Lupta cu spam(bot)-uri (partea 1)

Folosesc aproape de un an caracteristica postscreen a serverului de mail postfix. Postscreen are rolul de a apăra serverul de conexiunile venite de la așa numitele zombie-uri si spambot-uri, pentru a păstra resursele serverului pentru conexiunile și, implicit, mailurile legitime.
Se spune că 90% din spam-uri sunt generate de astfel de zombie-uri si spambot-uri … părerea mea este că acest procent este chiar mai mare.
Cu postscreen și încă câteva trucuri simple se pot opri peste 95% din spam-uri. Și asta încă în stadiul de conexiune, fără să intre în șirul de așteptare (reject before queue) a serverului postfix, fără verificari consumatoare de resurse (spamassassin, etc.).
Imaginile de mai jos sunt pe un interval de 24 de ore, generate în diferite momente și arată volumul mesajelor bounced(negru), infectate cu virus(galben), spam(gri), respinse de postscreen(verde) și respinse de smtpd_(client, helo, sender, relay, recipient, data, end_of_data)_restrictions(roșu).
Graficul a fost generat anul trecut în mai, când am pornit prima oara funcția postscreen pe un server cu postfix, atunci, servind un singur domeniu. Se vede raportul dintre postscreen/spam că este destul de mare: 188 repsinse conexiuni de postscreen și 48 spam-uri, care, cel puțin mie, înseamna un câștig enorm de mare.
Ce este de fapt această conexiune respinsă de postscreen? Probabil o conexiune venită de la un calculator infectat cu un progrămel (malware), care trimite spam-urile în lume. Dar o mare parte dintre aceste programe nu respectă standardele prin care se trimit mesajele și exact acest lucru este de care se foloseste funcția postscreen: respinge toate conexiunile non-standard. Pe langă asta poate face și test DNS black/whitelist interogând liste ca spamhaus.org, barracudacentral.org sau altele date de către utilizator.
Fiecare conexiune respinsă de către postscreen reprezintă cel puțin un spam … și dacă are mai multe adrese la destinatar? Ușor s-ar poate dubla/tripla numarul spam-urilor.
Între timp am mai mutat câteva domenii pe același server, având 8 în momentul de față.
Pe următorul grafic se vede că serverul este chiar în mijlocul unui atac de spam, iar acest lucru evidențiază și mai bine cât de eficient poate fi funcția postscreen.
 
Dacă înainte raportul postscreen/spam a fost 188/48=3,92, aici este 59308/420=141,21. Ouch! F… you all spammers!
N-am vorbit încă despre linia roșie, care reprezintă volumul mesajelor respinse, care au trecut de postscreen, dar n-au trecut verificarile smtpd_(client, helo, sender, relay, recipient, data, end_of_data)_restrictions. Urmează un alt articol, în care descriu o metoda foarte simpla și eficientă cu care se pot respinge mesajele venite de pe IP-uri dinamice.

Leave a Reply

Your email address will not be published. Required fields are marked *