36776309 Prevenir El Spam Ecualog

5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com

http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 1/33

1- "greet_pause" como forma de prevenir el spam | EcuaLUG

1- "greet_pause" como forma de prevenir el

spam

Enviado por Epe el Mié, 2007-02-07 14:42.

También conocida como greeting pause, es una técnica que se puede usar en sendmail para espantar a

los spammers que no cumplan con una sencilla condición de respeto.

Veamos algo, cuando haces telnet al puerto 25 de tu máquina te sale algo así:

telnet IPDEMISERVER 25

Trying IPDEMISERVER...

Connected to mail.xyz.com (1.2.3.4).

Escape character is '^]'.

La sesión no se ha iniciado completamente todavía, esto es, el servidor no te ha enviado el greet o

bienvenida. La bienvenida es un mensaje que el servidor envía cuando ya está listo y dice así:

220 mail.xyz.com ESMTP Wed, 7 Feb 2007 14:23:26 -0500

Ahora, entre el primer cuadro y la bienvenida (segundo cuadro), pasan algunos segundos.

Un spammer no tiene tiempo para estar esperando varios segundos hasta que aparezca la bienvenida,

y qué hace? Pues comienza a enviar los comandos antes de que aparezca la bienvenida. De esta forma

ahorra tiempo.

Recuerda que el spammer no está enviando tu correo a 10 personas sino a decenas, cientos, quizá

miles o millones de correos. Cada segundo que pierda es negocio malo para él, puesto que cada

segundo que pierde aumenta la posibilidad de que le detecten y bloqueen.

Es por esto que los spammers no esperan al mensaje 220 conocido como greeting.

Los sistemas de correo SMTP legales, esperan pacientemente el tiempo que sea necesario hasta que

aparezca el mensaje 220 y sólo entonces comienzan a enviar sus correos.

Qué podemos hacer?

http://www.ecualug.org/?q=2007/02/07/comos/centos/c...dmail/1_greet_pause_como_forma_de_prevenir_el_spam(1 de 3)31/01/2008 10:57:05 a.m.

http://www.ecualug.org/?q=user/epe






Podemos indicarle a nuestro sendmail que se moleste en demorar el inicio de sesión, el mensaje de

bienvenida unos segunditos. Por ejemplo digamos 5 segundos.

Así que cuando abran una sesión al puerto 25, el sendmail nuestro demorará ese tiempo. Si alguien

intenta escribir algún comando antes de ese tiempo, el sistema le dirá que no está permitido, le

emitirá un fallo.

De esta forma muchos correos de spam sencillamente no llegarán, pues los spammers tienen sus

sistemas de bulking preparados para enviar rapidamente y no esperar.

Ahora, qué puede suceder a futuro? Que los spammers comiencen a respetar el mensaje 220 y a

esperar. Eso igual les afectará, por qué? porque si están enviando 10millones de mensajes y por cada

uno tienen que esperar 5 segundos, entonces demorarán muchísimo tiempo lo que hará poco rentable

el envío. El demorarles es efectivo en cualquier variante.

Cómo implementarlo?

edita /etc/mail/sendmail.mc y busca esta linea:

FEATURE(`access_db',`hash -T -o /etc/mail/access.db')dnl

Puede que en tu caso la linea varíe, pero la idea es que diga: access_db de feature.

Justo debajo de ésta linea pon:

FEATURE(`greet_pause', `5000')

Salva el archivo (sendmail.mc) y procede a recompilar el sendmail.cf; Nunca está de más hacer una

copia previa del /etc/mail/sendmail.cf por si acaso algo te falla.

m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf

Reinicia tu sendmail.

Ahora verás que si haces un telnet al puerto 25 de tu máquina, el sendmail demorará unos 5 segs en

aparecer con su greeting pause. Si escribes algo antes de esos 5 segs te dará un error, veamos el

ejemplo:

# telnet mail.xyz.com 25

Trying 67.15.12.90...

Connected to mail.xyz.com (1.2.3.4).Escape character is '^]'.

ehlo epe

554 mail.xyz.com ESMTP not accepting messages





250-mail.xyz.com Hello [200.63.231.203], pleased to meet you

250 ENHANCEDSTATUSCODES

mail from: [email protected]

550 5.0.0 Command rejected

Es decir, antes del 220 emití un comando (ehlo) y el sistema entonces me cerró, me emite un 554 un

mensaje de error. Tengo que cerrar la sesión y abrirla de nuevo.. y eso no le conviene a los atacantes.

Qué tiempo de demora sugerimos?

no 5 segs, quizá 2 ó 3 segs.. este valor puedes acomodarlo según necesites.

Fijate que se mide en milesimas: 5000 es 5segs, 2000 es 2 segs.

Cómo quitar la pausa para localhost?

Editamos /etc/mail/access y agregamos esta linea:

GreetPause:localhost 0

reiniciamos sendmail.

localhost casi nunca envía spam (somos nosotros mismos). por eso es bueno ponerlo como 0 espera

pues lo usa el squirrelmail. Podrías listar otra red si necesitas. La idea es:

GreetPause:red tiempo

La red se lista como se acostumbra en el access de sendmail (192.168.1 por ejemplo, sería para la red

192.168.1.0/24)

Vamos, no es que el spam desaparezca con esto, lo que síte quitarás decenas quizá miles de máquinas

impertinentes que envían locamente el spam.

Luego veremos otras medidas.




10- Cómo prevenir el spam de imágenes. | EcuaLUG

10- Cómo prevenir el spam de imágenes.

Enviado por Epe el Lun, 2007-03-26 21:57.

El spam de imágenes es ese en el cual te llegan los correos embebidos en una sola imagen (almomento) de forma tal que el sistema de bayesiana tiene poca info que tragarse. Y el spamassassinno puede determinar bien el objetivo del correo. Me explico:

muchas personas reciben faxes legales e imágenes de diverso tipo via email, no hay forma dedeterminar que es spam o no con tan solo ver que viene una imagen.

El crecimiento de éste tipo de spam ha sido grande, al momento a propósito la cantidad de correospam que llega a los buzones es de aproximadamente el 77% de los correos y el de imagen es muyusado al momento. Éste artículo hace un análisis de eso: http://www.theregister.com/2007/03/26/ image_spam/

En realidad la forma que hallamos más efectiva al momento es el uso del greylist combinado con elde greeting pause.. ya no me llegan spam de imágenes.

