• Боротьба зі спамом за допомогою Sendmail
  • Налаштування sendmail за допомогою m4
  • Необхідні опції, приклад конфігурації
    • define(`confTO_IDENT', `0')
    • FEATURE(`no_default_msa')
    • FEATURE(`smrsh',`/usr/sbin/smrsh')
    • FEATURE(`relay_hosts_only')
    • FEATURE(`access_db')
    • FEATURE(`blacklist_recipients')
    • FEATURE(dnsbl, `xxx.yyy.zzz', `"550 Your relay is filtered by xxx.yyy.zzz "')
    • Формат файлу /etc/mail/access
      • Вигляд типового файла /etc/mail/access:
      • Формат правої частини файлу
  • Тестування конфігурації
    • Перевірка правил
    • Перевірка дозволеності пересилання листів
  • Інші методи боротьби зі спамом
    • Створення віртуальних поштових адрес
    • Використання автовідповідача
    • Використання можливості REDIRECT у sendmail
    • Використання коду тимчасової помилки
    • Фільтрування за заголовками
    • Фільтрування за вмістом

Боротьба зі спамом за допомогою Sendmail

Sendmail 8.9 і вище має непогані вбудовані можливості для боротьби зі спамом, які лише необхідно ввімкнути. Ми будемо використовувати DNSBL - блокування адреси по DNS.

Налаштування sendmail за допомогою m4

Основний конфігураційний файл для sendmail - sendmail.cf має дуже складний для розуміння синтаксис. Тому для спрощення процесу редагування його конфігурації використовується макропроцесор m4 (пакет m4) і набір макросів (пакет sendmail-cf).

Генерування нової конфігурації відбувається дуже просто, ось рядок з мого Makefile:

sendmail.cf: sendmail.mc
        m4 /usr/share/sendmail-cf/m4/cf.m4 sendmail.mc >sendmail.cf

Які переваги такого підходу:

• конфігураційний файл спрощується до кількох рядків;
• можна використовувати бібліотеку вже готових рішень;
• можна створювати свої макроси;
• синтаксис файлу набагато простіший та зрозуміліший.

Необхідні опції, приклад конфігурації

Макроси, які нас цікавлять, містяться у каталозі /usr/share/sendmail-cf/feature/, Ми не будемо розглядати їх усі, розглянемо лише потрібні нам.

Отже, нам потрібно налаштувати типову конфігурацію, яка складається з поштового сервера і кількох комп'ютерів у локальній мережі, які повинні мати право відсилати пошту. Решті такий доступ має бути заборонений. Крім того, ми бажаємо максимально обмежити надходження спаму.

Приклад такої конфігурації:

sendmail.mc

OSTYPE(linux)
DOMAIN(generic)

MAILER(local)
MAILER(smtp)
define(`confDOMAIN_NAME', `ourdomain.net')
define(`confDEF_USER_ID', `8:12')
define(`confPID_FILE', `/var/run/sendmail.pid')
define(`confSMTP_LOGIN_MSG', `$j Sendmail $v/$Z $b Hello, hacker - have a nice day')
define(`confTO_IDENT', `0') dnl Не опитувати identd на віддаленій машині

DAEMON_OPTIONS(`Name=MTA,Addr=external.ourdomain.net,Port=smtp')
DAEMON_OPTIONS(`Name=MTA,Addr=internal.ourdomain.net,Port=smtp')
DAEMON_OPTIONS(`Name=MTA,Addr=localhost,Port=smtp')

FEATURE(`no_default_msa')
FEATURE(`smrsh',`/usr/sbin/smrsh')
FEATURE(`relay_hosts_only')
FEATURE(`access_db')
FEATURE(`blacklist_recipients')

FEATURE(dnsbl) dnl Використовуємо blackholes.mail-abuse.org
FEATURE(dnsbl, `relays.ordb.org', `"550 Your relay is filtered by relays.ordb.org "')
FEATURE(dnsbl, `xxx.yyy.zzz', `"550 Your relay is filtered by xxx.yyy.zzz "')

Розглянемо цю конфігурацію детальніше:

define(`confTO_IDENT', `0')

Цей параметр забороняє опитувати identd на віддаленій машині, так як хакери можуть підробити його відповідь так, начебто лист відсилається користувачем з нашого комп'ютера чи домена і, відповідно, всі наші перевірки будуть позбавлені сенсу.

