Frozen Fido : RU.UNIX.BSD : Re: Sender Address Verification

ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Eugene Grosbein                      2:5006/1       31 Mar 2006  09:59:26
 To : Alexander Pechenin
 Subject : Re: Sender Address Verification
 --------------------------------------------------------------------------------

 30 мар 2006, четверг, в 23:17 KRAST, Alexander Pechenin написал(а):
 
  >> Если greylisting реализован так, как он реализован в OpenBSD - один раз.
  >> Там отдельный демон обрабатывает незнакомые IP отправителя, и вносит
  >> прошедшие проверку в список доверенных на файрволе.
  AP> Я не встречал greylisting с таким функционалом, нечто подробное визуально
  AP> проглядывается в /usr/ports/mail/spamilter
  AP> Так все равно же "честное" письмо, если оно приходит в первый раз, будет
  AP> фиксироваться в maillog по два раза, первый раз его отфутболят, а во
  AP> второй
  AP> уже должны принять.
  AP> Или там иная схема работы все-таки, в первый раз письмо вообще не доходит
  AP> до
  AP> MTA, отшиваясь еще на уровне файрвола?
 
 Можно и так, TCP reset эквивалентен коду 450 по RFC.
 У меня в одном месте работает так blacklisting, причем вместо демона - 
 простой shell-скрипт, который получает вывод syslog-овский mail.info
 на вход и заносит в ipfw table тех, кто ломится на 25-й порт и получает
 отказ по причине присутствия в RBL. Так как botnet-ы игнорируют 550
 и ломятся многократно, занесение их в ipfw существенно облегчает
 жизнь загруженному релею.
 
 #!/bin/sh
 # Пропускаем строчки, не относящиеся к RBL, из оставшихся берем IP
 sed -E -le '/ RBL$/!d' -e 's/^.*Mail from ([^ ]*) rejected.*/\1/' |
 while read ip
 do
   /sbin/ipfw -q table 1 add $ip
 
 done >/dev/null 2>&1 # игнорируем ошибки из-за добавления уже добавленного
 
 Вот и весь демон. Переделать на graylisting элементарно - добавить правило
 ipfw reset log tcp from any to me 25, ловить таким же скриптиком IP
 и добавлять так же в ipfw table (с задержкой, если надо),
 а перед reset поставить правило allow или skipto, пропускающее
 тех, кто в table. Белый список тоже легко сделать на другой table.
 
 Eugene
 -- 
 И у священных источников живут алчные монахи. (Дхарма)
 --- slrn/0.9.8.0 (FreeBSD)
  * Origin: Svyaz Service JSC (2:5006/1@fidonet)

Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор

Тема:	Автор:	Дата:
Re: Sender Address Verification	Eugene Grosbein	31 Mar 2006 09:59:26

Архивное /ru.unix.bsd/26093757d1e3c.html, оценка 2 из 5, голосов 10