Antispam con MDaemon Luca Biffi - Direttore supporto tecnico di Achab S.r.l. luca.biffi@achab.it
Agenda Introduzione Come lavora l antispam di MDaemon Analisi del lavoro dell antispam Tuning della configurazione Contenuti avanzati Domande e risposte Achab 2009 pagina 2
Lo SPAM Ricezione email indesiderate Oltre il 50% del volume di posta elettronica che circola in Internet è costituito da SPAM Rallenta il recapito delle email legittime Serio problema in termini di spreco di banda, di capacità di elaborazione, di spazio su disco e di risorse umane Achab 2009 pagina 3
Caratteristiche degli invii di messaggi di SPAM Invii massivi Sessioni SMTP rapide Un solo tentativo di invio ad un determinato destinatario Invii a destinatari multipli dello stesso dominio, spesso inventati Uso/abuso di molteplici mailserver o servizi SMTP Abuso di email e domini altrui Messaggi di pochi KB Messaggi dai contenuti che rimandano a siti che vendono qualcosa o che invitano ad fornire proprie credenziali (phishing) Achab 2009 pagina 4
Come difendersi Filtrando chi manda le email Filtrando i contenuti Prendendo precauzioni dettate dal buon senso Achab 2009 pagina 5
Filtri antispam di MDaemon Filtri SMTP Tarpit Screening dinamico GreyListing RBL SPAM Blocker DKIM SPF In-line SPAM Filter Filtri sui contenuti Outbreak Protection* SPAM Filter Content Filter *Richiede SecurityPlus Achab 2009 pagina 6
Come lavora MDaemon (I) Achab 2009 pagina 7
Come lavora MDaemon (II) I msg passano ma vengono marchiati Per default i messaggi da IP locali, trustati e autenticati non sono filtrati Per migliorare le prestazioni si può far saltare il filtro su messaggi superiori a una certa dimensione Alcune regole antispam richiedono di uscire su internet, allora prima si verifica se va il DNS. Se non è su test si può bloccare MDaemon I buoni partono da -100 punti I cattivi partono da +100 punti Punteggio negativo se presenti in Black List Achab 2009 pagina 8
Come lavora MDaemon (III) Può essere disabilitato Punteggio soglia per stabilire se un msg è spam Punteggio soglia per il processo SMTP: se > allora è spam e non arriva nemmeno a MDaemon se è spam viene modificato l oggetto Achab 2009 pagina 9
Analisi del lavoro dell antispam (I) Security > Spam Filter Achab 2009 pagina 10
Analisi del lavoro dell antispam (II) Analizzare i log (SMTP(IN), antispam, all) o l header del messaggio Achab 2009 pagina 11
Problemi - Messaggi non intercettati dall antispam Il messaggio non è passato da MDaemon (Outlook è configurato per ricevere la posta direttamente dall ISP) La dimensione del messaggio eccede il limite impostato in Security > Spam Filter > Don t filter messages larger than X KB Il mittente del messaggio è inserito nella rubrica dei destinatari in WorldClient e Outlook Connector (Mdaemon applica questo controllo se l opzione Security > Spam Filter > White List(auto) > Enable address book white listing Il messaggio proviene da una sorgente trusted ed è attiva l opzione Security > Spam Filter > Don t filter messages coming from trusted or authenticated sources Modifiche alla configurazione (es. disabilitazione DNSBL dopo update alla 10) Modifiche alle regole e punteggi spamassassin (update) Achab 2009 pagina 12
Tuning della configurazione (I) Un MDaemon di default è abbastanza ben configurato per bloccare buona parte dello SPAM correttamente Picco di spam Analisi Modifica configurazione Achab 2009 pagina 13
Tuning della configurazione (II) Regolazione soglia SPAM Achab 2009 pagina 14
Tuning della configurazione (III) Esempio 1 Modifica punteggio filtri Achab 2009 pagina 15
