Контакт со спамом лавинно рассылает в Постфиксе + Amavis
Я выполняю почтовый сервер для нескольких тысяч пользователей. Это использует Постфикс + Amavis (с SpamAssassin + Моллюск).
Большую часть времени это - довольно счастливая установка, но время от времени мы получаем лавинную рассылку virus/phising электронных писем, например, от полевого высказывания 'Администратор', подвергаем что-то как 'Счет, присоединенный', затем злонамеренное вложение zip/pdf. Мы получим, возможно, 5,000 из них (все от различных хостов) в течение нескольких часов (обычно поздно утром), затем это затихает. По-видимому, это - вирус, отправляемый от зараженных домашних ПК.
SpamAssassin делает довольно хорошее задание ловли их, но это не точно легко, и это помещает реальную деформацию на наш почтовый сервер, таким образом, я ищу лучшее решение.
Замыкание накоротко в SA является одной опцией. Это не останавливает SA, сканируя сообщение, но по крайней мере ограничивает количество правил, которые это проверяет. Это все еще потребовало бы ручного вмешательства хотя (например, добавляют правило выиграть +100 затем короткое замыкание любая электронная почта с предметом/^Incoming Факс/). Если бы я записал плагин SA для автоматического добавления правила замыкания накоротко (например, 'если мы получаем больше, чем 10 электронных писем за 60 секунд с тем же предметом, выигрываем +100 за будущие электронные письма с тем предметом'), то это было бы открыто для злоупотребления и ложных положительных сторон.
Я задаюсь вопросом, был ли хороший способ заблокировать/отклонить/отбросить эти электронные письма на уровне SMTP, удалив издержки сканирования затем хотя SA. Автоматически блокирование IP (например, через iptables или постфиксные правила) кажется бессмысленным, как это обычно от уникальных адресов. Часто предмет будет немного рандомизирован, например, 'Входящее факсимильное сообщение № 1234', 'Полученное Входящее факсимильное сообщение', '#321 новое ожидание факса'.
Возможно, вам подойдет policd-weight. Он выполняет легкий поиск DNSBL, просто запрашивая DNS-серверы для отправляющего IP-адреса и - если у вас есть несколько совпадений в черных списках - вы можете просто отклонить доставку почты с этого IP-адреса, чтобы эти заблокированные письма не доходили до вашего SpamAssassin.
Преимущество policyd-weight над встроенным механизмом поиска DNSBL Postfix состоит в том, что вы можете запрашивать несколько DNSBL и добавлять баллы за нахождение в DNSBL или вычитать баллы за нахождение на DNSWL, чтобы снизить риск ложных срабатываний.
Обычно я бы рекомендовал использовать следующие DNSBL соответственно. DNSWL:
- pbl.spamhaus.org
- sbl-xbl.spamhaus.org
- ix.dnsbl.manitu.net
- list.dnswl.org (это белый список для наиболее распространенных почтовых провайдеров)
Поскольку многие годы постгрей является для меня очень хорошим решением в борьбе со спамом/недоносным ПО. Он снижает нагрузку на трафик в SA/ClamAV до 90% при практически полном отсутствии ложных срабатываний. Хорошим подобным решением является policyd/cluebringer с фронтендом для легкой настройки через веб-браузер. С помощью cbpolicyd вы также можете управлять дросселем для исходящей почты в случае, если клиентская учетная запись была скомпрометирована и рассылает спам.
Также обратите внимание на настройку поддельных MXs, это может помочь против спама, отправляемого из зомби дозвона.