dimecres, de setembre 29, 2004
Filtrar spam per resolució inversa.
N'estic fins els nassos dels servidors SMTP que filtren per resolució de domini. No serveix de rès!!
Logs de l'exim4:
a) Fer relay a un smarthost reconegut per vosaltres,
b) o bé, contractar un domini on pugui canviar ràpidament i automàticament la IP dels camps A i MX (la meva IP és assignada dinàmicament i pot canviar).
Evidentment un spammer professional pot, fàcilment i de manera relativament barata, passar-se pel forro tant els punts a) com b).
Es pot argumentar que d'aquesta manera s'evita l'spam provinent de les màquines zombies. Però els falsos positius d'aquest sistema de bloqueig arriba al 30%-40% la darrera vegada que vaig llegir sobre el tema.
MORAL: No filtreu ni per blocs IP ni per dominis ni per resolució inversa de domini. En general cal esser molt reticent dels mètodes de filtrat que empren fonts d'informació externes. Cal dissenyar el sistema de correu tenint en compte el grau de falsos negatius i falsos positius que trobeu acceptable, no al tun-tun.
Logs de l'exim4:
2004-09-29 15:40:00 1CCega-0006Vq-SK <= XXX@madteleco.net U=miquel P=local S=562 id=20040929134000.GA24855@madteleco.netProvant-ho amb el netcat:
2004-09-29 15:40:01 1CCega-0006Vq-SK Remote host mx-ha01.web.de [217.72.192.149] closed connection in response to HELO azathoth
2004-09-29 15:40:01 1CCega-0006Vq-SK Remote host mx-ha02.web.de [217.72.192.188] closed connection in response to HELO azathoth
2004-09-29 15:40:01 1CCega-0006Vq-SK == XXX@web.de R=dnslookup T=remote_smtp defer (-18): Remote host mx-ha02.web.de [217.72.192.188] closed connection in response to HELO azathoth
miquel@azathoth:~$ nc 217.72.192.149 25WTF!!
220 WEB.DE
helo madteleco.net
554 Transaction failed. For explanation visit http://freemail.web.de/reject/?auswahl4=62.43.2.142
[...]Esper que vos adoneu, capullus, de que el bloqueig de dominis m'obliga a:
Use of an IP address without a reverse DNS entry for E-Mail dispatch:
WEB.DE does not accept any E-Mail on its incoming mail servers originating from IP numbers without a resolvable DNS entry. Update your DNS zone files and afterwards contact us to re-evaluate your IP number(s).
[...]
a) Fer relay a un smarthost reconegut per vosaltres,
b) o bé, contractar un domini on pugui canviar ràpidament i automàticament la IP dels camps A i MX (la meva IP és assignada dinàmicament i pot canviar).
Evidentment un spammer professional pot, fàcilment i de manera relativament barata, passar-se pel forro tant els punts a) com b).
Es pot argumentar que d'aquesta manera s'evita l'spam provinent de les màquines zombies. Però els falsos positius d'aquest sistema de bloqueig arriba al 30%-40% la darrera vegada que vaig llegir sobre el tema.
MORAL: No filtreu ni per blocs IP ni per dominis ni per resolució inversa de domini. En general cal esser molt reticent dels mètodes de filtrat que empren fonts d'informació externes. Cal dissenyar el sistema de correu tenint en compte el grau de falsos negatius i falsos positius que trobeu acceptable, no al tun-tun.