Tuning della configurazione (IV) Esempio 2 Ricevo in DomainPOP; dopo l aggiornamento a MDaemon 10 un mucchio di email valide sono classificate come SPAM. Cosa è successo? MDaemon 10 contiene una nuova versione di SpamAssassin che contiene nuove regole utilizzate per verificare gli header Received dei messaggi L ISP cui MDaemon si appoggia potrebbe aggiungere delle informazioni in questi header che matchano le nuove regole Verificabile nel campo X-Spam-Report: 3.3 TVD_RCVD_IP4 TVD_RCVD_IP4 1.6 TVD_RCVD_IP TVD_RCVD_IP 2.6 RCVD_NUMERIC_HELO Received: contains an IP address used for HELO Achab 2009 pagina 16
Tuning della configurazione (V) Esempio 3 il nostro MDaemon registra delle frequenti interruzioni di attività SMTP in ingresso. Nella GUI vedo: Mon 2009-06-08 09:42:23: Connection from XX.XX.XX.XX refused, SMTP server too busy. Questo nonostante abbia portato il numero max di connessioni in entrata dal 75 standard a 200 problemi di questo tipo sono legati ad un accumulo di sessioni SMTP in ingresso, l'accumulo in coda delle sessioni in ingresso e il relativo sforamento del limite massimo è dovuto a rallentamenti nei controlli del filtro antispam di MDaemon durante la sessione SMTP alleghi il file di log "MDaemon-xxxxxx-SMTP(entrata).log" dove ha trovato l'errore SMTP server too busy dai log che ha inviato si vedono delle sessioni SMTP con durata anomala (8 min e 15 secondi) che possono creare un accumulo di sessioni SMTP in ingresso e lo sforamento del limite massimo (con l'errore SMTP server too busy) questi rallentamenti sono dovuti a un ritardo nelle verifiche che il filtro antispam fa nelle black-list URI_BL: Mon 2009-06-08 09:44:05: * 8.0 URIBL_JP_SURBL Contains an URL listed in the JP SURBL blocklist Mon 2009-06-08 09:44:05: * [URIs: supcasino.com] Mon 2009-06-08 09:44:05: * 8.0 URIBL_SC_SURBL Contains an URL listed in the SC SURBL blocklist Mon 2009-06-08 09:44:05: * [URIs: supcasino.com] Mon 2009-06-08 09:44:05: * 3.0 URIBL_BLACK Contains a URL listed in the URIBL.com blacklist Mon 2009-06-08 09:44:05: * [URIs: supcasino.com] per queste verifiche è utilizzato il DNS a cui punta MDaemon, è probabile che in questo caso ci sia stato un sovraccarico sul traffico verso internet oppure un ritardo nella risposta del DNS del provider Come soluzione a questo problema ha due possibili strade: 1) Disabilitare il test DNS nella configurazione dello spam filter 2) Disabilitare il controllo attivo sulle sessioni SMTP entranti Achab 2009 pagina 17
Tuning della configurazione (VI) altri esempi Achab 2009 pagina 18
Protezione dallo SPAM Filtro contenuti Achab 2009 pagina 19
Filtri antispam di MDaemon Spam trap Indirizzi fittizi usati per ricevere spam da inoltrare alla cartella di apprendimento bayesiana; tali indirizzi sarebbero da pubblicare su forum o liste in modo che inizino a ricevere spam. Achab 2009 pagina 20
Antispam su altro host Achab 2009 pagina 21
Pulizia automatica delle spam trap degli account Creare un file midnight.bat nella cartella MDaemon\App Che contiene: Accountprune /m /d=2 /p= Spam.imap Accountprune /? Per avere l elenco delle opzioni disponibili e la spiegazione della sintassi Achab 2009 pagina 22
Consigli Per evitare di perdere messaggi buoni: Non rifiutare ne respingere al mittente i messaggi Per ridurre lo spam ricevuto: Configurare Mdaemon in modo che non accetti posta inviata indiscriminatamente al dominio: Ricevere direttamente in SMTP piuttosto che ricevere in domainpop tramite ISP Configurare MD per rifiutare I messaggi destinati a utenti locali sconosciuti Non utilizzare alias catchall: *@yourdomain.com = sales@yourdomain.com Evitare di utilizzare MX di backup che non sono in grado di validare i destinatari dei messaggi in ingresso Achab 2009 pagina 23
Grazie! Luca Biffi Direttore supporto tecnico di Achab S.r.l. luca.biffi@achab.it