Sin embargo antes de descubrir ésta forma habían otras que sugiero implementar. Se llama imageinfo

Éste plugin de spamassasin, funciona al momento con spamsassassin 3.1.x y se puede descargar deéste sitio:

http://www.rulesemporium.com/plugins.htm

Ambos archivos (el .pm y el .cf) sugiero ponerlos dentro de /etc/mail/spamassassin:

cd /etc/mail/spamassassin

wget http://www.rulesemporium.com/plugins/ImageInfo.pm

wget http://www.rulesemporium.com/plugins/imageinfo.cf

Una vez lo hayamos bajado, en éste mismo directorio tenemos un archivo llamado init.pre lo

editamos y al final agregamos:

loadplugin Mail::SpamAssassin::Plugin::ImageInfo /etc/mail/

spamassassin/ImageInfo.pm

http://www.ecualug.org/?q=2007/03/26/comos/10_c_mo_prevenir_el_spam_de_im_genes(1 de 2)31/01/2008 10:58:32 a.m.


http://www.theregister.com/2007/03/26/image_spam/










10- Cómo prevenir el spam de imágenes. | EcuaLUG

después reiniciamos el MailScanner:

service MailScanner restart

Listo, ahora tendremos activo un plugin que te ayudará a detectar ese correo con imágenes. No tienemuchos falsos positivos.

http://www.ecualug.org/?q=2007/03/26/comos/10_c_mo_prevenir_el_spam_de_im_genes(2 de 2)31/01/2008 10:58:32 a.m.



11- Qué es el SPF? (Sender Policy Framework) | EcuaLUG

11- Qué es el SPF? (Sender Policy Framework)

Enviado por Epe el Vie, 2007-03-30 12:08.

Una técnica ya no tan nueva, pero increíblemente poco usada. Es el Sender Policy Framework.

El SPF como le llamaré, busca como objetivo el poder informarle al servidor que recibe un correo si

ese correo viene de un destino legítimo o no.

Por ejemplo: Cuántas veces no te ha pasado que te llega un correo de [email protected] pero que

en realidad no ha sido hotmail.com quien lo envió?

Esto ocurre mucho, los spammers falsifican el FROM de los correos, envían correos spam desde

digamos: China o Guayuaquil, y se hacen pasar por hotmail.com para evitar declarar su verdadera

dirección.

Así fue como se concibió el protocolo SMTP, cualquiera podría enviar un correo desde cualquier

servidor de SMTP, sea donde fuere que éste servidor estuviere. El objetivo no es burdo, tosco o

malintencionado. Es por el bien de la internet. Supongamos lo siguiente:

Antiguamente, los servidores de internet te podían desaparecer por varias horas, incluso días, puesto

que no era considerado algo prioritario como ahora. Entonces cómo enviabas tus correos? Pues te

conectabas a otro servidor smtp y enviabas el correo con el FROM del servidor que estaba caído. No

importa, los correos de respuesta llegarían a su destino (tu) tan pronto ese servidor caído se levantara,

pero por lo menos enviabas correos.

Es por eso que el smtp se creó así. Los spammers lo han visto como la oportunidad de su vida para

ocultar o dificultar el descubrimiento de quién envió el correo... hasta hoy.

El SPF se está implementando cada día en más dominios y sugiero que lo hagas con tu dominio

también.

Veamos el escenario actual:

Desde el punto de vista de un servidor que recibe un correo:

Supongamos que tenemos un servidor smtp sendmail, que está recibiendo un correo desde alguien

http://www.ecualug.org/?q=2007/03/30/comos/11_qu_es_el_spf_sender_policy_framework(1 de 3)31/01/2008 10:59:17 a.m.







que clama ser hotmail.com (FROM [email protected]). Supongamos que éste servidor nuestro

tiene activado verificaciones SPF.

Lo primero que haría el servidor nuestro es ver si ese dominio (hotmail.com) tiene un record SPF,

para eso verifica el record TXT del dominio:

[root@laptop ~]# host -t txt hotmail.com

hotmail.com text "v=spf1 include:spf-a.hotmail.com include:spf-b.

hotmail.com include:spf-c.hotmail.com include:spf-d.hotmail.com

~all"

Oh sí, lo tiene! Dentro de un rato veremos qué es lo que dice ese record. Pero lo tiene.

Si acaso no tuviera el record TXT con el spf (el SPF se define en el record TXT del dominio),

entonces se considera un SPF neutro y no hay forma de validar si es o no un spammer.

Como sí lo tenemos, el servidor nuestro procede a verificar si la IP que envía el correo haciéndose

pasar por hotmail.com está entre la lista de IPs autorizadas por éste record SPF de hotmail.

Si estuviera entre la lista de IPs autorizadas por el record TXT de hotmail.com, se le puede dejar

pasar con confianza. Si no fuera una IP autorizada, se le podría marcar como spam o asignarle algún

valor tendiente a considerarlo como spam.

Ahora veamos desde el punto de vista de nosotros, como clientes válidos, que estamos enviando

correos a un servidor remoto

Supongamos que estamos enviando un correo a gmail.com desde nuestro dominio: xyzabc@uio.

satnet.net (lo escojo porque ya ellos tienen SPF activado).

Supongamos que gmail.com revisa (y en efecto lo hace) los records SPF de los dominios que les

envían correos.

Nuestro legítimo servidor de satnet se conectará a gmail, le dirá que tiene un correo [email protected] y el servidor de gmail lo que hará será verificar los records TXT de uio.satnet.

net que al día de hoy son estos:

[root@laptop ~]# host -t txt uio.satnet.net

uio.satnet.net text "v=spf1 ip4:200.63.212.96/29 -all"

Bien, como satnet tiene SPF declarado, gmail verificará si la IP que envía el correo es la autorizada

por satnet. Si lo fuera, no será considerado spam. Si no lo fuera, será catalogado como tal.

Qué sucede si no tenemos records TXT declarados con SPF? Nadie podrá saber si alguien que use tu

dominio para enviar un correo es legítimo o no. Podrías por lo tanto estar propenso a ser catalogado





como spammer según otras técnicas que pueden equivocarse.

No te has fijado que hotmail.com cataloga mucho correo válido como junk (spam)? Eso es porque no

sabe verdaderamente si es o no es, y porque sus filtros parecen no ser muy buenos.

Te comento, eso me pasaba mucho a mi, y desde que implementé SPF, ya mis correos llegan

correctamente a hotmail. Porque hotmail sabe que yo soy yo y tiene más confianza.

Por qué usar SPF en tu dominio?

Porque no serás bloqueado por los sistemas de greylisting que soporten SPF. El greylisting

acostumbra a dejar pasar a los servidores que tengan SPF declarado, sin demora alguna!

Porque los servidores que reciban tus correos sabrán a ciencia cierta que eres una persona que envía

un mail legítimo y tendrás poquísimas opciones de ser catalogado como spammer.

Qué pasaría sí los spammers comienzan a usar spf?

Tendrán que enviar correos desde un FROM que es de ellos, desde un dominio que es de ellos, y no

podrán ocultar o disimular el FROM, así que se delatarían mucho mucho más fácilmente y se podría

actuar legítimamente contra ellos de una forma más cómoda. Ojalá lo comiencen a usar!

