Спам-боты, postfix и fail2ban

Этого файла на сайте нет, поэтому сообщение попадает в лог ошибок. До кучи все эти запросы присутствуют в access. Все это создает лишнюю нагрузку на сервер, поэтому решил разобраться, как заблокировать этот спам. Первым делом решил, что сайт взломали и понаоткрывали дырок. Но более внимательное изучение вопроса не показало никаких признаков взлома.

Даже при обычной роботе, и не высоком количестве посителей, ваш сайт постоянно получает трафик от ботов. С каждым годом процент автоматизированного трафика только возрастает. Рост трафика ботов опережает рост органического трафика. Работа бота сейчас на много проще чем раньше, поэтому количество спама увеличивается.

Спам запросов к al_profileEdit.php на веб сервере

Backscatterer Как упоминалось ранее, многие десятки других доступны и могут удовлетворить ваши потребности.

Для каждого DNSBL и службы репутации изучите его политики для перечисления и исключения из IP-адресов и определите, совместимы ли они с потребностями вашей организации.

Или, отвергайте сразу, когда IP-адрес находится в одном из более консервативных списков, и настройте более агрессивные списки в SpamAssassin. Настройте свой почтовый сервер, чтобы проверить записи SPF входящей почты, если они существуют, и отклонить почту, которая не выполняет проверку SPF. Пропустите эту проверку, если в домене нет записей SPF. Рассмотрите возможность подписания исходящей почты с подписями DKIM, но имейте в виду, что подписи могут не всегда корректно проверяться даже на законной почте.

Рассмотрите возможность использования greylisting Greylisting - это метод, при котором SMTP-сервер выдает временное отклонение для входящего сообщения, а не постоянное отклонение. Когда доставка будет проведена через несколько минут или часов, SMTP-сервер затем примет сообщение.

Greylisting может остановить некоторое спам-программное обеспечение, которое недостаточно устойчиво, чтобы различать временные и постоянные отклонения, но не помогает спама, который был отправлен на открытое реле или с более надежным программным обеспечением для спама.

Он также вводит задержки доставки, которые пользователи могут не всегда терпеть. Рассмотрите возможность использования greylisting только в крайних случаях, так как он сильно нарушает законный трафик электронной почты.

Это зависит от того, что многие спам-программы будут использовать только первую запись MX, в то время как законные SMTP-серверы пробуют все записи MX в порядке возрастания предпочтений. Некоторое спам-программное обеспечение также пытается отправить непосредственно на MX-запись с наименьшим приоритетом наивысшим номером предпочтения в нарушение RFC , так что также можно установить IP-адрес без SMTP-сервера.

Сообщается, что это безопасно, хотя, как ни с чем, вы должны сначала тщательно протестировать. Рассмотрите возможность установки записи MX с наивысшим приоритетом, указывающей на хост, который не отвечает на порт Подумайте о том, чтобы установить запись MX с самым низким приоритетом, чтобы указать на хост, который не отвечает на порт Эти устройства предварительно сконфигурированы с DNSBL, услугами репутации, байесовскими фильтрами и другими функциями, которые я рассмотрел, и регулярно обновляются их производителями.

Исследуйте оборудование для фильтрации спама и затраты на подписку. Рассмотрите размещенные службы электронной почты Если это слишком много для вас или вашего перегруженного ИТ-персонала , вы всегда можете иметь стороннего поставщика услуг, который обрабатывает вашу электронную почту для вас.

Некоторые из этих услуг могут также регулировать нормативные и правовые требования. Исследование проводило расходы на подписку на почтовые службы.

Какое руководство должны предоставить системным администраторам конечным пользователям в отношении борьбы со спамом? Если это выглядит забавным, не нажимайте ссылку на веб-сайт и не открывайте вложение. Как бы ни привлекательно это предложение. Если вы видите спам-сообщение, отметьте его как нежелательный или спам в зависимости от вашего почтового клиента. Вместо этого отмените подписку на рассылку, используя предоставленный метод отмены подписки.

Нет ничего плохого в отказе от почты, основанной на этом. Но отказ от почты, когда нет записи PTR, довольно распространен, поэтому я уверен, что у них есть всевозможные проблемы. Отсюда мой вывод: это бессмысленное ограничение.

Мои журналы показывают, что это чрезвычайно эффективно при предварительной проверке электронной почты. Ряд других людей, которых я знаю, имеют сходный опыт. Технология эволюционировала со временем, поэтому этот ответ будет проходить через некоторые из вещей, которые я пробовал в прошлом, и детализировать текущее состояние дел.

