Регистрация...

Почтовый сервер Eserv // EservAntiSpam

oldwiki // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
15.05.2012
Eserv504
15.05.2012
ActiveSync
01.04.2012
Eproxy508
25.03.2012
Eserv503
26.02.2012
Eserv502
08.02.2012
UMI.CMS
22.12.2011
Eserv431
20.12.2011
Eproxy507
15.11.2011
Eproxy506
19.09.2011
Eproxy505
08.09.2011
Eserv430
06.09.2011
Lightning
19.07.2011
PoweredBy
16.07.2011
IPv6
08.07.2011
Eproxy5beta1
17.06.2011
IPv6DNS
13.06.2011
IPv6Mail
21.03.2011
Eserv428
22.10.2010
Eserv426
22.10.2010
SSL
22.04.2010
Eserv423
20.04.2010
Eserv4WhatsNew
19.04.2010
EservLDAP
19.04.2010
EservDHCP
19.04.2010
EservRubricator
08.04.2010
EservDNS
08.04.2010
NSСI
08.04.2010
WPAD
27.03.2010
Eserv422
27.03.2010
Eserv4Docs
26.03.2010
Eserv4FAQ
21.03.2010
EservIrc
05.03.2010
Eserv421
05.03.2010
HttpProxy
02.03.2010
EservVideo
02.12.2009
Eserv4Wiki
02.12.2009
Eserv4acWEB
02.12.2009
PopPull
22.11.2009
PigMailPigProxy2/WhatsNew
22.11.2009
PigMail/WhatsNew
22.09.2009
FossilEservHowTo
22.09.2009
SourceCodeManagement
22.09.2009
FossilScm
16.09.2009
SendEmail
08.09.2009
RoundCube
07.05.2009
GitScm
07.05.2009
GitEservHowTo
06.05.2009
SunBird
06.05.2009
WebDav
20.04.2009
Etelnet

Антиспам — решения для Eserv

Общая информация об антиспамерских технологиях — см. страницы AntiSpam, AntiSpamNews.

Защита от спама в почтовых серверах Eserv ставит своей целью следующее:
Оглавление документа