Quién ya implementa SPF?

en el país, conozco de satnet quito y guayaquil , puntonet, ecualinux.com (yo) y así día a día se irán

sumando más personas puesto que en verdad ayuda, tanto para que recibas como para que envíes

correos. Si conoces de alguien más que tenga SPF no dudes en listarlo.

El spammer comenzaría a retroceder, hemos notado que ya no nos llega mucho spam de satnet o de

puntonet (con direcciones email de ellos) esto es porque nuestro sistema detecta que es un correo

ilegítimo y lo bloquea.

Por favor cualquier pregunta o sugerencia no dudes en postearla, para así ir aclarando el tema, perocréeme, es bastante bueno este sistema.




Cómo usar el SPF desde el punto de vista de cliente (nosotros enviando mails)? | EcuaLUG

Cómo usar el SPF desde el punto de vista decliente (nosotros enviando mails)?


En los DNS de tu dominio declaras un record TXT en tu dominio (todo sistema de manejo de DNS te

debe permitir crear un record TXT.

Veamos algunas variantes de cómo declararlo:

host -t txt eurosolutions.net

v=spf1 a mx -all

Esta forma indica que los que pueden enviar correos a nombre del dominio eurosolutions.net son:

v=spf1 : usa la versión 1 del spf (hay otra pero no la he usado).

a : todos los records A que tenga el dominio

mx : todos los servidores que reciben correos para el dominio (mx)-all : Nadie más excepto los antes descritos pueden enviar. Considérese definitiva la respuesta (es

decir, en serio que nadie más).

Veamos otro caso:

host -t txt hotmail.com

hotmail.com text "v=spf1 include:spf-a.hotmail.com include:spf-b.

hotmail.com include:spf-c.hotmail.com include:spf-d.hotmail.com

~all"

include:...... : Esto indica que además se debe considerar como autorizados, a los records TXT de esos

dominios (spf-a.hotmail.com spf-b.hotmail.com, etc, etc). Es como una forma de extender fácilmente

los records SPF

~all - Algo así como: todavía tengo dudas de que éste sea todo el universo de permisos. Acepta el

mail, pero márcalo como posible spam. Es usado como una forma de transición entre el no tener spf y

tenerlo. Es usado cuando consideras que cualquiera puede enviar correos desde tu dominio desdecualquier lugar. Sugiero no usarlo.

Veamos otro:

http://www.ecualug.org/?q=2007/03/30/comos/c_mo_usar...l_punto_de_vista_de_cliente_nosotros_enviando_mails(1 de 2)31/01/2008 11:00:05 a.m.






Cómo usar el SPF desde el punto de vista de cliente (nosotros enviando mails)? | EcuaLUG

host -t txt uio.satnet.net

uio.satnet.net text "v=spf1 ip4:200.63.212.96/29 -all"

Aquí dice:

ip4 : Esto es, las siguientes IPs son las autorizadas a enviar correos a nombre de éste dominio

-all : nadie más!

Así hay muchísimos ejemplos. Yo por mi parte te sugiero leas el significado de las diversas opciones

en: http://www.openspf.org/SPF_Record_Syntax

Por mi parte te sugiero uses éstas opciones:

Si todavía no estás muy seguro de si el SPF es para tí o no (cosa que no deberías dudar), usa esto:

text "v=spf1 a mx ~all"

Significa: cualquier mx que tenga declarado mi dominio así como cualquier record A que tenga

declarado. Ellos solamente (-) podrán enviar correos de mi dominio.

Si ya estás seguro que el spf es lo adecuado y que no te causó problemas usa esto:

text "v=spf1 a mx -all"

Significa: cualquier mx que tenga declarado mi dominio así como cualquier record A que tenga

declarado. Pienso (~) que ellos son los únicos que podrán enviar correos de mi dominio pero no

excluyas a otros, sólo considéralos más peligrosos.

http://www.ecualug.org/?q=2007/03/30/comos/c_mo_usar...l_punto_de_vista_de_cliente_nosotros_enviando_mails(2 de 2)31/01/2008 11:00:05 a.m.

http://www.openspf.org/SPF_Record_Syntax

http://www.openspf.org/SPF_Record_Syntax



Cómo usar el SPF en nuestro servidor (para revisar correos que nos llegan) | EcuaLUG

Cómo usar el SPF en nuestro servidor (pararevisar correos que nos llegan)


Supongo ya tengas instalado el spamassassin y el mailscanner. Entonces nos centraremos en hacerle

algunas adiciones y cambios al spamassassin.

Prefiero que sea el spamassassin quien revise los records TXT y le asigne valores a los correos

entrantes. Si usan -all en un dominio y el correo viene de otro lado no autorizado el spamassassin lo

castiga durísimo. Si usan ~all spamassassin sólo pondrá mayor interés en el correo, pero no podrá

decidir en definitiva.

Es por eso que sugiero el uso de -all

Bueno instalemos éste peque rpm del repositorio de rpmforge (DAG):

yum install perl-Mail-SPF-Query

con esto le permitiremos al spamassasin que realice preguntas sobre SPF.

Ahora editamos /etc/mail/spamassassin/init.pre y verificamos que una línea que se refiere al SPF

esté deshabilitada:

# SPF - perform SPF verification.#

loadplugin Mail::SpamAssassin::Plugin::SPF

Fíjense que no tiene comentarios (#) al inicio

Reiniciamos el MailScanner:


y listo, ya está listo, nuestro spamassassin verificará el SPF, si quieres mira los logs y comenzarás a

ver puntos asignados por SPF.

http://www.ecualug.org/?q=2007/03/30/comos/c_mo_usar...uestro_servidor_para_revisar_correos_que_nos_llegan(1 de 2)31/01/2008 11:00:29 a.m.






Cómo usar el SPF en nuestro servidor (para revisar correos que nos llegan) | EcuaLUG

http://www.ecualug.org/?q=2007/03/30/comos/c_mo_usar...uestro_servidor_para_revisar_correos_que_nos_llegan(2 de 2)31/01/2008 11:00:29 a.m.



2- Cómo prohibir conexiones desde ciertos sitios en listas negras? | EcuaLUG

2- Cómo prohibir conexiones desde ciertos sitios en listasnegras?


Una lista negra es un sitio donde se guardan (listan) las IPs o redes que están reconocidamente enviando spam.

Muchas personas se quejan de que pueden generar falsos positivos y es cierto. Es más a veces puede pasar, pero las listas

negras son un gran recurso para bloquear a esos spammers persistentes que no se cansan de usar o abusar de una misma IP.

