Ik ben al een tijdje bezig maar kan geen goede regel in exim krijgen voor het volgende:
Ik heb exim 4 hier draaien voor een mailserver in combinatie met SA. Dit is niet voldoende om spam tegen te houden.
De meeste spam krijg ik binnen van gehackte PC's die lopen te relayen. Het is is 2-voudig.
1 tegenhouden van hosts die een IP in de helo geven
2 tegenhouden van hosts waarop je geen reverse lookup kan doen
3 tegenhouden van hosts uit specifieke domeinen.
Nummer 1 zou moeten kunnen met:
# Invalid HELO/EHLO - Ip address without []
deny message = HELO/EHLO can't be plain IP. See RFC 2821 section 4.1.1.1
log_message = HELO is plain IP
condition = ${if isip {$sender_helo_name}{yes}{no}}
Helaas werkt dit niet. Ik heb ook al {true}{false} false geprobeert, maar helaas..
Nummer 2
Bij deze hosts weet je dat de verzende MX erg verdacht is. In de meeste gevallen voorspeld het niet veel goeds, dus blokken maar. Ok, heeft een risico als je DNS niet helemaal lekker is, maar dat risico neem ik. Uiteraard zou een voorziening er in opgenomen kunnen worden dat een aantal bekende IP's/domeinnamen wel welkom zijn.
Nummer 3 probeer ik uit te leggen aan de hand van de onderstaande regel uit mijn logfiles
2006-08-07 22:47:11 1GAC03-0005mS-OE <= brooklyndocumentary@insurer.com H=cpe-70-117-6-106.satx.res.rr.com (hpai.aplo8.rr.com) [70.117.6.106] P=esmtp S=1381 id=88084271934450.D35DA97A98@6HVKF
De afzender kan iedereen opgeven wat hij wil, dus daar kan ik niets mee (en wordt al geverifyed of het een geldig domain is). Iets wat wel vast staat is zijn de gegevens van de reverse lookup (hier cpe-70-117-6-106.satx.res.rr.com). De entry hpai.aplo8.rr.com wordt opgegevens in de ehlo/helo dus daar kan ik ook niet al te veel mee.
Nu zoek ik een entry in mijn exim.conf waarin gecheckt wordt of de zendende SMTP host voorkomt op een lijst met domeinen zoals:
*.rr.com
*.cn
*.ru
*.verizon.net
*.tpnet.pl
Ik weet dat ik hiermee bewust een aantal domeinen of zelfs landen uitschakel, maar hier verwacht ik toch geen mail van, dus who cares.
Ik hoop dat iemand die goed thuis is in exim configs hier eens over na zou willen denken.
Ik heb exim 4 hier draaien voor een mailserver in combinatie met SA. Dit is niet voldoende om spam tegen te houden.
De meeste spam krijg ik binnen van gehackte PC's die lopen te relayen. Het is is 2-voudig.
1 tegenhouden van hosts die een IP in de helo geven
2 tegenhouden van hosts waarop je geen reverse lookup kan doen
3 tegenhouden van hosts uit specifieke domeinen.
Nummer 1 zou moeten kunnen met:
# Invalid HELO/EHLO - Ip address without []
deny message = HELO/EHLO can't be plain IP. See RFC 2821 section 4.1.1.1
log_message = HELO is plain IP
condition = ${if isip {$sender_helo_name}{yes}{no}}
Helaas werkt dit niet. Ik heb ook al {true}{false} false geprobeert, maar helaas..
Nummer 2
Bij deze hosts weet je dat de verzende MX erg verdacht is. In de meeste gevallen voorspeld het niet veel goeds, dus blokken maar. Ok, heeft een risico als je DNS niet helemaal lekker is, maar dat risico neem ik. Uiteraard zou een voorziening er in opgenomen kunnen worden dat een aantal bekende IP's/domeinnamen wel welkom zijn.
Nummer 3 probeer ik uit te leggen aan de hand van de onderstaande regel uit mijn logfiles
2006-08-07 22:47:11 1GAC03-0005mS-OE <= brooklyndocumentary@insurer.com H=cpe-70-117-6-106.satx.res.rr.com (hpai.aplo8.rr.com) [70.117.6.106] P=esmtp S=1381 id=88084271934450.D35DA97A98@6HVKF
De afzender kan iedereen opgeven wat hij wil, dus daar kan ik niets mee (en wordt al geverifyed of het een geldig domain is). Iets wat wel vast staat is zijn de gegevens van de reverse lookup (hier cpe-70-117-6-106.satx.res.rr.com). De entry hpai.aplo8.rr.com wordt opgegevens in de ehlo/helo dus daar kan ik ook niet al te veel mee.
Nu zoek ik een entry in mijn exim.conf waarin gecheckt wordt of de zendende SMTP host voorkomt op een lijst met domeinen zoals:
*.rr.com
*.cn
*.ru
*.verizon.net
*.tpnet.pl
Ik weet dat ik hiermee bewust een aantal domeinen of zelfs landen uitschakel, maar hier verwacht ik toch geen mail van, dus who cares.
Ik hoop dat iemand die goed thuis is in exim configs hier eens over na zou willen denken.