Исключение использования сервера для рассылки спама на другие серверы

Одной из основных мер усиления безопасности, которые должен предпринять администратор почтового сервера — предотвращение возможности использования его сервера в качестве распространителя спама. Система передачи почты в интернете основана на протоколе SMTP. Почтовые SMTP-сессии между серверами в интернете являются анонимными — отправитель не использует никакой авторизации при доставке почты. Почтовый сервер должен уметь отличить:
  1. почту, поступающую обслуживаемым им пользователям
  2. почту, отправляемую обслуживаемыми им пользователями
  3. почту, не имеющую отношения к его пользователям
  4. Если этот третий вид почтового трафика не блокируется сервером, т.е. если сервер пересылает эту почту (от чужого отправителя чужому получателю), то этот сервер становится "открытым релеем" (OpenRelay), т.е. может быть использован любым злоумышленником для пересылки его корреспонденции.
Чтобы надежно исключить возможность злоупотреблений почтовым сервером, достаточно выполнить следующие настройки сервера:
  • Ввести список доменов, обслуживаемых сервером. Почту для этих доменов сервер будет принимать от любого отправителя и доставлять в локальные почтовые ящики. Эти домены обычно называют "локальными доменами", т.е. "своими" для данного сервера.
  • Ввести список сетей, обслуживаемых сервером. Почту ОТ этих IP-адресов сервер будет принимать и переправлять, независимо от адреса назначения. Это как правило локальная сеть предприятия, установившего этот сервер для своих сотрудников, или IP-подсети провайдера, установившего этот сервер для своих клиентов.
  • Исключить возможность "подделки" IP-адреса отправителем. Эта возможность есть, если на той же машине или на другом общедоступном сервере той же подсети работает открытый прокси (OpenProxy), т.е. http, https или Socks-proxy, который из-за неверной настройки прав доступа обслуживает не только своих клиентов, но и внешних. Сессии работающего через такой прокси злоумышленника имеют IP-адрес этого прокси, таким образом он будет приниматься почтовым сервером "за своего", если IP-адрес прокси входит в список локальных сетей.
  • Дополнительное средство защиты (не обязательное в большинстве случаев) — использование SMTP-авторизации. Как правило, у всех локальных пользователей заведены учетные записи на сервере, используемые для получения почты из их почтовых ящиков. Если настроить почтовые клиенты у пользователей использовать для SMTP ту же авторизацию, что и для POP3/IMAP, то отличить своих пользователей от чужих серверу будет легко. В этом случае можно даже не настраивать список локальных сетей. А для пользователей, которые хотят отправлять почту через свой почтовый сервер на предприятии (а не провайдера), находясь дома или в отъезде, т.е. с заведомо неизвестным IP-адресом, авторизация — это единственный способ получения доступа. Хотя в большинстве случаев домашним и разъездным пользователям достаточно отправлять почту через сервер провайдера. Провайдерские SMTP-серверы используют контроль доступа на основе IP-адресов, поэтому будут пересылать почту, независимо от Email-адресов отправителя и получателя, что и требуется в таких случаях. ВНИМАНИЕ! Включать авторизацию в SMTP-сервере можно только в том случае, если ваш сервер не является MX-сервером ваших доменов (см. MxServer), в противном случае внешние отправители не смогут доставить почту вашим пользователям — внешние MTA ведь не могут угадать пароли. На MX-серверах авторизацию можно включить только для локальных пользователей, для авторизации отправки "наружу". В Eserv/3 есть возможность работы в таком режиме — неавторизованные сессии для приема почты извне, авторизованные сессии для отправки почты вовне.
Описанные выше меры предназначены для исключения возможности использования сервера спамером для рассылки спама на другие серверы в интернете. Далее рассмотрим, как не пропустить спам, идущий на локальные домены вашим пользователям.

Исключение получения спама от серверов, пересылающих спам (OpenRelays)

Спамеры используют следующие виды доступа в сеть для рассылки спама:
  • SpamFriendlyHosting, SpamHouses — особый достаточно дорогой вид хостинга, политика которого допускает использование его ресурсов для рассылки спама и для хостинга сайтов спамеров и производителей ПО для спамеров. Собственно для рассылки спама эти серверы используются редко, т.к. их IP-адреса давно заблокированы в различных RBL. Поэтому спамеры постоянно ищут возможность отправки почты с других IP-адресов, еще не попавших в черные списки:
  • OpenRelay — в Сети огромное количество неправильно настроенных SMTP-серверов, которые в результате неправильной настройки (или просто ошибок в программах) готовы рассылать почту от кого угодно кому угодно, а не только своим клиентам и от своих клиентов. Этими "черными дырами" и пользуются спамеры для пересылки своей почты. Администраторы почтовых серверов стараются блокировать прием почты от таких серверов. В этом им помогают специальные сервисы — RealtimeBlackholeLists (RBL) — это как правило специальным образом настроенные DNS-серверы, которые хранят списки IP-адресов открытых релеев - Open Relay Database, открытых прокси, dialup-сетей и т.д.
  • OpenProxy — неправильно настроенные прокси-серверы тоже могут дать лазейку спамерам, т.к. https-метод CONNECT и Socks-прокси позволяют подключаться через них к любым почтовым серверам и отправлять почту. OpenProxy также блокируют через RBL.
  • Анонимное подключение через DialUp по обычным карточкам интернет-доступа, выпускаемых большинством провайдеров. При работе через DialUp IP-адреса обычно при каждом подключении разные, к тому же спамер не устанавливает на своем компьютере ни почтовых серверов, ни прокси (по крайней мере открытых , поэтому в черные списки открытых серверов такие IP как правило не попадают. Но есть специализированные базы данных — списки ~DialUp-сетей DUL. В такие списки провайдеры сами включают свои подсети, используемые для выдачи ~DialUp-пользователям. Однако, во-первых, далеко не все провайдеры включают свои cети в DUL, во-вторых, блокировка DUL сетей в почтовых серверах может привести к невозможности приема почты от обычных клиентов (не спамеров, но использующих программы прямой доставки при DialUp подключениях — например, SmtpSend в Eserv), поэтому только самые "непримиримые" борцы со спамом включают в своих почтовых серверах блокировки по DUL.
Eserv/3 поддерживает все виды RBL-блокировок, по умолчанию используется ORDB-блокировка.