Несколько соображений о защите Вы хотите защитить порт 25 вашего входящего почтового сервера от открытое реле , где каждый может отправлять почту через вашу инфраструктуру. Это не зависит от конкретной технологии почтового сервера, которую вы можете использовать.

Порт или порт являются общими альтернативами Шифрование также является плюсом. Много почтового трафика отправляется в открытом виде. Сейчас мы находимся в точке, где большинство почтовых систем могут поддерживать некоторую форму шифрования; какое-то событие ожидают этого.

Что касается входящего спама Это привело к непредсказуемым задержкам в доставке почты, не очень хорошо работало с почтой из крупных серверных ферм, а спамеры в конечном итоге разработали обходные пути. Наихудшим результатом стало прерывание ожидания пользователей быстрой доставкой почты. Множественные реле MX по-прежнему нуждаются в защите.

Эти справочные базы данных, поддерживающие централизованное обслуживание, для проверки того, указан ли сервер отправки. Тяжелая зависимость от RBL поставляется с оговорками. Некоторые из них не так уважаемы, как другие. В основном это средство обеспечения того, чтобы данный хост был уполномочен отправлять почту для определенного домена, как определено в записи DNS TXT.

Хорошая практика создания записей SPF для исходящей почты, но плохая практика требоватьэто с серверов, отправляемых вам. Подавление отказов - предотвращение возврата недопустимой почты в исходный код. Это не обязательно должно соответствовать исходному домену, так как возможно иметь много-к-одному сопоставление доменов с хостом. Но хорошо определить право собственности на IP-пространство и определить, является ли исходный сервер частью динамического IP-блока например, домашний широкополосный доступ - читать: скомпрометированные спам-боты.

Прочтите связанную статью по эвристике, но главное, что почта может быть классифицирована вручную как хорошая ветхая или плохая спам , а полученные сообщения заполняют байесовскую базу данных, на которую можно ссылаться, чтобы определить категоризацию будущих сообщений.

Как правило, это связано с оценкой спама или взвешиванием и может быть одним из нескольких методов, используемых для определения того, должно ли сообщение быть доставлено. Ограничьте количество сообщений, которые данный сервер может выполнить в течение определенного периода времени. Отложите все сообщения на этот порог. Обычно это настраивается на стороне почтового сервера. Хостинг и облачная фильтрация.

Теперь, принадлежащая Google, сила размещенного решения заключается в том, что существует экономия от масштаба, присущая обработке объема почты, с которой они сталкиваются. Анализ данных и простой географический охват могут помочь принятому фильтру фильтрации спама адаптироваться к тенденциям. Однако выполнение просто. Направьте свою запись MX на размещенное решение, 2. Я хочу отклонить по периметру сети и сохранить циклы процессора на уровне почтового сервера. Использование устройства также обеспечивает некоторую независимость от решения реального почтового сервера агента доставки почты.

Я развернул несколько десятков юнитов, и веб-интерфейс, промышленный ум и созданный и забытый тип устройства делают его победителем. Бэкэнд-технология включает многие из перечисленных выше методов. Я блокирую порт 25 на IP-адресе моего почтового сервера и вместо этого устанавливаю запись MX для домена на адрес, адресующий адрес устройства Barracuda.

Порт 25 будет открыт для доставки почты. Ядро SpamAssassin - с помощью простого интерфейса к журналу сообщений и байесовской базе данных , который можно использовать для классификации хорошей почты с плохой в течение начального периода обучения. Barracuda использует несколько RBL по умолчанию, включая Spamhaus. У этого есть зарегистрированный белый список и список блокировок.

Примеры включают Blackberry, Постоянный контакт , и т. Проверки SPF могут быть включены хотя я их не разрешаю. Существует интерфейс для просмотра почты и повторной доставки из почтового кеша устройства, если необходимо. Это полезно в случаях, когда пользователь ожидал сообщения, которые, возможно, не прошли все проверки спама. Если я хочу отрицать всю почту из суффиксов итальянских доменов, это возможно. Если я хочу предотвратить почту из определенного домена, ее легко настроить. Barracuda предоставляет ряд консервированных отчетов и хороший визуальный дисплей состояния устройства и показателей спама.

Мне нравится иметь устройство на месте, чтобы сохранить эту обработку на собственном предприятии и, возможно, иметь почтовое журналирование после фильтра в средах, где требуется удержание почты. Это похоже на другие размещенные решения, но хорошо подходит для небольших сайтов, где дорогостоящее устройство является дорогостоящим.