Como recomendación, si estás en una lista negra, no pienses que es el fin del mundo, sencillamente hay que, antes de

deslistarte, determinar la causa que provocó que ahi cayeras, eliminarla, y entonces deslistarte.

A mi me ha pasado algunas veces y es porque algunos usuarios piensan que lo que ellos envían no es spam, los otros sí. Es

como cuando te llevas un semáforo, no hicistes nada malo. Ahora, que se lo lleve otro cuando tenías la verde.. de hijoeputa

palante le dices de todo al pobre que tampoco pensó que era malo.

El spammer es como el preso, qué preso está legítimamente preso? Todos están presos de forma misteriosamente poco clara,

no tenían la culpa, otros los pusieron ahi, ellos no hicieron nada.

Qué listas negras usar?

Sugiero estas tres:

http://www.spamhaus.org

www.sorbs.net

www.spamcop.net

spamhaus es sumamente efectiva y detecta una cantidad inmensa de potenciales spammers.

Ahora, spamcop es buena por una cosa, te permite reportar al spammer.

Acaso no te ha llegado spam de algún honorable diputado? y de algún hotel de quito? y de un instituto para enseñarte a bordar

y soldar? y de una empresa que vende camarones al por mayor? Y a mi QUE C.. me importan sus correos promocionales o

como les llamen?

Pues bien, con spamcop puedes reportar esos correos y spamcop bloqueará la IP que generó ese correo. Así los proveedores

proceden a respetar un poco más a los otros usuarios y sacan al spammer.

Cómo agregarlas?

Aunque hay varias formas de agregarlas, sugiero hacerlo en el sendmail directamente aunque otra forma es a través del

mailscanner.

Agregándolas directamente al sendmail hará que el sendmail rechace hablar con cualquier IP listada.. y esto provocará que los

http://www.ecualug.org/?q=2007/02/07/comos/centos/c_m...bir_conexiones_desde_ciertos_sitios_en_listas_negras(1 de 3)31/01/2008 11:00:51 a.m.


http://www.spamhaus.org/

http://www.spamhaus.org/






proveedores de internet se vean en problemas al ser bloqueados y tomen acciones contra el spammer inmediatamente.

Editemos /etc/mail/sendmail.mc y busquemos una linea que diga así:

FEATURE(delay_checks)dnl

Justo debajo de ésta linea agregamos lo siguiente (sugiero que copies y pegues):

FEATURE(`dnsbl',`dul.dnsbl.sorbs.net',`"554 Rejected " $" - see http://www.sorbs.net/lookup.shtml?"$')dnl

FEATURE(`dnsbl',`nomail.rhsbl.sorbs.net',`"554 Rejected " $" - see http://www.sorbs.

net/lookup.shtml?"$')dnl

FEATURE(dnsbl, `sbl-xbl.spamhaus.org', `"554 Rejected - see http://www.spamhaus.org/

query/bl?ip=+"$')dnl

FEATURE(`dnsbl', `bl.spamcop.net', `554 Rejected - see http://spamcop.net/')dnl

Al terminar procedemos a generar el nuevo .cf:


Nunca está de más hacer una copia previa del sendmail.cf

Una vez generado, procedemos a reiniciar nuestro sendmail.

Cómo verifico que funcione?

Mira dentro de /var/log/maillog por unos minutos, comenzarás a ver mensajes así:

tail -f /var/log/maillog

.

.

.

.

Feb 7 14:58:46 srv4 sm-acceptingconnections[19271]: l17Jwf3t019271:

ruleset=check_rcpt,

arg1=, relay=23.230.adsl.brightview.com [80.189.230.23], reject=554 5.7.1

Rejected - see http://www.spamhaus.org/query/bl?ip=+80.189.230.23

.

.

.

En este ejemplo fue bloqueado por spamhaus, ni siquiera se le dió oportunidad de iniciar una sesión para enviar el correo, se le

bloqueó.

Algunas estadísticas

Aquí muestro algunas estadísticas de todos los mails capturados por las diferentes listas en esta semana que pasó:

grep -c spamcop maillog.1

1553

grep -c sorbs.net maillog.1

12381

grep -c spamhaus maillog.1





7332

Al menos evité unos 20mil correos que llegaran a mis usuarios. No es un record, pero al menos ayuda a descongestionar el

servidor.

Sorbs tuvo buen servicio porque es el primero que tengo en la lista, y por sorbs se bloquean los primeros.. sólo si en sorbs no

está se bloquean en spamhaus y únicamente si no están ni en sorbs ni en spamhaus, entonces se bloquean por spamcop. Porque

en ese orden lo puse.

Spamcop es buenísimo, sobre todo cuando le ayudamos con reportes.




Cómo reportar spam a spamcop? | EcuaLUG

Cómo reportar spam a spamcop?


Esta es una de las grandes ventajas de spamcop el que permite que le reportes los spams que recibes.

Lamentablemente muchos sistemas antispam todavía no están preparados para prevenir el spam en español.

Seguro no te gusta un correo todos los días que diga:

LAS MEJORES SECRETARIAS . publcidad . uvt82

Décimo Segundo Congreso Latinoamericano de Asistentes Gerenciales y Secretarias

LAS ASISTENTES GERENCIALES Y

EL CLIENTE INTERNO Y EXTERNO

....LO MEJOR DEL

MANAGEMENT

2007

HOTEL SOL DE ORO20 y 21 de Marzo de 2007

.

.

.

porque no soy secretaria, ni he solicitado esto, que además es en Perú y tiene las trazas del spam: "publcidad .

uvt82"

Este correo vino de terra.com.pe y está viniendo mucho correo de ahi. Parece que las personas de terra no se

preocupan por sacar al spammer.

Qué podemos hacer?

Podemos ir a spamcop.net y crearnos una cuenta. Vamos donde dice: REPORT SPAM y abajo dice: Register

now.

Al registrarte, spamcop te enviará una dirección de correo a la cual le podrás reenviar todos esos correos de spam.

Es una dirección medio larguita, por eso debes ponerla en tu libreta de direcciones. En mi caso luce así (healterado los valores pues cada quien tiene su propia dirección):

[email protected]

http://www.ecualug.org/?q=2007/02/07/comos/c_mo_reportar_spam_spamcop(1 de 2)01/02/2008 06:35:18 p.m.


http://www.spamcop.net/

http://www.spamcop.net/





Cómo reportar spam a spamcop? | EcuaLUG

Yo llego todas las mañanas, tomo la lista de correos spam que tenga (a veces uno o dos, a veces ninguno, a veces

más) y les hago un forward, a la vez a todas, las marco todas y las reenvío para ese correo que spamcop me ha

dado.

Una vez spamcop las reciba, te devolverá un correo con un enlace por cada correo que hayas enviado, ese enlace

te permitirá verificar que el correo es spam y confirmar tu reporte. Al tu confirmar el reporte, spamcop procederá

a bloquear esa IP.