Исключение получения спама с Email-адресов, рассылающих спам

Хотя Email-адреса отправителей в SMTP-сессиях никак не контролируются и могут быть легко подделаны, бывает полезно иметь возможность заблокировать конкретные адреса или домены. Это делается в черных списках, которые в Eserv/2 ведутся в файлах mail\spammers*.txt, а в Eserv/3 — по умолчанию в файле CONF\lists\smtp\FromEmailBlackList.txt

В Eserv/3 также включена возможность проверки существования домена отправителя в DNS — это исключает прием почты с вымышленными доменами в обратном адресе.

Иногда используется верификация домена, передаваемого в начале сессии в команде HELO или EHLO. В Eserv/3 есть эта возможность, но по умолчанию отключена, т.к. слишком часто строка в HELO не соответствует стандарту — даже в случае "нормальных" почтовых сессий.

Исключение получения почты с поддельных Email

С конца 2003 г стали широко применяться методы защиты Email-адресов от подделки отправителем — SenderPolicyFramework (SPF) и MS CallerID. В 2004 г эти две спецификации объединились в SenderID. Этот метод позволяет проверять право отправителя использовать обратный Email-адрес с заданным доменом. Для этого администраторы почтовых доменов заносят в DNS этих доменов TXT-записи особого формата, где указывается список хостов, которые могут отправлять почту с этого домена. Принимающий почту SMTP-сервер может проверять эту политику и действовать соответственно.

Кроме того, началось использование технологии YahooDomainKeys, предусматривающей автоматическую цифровую подпись исходящей почты "доменным ключем" на сервере-отправителе и проверку принимающим SMTP-сервером этих подписей на базе открытых ключей, опубликованных в DNS домена-отправителя.

В Eserv/3 поддерживаются все эти технологии.

Фильтрация спама на основе оценки содержимого полученных сообщений

Указанные выше меры позволяют путем различных блокировок остановить спамера "на подходе" к собственно процессу отправки почты — IP отправителя можно проверить сразу при его подключении, адрес отправителя и получателя — еще до получения письма. Если все эти проверки успешно пройдены, то письмо будет получено. Далее в цепочку обработки включаются фильтры содержания — антивирусные фильтры, антиспамерские фильтры и т.д. Они могут анализировать письмо как непосредственно во время его приема, так и после получения письма полностью. Прерывать прием письма, если уже ясно, что это вирус или спам, не имеет смысла, т.к. отправитель будет тогда пытаться отправить его повторно. Письмо приходится получать полностью — и только на этой стадии отправитель готов читать ответ сервера о результатах приема письма. Если обнаружен спам или вирус, то можно выдать отправителю сообщение об ошибке — письмо вернется отправителю вместе с нашим сообщением об ошибке. Это полезно для профилактики потенциально возможных ложных срабатываний фильтров — "false positives" — отправитель (если он не спамер и не вирус) прочтет вернувшееся сообщение и может предпринять действия для "проталкивания" своего письма тем или иным способом. Подробнее об этом см. в описании фильтров EservSpamProtexx и EservPopFile. В комплект Eserv/3 включена оценочная серверная версия байесового спам-фильтра SpamProtexx. Eserv также может интегрироваться с большинством популярных фильтров — PopFile (EservPopFile), SpamAssassin и др. (см. AntiSpam).

Короткий URL этой страницы: http://antispam.eserv.ru/

См. также Статьи

 
Комментарии к этой версии (24.03.2005 20:10) [~AndreyCherezov]
Работает на Eserv/5.05555 (05.06.2016)