FEATURE(`no_default_msa')

Починаючи з версії 8.10, sendmail підтримує сервіс MSA (Mail Submission Agent - Агент Відправки Пошти). Ця опція забороняє підтримку MSA. Якщо ваш поштовий клієнт підтримує MSA (наприклад, моя Бальза підтримує, так як вона використовує libesmtp), то ви можете закоментувати цю опцію, але не лякайтеся, коли команда nestat -an вам видасть, що sendmail слухає 587-й порт по протоколу TCP.

FEATURE(`smrsh',`/usr/sbin/smrsh')

Використовувати для запуску програм /usr/sbin/smrsh замість /bin/sh. Smrsh відрізняється від sh тим, що дозволяє запускати обмежений набір програм, які перелічені в каталозі /etc/smrsh (просто створіть посилання на ті програми, які можна запускати з sendmail). Такий підхід дозволяє знизити ризик ураження системи при невірному налаштуванні sendmail, дуже рекомендується.

FEATURE(`relay_hosts_only')

Типово sendmail дозволяє пересилати пошту всім комп'ютерам з доменів, які перелічені в /etc/mail/relay-domains. Ця опція вимагає, щоб кожен комп'ютер був перелічений особисто. Таким чином не можна, завівши власний сервер DNS, прикинутися комп'ютером з нашого домену і відсилати через нас пошту.

FEATURE(`access_db')

Цей макрос вказує використовувати /etc/mail/access.db для перевірки поштових адрес. Його формат і створення розписані нижче.

FEATURE(`blacklist_recipients')

Ця опція вказує перевіряти не лише адресу відправника, але й адресу отримувача. Тобто можна заборонити приймати всі листи адресовані до певної адреси, не зважаючи на те, що вони приходять з різних адрес (наприклад поштові розсилки). Ця опція корисна, коли спамер весь час змінює адресу відправника, але залишає незмінною адресу отримувача. Детальніше розказується нижче.

FEATURE(dnsbl, `xxx.yyy.zzz', `"550 Your relay is filtered by xxx.yyy.zzz "')

Цей макрос вказує, який сервер DNS використовувати для перевірки сервера - відправника пошти. Якщо пошта відправляється зі spammer.host.com і sendmail отримує відповідь, що адреса spammer.host.com.xxx.yyy.zzz знайдена, то він блокує всі операції з цим комп'ютером. Списки таких серверів можна знайти в інтернеті.

Формат файлу /etc/mail/access

Файл /etc/mail/access.db будується за допомогою такої команди:

makemap hash /etc/mail/access.db  

Але у моїй поставці sendmail у каталозі /etc/mail валяється Makefile, так що мені достатньо набрати make, щоб перебудувати усі .db-файли, які необхідно.

Вигляд типового файла /etc/mail/access:

bigmany@               ERROR:"550 Fucking spammer"
abuse@                 REJECT
192.168                RELAY
[192.168.13.13]        REJECT
friendhost.net         RELAY
spammer@host.net       REJECT
friend@spamhost.net    OK
spammer@host.net       ERROR:"550 Spam"
spamhost.net           REJECT