Bueno, inicialmente no la bloquea sino que intenta contactarles, si no responden o actúan, les bloquea por un

cierto tiempo.

así se ve el reporte de este curso de secretarias:

Y listo. Si muchas personas reportamos a spamcop le ayudamos a mejorar su nivel de detección y ayudamos a

bloquear a todos esos ISP nacionales o no que envían spam descaradamente o que permiten que sus usuarios

envíen.

http://www.ecualug.org/?q=2007/02/07/comos/c_mo_reportar_spam_spamcop(2 de 2)01/02/2008 06:35:18 p.m.



3- greylisting | EcuaLUG

3- greylisting


Una técnica ya un poco vieja pero muy efectiva es el greylisting. El greylisting se propuso en Julio

del 2003 por Evan Harris.

El Greylisting es increíblemente fácil de mantener y no genera falsos positivos lo que lo hace muy

deseable, además el greylisting reduce el número de spams entrantes hasta en unas 10 veces.

En efecto, para muchos el greylisting puede parecer una técnica muy fácil de evitar por parte de los

spammers pero no es así, en efecto tiene una gran efectividad ante el spam.

Qué es el greylisting?

Greylisting funciona porque los spammers y gusanos para poder enviar sus correos de la forma más

rápida usan atajos que no se atienen a cómo funciona el sistema de correos SMTP. Por ejemplo, ellos

sólo intentan enviar los mensajes una vez, si falla el envío, descartan el mensaje y no es así como

funciona el servicio de SMTP que sí reintenta los correos.

Es aqui donde greylisting actúa, en la característica de los spammers de no encolar los mensajes con

fallos temporales como debe hacerse, para reintentar luego. El spammer no tiene tiempo de reintentar.

Los servidores legales sí reintentan durante horas y días hasta que lo envían. El spammer si no puede

a la primera no se preocupa mucho, sigue con las siguientes direcciones.

El problema es que implementar el reenvío complica el sistema de correos y carga el sistema decorreos de la máquina que envía, el spammer no tiene tiempo para reintentar, no tiene tiempo para

encolar, no quiere pues eso le demora.

El greylisting genera una tripleta de cada conexión que recibe guarda la IP, el que envía y el que

recibe, por eso se llama tripleta. Esta tripleta se guarda en la BD. Si la tripleta no existe en la base de

datos (BD) entonces es negada la conexión con un error 400 (error temporal), el mensaje entonces

será reintentado por parte del servidor smtp un tiempo luego. Por supuesto el spammer nunca

reintentará y ahi está la ventaja del greylisting.

Este rechazo dura normalmente media hora. Media hora después, el correo es aceptado. El spammer

nunca reintentará, repito: aqui está la ventaja nuestra.

http://www.ecualug.org/?q=2007/02/07/comos/centos/c_mo_prevenir_el_spam_con_sendmail/3_greylisting(1 de 3)01/02/2008 06:35:37 p.m.







Una vez pasada la media hora el correo se envía y esa tripleta se guarda como confiable. Es decir, no

vuelve a ser rechazada durante un determinado tiempo (3 días por defecto). si en ese periodo ventana

de aceptación se vuelve a enviar un correo desde esa tripleta, entonces se vuelve a extender el tiempo

durante 3 días.

Pros:

Principalmente es su efectividad, es altamente efectivo. Además de su bajo mantenimiento, en verdad

una vez bien configurado no hay que darle mucho mantenimiento cosa que agradecerán los

administradores que casi siempre andan sobrecargados de trabajo. No requiere de actualizaciones de

plugins ni de nuevos virus ni patrones ni nada.. sencillamente va actualizando su base de datos con

cada conexión

Puede ocurrir el caso de que un spammer envíe más de un correo, lo que hará que seguramente los

siguientes correos lleguen. Sin embargo esto tiene un beneficio. Durante el periodo de rechazo inicial,

le damos tiempo a las listas negras, razor, dcc, etc, a actualizar la IP del spammer y entonces el correosería detectado vía estos sistemas de detección de spam pues ha pasado tiempo suficiente. Además se

obligaría así al spammer a enviar varios correos, cosa que no les conviene pues ellos tienen el tiempo

contado para enviar el spam.

Contras:

Bueno, no todo es perfecto y el greylisting tiene algunos contras, uno muy muy duro de sobreponer y

es que en efecto todo correo inicial de una tripleta que llegue será rechazado: el primer mensage

desde un origen hacia un destino será rechazado. En la mayoría de los casos tomará entre 20 y 40

minutos en llegar ese primero mensaje. Si ambos usuarios están al teléfono cuando el correo se envíe,

notarán que el correo no llegará. A mi me ha pasado muchas veces y es duro explicarle a los usuarios

el por qué, puesto que ya te llaman predispuestos y enojados sobre el tema.

Lo curioso es que si intentan enviar el correo digamos unos 30 minutos después, ese correo llega, sin

embargo el primero no. Porque el primero está encolado para ser reintentado. Y eso les enoja aún más

pues piensan que "algunos" correos se están perdiendo. Lo que les termina de excitar negativamente

es que quizá 40 minutos después llega el primero, después de haber llegado el segundo, ahi los gritoslos oirán en el cielo.

La parte positiva es que si tienes un usuario intransigente, greylist te permite ponerlo en una lista de

exluidos esto es: a él no se le demorarán los mails.. pero le llegará más spam.

Lo negativo es que el usuario que más se queja, es el que más se queja por todo. Así que te dirá: sí,

reparaste eso de los envíos demorados, pero ahora me llega mucho spam. La idea siempre es: protesto

ante todo.

Algunas implementaciones de greylisting tienen un modelo de aprendizaje, es decir, puedes ponerlo a

aprender (sin rechazar) cuáles son las IPs desde donde más recibes correos, y después activar el

greylist.. de esta forma puedes minimizar las quejas iniciales.





Los mails salientes pueden ser demorados también, por el callback que implementan algunos SMTP,

callback es ese correo que te llega poco después de haber enviado un mail a un destinatario, en el cual

te piden que confirmes que eres un ser humano haciendo click en una dirección, etc, etc, etc.. bueno,

este correo será demorado por el greylisto.. y enojará al usuario.

Los callbacks están destinados a morir por los problemas que introducen, los usuarios no esperan

tener que confirmar su mail. Además que el SPF ayuda mucho a luchar contra ese tema. A medida

que el SPF crezca en uso, disminuirá el uso de callbacks.

El grave problema es cuando no se envían correos desde una IP sino desde múltiples. Como por

ejemplo hotmail, yahoo o gmail, estos servidores se conectan desde diferentes IPs, quizá el primer

intento se hace desde una IP y los subsiguientes desde otras, lo que afecta a las tripletas ya que serán

diferentes IP.