Услуга также может запускаться совместно с устройством на месте, чтобы уменьшить входящую полосу пропускания и обеспечить еще один уровень безопасности. Это также хороший буфер, который может генерировать почту в случае сбоя сервера. Аналитики по-прежнему полезны, хотя и не так подробно, как физическая единица. Консоль безопасности Barracuda Cloud Email В целом, я пробовал много решений, но, учитывая масштабы определенных сред и возрастающие требования к базе пользователей, я хочу, чтобы были самые элегантные решения.

Результат очень радует. Просто дороже. Spamassassin Это очень хорошо работает для меня, но вам нужно потратить некоторое время на подготовку байесовского фильтра с ветчиной и спамом, Greylisting ewwhite может почувствовать, что его день пришел и ушел, но я не могу согласиться. Поэтому я повторно запустил анализ в почтовых журналах с января года, через 2,5 года.

Но я уверен, что мне тогда не пришлось запускать дорогостоящую фильтрацию спама на огромном количестве контента, и я все еще этого не делаю из-за greylisting. SPF На самом деле это не анти-спам-метод, но он может уменьшить количество обратного рассеяния, с которым вам приходится иметь дело, если вы работаете на joe-jobbed.

Списки Blackhole RBL являются проблематичными, поскольку они могут попасть на них не по своей вине, и их может быть трудно выйти.

Вместо того, чтобы давать свой реальный адрес, пользователь может указать адрес Dropbox и смотреть в Dropbox только тогда, когда она ожидает что-то от корреспондента обычно это машина. Когда он прибудет, она сможет вытащить его и сохранить в своей почтовой коллекции. В любом случае пользователю не нужно смотреть в Dropbox. В конце концов, мы проигрываем. Я не уверен, как спамеры должны сделать свой спам устойчивым к greylisting, не отказываясь от спама и забыть спам, и в этом случае работа выполнена - в отличие от победы над tarpitting, которая требует только небольшого улучшения кода у зомби.

Но я не согласен с тобой по поводу эгоизма. Когда объясняется компромисс если вы хотите, чтобы в режиме реального времени электронная почта для нерегулярных корреспондентов, бюджет почты и comms увеличивался в двадцать раз , большинство предпочитает задержку.

Что касается ожиданий пользователей, то они могут и, конечно же, должны управляться, как и любые другие. Остальная часть вашего аргумента гораздо более убедительна - возможно, вы могли бы добавить свой собственный ответ, представив некоторые конкретные данные о эффективности tarpitting в ваших развертываниях?

Спам-боты, postfix и fail2ban. На моём сервере Postfix работает в качестве сервера исходящей почты, то есть только отправляет почту с сайтов. Спам бот на почту. как защитить адрес электронной почты от спамеров. спам бот форум античат. спам бот для почты imgur. спамботы postfix и fail2ban.

Джейл Fail2Ban - это комбинация из фильтра и одного или нескольких действий. Фильтр определяет регулярное выражение, которое совпадает с шаблоном, соответствующим неудавшейся попытке входа или другим подозрительным операциям. Действия определяют команды, которые выполняются, когда фильтр обнаруживает опасный IP-адрес. Джейлы могут находиться в активном или неактивном состоянии. Во время работы службы Fail2Ban только активные джейлы будут использоваться для мониторинга файлов журналов и блокировки подозрительных IP-адресов. В Plesk, существуют уже настроенные джейлы для всех служб хостинга веб-сервер, почтовый сервер, FTP сервер и т. Многие из них работают одинаково: обнаруживают неудачные попытки входа и блокируют доступ к службе на 10 минут. Доступны следующие заранее настроенные джейлы: plesk-apache ищет ошибки авторизации Apache и блокирует нарушителей на 10 минут. Блокировка длится два дня. Блокировка длится 10 минут. Он блокирует хосты, которые за последние 10 минут были 5 раз заблокированы другими джейлами. Блокировка длится одну неделю и распространяется на все службы на сервере. Заранее настроенные джейлы для неустановленных компонентов Plesk не показываются в списке. Например, если веб-почта RoundCube не установлена, джейла plesk-roundcube нет в списке доступных джейлов. Для защиты своих и сторонних услуг, не входящих в Plesk, от конкретных угроз вы можете создавать собственные джейлы, включать и выключать их, менять их настройки и добавлять фильтры. Выберите джейл и нажмите кнопку Включить. Эта кнопка доступна только в том случае, когда служба Fail2Ban включена стоит галочка Включить обнаружение атак на вкладке Настройки. Примечание: Если вы попытаетесь включить сразу несколько джейлов с помощью групповой операции Включить и один из джейлов не сможет запуститься, то остальные джейлы тоже не запустятся. В этом случае включите нужные джейлы по одному. Выберите джейл и нажмите кнопку Выключить.