Ми вказуємо, що

• всі хто має IP-адресу 192.168.xxx.xxx (цей діапазон адрес зарезервовано для використання у локальних мережах, вони не можуть бути використані у Інтернеті) - можуть відсилати пошту куди завгодно (не варто щось забороняти своєму начальству - воно не оцінить ), але користувача з 192.168.13.13 це не стосується;
• хлопці з friendhost.net наші друзі і ми дозволяємо їм пересилати пошту але лише їм, інші комп'ютери у домені friendhost.net (напр. spammer.friendhost.net) не матимуть такого права, так як ми включили relay_hosts_only ;
• spammer з host.net не має права надсилати нам пошту, про це можна сказати або за допогою ключового слова REJECT і додаткового необов'язкового коментаря, або за допомогою цифрового коду відповіді і коментаря;
• заборонено доступ для усіх з spamhost.net, всіх перелічувати - забагато честі;
• friend з spamhost.net має право надсилати нам пошту, незважаючи на те, що він має таку непристойну адресу;
• Хлопець з ім'ям bigmany вже всіх дістав, тому ми відкидаємо будь-яку пошту, яка відправлена від його імені, звідкіля б вона не надходила.

Формат правої частини файлу

Якщо ввімкнена опція blacklist_recepients, то можна також використовувати префікси:

Тобто можна написати таке:

From:spammer@host.net   REJECT
To:friend.net           RELAY
Connect:friend.net      OK
Connect:friend.net      RELAY
From:friend@host.net    OK
From:spamhost.net       REJECT

Що дозволяє точніше розмежовувати спам і нормальну пошту.

УВАГА: Порядок записів немає значення, sendmail використовує найдовше (найбліьш повно задане) значення, яке збігається з адресою.

УВАГА: sendmail використовує для перевірки адресу з команди mail from: протоколу SMTP а не з заголовку листа, тому не зважаючи на те, що у вашому поштовому клієнті буде написано From: spammer@host.net, sendmail пропускатиме такі листи, якщо клієнт під час сесії представиться як mail from: friend@host.net. Тому дивіться джерельний текст листа для того, щоб взнати реальну адресу відправника - вона вказана у першому рядку, наприклад:

From friend@host.net Wed Oct 16 19:15:07 2002
...
From: spammer@host.net
...

Тестування конфігурації

Перевірка правил

Для перевірки правил можна запустити sendmail у режимі тестування:

sendmail -bt
> check_mail <spammer@host.net>
> check_mail <friend@spamhost.net>
> check_rcpt <spammer@host.net>
> check_rcpt <friend@spamhost.net>

Для першої адреси ви маєте отримати у останньому рядку код помилки, для другої адреси - нормальний код відповіді.

Детальніше про це розповідається тут.

Перевірка дозволеності пересилання листів

Ви можете запустити для тестування ваш sendmail з новою конфігурацією на іншому порту, щоб не заважати роботі діючого, командою:

sendmail -Ctest.cf -bd -oOP=4321

telnet localhost 4321

Для тестування, чи sendmail дозволяє спамерам розсилати листи через ваш сервер, можна використати декілька програм:

• Test Relay - (моя власна програма) має дуже простий синтаксис для тестів, має більше десятка тестів взятих зі стороннього джерела.
• ckspam - має декілька тестів, які жорстко вшиті у програму, перевіряє також деякі інші речі.
• rlytest - містить лише один тест.

Інші методи боротьби зі спамом

Створення віртуальних поштових адрес

Найпростіший спосіб завести собі додаткову поштову адресу без зайвої мороки - це відредагувати файл поштових псевдонімів /etc/aliases і помістити туди рядок приблизно такого виду:

forspam: myrealbox
forspam2: myreabox1, myrealbox2, myrealbox@another.host.net

Перший елемент у рядку - це ваш поштовий псевдонім, другий реальна адреса(-и). Якщо ви бажаєте підписатися на якусь розсилку але ви не певні, що ваша адреса не попаде у руки спамерів, то створіть собі псевдонім. Коли він вам набридне, ви просто його витрете і заведете собі новий. Не забудьте після зміни файлу /etc/aliases виконати команду newaliases з правами адміністратора (root).

