Embed Size (px)
Citation preview
Forrás: Symantec
Spam trendek (2010 Q3 – 2011 Q2)
Védekezés a felhasználó gépén = adminisztrációs pokol
Védekezés az SMTP szerveren =jó lehet, de ...
Figyeljünk az extra terhelésre!
Kihelyezett spamszűrő
Védekezés célhardverrel
Internet Tűzfal Appliance Mail szerver
postfixpostscreenpostgreyclapfclamav
Na mi van a dobozban?
„Félbevágott” 220-as banner (pregreet teszt)
Fekete- ill. fehérlista (cidr)
Fekete- ill. fehérlista (DNS)
Protokoll tesztek
Egyetlen processz → kis erőforrásigény
Az smtpd processzeknek csak a hasznos email forgalommal kell foglalkozniuk
postscreen: a zombik távoltartására
postscreen_access_list = permit_mynetworks, \cidr:/etc/postfix/postscreen_access.cidr
postscreen_greet_wait = ${stress?2}${stress:4}spostscreen_greet_banner = Hey there, wait a little
#postscreen_dnsbl_threshold = 2#postscreen_dnsbl_sites = zen.spamhaus.org*2 \# bl.spamcop.net*1 b.barracudacentral.org*1
postscreen_dnsbl_action = ignorepostscreen_greet_action = enforce
postscreen_pipelining_enable = yespostscreen_non_smtp_command_enable = yes
postscreen konfiguráció
2011.04.05-05.10:
python.org: pregreet (35%) + ZEN* (64%)charite.de: pregreet (27%) + ZEN* (73%)
ZEN = Spamhaus feketelista (zen.spamhaus.org)
Saját mérés: -15% (csak a pregreet teszt)
postscreen statisztika
S: 220 mail.aaa.fu ESMTPC: HELO bela-pcS: 250 OKC: MAIL FROM: <bogus@address>S: 250 OKC: RCPT TO: <[email protected]>S: 450 you are greylisted for 5 minsC: QUIT
Szürkelista működése #1
S: 220 mail.aaa.fu ESMTPC: HELO bela-pcS: 250 OKC: MAIL FROM: <bogus@address>S: 250 OKC: RCPT TO: <[email protected]>S: 250 OKC: DATA...
Szürkelista működése #2
Mellékhatás: késleltetést okoz
Szelektív szürkelista: a zombik ellen
smtpd_recipient_restrictions = permit_mynetworks,reject_unauth_destination,reject_non_fqdn_recipient,check_policy_service inet:127.0.0.1:10023
postgrey konfiguráció
postscreen: 2105 (37%)
postgrey: 3590 (63%)
4 hét aggregált statisztikája
Nem elég SMTP szinten szűrni
Át kell vizsgálni a levelek tartalmát is
Nagy teljesítmény: több millió levél / nap egy kommersz PC-n
Spam felismerés arány: >99.5% (1007/1013 = 99.4%)Fals pozitív hibaarány: <0.1% ( 2/4787 = 0.04%)
Könnyen adminisztrálható
A spameket karanténba lehet zárni
Csapda email cím:védőoltás a spammerek ellen
Clamav a vírusok ellen
+SaneSecurity vírusszignatúrák
Az appliance belülről
Fontos az email címek szinkronizációja az appliance-re!
Internet Tűzfal Appliance Mail szerver