A este efecto se puede mantener una lista blanca, y se mantiene una lista blanca de los servidores queusan ésta técnica. Otra forma que uso es blanquear la red clase C completa (/24) en vez de una

tripleta por IP usar una tripleta por red.

Qué hacen los spammers?

No podemos pensar que los spammers se quedarán impávidos ante ésta situación. Quizá algunos

esperen que sean tantas las situaciones negativas que no se efectivice el uso del greylisting.

En efecto algunos spammers ya han implementado el reintento, sin embargo como ya comentamos,

esto no le conviene al spammer puesto que le demorará el reenvío y con eso podrán ser detectados

mucho más fácilmente. En realidad no muchos lo han implementado ni lo implementarán el reintento

puesto que les afecta en verdad.

Bibliografía:

http://greylisting.org/ -- Mucha más información sobre greylisting

http://spf.pobox.com/ -- Sender Policy Framework (SPF) es una tecnología que prevendrá la

falsificación de direcciones, se puede usar en colaboración con el greylisting.


http://greylisting.org/

http://spf.pobox.com/

http://spf.pobox.com/

http://greylisting.org/



4- Instalando milter-greylist en CentOS | EcuaLUG

4- Instalando milter-greylist en CentOS


milter-greylist es un milter muy fácil de instalar en CentOS, que seguramente te ayudará a evitar el

spam, te lo garantizo.

Lo podemos bajar desde: http://centos4.centos.ec o http://centos5.centos.ec ahi siempre trato de

mantener la última versión del milter-greylist.

Una vez lo tengamos abajo podemos instalarlo:

rpm -Uvh milter-greylist*.rpm

Al finalizar de instalarlo, debemos agregar la siguiente config al sendmail.mc debajo de FEATURE

access poner:

FEATURE(`milter-greylist')dnl

Después debemos recompilar el sendmail.cf:


Además debemos cambiar el dueño del directorio /var/milter-greylist (crear el directorio si no existe):

chown smmsp.smmsp /var/milter-greylist -R

Ahora sí, procedamos a editar el /etc/mail/greylist.conf

Está mayormente configurado, sólo sugiero las últimas dos líneas cambiarlas de forma que se vean

así:

acl greylist list "grey users" delay 3m autowhite 3d

acl greylist default delay 3m autowhite 5d

La última linea, por precaución viene usualmente configurada como: whitelist, en vez de greylist, lo

que hace que el greylist si es activado por error, funcione aceptando todo. Cosa que no es lo que

http://www.ecualug.org/?q=2007/02/07/comos/4_instalando_milter_greylist_en_centos(1 de 2)01/02/2008 06:35:53 p.m.


http://centos4.centos.ec/








4- Instalando milter-greylist en CentOS | EcuaLUG

queremos.

Arranquemos el milter:

service milter-greylist start

chkconfig milter-greylist on

y reiniciemos el sendmail:

service sendmail restart

Recuerda que si usas MailScanner no debes reiniciar sendmail. Reinicia MailScanner

Listo, en teoría todo estará funcionando, dale una miradita a /var/log/maillog y prueba enviandote

unos correos.

En este ejemplo estamos bloqueando los mails por 3 minutos y después autoblanqueándolos por 5

días, de esta forma los usuarios solo reciben el primero demorado.

Recuerda que si durante esos 5 días llega otro correo del mismo lugar, entonces el autowhitelisting

nuevamente dejará por 5 días pasar mails. De esta forma si hay un intercambio fluido de correos, los

usuarios no notarán la demora.

http://www.ecualug.org/?q=2007/02/07/comos/4_instalando_milter_greylist_en_centos(2 de 2)01/02/2008 06:35:53 p.m.



5- Cómo revisar los correos contra spam, virus y contenidos maliciosos? | EcuaLUG

5- Cómo revisar los correos contra spam, virusy contenidos maliciosos?


Este es el objetivo, que los correos que lleguen sean revisados contra spam y contenidos maliciosos,

así como viruses.

Te explico un poco cómo funciona sendmail:

Sendmail es el MTA, el cuál se ocupa de recibir los correos que llegan a tu server o que van a salir de

tu server. El sendmail trabaja en el puerto 25.

Una vez un correo es recibido por el sendmail, éste verifica:

1- Está el dominio listado en el archivo local-host-names ? Si está listado lo entrega al procmail

(Local Delivery Agent) el cual se encarga de depositarlo ya sea en el mailbox o en el maildir del

usuario.

2- Si no está listado en local-host-names, entonces verifica si la IP que envía el correo está permitida

usarle de relay, esto es en el archivo access.

3- Si está permitido en el access procede a realizar todos los pasos necesarios para entregar el correo

al servidor de destino.

Es así como funciona el servicio de SMTP del MTA sendmail. Ahora, mejoremos las palabras: Es así como funcionaba normalmente.

Cuando se creó el protocolo smtp no se hicieron provisiones para virus o spam; males que llegaron

mucho después, años después de haberse creado. El sendmail ha evolucionado para mitigar un poco

el spam, pero el sendmail es un sistema MTA que obedece al protocolo SMTP y no hay provisiones

en ese protocolo para esos males.

Cómo podemos evitar esto? Bueno, una posible solución que plantearé aqui y consiste básicamente

en no permitir que el sendmail envíe los correos que recién acabe de recibir. Esto es, que los depositetemporalmente en una cola hasta que sean revisados.

Para esto, usaremos dos procesos de sendmail.

http://www.ecualug.org/?q=2007/02/09/comos/5_c_mo_r..._correos_contra_spam_virus_y_contenidos_maliciosos(1 de 3)01/02/2008 06:36:13 p.m.







El proceso 1 escuchará en el puerto 25, todo lo que llegue a este proceso será depositado en una cola

(directorio) llamada: /var/spool/mqueue.in sin hacer nada más, sólo los irá depositando ahi.

El proceso 2 estará vigilando otro directorio, llamado /var/spool/mqueue en cuanto él vea que hay

algún correo esperando en este directorio (cola) lo tomará y lo despachará hacia su destino, ya sea un

destino local o remoto.

He de hacer notar la diferencia. El proceso 1 escribe hacia /var/spool/mqueue.in y el 2 lee desde

OTRO directorio llamado /var/spool/mqueue

A los correos hay que hacerle una operación muy sencilla y es: tomarlos de mqueue.in, revisarlos

contra virus, spam y contenidos maliciosos y, sí están limpios, moverlos hacia mqueue

Para este proceso de chequeo, usaremos un programma, llamado MailScanner el cuál se ocupa de

hacer precisamente esto. Tomar de la cola mqueue.in, revisar los correos y moverlos a la cola mqueue

Tan simple como esto.

