Prevenir El Spam - Ecualog

1- "greet_pause" como forma de prevenir el spam | EcuaLUG

1- "greet_pause" como forma de prevenir el spam

Enviado por Epe el Mié, 2007-02-07 14:42.

También conocida como greeting pause, es una técnica que se puede usar en sendmail para espantar a los spammers que no cumplan con una sencilla condición de respeto.

Veamos algo, cuando haces telnet al puerto 25 de tu máquina te sale algo así:

telnet IPDEMISERVER 25Trying IPDEMISERVER...Connected to mail.xyz.com (1.2.3.4).Escape character is '^]'.

La sesión no se ha iniciado completamente todavía, esto es, el servidor no te ha enviado el greet o bienvenida. La bienvenida es un mensaje que el servidor envía cuando ya está listo y dice así:

220 mail.xyz.com ESMTP Wed, 7 Feb 2007 14:23:26 -0500

Ahora, entre el primer cuadro y la bienvenida (segundo cuadro), pasan algunos segundos.

Un spammer no tiene tiempo para estar esperando varios segundos hasta que aparezca la bienvenida, y qué hace? Pues comienza a enviar los comandos antes de que aparezca la bienvenida. De esta forma ahorra tiempo.

Recuerda que el spammer no está enviando tu correo a 10 personas sino a decenas, cientos, quizá miles o millones de correos. Cada segundo que pierda es negocio malo para él, puesto que cada segundo que pierde aumenta la posibilidad de que le detecten y bloqueen.

Es por esto que los spammers no esperan al mensaje 220 conocido como greeting.

Los sistemas de correo SMTP legales, esperan pacientemente el tiempo que sea necesario hasta que aparezca el mensaje 220 y sólo entonces comienzan a enviar sus correos.

Qué podemos hacer?

http://www.ecualug.org/?q=2007/02/07/comos/centos/c...dmail/1_greet_pause_como_forma_de_prevenir_el_spam (1 de 3)31/01/2008 10:57:05 a.m.

http://www.ecualug.org/?q=user/epe



Podemos indicarle a nuestro sendmail que se moleste en demorar el inicio de sesión, el mensaje de bienvenida unos segunditos. Por ejemplo digamos 5 segundos.

Así que cuando abran una sesión al puerto 25, el sendmail nuestro demorará ese tiempo. Si alguien intenta escribir algún comando antes de ese tiempo, el sistema le dirá que no está permitido, le emitirá un fallo.

De esta forma muchos correos de spam sencillamente no llegarán, pues los spammers tienen sus sistemas de bulking preparados para enviar rapidamente y no esperar.

Ahora, qué puede suceder a futuro? Que los spammers comiencen a respetar el mensaje 220 y a esperar. Eso igual les afectará, por qué? porque si están enviando 10millones de mensajes y por cada uno tienen que esperar 5 segundos, entonces demorarán muchísimo tiempo lo que hará poco rentable el envío. El demorarles es efectivo en cualquier variante.

Cómo implementarlo?

edita /etc/mail/sendmail.mc y busca esta linea:

FEATURE(`access_db',`hash -T -o /etc/mail/access.db')dnl

Puede que en tu caso la linea varíe, pero la idea es que diga: access_db de feature.

Justo debajo de ésta linea pon:

FEATURE(`greet_pause', `5000')

Salva el archivo (sendmail.mc) y procede a recompilar el sendmail.cf; Nunca está de más hacer una copia previa del /etc/mail/sendmail.cf por si acaso algo te falla.

m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf

Reinicia tu sendmail.

Ahora verás que si haces un telnet al puerto 25 de tu máquina, el sendmail demorará unos 5 segs en aparecer con su greeting pause. Si escribes algo antes de esos 5 segs te dará un error, veamos el ejemplo:

# telnet mail.xyz.com 25Trying 67.15.12.90...Connected to mail.xyz.com (1.2.3.4).Escape character is '^]'.ehlo epe554 mail.xyz.com ESMTP not accepting messages



250-mail.xyz.com Hello [200.63.231.203], pleased to meet you250 ENHANCEDSTATUSCODESmail from: [email protected] 5.0.0 Command rejected

Es decir, antes del 220 emití un comando (ehlo) y el sistema entonces me cerró, me emite un 554 un mensaje de error. Tengo que cerrar la sesión y abrirla de nuevo.. y eso no le conviene a los atacantes.

Qué tiempo de demora sugerimos?

no 5 segs, quizá 2 ó 3 segs.. este valor puedes acomodarlo según necesites.

Fijate que se mide en milesimas: 5000 es 5segs, 2000 es 2 segs.

Cómo quitar la pausa para localhost?

Editamos /etc/mail/access y agregamos esta linea:

GreetPause:localhost 0

reiniciamos sendmail.

localhost casi nunca envía spam (somos nosotros mismos). por eso es bueno ponerlo como 0 espera pues lo usa el squirrelmail. Podrías listar otra red si necesitas. La idea es:

GreetPause:red tiempo

La red se lista como se acostumbra en el access de sendmail (192.168.1 por ejemplo, sería para la red 192.168.1.0/24)

Vamos, no es que el spam desaparezca con esto, lo que síte quitarás decenas quizá miles de máquinas impertinentes que envían locamente el spam.

Luego veremos otras medidas.


