Virus/spam: 'Returned mail: see transcript for details' - Privacy en beveiliging

maandag 29 maart 2004 10:24

Acties:

Topicstarter

Hmmm... topictitel is niet volledig. Er stond: virus/spam: "Returned mail: see transcript for details". Sorry voor de onduidelijke titel die er nu staat.

Veel van onze websites hebben in de bron-code een disclaimer staan met onze e-mailadressen en die van de opdrachtgevers. Een paar jaar geleden was dat handig, nu natuurlijk al lang niet meer. Het gevolg is dat wij, en anderen, overspoeld worden met e-mailtjes van MAILER-DAEMONS dat e-mailadressen niet bestaan (omdat ze natuurlijk worden samengesteld door de verschillende virussen).

De situatie:
RedHat 9, postfix laatste updates + procmail levert af aan eigen maildatabase. F-prot en Spamassassin filteren de e-mail op respectievelijk virussen en spam.

De vraag:
Hoe gaan jullie om met e-mail die afkomstig is van mailer-daemons, mail delivery subsystems etc. ? Ik ben bijna zover dat ik een procmail-filter ga aanmaken om de enorme stroom naar /dev/null te verplaatsen. Probleem is echter dat ik dan ook de serieuse e-mails van onze webservers wellicht kill. Eventueel kan ik die wel weer uitsluiten, maar voor ik mij op dat gebied begeef, wil ik eens andere meningen horen.

[ Voor 8% gewijzigd door DAzN op 29-03-2004 10:27 . Reden: hm, topictitel is kapot omdat ik dubbele aanhalingstekens gebruikte. ]

maandag 29 maart 2004 10:30

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Kun je geen filter maken die afhankelijk van het adres waarvan het originele bericht zou zijn verstuurd de berichten er uit filtert? Nog wel bestaande e-mail adressen hou je buiten schot, alles wat niet (meer) bestaat naar /dev/null

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

maandag 29 maart 2004 10:32

Acties:

DAzN

Topicstarter

Heb daar wel aan gedacht. Ik kan de verschillende webservers wel in de mailfilters zetten, maar vind dat vrij omslachtig. Eigenlijk zou dergelijke mail ook opgevangen moeten worden door f-prot en/of spamassassin. Ik vroeg me af of er al 'tests' voor dit soort berichten bestaan.

maandag 29 maart 2004 12:53

Acties:

Verwijderd

Ken het probleem. Ik heb dit scriptje gemaakt en in een dagelijkse cronjob gezet.

code:

#!/bin/sh
# Veel spambounces blijven 5 dagen in de mailqueue staan.
# Om nu te zorgen dat alleen de bounces gedelete worden en
# niet legitieme mails dit script in crontab draaien.
TMPFILE=/tmp/clean.queue.$$
DEFERDIR=/var/spool/postfix/deferred
# collect the filenames
mailq |grep MAILER-DAEMON | cut -f1 -d ' ' > $TMPFILE

for DEFERFILE in `cat $TMPFILE`
do
   FILEPATH=`find $DEFERDIR -name $DEFERFILE`
   egrep -i 'spamassassin|hits\=[0-9]{1,2}\.[0-9]' $FILEPATH > /dev/null
   if [ $? -eq 0 ]
   then
       # deferred message is most likely spam
       postsuper -d $DEFERFILE deferred
   fi
done

rm -f $TMPFILE > /dev/null

dinsdag 30 maart 2004 22:16

Acties:

DAzN

Topicstarter

Verwijderd schreef op 29 maart 2004 @ 12:53:
Ken het probleem. Ik heb dit scriptje gemaakt en in een dagelijkse cronjob gezet.

Bedankt, ik ga dit zeker bekijken en eventueel proberen. Het is echter niet wat ik zoek. Het probleem is dat wij een filterdatabase hebben 'achter' de mailserver. Dit filter bekijkt alle e-mail en kent er vervolgens de juiste labels aan toe. Onze mailserver accepteert dus alle e-mail, inclusief post die verder niet afgeleverd kan worden, zoals een beruchte: 'steelers@[domein.com]'. Dit betekent dat de postfolder die nog handmatig bekeken moet worden, vol zit met dit soort onzin.

Nu kun je in postfix aangeven dat je post voor onbekende gebruikers reject. Maar dit impliceert dat je al je gebruikers in de aliases zet of er een andere database op na moet houden. Dubbel beheren dus.

Ik vraag mij dus af hoe mensen hiermee omgaan die ook mailservers in hun beheer hebben die alle gebruikers accepteert maar wel de geretourneerde post verwijdert.