El MailScanner se caracteriza por ser un sistema que se apoya en otros para poder realizar todo el

proceso de verificación de los correos.

Contenido Malicioso: Lo revisa directamente él con técnicas propias de los autores. Este contenido

puede ser phishing, web bugs, iframes en correos, formularios, y algún que otro contenido dañino.

Por esta razón es bueno usar el mailscanner porque detecta implícidamente contenido malicioso.

Virus: Para esto el MailScanner se apoyará en algún sistema antivirus que podamos tener. Realmente

los virus no son el mayor problema en estos momentos, pero siempre hay algún que otro que los

envía así que es bueno verificarlos. El MailScanner es capaz de utilizar una veintena de diferentes

antivirus comerciales o no. Pero específicamente uso uno, el clamav desde hace unos 4 años y jamás

he tenido un problema con él del que me tenga que quejar.

Spam: Este es su fuerte, el MailScanner aplica diversas técnicas para detección del spam, perofundamentalmente se basa en revisar los correos con el spamassassin, al spamassassin le corresponde

determinar mediante un puntaje si el correo es spam o no. El MailScanner toma ese puntaje y puede

tomar diversas medidas.

MailScanner tiene dos limites o cotas para determinar si un correo es spam. La cota inferior por

defecto es de un valor de 6 y la cota superior (alta) es de un valor de 10.

Todo correo que no llegue a la cota inferior, no es clasificado como spam

Todo correo que supere la cota inferior, es marcado con la palabra {spam?} y es entregado a su

destino. Es como una luz de alerta, amarilla, para advertir de que puede que sea spam.


http://www.mailscanner.info/

http://www.clamav.net/

http://www.clamav.net/





Todo correo que supere la cota superior, por defecto es tratado como los correos de la cota inferior

(marcado y entregado) sin embargo les indicaré en el proceso de configuración cómo hacer para

borrarlo. Yo sugiero que todo correo que haya superado la cota superior sea borrado pues es casi

100% spam.

El spamassassin hace uso de las listas negras, por lo que es muy efectivo, además de otras técnicas

que aqui explicaré.

Recuerden que en todo caso, la lucha antispam es dura y tenemos que estar todos los días alertas para

ver nuevas técnicas a alicar.




Cómo instalar el clamav? | EcuaLUG

Cómo instalar el clamav?


Suponiendo que ya has instalado el repositorio de DAG podemos proceder a instalar el clamav

mediante el comando:

yum install clamav

Una vez instalado nunca está de más actualizarlo: freshclam

Como propaganda: ayudo a las personas de clamav a distribuir las actualizaciones para América así

que cuando hagas un freshclam acuérdate que estamos ayudándote y ayudando a clamav como

agradecimiento por tan buen servicio de parte de ellos.

El clamav está lamentablemente disponible en dos repositorios al momento, uno es en DAG y otro es

en el de karan, así que si tienes ambos repositorios, seguramente el sistema yum te dirá que ha

ocurrido un conflicto. Te sugiero que si esto te pasa, edites /etc/yum.repos.d/kbs*.repo y agregues a

cada repo de karan la siguiente línea:

exclude=clamav*

Esto es para que el yum no use el clamav de karan. Así usará solamente el de dag.

Cada archivo kbs* puede consistir de varios repos, es a cada repo al que hay que agregarle. Puedes

determinar un repo de otro pues cada repo comienza con la palabra [nombredelrepo] entre corchetes.

Por ejemplo:

[kbs-CentOS-Extras]

Clamav es muy fáci de instalar y de actualizar, pues con:

yum update

Tendremos siempre la última versión de clamav actualizadita, por varios años más.

http://www.ecualug.org/?q=2007/02/09/comos/c_mo_instalar_el_clamav(1 de 2)01/02/2008 06:36:33 p.m.


http://www.ecualug.org/?q=2006/03/30/comos/centos/c_mo_usar_el_repositorio_de_dag_en_nuestro_centos

http://www.ecualug.org/?q=2006/03/30/comos/centos/c_mo_usar_el_repositorio_de_dag_en_nuestro_centos





Cómo instalar el clamav? | EcuaLUG

MailScanner se ocupará de invocar cada una hora al comando freshclam, así que no te preocupes,

mailscanner actualiza la BD de clamav mediante esta invocación cada hora.

http://www.ecualug.org/?q=2007/02/09/comos/c_mo_instalar_el_clamav(2 de 2)01/02/2008 06:36:33 p.m.



Cómo instalar el MailScanner | EcuaLUG

Cómo instalar el MailScanner


Primero que todo, por favor, antes de instalar el mailscanner asegúrate de que tengas

correctamente instalado y configurado y funcionando el sendmail.

Repito de otra forma: no instales el mailscanner sin antes haber usado al menos unos minutos el

sendmail solo, instalado y usado el sendmail.

Por qué? porque ya sé que vendrán con las típicas preguntas y comentarios de "no funciona" el

mailscanner no es el que funciona o no, cuando tengas un problema en tu correo casi siempre será

culpa del sendmail que no está bien instalado. Es por eso que es lo ultimo que hay que hacer.. instalar

el mailscanner.. sólo se hace después de haber tenido funcionando el sendmail para que no tengas

dudas del mailscanner y para que sepas que el sendmail te funciona.

Ahora sí, cómo instalamos el mailscanner?

Nos llegamos por mailscanner.info, en la sección de downloads veremos varios archivos para bajar.

El primer TGZ que aparece dice:

for RedHat, Fedora and Mandrake Linux (and other RPM-based Linux distributions)

Esta es la versión que bajamos.

Es un tgz que cuando lo tengamos abajo tenemos que abrirlo, entrar al directorio y proceder aejecutar la instalación:

tar -zxf MailScanner*.tar.gz

cd MailScanner*

./install.sh

El autor del mailscanner no distribuye los rpm, sino el código fuente en formato src.rpm por lo que el

script ./install.sh lo que hará será crear los rpm para tu centos basándose en estos src.rpm.

El proceso tomará un tiempo. Si el proceso fallare es casi seguramente porque te falta alguna

herramienta (paquete) de compilación. Típicamente el patch, make, gcc o similares.

http://www.ecualug.org/?q=2007/02/09/comos/c_mo_instalar_el_mailscanner(1 de 2)01/02/2008 06:36:58 p.m.








Cómo instalar el MailScanner | EcuaLUG

Lo bueno es que el MailScanner te informará qué paquete debes instalar, si falla, lee el mensaje y ahi

te dirá precisamente qué hay que instalar. Por supuesto una vez lo instales, no te olvides de volver a

ejecutar ./install.sh para reintentar la intalación del mailscanner.

