[linux] SPF (was: Admin)

Ing. Jan ONDREJ jan.ondrej na upjs.sk
Úterý Leden 10 15:47:46 CET 2006 

On Tue, Jan 10, 2006 at 02:31:39PM +0000, Jan Sarenik wrote:
> Ahoj!
> 
> > Ochranu pred takymto spoofovanim mailovych adries elegantne riesi SPF.
> > http://openspf.org/ . U mna to *vyrazne* znizilo naroky na spamassassin.
> > Rad pomozem pri jeho nasadeni na linux.sk serveri. Nie je to sice
> > vsemocna ochrana, ale v mnohych pripadoch vysoko ucinna.
> 
> A ako je to s licenciou? Ak si dobre pamatam, bol tam nejaky problem.
> (Kvoli tomu napriklad nieje SPF standardnou sucastou mnohych MTA.)

Nuz podla mna to velky efekt nema. Su s tym 2 problemy:

  1. SPF zaznamy vela servrov nepouziva. Neviem ako je to percentualne,
     ale nepoznam takmer ziadneho DNS spravcu, ktory by to udrziaval
     pre svoje domeny.

  2. Spammeri to zacali pouzivat. Uz som dostal zopar spamov, ktore
     boli "SPF passsed". Proste sa naregistrovali na nejaku domenu
     a bez problemov to preslo.

SPF sa na servri linux.sk pouziva cez spamassassin. Ten mu prideluje urcity
pocet bodov. Pouzivanie toho s nejakou vacsou prioritou sa mi nezda byt
vhodne.

Momentalne uvazujem na inymi rieseniami ochrany pred este neprijatym
potencialnym spamom. Mam nahodeny system, ktory dokaze robit greylisty
a dokaze ich robit tak, ze greylistnuty bude server, ktory posle minimalne
jeden spam/virus. System si udrziava tabulku, v ktorej taketo servre
udrzuje. Uz klasickym sposobom vie robit autowhitelisty, popripade si
pouzivatel moze definovat vlastne pravidla pre whitelist/blacklist.

Vyhodou "light greylistov" (ako som ich nazval) je to, ze normalne spravy
budu dorucovane vpodstate okamzite. Problem so spammermi, ktori budu
posielat spam/virus pravidelne (napr. mam servre, kde pride okolo 50 spamov
z jednej adresy zaradom) sa odstrani, kedze adresa ktora odoslala spam
moze byt na urcity cas (povedzme tyzden) zaradena na greylist-ovanie.

Ak niekto nevie, co je to "greylist", tak je to evidencia trojic 
(odosielatej, prijemca, IP_adresa) pre kazdy email. Pre kazdu takuto trojicu
sa najskor email odmietne s hlaskou "docasne nedostupny" a doruci sa az
pri opatovnom dorucovani, ktore nastane zvycajne o 15-60 minut neskor.
Ak by sa spammeri chceli na nieco take adaptovat, dost by to zatazilo
ich zariadenia, kedze by si museli ukladat, ktory email bol kde docasne
odmietnuty a aj evidovat, kedy ho asi mozu zopakovat.

		SAL

Další informace o konferenci linux