PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Antispam und Anitvirus Lösung für MailServer



gpeter73
25.09.2003, 08:54
Wahrscheinlich hat es hie nix zu suchen, aber wir haben für gestresste Admins eine sehr günstige und zuverlässige Lösung gegen Spam und Viren für Mailserver.
MailSecurity Gateway for Mailserver
Dieses Produkt basiert auf opensource Programme unter Debian Linux.
Wir haben die einzelnen Komponenten so kombiniert das diese ein mehrstufiges Sicherheitssystem ergibt:
1.) Vor der Annahme der Email wird der Absender Host in einer stündlich aktualisierte Datenbank gesucht ist er dort vertreten wird die
Annahme der Mail verweigert.
2.) Nach Annahme der Mail wird die Absenderadresse in einer persönlichen Spam Datenbank gesucht und ggf. gelöscht.
3.) Die Mails die die vorherigen Filter passiert haben werden auf Viren getestet (es können diverse Virenscanner parallel betrieben werden).
4.) Zu guter Letzt werden die Mails auf den Inhalt hin überprüft und ggf. auch gelöscht.
Erst wenn alle Filter durchlaufen werden werden die korrekten Mails an den interne Mailserver weitergeleitet.
Wir haben das System nun drei Monate lang getestet und ca. 96%-98% aller Spammails und 100% aller Viren filtern können.
Ein Statistik Tool ist ebenfalls integriert welches über die anzahl der geblockten Mails Auskunft gibt.
Weitere Infos hier: http://www.sbgit.com -> unter Produkte -> Kommunikationslösungen
Gruss Peter
P.S. Ich hoffe das mir der Board Admin wegen dieses Post nicht böse ist, aber es handelt sich hier ja auch um ein effizientes System für die Spam und Virenbekämpfung!

Greywolf
29.09.2003, 22:03
Was ich mich bei den vielen Antispam-Lösungen frage, ist folgendes:
Der Grossteil dieser Programme läuft ja mit einer Art "Blacklist", enteder intern gepflegt vom User, oder extern im WWW hinterlegt, häufig auch gekoppelt.
Die in diesen Blacklists hinterlegten Absenderadressen sind in 99% der Fälle ohnehin falsch, so dass die Blacklist langsam immer umfangreicher wird, und doch immer nur denselben Spam, versendet unter hunderten verschiedener Adressen, herausfiltert.
Was mir (als Laie http://img.homepagemodules.de/flash.gif) auffiel, ist aber, dass in allen Spammails die beworbenen Links zu den Sites immer auf die gleichen Sites führen, á la brightertimes.net, pharemacydepot.biz, getmoreinfonow.com usw.
Könnte man nicht einen Filter konstruieren, der die Absender-E-Mails nicht beachtet, und nach diesen Signaturen der Domainnamen sucht?
Kriege nämlich pro Woche so 500-1000 Spammails, deren "harter Kern" aber nur für ca. 40-60 Websites mit immer denselben Domainnamen wirbt.
Viele, viele bunte E-Mails: http://213.198.31.29/~greywolf/verleitfaehrten.php

cycomate
29.09.2003, 23:16
In der Tat habe ich vor einiger Zeit ein proof-of-concept für postfix geschrieben, welches sich die URLs im body anguckt, sie auflöst und schaut, ob deren IP im asiapazifischen Raum (APNIC) liegt. Ist dem so, hartes reject (550).

--
http://www.cycdolphin.net/pix/cycomate.gif
Disclaimer:This post is for educational and entertainment purpose only

Nebelwolf †
29.09.2003, 23:30
Hallo Greywolf!
In den Blacklists liegen keine eMailadressen, sondern die IP-Nummern böser Rechner, Open Relays, etc. Dagegen packt man eMailadressen in die Whitelist. Einen Linkcheck in eMail finde ich auch sehr nützlich, zumal es sehr schwer wird Links zu faken, da der Browser sie auflösen muß.
Schöne Grüße
Nebelwolf
ps: Deine Webseiten kenne ich seit 1999. Sehr gute Arbeit. Ich hatte in dem Jahr im BFZ Essen U-Boot-Fans unter meinen Schülern, die mich auf Deine Seite aufmerksam gemacht haben. Die Jungs haben selbst U-Boote gebaut.

gpeter73
01.10.2003, 09:01
Also das mit dem "Inhalt auf Links überprüfen" geht durchaus, nur muss der Rechner natürlich wesentlich grösser sein!
Wir haben dies getestet, und eine Kostenutzen analyse gemacht. Die Kosten für den Entwicklung sind dabei nur die geringsten, das
teuerste sind die Blacklists für den Verotenen Links, den diese müssen auf ihre korrektheit hin überprüft werden.
Unser System läuft hier seit einigen Monaten im test und hat sogar 99% aller Werbemails geblockt, so das ich pro Monat nur ca. 1-2 Werbemails
von Spammern bekomme.
In den folgenden Statistiken siehst Du wie sich unser Spam/Virus Filter verhält (ist seit anfang Juli aktiv), ende Juli ist dem System halt noch ein weiterer Filter hinzugefügt worden.
Wie Du siehst kam seit ende Juli so gut wie kein Spam mehr durch.
http://www.sbgit.com/spam/spammers_2.gif
http://www.sbgit.com/spam/mailgraph_0.png
http://www.sbgit.com/spam/mailgraph_0_err.png
http://www.sbgit.com/spam/mailgraph_1.png
http://www.sbgit.com/spam/mailgraph_1_err.png
http://www.sbgit.com/spam/mailgraph_2.png
http://www.sbgit.com/spam/mailgraph_2_err.png
http://www.sbgit.com/spam/mailgraph_3.png
http://www.sbgit.com/spam/mailgraph_3_err.png