В этой заметке собраны практические наработки по противодействию спаму для систем, использующих postfix в качестве MTA.

В моём случае в CentOS путь в нём был указан неверно и пришлось править его вручную. Его в любом случае, кстати, поправить вручную, отредактировав адрес отправителя, который по умолчанию указан, как postmaster domain. Поскольку у нас будет работать Amavis, который является прослойкой между почтовыми агентами и антивирусно-антиспамовыми системами, то запускать spamd отдельно не нужно — он работает как модуль, подгружающийся при необходимости.

Спам-боты, postfix и fail2ban

Backscatterer Как упоминалось ранее, многие десятки других доступны и могут удовлетворить ваши потребности. Для каждого DNSBL и службы репутации изучите его политики для перечисления и исключения из IP-адресов и определите, совместимы ли они с потребностями вашей организации. Или, отвергайте сразу, когда IP-адрес находится в одном из более консервативных списков, и настройте более агрессивные списки в SpamAssassin. Настройте свой почтовый сервер, чтобы проверить записи SPF входящей почты, если они существуют, и отклонить почту, которая не выполняет проверку SPF. Пропустите эту проверку, если в домене нет записей SPF. Рассмотрите возможность подписания исходящей почты с подписями DKIM, но имейте в виду, что подписи могут не всегда корректно проверяться даже на законной почте.

Про Debian

Сама технология кодирования выросла из проекта PHP Accelerator и изначально запускался в составе сервиса, в котором PHP-скрипты загружались, раскодировались и возвращались обратно в командную оболочку Linux. Инструменты использовали технологию компилирования байткода для отбрасывания исходного кода и уменьшения времени исполнения. В июле года был анонсирован выход графического интерфейса для Windows и прекращение поддержки работы с приложением из командной строки. Другими словами,- если вы хотите скрыть свой код от посторонних глаз, то это именно то, что вам нужно. Но я как то не проникся идеей ее установки и решил задействовать более тяжелую артиллерию, а именно защитить от брутфорса с помощью Fail2Ban Примечание: инструмент позволяющий защитить сервер от брутфорса таких сервисов как SSH, FTP, Apache и т. Fail2Ban не привязан к каким то конкретным сервисам. Блокировка происходит на основании шаблонов, которые определяются в файлах конфигурации. Fail2Ban в реальном времени отслеживание изменения в логах и, при появлении строки из объявленного шаблона, блокирует IP-адрес и высылает отчет на почту админу.

Продвижение сайта заказчика в поисковых системах или борьба со спамом продолжается Дмитрий Владимирович, 16 мая в Довольно спорный, но достаточно эффективный инструмент для борьбы со спамом — грейлистинг.

Атакующие могут пытаться получить несанкционированный доступ к ограниченным директориям, используя атаку перебором брут-форсинг или выполняя зловредные скрипты. Некоторые вредоносные боты могут сканировать ваши веб-сайты на разного рода уязвимости или собирать e-mail адреса или веб-формы для рассылки спама.

Установка Fail2ban

Серверное администрирование В этой статье, как и обещали , хотим поделиться нашим опытом борьбы со спамом. Известно, что у любой причины есть следствие. Эта фраза выражает одну из философских форм связи явлений. Нашей причиной стали многократные жалобы на спам, исходящий от наших клиентов хостинга и VPS. Не всегда можно с уверенностью сказать, были ли это умышленные действия клиентов или они сами не подозревали, что стали жертвой спам-ботов. Что бы там ни было, проблему пришлось решать. Спам не любят. Удалить IP из блеклистов — особый разговор. Но это одна сторона медали. Если вернуть репутацию IP адресу можно, то вернуть репутацию компании и доверие — намного сложнее. Мы решили найти решение и внедрить в структуру Unihost комплекс по защите и предотвращению нежелательных рассылок. Вариантов на рынке много. Поэтому выбирали только среди opensource. Популярные opensource-решения против спама Rspamd Он подходит для систем различного масштаба.

Рубрика: Блог

.

postfix и спамеры

.

Fail2ban защита сайта от взлома

.

.

.

ВИДЕО ПО ТЕМЕ: Blocking SPAM using Postfix - HOWTO Stop spam using Postfix Tutorials At Networknuts
Похожие публикации