La batalla continua indefinidament: es milloren els motors antispam (spamassassin, dspam…) i els spammers s’adapten, s’usen llistes negres remotes (RBL‘s) i ells s’adapten… que un gif com attachment pot tenir pinta d’spam ? Doncs ells usen PDF’s… el compte de mai acabar :/
Doncs bé, fart de rebre una mitja de 10 spams diaris a l’Inbox vaig decidir implantar mesures dràstiques. Primer vaig probar amb greylisting (usant postgrey). El resultat va ser decepcionant: apenes filtrava un 10% més dels spams respecte a no tenir aquesta mesura.
La capacitat d’adaptació i perseverança dels spammers em recorda a uns personatges d’una sèrie de ciència ficció :-/… El cas és que finalment em vaig decantar per SPF… conclusió després de setmanes d’ús i revisió de logs exhaustiva: tant de bo ho hagués fet abans !
Veiem per una banda, l’acció del dimoni SPF que uso junt amb postfix, policyd-weight:
Aug 27 16:21:33 nopcode postfix/policyd-weight[16924]: weighted check: IN_DYN_PBL_SPAMHAUS=3.25 NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 CL_IP_NE_HELO=4.75 RESOLVED_IP_IS_NOT_HELO=1.5 (check from: .ba88. - helo: .[122.254.168.34]. - helo-domain: .34].) FROM_NOT_FAILED_HELO(DOMAIN)=6.25 &l;tclient=122.254.168.34> <helo=[122.254.168.34]> <[email protected]> <to=hunnopcodeveg at nopcode org>, rate: 11.25
Aug 27 16:21:33 nopcode postfix/policyd-weight[16924]: decided action=550 Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings or to get removed from DNSBLs; MTA helo: [122.254.168.34], MTA hostname: unknown[122.254.168.34] (helo/hostname mismatch); delay: 2s
I per l’altra l’acció de postfix actuant en conseqüència (rebutjant el mail):
Aug 27 16:21:33 nopcode postfix/smtpd[3393]: NOQUEUE: reject: RCPT from unknown[122.254.168.34]: 550 5.7.1 <[email protected]>: Recipient address rejected: Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings or to get removed from DNSBLs; MTA helo: [122.254.168.34], MTA hostname: unknown[122.254.168.34] (helo/hostname mismatch); from=<[email protected]> to=<hunnopcodeveg at nopcode org> proto=ESMTP helo=< [122.254.168.34]>
L’avantatge d’aquest sistema es veu en aquest log: l’spammer no ha passat del RCPT TO ! Això vol dir dues coses:
- Estalvi d’ample de banda: spammer, queda’t el cos del missatge
- Estalvi en temps de CPU: Els filtres bayesians descansen
Pero no tot són meravelles a SPF, s’han de tenir ben presents els greus problemes que comporta implantar aquest sistema. Tot i així, i sent conscient dels seus problemes, SPF ha conseguit retornar la calma al meu INBOX, benvingut ! :)
Ah ! He mostrat la banda “interna” d’SPF, aqui teniu l’externa (la que publico via registre TXT de DNS):
$ dig -t txt +short nopcode.org "v=spf1 a mx a:lists.nopcode.org mx:mail.nopcode.org -all"