Premessa postscritta: Scritta dopo, ma premette il tutto. Si parlava con
il kurgan di dnsbl per MTA in produzione. Visto che ho scritto qualcosa
in piu` di una mera lista, invio anche in erlug, nella speranza che
possa essere utile.
Scuse a chi riceve questo msg due volte.
Configurazione "sufficentemente safe", per un mailserver in produzione.
relays.ordb.org,
l1.spews.dnsbl.sorbs.net,
sbl-xbl.spamhaus.org,
dnsbl.njabl.org
Piu` azzardate ma utili:
opm.blitzed.org
list.dsbl.org
ipwhois.rfc-ignorant.org
Piu` azzardate, perche` opm, per dire, in questo momento lista
infostrada (o almeno, lo faceva poco tempo fa). Per usare queste, faccio
un whitelist di tutti i provider italiani, tanandone gli mta, mediante
senderbase.org.
Richiede un po` di manutenzione, ovviamente (ogni tanto, ci devi
guardare).
In alternativa, puoi pescare da qualcosa di dedicato di sorbs (non usare
tutta sorbs che ha una lista aggressiva: spam.dnsbl.sorbs.net.
Inutilizzabile in ambito di produzione, perche` la politica di delisting
e` non percorribile per un isp), tipo dul.
Attenzione a njabl: lista i dinamici (come dul di sorbs). Listare i
dinamici significa che A la gente impara a configurarsi per usare l'mta
del proprio provider o fornitore del servizio (ma cmq un mta valido, con
un admin che legge e possibilmente risponde), e B che secchi tutti gli
ultimi tipi di virus che hanno un piccolo mta interno (o si appoggiano a
localhost:smtp) per auto replicarsi/inviarsi.
Secondo me, e` _fondamentale_.
Poi aggiungo:
reject_non_fqdn_sender,
reject_unknown_sender_domain
Sono restrizioni di postfix, ma suppongo che ci siano anche in
$altrosoftware.
Infine, regex, robe tipo:
# block windows executables
/^(Content-(Disposition:
attachment;|Type:).*|\s+)(file)?name\s*=\s*"?.*\.(lnk|bat|c[ho]m|cmd|com|exe|dll|vxd|pif|scr|hta|jse?|sh[mbs]|vb[esx]|ws[fh])"?\s*$/
REJECT No executable(1) (virus?) attachment allowed
/^begin [0-9]{1,4}
.*\.(lnk|bat|c[ho]m|cmd|com|exe|dll|vxd|pif|scr|hta|jse?|sh[mbs]|vb[esx]|ws[fh])$/
REJECT No executable(2) (virus?) attachment allowed
# block iframe hack
/<iframe src=(3D)?cid:.* height=(3D)?0 width=(3D)?0>/ REJECT No iframe
hack allowed
# various encoded URL formats. if they're trying to disguise the URL
# then they're up to no good
/(ftp|https?):\/\/([^\/]*@)?([01]{10,})?(\d+|00+\d+(\.00+\d+){3}|[\%0-9a-zA-Z\.\?_-]*\%[\%0-9a-zA-Z\.\?_-]+)(:\d+)?(\/|"|\s|$)/
REJECT Encoded url(1) intercepted. Please resend in clear text.
/(href=3D=22)?(ftp|https?)=3A=2F=2F|(<!--.*){3,}/ REJECT encoded
url(2) intercepted. please resend in clear text
# encoded form of "mailto:";
/\&\#109;\&\#97;\&\#105;\&\#108;\&\#116;\&\#111;\&\#58;/ REJECT
encoded mailto intercepted. please resend in clear text
/^\W{4,6} (?:[a-z]{10,}|[A-Z]{10,}) \W{4,6}\s*$/ REJECT encoded
mailto intercepted. please resedn in clear text
Ovviamente le regex sono tutte monoriga. qui il wrapping fa paciugo.
e roba cosi`.
Whitelisto abuse e postmaster @dominio.
Statistiche di ieri:
792 Sender Domain not found
215 User unknown
169 DNSBL sbl-xbl.spamhaus.org
57 body checks
46 DNSBL dnsbl.njabl.org
36 DNSBL l1.spews.dnsbl.sorbs.net
19 DNSBL opm.blitzed.org
10 Need FQDN address
5 Recipient address rejected
1 DNSBL relays.ordb.org
1350 TOTAL
Rejected bodies
39 No executable(1) (virus?) attachment allowed
15 No iframe hack allowed
3 encoded mailto intercepted. please resedn in clear text
(Dovresti aggiungere quelle del secondario, sono nell'ordine del 20%).
--
Maurizio - Tannoiser - Lemmo
Founder Member of ERLUG http://erlug.linux.it
-------------------------------------------------------------------------------
BOFH excuse #153:
Big to little endian conversion error
|