Greywolf
04.10.2003, 15:41
Müssten denn die gefundenen Domainnamen immer auf Korrektheit getestet werden? Da ich festgestellt habe, das viele Spammer sogar zu blöd zum "korrekten" spammen sind, und u.A. auch noch Links zu Domains einbauen, die gar nicht (mehr) funktionieren, wäre ein solcher Gegencheck sicherlich nicht nötig. Der Spam mit den nicht funktionierenden Domainnamen kommt ja trotzdem weiterhin, doch auch der nicht funktionsfähige Domainname wäre ja noch als "Spam-Signatur" brauchbar.
Einige "Jung-Spammer" sind sogar so kopfentkernt, dass sie in ihre Spam-Versendeprogramme nicht mal den Link zu den beworbenen Sites hinbekommen. http://img.homepagemodules.de/rolling_eyes.gif Ich nutze z.Z. den "mailwasher", und in der Voransicht wird der HTML-Code dann mit angezeigt und dann steht da oft "Visit us here [link to: http://] now! Wobei bei "link to:" eigentlich die beworbene Domain/Website hinterm http:// erscheinen müsste, wenn unser Jungspammer nicht zu dämlich wäre, die auch mit einzugeben! http://img.homepagemodules.de/sick.gif
Gegen solche DAS (Dümmste anzunehmende Spammer) ist natürlich kein Kraut gewachsen! http://img.homepagemodules.de/clown.gif
Viele, viele bunte E-Mails: http://213.198.31.29/~greywolf/verleitfaehrten.php

gpeter73
09.10.2003, 13:29
da gebe ich dir recht, einen check auf links bringt so gut wie garnichts!
die sindvollste methode ist immer noch den host zu blocken der den spam versendet, denn dieser kann nicht verändert werden!
unsere lösung ist auch nur für mailserver gedacht die via mx record direkt im netz hängen!

cycomate
09.10.2003, 14:39
Möglicherweise reden wir aneinander vorbei, aber ich halte ein content check mit Prüfung des hosts des enthaltenen URL für durchaus sinnvoll.
Mittlerweile sind viele Spammer dazu übergegangen, ihre spamvertized sites in China oder dessen Nachbarländern zu hosten, da erfahrungsgemäß sich dort keine Sau um complaints kümmert. Deshalb hat der host des URL mit relativ hoher Wahrscheinlichkeit eine IP aus dem asia-pazifischen Raum, aka APNIC. APNIC ist relativ gut zu erkennen, die IPs fangen u.a. mit 61, 202, 210, 211, 218, 219, 220 oder 221 an (plus ein paar weitere). Dies stellt eine einfache und für false positives relativ unempfindliche Methode dar, Spam zu erkennen - es sei denn, man bezieht zufällig newsletter aus .hk.
Natürlich hostet nicht jeder Spammer im a-p Raum, der restliche Spam würde diesen Filter umgehen. Auch die besagten Jungspammer, die eigentlich gar keinen URL reinschreiben, kommen durch. Aber erstens schätze ich diesen Anteil als nicht sehr groß ein, zweitens ist Spambekämpfung an vielen Fronten möglich und nötig. So wird z.B. auch nicht jede Spam mail von Spamassassin erkannt, dafür greift man dann auf Razor zurück oder filtert anhand von RBL/RHSBL. Dieser content check stellt lediglich eine Möglichkeit dar, einen weiteren Anhaltspunkt für Spam zu haben.
btw - was meinst Du mit "die sindvollste methode ist immer noch den host zu blocken der den spam versendet, denn dieser kann nicht verändert werden!"?

--
http://www.cycdolphin.net/pix/cycomate.gif
Disclaimer:This post is for educational and entertainment purpose only

Gool
11.10.2003, 22:25
Bei den meisten würde es auch helfen, Tripod-Adressen zu blockieren. Ich kenne zum Beispiel niemanden, der mir seine Homepage, die bei tripod.com.br oder so liegt, vorstellen möchte (selbst wenn, dann wird eher eine der beliebten 3rd-Level-Domains von bspw. nic.de.vu oder eine kickme.to-Weiterleitung verwendet). Ich selber filtere Mails mit Mailwasher, die die Ausdrücke "tripod" und ".txt?sid=" im body haben...
--
Fuck the Spammer: http://spam.blueslayah.de/futterquelle.php