Изпечатай

[Bogo]

Здравейте, вчера баннах една мрежа, защото идва спам всеки ден от различно ай-пи от тази мрежа.
така:
iptables -A INPUT -s 104.206.200.0/24 -j DROP

iptables -L го виждам че го има
DROP       all  --  104.206.200.0/24     anywhere

но днес пак имам спам от тях

Delivery-date: Mon, 15 Feb 2021 10:11:29 -0600
Received: from mail.deltamailexchange.com ([104.206.200.64] helo=mail.bddigitalphoto.com)

какво да правя ?

Благодаря

[go_fire]

Аз съм последния, който трябва да дава професионални съвети. Но Спам Асесин нямаш ли? Не, че рабирам от iptables, но доколкото си „мисля“, си отрязал TCP/IP, може би UDP, но не и SMTP.

[laskov]

iptables -A INPUT -s 104.206.200.0/24 -j DROP

Така зададено, това правило се добавя накрая след всички други. Ако преди него има друго, което разрешава приемането на пакет от тази мрежа (или по-общо), сработва то. Вместо -А, задай -I
(-И на латиница).Така правилото се добавя като първо - преди всички останали.

iptables -L го виждам че го има
DROP       all  --  104.206.200.0/24     anywhere

iptables -L -n -v
ще ти покаже и броя на изхвърлените пакети/байтове. Ако е 0/0, значи това правило не е сработило нито веднъж.

но днес пак имам спам от тях

Delivery-date: Mon, 15 Feb 2021 10:11:29 -0600
Received: from mail.deltamailexchange.com ([104.206.200.64] helo=mail.bddigitalphoto.com)

Да, това не е най-добрият начин да се предпазиш от спам, но става и така.

[Bogo]

laskov благодаря ти за съвета, ще изчакам да видя какво ще стане

[spec1a]

   Можеш да опиташ и fail2ban
Автоматично ще се изпълнява iptables ... DROP за всеки нахалник.

[laskov]

Между другото, ползва ли някой https://rspamd.com/ ?
Впечатления?

[10101]

Да кажа че е хуваво ...силно казно,  добре е .
Можеш да си го обучаваш с интерфейс през web. Да проверяваш майлите ако имаш съмнения. Красиво изглежда.
освен него паралелно и спам убица си бачка.

[Naka]

А това какво представлява? DNSBL? в смисъл база данни за спам по email дето работят по DNS или
е някакъв фронтенд/обвивка към DNSBL листовете? или нещо друго?

Иначе аз си ползвам директно spamcop (bl.spamcop.net) и разни 2-3 други и съм доволен.

Ако е за mail спам по добре да се ползват тези DNS директно, а не да се мъчиш ръчно с iptables. Информацията в тях се обновявя автоматично, филтрират поне 99% от световния спам, като почти няма фалшиво сработване.

Друго хубаво нещо при тях е, че ако случайно ти (или някой друг) попаднеш в черния списък (т.е има фалшиво сработване или си невинно обвинен) то по-всяко време може да се отпишеш, с една заявка.

Спамаджиите не се отписват. Те са твърде заети да пускат спам и да следят къде в листите са 'цъфнали'. Но даже и някой 'advanced' спамаджия да се отпише, то след това при следващия изпратен спам, пак ще попадне в черния списък.... Та те така..... добре са измислени.

-----
PS:
отвори например това:
https://www.ultratools.com/tools/spamDBLookupResult
въведи вътре 104.206.200.64
и ще видиш на колко места е цъфнало.

Аз например ползвам също и psbl.surriel.com (където също свети) .. т.е при мен този спам ще се филтрира.....(без да се занимавам с iptables)

[10101]

Малко е комерсиално...

Малко е смотано, защото списъците са разннородни и ако в най-известните те няма, незначи че в някои други по малко не те има.
Пример проверяваш в по известните : https://mxtoolbox.com/problem/blacklist/
там си чист, но Тренд мИкро антивирус и те си имат някакъв списък и кога се актуализира кога не ...и бам спамеер .
Отделно едни от други си менкат списъци с ip -та.

Но като цяло спама посредством тези списъци значително намалява.

[Naka]

Малко е смотано, защото списъците са разннородни и ако в най-известните те няма, незначи че в някои други по малко не те има.
Пример проверяваш в по известните : https://mxtoolbox.com/problem/blacklist/
там си чист, но Тренд мИкро антивирус и те си имат някакъв списък и кога се актуализира кога не ...и бам спамеер .
Отделно едни от други си менкат списъци с ip -та..

Затова трябва да си подбереш 3-4 добре работещи списъка. А това е най-трудното.

Трудно е и още да не вземеш да си сложиш накой fake списък, който банва всичко, баннва легитимни адреси, банва цели мрежи и т.н. И такива има... пък след това ти искат пари за да те отпишат

Аз така правих/правя. Виждаш спам. Проверяваш го в списъците. Гледаш къде свети. На други ден пак някой друг.. и така следиш. След известно време се ориентираш кои списъци най-често светят, за спам и кои работят.

Също трябва да се проверява и за адресите на легитими мейли. Ако видиш някой списък, че често ги листва, значи списъка е фалшив и имаме неправилно листване. Все пак не искаме да филтрираме някой легитимен мейл.

[Bogo]

Вместо -А, задай -I
(-И на латиница).Така правилото се добавя като първо - преди всички останали.

Дам, спама пак дойде. Сега чакам да видя твоя съвет ще проработи ли.
Благодаря ти още веднъж 

пп, о да работи

 pkts bytes target     prot opt in     out     source               destination
       
  464 27840 DROP       all  --  *      *       104.206.200.0/24     0.0.0.0/0   

[kingfisher]

Здравейте, отдавна не бях писал тук, но понеже съм пресен по темата да се изкажа
Това с банирането на ip адреси е загубена кауза и по принцип борбата със спама е гадна и неблагодарна работа.
Наскоро местих мейл сървър и след включване на rspamd,DNSBL листи,dkim,dmarc,spf,sieve,dcc,fail2ban и локални blacklists със събрани във времето domain-и и emails достигнах доста добро ниво ...над 90% успеваемост.


 

[Acho]

Еми хараби е 90%.

[ray]

Беше много, много отдавна (имало едно време), когато си играх с подобни "неща" 

Тогава установих, че една от най-ефективните техники за борба (не победа) със спама е greylisting-a.
Вече  нямам спомен какво точно ползвах, но имаше забележителен ефект (паралелно с други неща разбира се)  .
Казвам го, защото имплиментирах нещата едно след друго и то на относително значителен период от време и имаше време да се види резултата след всяка стъпка 

[Bogo]

Добро утро !! Няма грам SPAM в мейла днес, какъв прекрасен ден !!!

1. взимам IP то от (Received: from)
2. в повечето случай блокирам цялата мрежа на спамера ето как:

3. след това си запушвам следните два порта на които събирам имейли:
iptables -I INPUT -s 104.144.0.0/16 -p tcp -m multiport --dports 25,465 -j DROP

Благодаря