+ Responder ao Tópico



  1. #1

    Question Como obter copias dos e-mails rejeitados pelo parâmetro reject_rbl_client ?

    Bom dia a todos!


    Sou administrador de um servidor de e-mails postfix com cerca de 300 contas de e-mails de uma Prefeitura.
    Gostara de implementar uma consulta de blacklist como a zen.spamhaus.org, dentre outras, mas gostaria que os spams recebidos fossem redirecionados para uma conta de administrador no mesmo servidor.


    A ideia é poder auditar se os e-mails que estão sendo bloqueados são realmente spams e caso algum e-mail importante for bloqueado como spam poder manualmente encaminha-lo para a conta destino original.


    A configuração do reject_rbl_client eu já consegui implantar com sucesso, o que não achei forma de fazer é de obter a cópia.


    Agradeço desde já a todos os membros da comunidade!
    abraços

  2. #2

    Padrão Re: Como obter copias dos e-mails rejeitados pelo parâmetro reject_rbl_client ?

    Usar RBL é realmente eficiente e muito leve, é a nossa maior barreira contra os malditos spammers! Mas acho que isso que vc quer não vai funcionar com o RBL, só mesmo desativando ele.
    Porque a RBL bloqueia a mensagem antes de chegar no server, ou seja depois de bloqueado a comunicao é cortada.


    Além disso a RBL depois de ativado, se o spam conseguir se desvincilhar e passar por todos os filtros da lista RBL (após o RBL, provávelmente o que sobrou foi a raspa do tacho), ele terá ainda pela frente os próximos filtros: postgrey, spamassassin, regras pcre/regexp como mime-types e clam-antivirus. Nessa ultima etapa vc consegue atraves das regras do proprio cliente de email (outlook ou thunderbird), redirecionar os spams para uma determinada pasta que pode ser chamada de junk, lixeira, ou emails em massa.


    Pensa bem... se um usuario de uma empresa por exemplo, é bloqueado pelo RBL, e assim não consegue enviar email para vc, ele ou alguem da TI da Empresa dele terá que pegar o codigo de erro de envio e solicitar o desbloqueio do IP lá no site do SpamHaus. É a única forma de quem não é spam possa voltar a trocar emails com o teu servidor de emails. Quem cai na lista negra da RBL, não tem outro jeito! (https://www.base64.com.br/suporte/multirbl)


    Mano, Fica tranquilo, pois quem não é teu fornecedor, usuario domestico geralmente usa gmail, portanto dificilmente o IP da google cairá numa RBL.


    Eu Não quero fazer Merchandising, mas há sistemas pagos (comerciais) muito interessantes, que ajudam
    na luta contra os spammers, como por exemplo: – às ferramentas de antiphishing/antifraude da Agari
    (DMARC, DKIM e SPF lookups) site oficial: https://www.agari.com/products/

    Para quem não sabe, A DMARC é um padrão aberto de autenticação de email. Ele funciona em conjunto com o SPF e o DKIM. É o único meio do emissor ou remetente de email dizer para seu destinatário que os emails que eles estão enviando são verdadeiramente deles.
    O uso do DMARC permite que os remetentes autentiquem todas as mensagens de email legítimas,
    publiquem uma política sobre como os ISPs devem dispor de mensagens não-autênticas e obter o uso de
    seus domínios de forma mais inteligente.
    A Microsoft, Google, Yahoo and AOL usam o software analítico da Agari para se protegerem contra
    os malditos spammers, Mano, não poderia deixar isso passar em branco. Vejam só, a Agari era apenas
    uma start-up e hoje é uma gigante da segurança da informação. Ela protege atualmente mais de 50% do
    tráfego de emails dos consumidores só nos Estados Unidos.

  3. #3

    Padrão Re: Como obter copias dos e-mails rejeitados pelo parâmetro reject_rbl_client ?

    OláTyuatsu!

    Comsuas explicações ficou claro o motivo do porque não é possívelfazer o que eu gostaria com as listas rbl.
    Peloque entendi o postfix não chega a receber o e-mail, deve encerrar aconexão logo após o "ehlo/helo", ou o "mailfrom:"

    Játentei instalar nesse servidor o serviço do spamassassin, mas nãoobtive êxito, é uma versão bastante antiga de linux "centos6.3" e não consegui colocar o spamassasin up.
    Nãofui eu que criei o servidor, já peguei ele todo ferrado com quase600Gb de histórico emmais de 3 milhões de e-mails,sendo amaiorparte deles spams.
    Nãohavia qualquer tipo de proteção e levei quase 2 meses paraconseguir limpar nosso IP e domíniodas blacklists para regularizar o recebimento.

    Jáconsegui bastante melhorias, colocando as regras rbl, outras de regexetc, além de forçar a deleção das lixeiras, assim já libereicerca de 200Gbe consegui frear esse fluxo de spams.
    Tambéminstalei e configurei o fail2ban, que possui hoje uma lista debloqueio com cerca de 2000 ips que disparam ataques de bruteforce. É,o servidor era a casa da mãe joana!

    Achoque o caminho será mesmo continuar enxugando os e-mails preexistentes até que eu possua um espaço em disco de não mais de100Gb e então subir em paralelo um novo servidor de e-mail e migraros usuários com seu histórico para lá.

    Essasdeleções estou fazendo com base em uma base de dados que crieiatravés de um script que escaneiatodos os e-mails registrando o endereço do arquivo, o endereço deremetente e destinatário e o tamanho em bytes.
    Assimposso identificar os e-mails e domínios de spams e em seguida rodaroutro script para remover esses e-mails.


    Vou dar uma estudada nas dicas que me deu, e assim que possívelposto os resultados obtidos.
    Muito obrigado por sua atenção!

  4. #4

    Padrão Re: Como obter copias dos e-mails rejeitados pelo parâmetro reject_rbl_client ?

    Caro colega, vc está absolutamente certo em configurar uma nova máquina, isso vai limar boa parte dos seus problemas! Servidor de email precisa de manutenção sobretudo com relação as atualizações de segurança, pois o mesmo fica muito exposto aos malditos Spammers.
    Eu mesmo já passei por isso... há muitos anos atrás eu tinha assumido um velho RHEL 5 com Postfix e PostgreSQL, devia ter por volta de 90 contas de emails nela só, e rodando tudo numa maquininha que parecia mais com um chuchu amassado de final de feira... coisa feia! Latavelha em produção, se tu espirrar muito perto dela ela se assusta e para de funcionar! kkkk.. Mas falando sério, o que me ajudou mesmo foi configurar um detector de rootkit nele. Lembro que usei dois softwares livres: chkrootkit e rkhunter, na época ambos detectaram uma porrada de backdoors instalado nesse servidor. E a melhor solução foi configurar outra máquina nova do zero mesmo... assim nem perdi meu precioso tempo tentando melhorar o Postfix pois o servidor ja estava todo comprometido!