|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Andrey Ostanovsky 2:5030/1957.10 12 May 2007 14:32:34
To : Eugene Grosbein
Subject : Вопрос по поводу почтового сервера
--------------------------------------------------------------------------------
12 May 07 13:06, you wrote to me:
AO>>>> May 12 00:11:51 <daemon.info> t15 pfspamd[1294]: 200.86.142.21:
AO>>>> disconnected after 884 seconds.
EG>>> Hе понял.
AO>> Какое слово перевести? :)
EG> Все, начиная с pfspamd.
Hу, я тут уже писал как-то про это.:)
Из портов ставится mail/spamd версии 3.7, при желании накладываются патчи с
http://binkd.spb.ru/howto/pfspamd_3.7.diff - нужны в основном для того, чтобы
отделить этот наш spamd от одноименного демона спамассассина и ловли сообщений в
отдельный лог-файл.
Запускаем с параметрами:
pfspamd_flags="-b X.X.X.X -s 4 -v -n \"Router for WindowsXP SP2 ver 3.6;
Unauthorized use is prohibited;\""
Далее, с помощью правил pf, разделяем трафик на "белый", "серый" и "совсем
ненужный". Белый - пропускаем сразу, совсем ненужный - гоним с вышеупомянутый
spamd:
rdr on $ext_if proto tcp from { <bad_hosts> <spamd> <spamd1> } to any port smtp
-> X.X.X.X port 8025
серый - через правило типа:
pass in quick proto tcp from any to $ext_if port 25 flags S/SA \
keep state (source-track rule, max-src-conn-rate 2/600, \
tcp.established 60, tcp.closing 5, \
overload <bad_hosts> flush global ) queue mail
данное правило, при превышении порога коннектов "2/600" (это не совсем "два
письма за 600 секунд", но коррелирует с ним, состояние смотреть по pfctl -vsS ),
добавляет src ip в таблицу <bad_hosts>. С помощью порта security/expiretable по
крону периодически чистим содержимое таблицы <bad_hosts> для того, чтобы
уменьшить "нанесенный эффект" от случайного попадания с этот список "хороших"
хостов. Для особо одаренных - существуют постоянные таблицы в правиле редиректа.
В результате всего этого спаммер/бот "застревает" на отправке одного письма
значительно дольше, чем разумная greeting pause. Полный цикл передачи до
получения отлупа занимает примерно 1600 секунд, спамеры, в основном, отлетают
через 800-900 секунд. Правда, есть продвинутые спаммеры, которые дисконнектятся
уже через 40 секунд.
Andrey
--- GoldED+/BSD 1.1.5
* Origin: --> GoldED Origin <-- PGP KeyID 7249E0B9 --> (2:5030/1957.10)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
