Category Archives: mailgraph

Lupta cu spam(bot)-uri (partea 1)

Folosesc aproape de un an caracteristica postscreen a serverului de mail postfix. Postscreen are rolul de a apăra serverul de conexiunile venite de la așa numitele zombie-uri si spambot-uri, pentru a păstra resursele serverului pentru conexiunile și, implicit, mailurile legitime.
Se spune că 90% din spam-uri sunt generate de astfel de zombie-uri si spambot-uri … părerea mea este că acest procent este chiar mai mare.
Cu postscreen și încă câteva trucuri simple se pot opri peste 95% din spam-uri. Și asta încă în stadiul de conexiune, fără să intre în șirul de așteptare (reject before queue) a serverului postfix, fără verificari consumatoare de resurse (spamassassin, etc.).
Imaginile de mai jos sunt pe un interval de 24 de ore, generate în diferite momente și arată volumul mesajelor bounced(negru), infectate cu virus(galben), spam(gri), respinse de postscreen(verde) și respinse de smtpd_(client, helo, sender, relay, recipient, data, end_of_data)_restrictions(roșu).
Graficul a fost generat anul trecut în mai, când am pornit prima oara funcția postscreen pe un server cu postfix, atunci, servind un singur domeniu. Se vede raportul dintre postscreen/spam că este destul de mare: 188 repsinse conexiuni de postscreen și 48 spam-uri, care, cel puțin mie, înseamna un câștig enorm de mare.
Ce este de fapt această conexiune respinsă de postscreen? Probabil o conexiune venită de la un calculator infectat cu un progrămel (malware), care trimite spam-urile în lume. Dar o mare parte dintre aceste programe nu respectă standardele prin care se trimit mesajele și exact acest lucru este de care se foloseste funcția postscreen: respinge toate conexiunile non-standard. Pe langă asta poate face și test DNS black/whitelist interogând liste ca spamhaus.org, barracudacentral.org sau altele date de către utilizator.
Fiecare conexiune respinsă de către postscreen reprezintă cel puțin un spam … și dacă are mai multe adrese la destinatar? Ușor s-ar poate dubla/tripla numarul spam-urilor.
Între timp am mai mutat câteva domenii pe același server, având 8 în momentul de față.
Pe următorul grafic se vede că serverul este chiar în mijlocul unui atac de spam, iar acest lucru evidențiază și mai bine cât de eficient poate fi funcția postscreen.
 
Dacă înainte raportul postscreen/spam a fost 188/48=3,92, aici este 59308/420=141,21. Ouch! F… you all spammers!
N-am vorbit încă despre linia roșie, care reprezintă volumul mesajelor respinse, care au trecut de postscreen, dar n-au trecut verificarile smtpd_(client, helo, sender, relay, recipient, data, end_of_data)_restrictions. Urmează un alt articol, în care descriu o metoda foarte simpla și eficientă cu care se pot respinge mesajele venite de pe IP-uri dinamice.

mailgraph with postfix/postscreen

With mailgraph you can make really cool graphs to visualize daily, weekly, monthly and yearly statistics about postfix received/sent and bounced/rejected/spam/virus mails.
Some days ago I started to use postfix’s postscreen feature. I didn’t thought how cool and useful is. The spam volume is reduced with more than 50% on my server.
But I like very much graphs with mail statistics, I need postscreen stats too. Google it, but found nothing with separated stats, only cumulated with reject or spam.
So I made a patch based on NetworkMonkey IT Blog and if you use postfix with long queue id, you need to apply another patch to mailgraph from here: http://pub.birkosan.com/mailgraph/long_queue_ids.patch.

 

You need to patch mailgraph.pl and mailgraph.cgi too!
Patches:
Enjoy…