, to niby doszedł, a nigdy nie zostanie przeczytany.
Widzę, że wciąż mam trochę problemów z hostami, które nie przedstawiają się adresem domenowym, np. H=([77.68.161.19]) [77.68.161.19], w zasadzie większosć takich połączeń jest odrzucana, ale część exim przepuszcza.
Obecnie rządzą tym dwie reguły, bardzo podobne do siebie, ale coś jeszcze chyba pominąłem.
# blokada hostów zgłaszających się tylko z IP
drop condition = ${if match{$sender_helo_name}{^[0-9].[0-9].[0-9].[0-9]}{yes}{no} }
message = "Dropped IP-only or IP-starting helo"
drop condition = ${if match{$sender_helo_name}{^[0-9]\.[0-9]\.[0-9]\.[0-9]}{yes}{no} }
message = "Dropped IP-only or IP-starting helo"