Використання автовідповідача

Недоліком віртуальної поштової адреси є те, що весь спам, який на неї приходитиме, автоматично пересилатиметься вам. Але це можна поправити за допомогою procmail та vacation. Суть ідеї у тому, що скрипт на procmail пропускає (та автоматично сортує) всі листи, які є у вашій адресній книзі а на всі інші листи відповідає vacation (програма-автовідповідач, якою користуються коли йдуть у відпустку). У листі, який генерується vacation можна вказати іншу поштову адресу для контакту чи альтернативний метод для зв'язку (номер аськи чи мобілки). Я рекомендував би використовувати BSD-vacation-v2.

Використання можливості REDIRECT у sendmail

Часто виникає необхідність дати свою електронну адресу для контакту у публічних джерелах. Такими адресами, звичайно ж, користуються не лише звичайні користувачі а й спамери. Існує ефективний метод їх відсіювання на основі можливості REDIRECT. Для цього неохідно створити у файлі поштових псевдонімів /etc/aliases запис такого виду:

contact.name: real.name@server.net.REDIRECT

Ви можете безпечно давати вашу адресу contact.name@serverSTOPSPAM.net для опублікування в інтернеті. Кожен, хто надішле листа на цю адресу, отримає у відповідь листа з помилкою від sendmail про те, що справжня адреса користувача real.name@serverSTOPSPAM.net. Спамери, як правило, ніколи не читають відповіді (просто тому, що вони не вказують реальну адресу відправника), тому ця адреса до них не попадатиме. Натомість людина, яка відправила вам листа має шанс прочитати цю відповідь і переслати листа на нову адресу. Перевагою такого підходу над опрацюванням листа через procmail/formail/vacation у тому, що перевірка адреси здійснюється ще до отримання тіла листа, що економить трафік.

Не забудьте після зміни файлу /etc/aliases виконати команду newaliases з правами адміністратора (root). Перевірте, чи ваш sendmail.mc включає рядок FEATURE(redirect).

Використання коду тимчасової помилки

Можна використовувати код тимчасової помилки, для того щоб змусити віддалений сервер повторити спробу доставлення листа ще раз через годину. Спамерські системи, звичайно ж, себе такими речами не обтяжують і повторного листа від них (з такими ж параметрами, як попередній) ви не дочекаєтесь.

Детальніше про це розповідається на http://projects.puremagic.com/greylisting/ .

Фільтрування за заголовками

Ви також можете відкидати пошту базуючись на заголовках, наприклад багато повідомлень зі спамом містять заголовок Errors-to: (принаймі у моїй колекції таких листів багато). Ось приклад, який відкидає усі листи з такими заголовками:

        LOCAL_CONFIG
        Kstorage macro


        LOCAL_RULESETS
        HErrors-to: $>CheckErrorsTo



        SCheckErrorsTo
        # Record the header presence
        R$*                     $: $(storage {ErrorsToCheck} $@ OK $) $1
        R< $+ @ $+ >            $#error $: 553 Header Error
        R$*                     $@ OK

        Scheck_eoh
        # Check the macro
        R$*                     $: < $&{ErrorsToCheck} >
        # Clear the macro for the next message
        R$*                     $: $(storage {ErrorsToCheck} $) $1
        # Has a Errors-To: header
        R< $+ >                 $#error $: 553 Header Error
        # Otherwise, relay the mail
        R$*                     $@ OK

(Не тестував ще - хто протестує, повідомте результат).

Також фільтрування за заголовками легко реалізується за допомогою procmail і formail, читайте документацію на ці програми.

Фільтрування за вмістом

Для фільтрування за вмістом можна використовувати procmail та утиліти для частотного аналізу тексту. Їх опис виходить за рамки цього документу.

У sendmail недавно з'явилася можливість підключати свої утиліти, які можуть працювати над вмістом листа, через libmilter ІПП(API). Велику кількість програм, які працюють через цей ІПП, можна знайти на FreshMeat. Наприклад є модуль для Перла, який дозволяє писати такі фільтри на Перлі, його можна взяти тут (або на CPAN).

Автор:	Володимир Лісівка
Співавтори:

Версія: 1.1