Con esto basta, al finalizar de instalar tenemos que ejecutar los siguientes comandos:

chkconfig sendmail offservice sendmail stop

chkconfig MailScanner on

service MailScanner start

No se te olvide ninguno de esos 4. Lo que hacemos es apagar y desactivar el sendmail. Porque el

mailscanner ahora se ocupa de encenderlo y apagarlo. Y en las dos ultimas lineas encendemos y

activamos el mailscanner para que siempre arranque.

No hay que volver a hacer uso del servicio sendmail, puesto que el mailscanner lo hace.

A partir de ahora si queremos apagar la mensajería ponemos: service MailScanner stop

el mailscanner apagará al sendmail. Si queremos reiniciar el sendmail lo hacemos desde el

mailscanner: service MailScanner restart

En fin, donde antes poníamos sendmail, ahora ponemos MailScanner

Si se te ocurriera arrancar independientemente el sendmail a través del servicio sendmail

ocurrirá que el sistema no procesará los correos puesto que estará actuando a la antigua. Es el

error más común que cometen las personas.

http://www.ecualug.org/?q=2007/02/09/comos/c_mo_instalar_el_mailscanner(2 de 2)01/02/2008 06:36:58 p.m.



Cómo instalar el spamassassin? | EcuaLUG

Cómo instalar el spamassassin?


Tan fácil o mejor que el clamav. Igualmente hay que tener el repositorio de DAG previamente

configurado. Emitimos el comando:

yum install spamassassin

Lo cual bajará el spamassassin de DAG.

RedHat distribuye un paquete de spamassassin pero es un poquito viejo, versión 3.0.x sin embargo

DAG se preocupa de mantener un paquete rpm con la última versión de spamassassin siempre.

Como el spam está continuamente haciendo esfuerzos por derrotar a los sistemas antispam, siempre..

así que es recomendable tener la última versión del spamassassin para mitigar este mal.

El spamassassin desde las últimas versiones es autoactualizable, esto es: permite que con un comando

podamos actualizar las reglas de detección de spam.

Para poder usar la autoactualización debemos primero instalar una serie de paquetes:

yum install perl-Archive-Tar perl-IO-Zlib perl-libwww-perl

Una vez instalados ellos 3 podemos invocar frecuentemente (yo lo hago una vez a la semana o cada

vez que me acuerdo) el comando:

sa-update

Con esto habremos actualizado los sistemas de detección de spam del spamassassin (Viene siendo

algo así como la BD de virus de los antivirus)

http://www.ecualug.org/?q=2007/02/09/comos/c_mo_instalar_el_spamassassin01/02/2008 06:37:44 p.m.






Cómo mejorar la detección del spamassassin? | EcuaLUG

Cómo mejorar la detección del spamassassin?


El sistema spamassassin previamente instalado podemos mejorarlo mediante una técnica de detección

de correos spam conocida como Razor.

Razor es un sistema de BD en internet al que podemos consultar con el fin de que nos informe si un

determinado correo tiene signos de ser spam o no. Es lo que llaman fingerprints de los correos,determinan por diversos parámetros si es o no spam.

Este sistema ayuda grandemente al spamassassin a mejorar la detección contra spam.

Instalación:

yum install perl-Razor-Agent razor-agents

Una vez instalado estos dos paquetes, que están en el repositorio de DAG, procedemos a registrarnos:

razor-admin -register

a veces el registro falla, no te preocupes, vuelvelo a intentar hasta que no falle.

No hay que hacer nada más, el spamassassin usará automáticamente al razor cuando lo encuentre.

http://www.ecualug.org/?q=2007/02/09/comos/c_mo_mejorar_la_detecci_n_del_spamassassin01/02/2008 06:38:03 p.m.






6- Hay que reconfigurar al MailScanner para que trabaje? | EcuaLUG

6- Hay que reconfigurar al MailScanner paraque trabaje?

Enviado por Epe el Sáb, 2007-02-10 10:00.

En verdad el mailscanner viene muy bien configurado por defecto, sin embargo con el tiempo y las

aguas hemos detectado que mejor sería si le reconfiguráramos algunas cositas.

El archivo principal de configuración es en el que me voy a centrar, editemos este archivo:

/etc/MailScanner/MailScanner.conf

veremos que está en el formato:

PARAMETRO=VALOR

El valor a veces puede ser un archivo, o ser true/false, yes/no, o simplemente estár vacío.

Está todo muy bien explicado, léelo de principio a fin y aprenderás muchas cosas.

yo me referiré sólo a algunos parámetros que considero necesarios, los expondré con el valor que a

mi me gusta poner:

Max Children = 2

A MailScanner le gusta poner 5 por defecto, me parece exagerado aún en un servidor con mediana

carga. Cada hijo consume 20MB de memoria y 5 hijos te comerán 100MB aprox.

Allow Password-Protected Archives = no

Para bloquear virus que envían zip encriptados.

Quarantine Infections = no

En realidad nunca en ya casi 5 años he tenido que mirar dentro del directorio de cuarentena.

http://www.ecualug.org/?q=2007/02/10/comos/6_hay_que_reconfigurar_al_mailscanner_para_que_trabaje(1 de 2)01/02/2008 06:38:23 p.m.






6- Hay que reconfigurar al MailScanner para que trabaje? | EcuaLUG

Deliver Cleaned Messages = no

Al momento los virus vienen sin contenido, pueden no enviarse y evitas trabajo por gusto.

Send Notices = no

Estas noticias son al postmaster, te llenarán el buzón de avisos que no te dejarán hacer nada más,cientos quizá miles de avisos de virus que estaban entrando.

Required SpamAssassin Score = 3.9

High SpamAssassin Score = 6

Spam Actions = deliver header "X-Spam-Status: Yes"

High Scoring Spam Actions = delete

Con estas 4 opciones le decimos al MailScanner que correos con puntaje superior a 3.9 seráncatalogados como spam y serán enviados al destinatario con un encabezado (X-Spam-Status: yes)

para que pueda ser detectado por el thunderbird. Además que irá con la marca {spam?}.

Todo correo que supere el valor de 6, será marcado como Alto riesgo, y será borrado.

De esta forma nos dejarán de llegar decenas, quizá cientos de correos de spam enseguida.

Log Spam = yes

Si no tienes un servidor muy cargado, puedes poner esta opción en yes, de esta forma guardará

estadísticas de por qué catalogó a cada correo como spam. Es bonito saber el por qué.

Con estas sencillas opciones mejoramos bastante el comportamiento de mailscanner.

Recuerda que cada vez que realices cambios en el MailScanner o en el sendmail tienes que reiniciar

el servicio de MailScanner y sólo el de MailScanner:


h l 6 h fi l il b j d 6

36776309 Prevenir El Spam Ecualog

Documents

Transcript of 36776309 Prevenir El Spam Ecualog