Sonntag, 31. März 2013

Milter Greylist und Spam-Abwehr

Wundert mich, dass ich hier noch keine knappe Installationsanleitung für den milter-greylist für z.B. sendmail gepostet habe - hoffe ich hole das mal in der nächsten Zeit nach.

Das war aber nicht Sinn des Posts, sondern folgende Tatsache dass ich vor einiger Zeit bei einem Kunden beobachten konnte, dass dieser innerhalb eines Tages über 80.000 Emails bekommt hat. Natürlich im Prinzip 99% SPAM. Das Problem war nicht unbedingt dass soviel Spam reingekommen ist, oder dass der Mailserver im Prinzip jede Sekunde eine Spam-Mail bekommen hat, sondern dass die Emails vom Webserver per POPcon abgeholt und an den lokalen Exchange zugestellt wurde. POPcon benötigt aber zum Abholen der Email/Prüfen und Zustellen an den Exchange länger als eine Sekunde/Mail.

D.h. POPcon kam nicht mehr hinterher die Emails abzuholen und zuzustellen. Die beobachteten 80K an Spmamails sind natürlich nicht gleichmäßig über die 24 Stunden reingekommen, sondern im Prinzip über ein paar Stunden. Somit bildete sich ein Stau und man musste auch auf richtige Emails warten, weil die Mailqueue einfach mit Spam voll war.

Schnelle Abhilfe brachte dann der auf dem Webserver installierte milter-greylist, durch den alle eingehenden Emails laufen. Das Greylisting kann natürlich auch in die Email "reinsehen", und anhand von Keywords, oder Absender-Namen die Email gleich ablehnen. Folglich landet die Email nicht im POP3 Postfach und der dahinterliegende POPcon muss nicht mehr 80.000 Emails pro Tag abholen, sondern nur noch ein paar hundert, und das ist damit kein Problem mehr.

Eine einzige Zeile in der greylist.conf konnte diese Syn-Flood-Mail-Attacke abwehren:

dacl blacklist header /Jack Bosworth/ msg "REJECTED possible SPAM"

Hier wird der dacl (d steht für data) im Header der String "Jack Bosworth" gesucht. Wenn ja wird die Email mit dem Msg-Text "Rejected possible SPAM" sofort abgelehnt (blacklist)

Schon lustig, was sich die SPAM-Versender hier einfallen lassen, und mir so sehr einfach einen eindeutigen String (Jack Bosworth) an die Hand geben, mit dem sofort 100% dieser Spammails abgelehnt werden können.

Interessant war auch die Tatsache dass diese SPAM-Mails natürlich von unterschiedlichsten IP-Adressen zugestellt wurde, und ich in jedem Header ein "Microsoft Outlook Express 6" gefunden habe, d.h. die Spammails sind alle von Win XP Rechner verschickt worden. Das zeigt mal wieder das XP gern von Spam-Versendern als Spam-Schleuder mißbraucht wird. Das soll aber kein Vorwurf an Microsoft sein, schließlich ist XP im Jahr 2001 auf den Markt gekommen, damals gab es noch keine DSL-Anschlüsse, und die meisten von uns sind noch per 28.8 Modem ins Internet gegangen. Die Sicherheitsanforderungen waren damals nicht besonders hoch und es gab auch noch keine SPAM-Szene.

Vielmehr soll jeder der noch ein XP zuhause oder im Büro nutzt darüber nachdenken nun endlich mal ein neues aktuelles Betriebssystem zu verwenden. Alles was aktuell ist, ist besser als ein Win XP, zudem stehen von Microsoft selbst schon zwei gute Nachfolger (Vista überspringen wir hier) mit Windows 7 oder Windows 8 in den Regalen.

Also ! - schmeißt Eure XP-Installation endlich weg, und nehmt endlich ein modernes Betriebssystem.

Keine Kommentare:

Kommentar veröffentlichen