10- Cómo prevenir el spam de imágenes. | EcuaLUG

10- Cómo prevenir el spam de imágenes.

Enviado por Epe el Lun, 2007-03-26 21:57.

El spam de imágenes es ese en el cual te llegan los correos embebidos en una sola imagen (al momento) de forma tal que el sistema de bayesiana tiene poca info que tragarse. Y el spamassassin no puede determinar bien el objetivo del correo. Me explico:

muchas personas reciben faxes legales e imágenes de diverso tipo via email, no hay forma de determinar que es spam o no con tan solo ver que viene una imagen.

El crecimiento de éste tipo de spam ha sido grande, al momento a propósito la cantidad de correo spam que llega a los buzones es de aproximadamente el 77% de los correos y el de imagen es muy usado al momento. Éste artículo hace un análisis de eso: http://www.theregister.com/2007/03/26/image_spam/

En realidad la forma que hallamos más efectiva al momento es el uso del greylist combinado con el de greeting pause.. ya no me llegan spam de imágenes.

Sin embargo antes de descubrir ésta forma habían otras que sugiero implementar. Se llama imageinfo

Éste plugin de spamassasin, funciona al momento con spamsassassin 3.1.x y se puede descargar de éste sitio:

http://www.rulesemporium.com/plugins.htm

Ambos archivos (el .pm y el .cf) sugiero ponerlos dentro de /etc/mail/spamassassin:

cd /etc/mail/spamassassin wget http://www.rulesemporium.com/plugins/ImageInfo.pm wget http://www.rulesemporium.com/plugins/imageinfo.cf

Una vez lo hayamos bajado, en éste mismo directorio tenemos un archivo llamado init.pre lo editamos y al final agregamos:

loadplugin Mail::SpamAssassin::Plugin::ImageInfo /etc/mail/spamassassin/ImageInfo.pm

http://www.ecualug.org/?q=2007/03/26/comos/10_c_mo_prevenir_el_spam_de_im_genes (1 de 2)31/01/2008 10:58:32 a.m.



http://www.theregister.com/2007/03/26/image_spam/

http://www.theregister.com/2007/03/26/image_spam/

http://www.rulesemporium.com/plugins.htm

10- Cómo prevenir el spam de imágenes. | EcuaLUG

después reiniciamos el MailScanner:

service MailScanner restart

Listo, ahora tendremos activo un plugin que te ayudará a detectar ese correo con imágenes. No tiene muchos falsos positivos.

http://www.ecualug.org/?q=2007/03/26/comos/10_c_mo_prevenir_el_spam_de_im_genes (2 de 2)31/01/2008 10:58:32 a.m.

11- Qué es el SPF? (Sender Policy Framework) | EcuaLUG

11- Qué es el SPF? (Sender Policy Framework)

Enviado por Epe el Vie, 2007-03-30 12:08.

Una técnica ya no tan nueva, pero increíblemente poco usada. Es el Sender Policy Framework.

El SPF como le llamaré, busca como objetivo el poder informarle al servidor que recibe un correo si ese correo viene de un destino legítimo o no.

Por ejemplo: Cuántas veces no te ha pasado que te llega un correo de [email protected] pero que en realidad no ha sido hotmail.com quien lo envió?

Esto ocurre mucho, los spammers falsifican el FROM de los correos, envían correos spam desde digamos: China o Guayuaquil, y se hacen pasar por hotmail.com para evitar declarar su verdadera dirección.

Así fue como se concibió el protocolo SMTP, cualquiera podría enviar un correo desde cualquier servidor de SMTP, sea donde fuere que éste servidor estuviere. El objetivo no es burdo, tosco o malintencionado. Es por el bien de la internet. Supongamos lo siguiente:

Antiguamente, los servidores de internet te podían desaparecer por varias horas, incluso días, puesto que no era considerado algo prioritario como ahora. Entonces cómo enviabas tus correos? Pues te conectabas a otro servidor smtp y enviabas el correo con el FROM del servidor que estaba caído. No importa, los correos de respuesta llegarían a su destino (tu) tan pronto ese servidor caído se levantara, pero por lo menos enviabas correos.

Es por eso que el smtp se creó así. Los spammers lo han visto como la oportunidad de su vida para ocultar o dificultar el descubrimiento de quién envió el correo... hasta hoy.

El SPF se está implementando cada día en más dominios y sugiero que lo hagas con tu dominio también.

Veamos el escenario actual:

Desde el punto de vista de un servidor que recibe un correo:

Supongamos que tenemos un servidor smtp sendmail, que está recibiendo un correo desde alguien

http://www.ecualug.org/?q=2007/03/30/comos/11_qu_es_el_spf_sender_policy_framework (1 de 3)31/01/2008 10:59:17 a.m.




que clama ser hotmail.com (FROM [email protected]). Supongamos que éste servidor nuestro tiene activado verificaciones SPF.

Lo primero que haría el servidor nuestro es ver si ese dominio (hotmail.com) tiene un record SPF, para eso verifica el record TXT del dominio:

[root@laptop ~]# host -t txt hotmail.com hotmail.com text "v=spf1 include:spf-a.hotmail.com include:spf-b.hotmail.com include:spf-c.hotmail.com include:spf-d.hotmail.com ~all"

Oh sí, lo tiene! Dentro de un rato veremos qué es lo que dice ese record. Pero lo tiene.

Si acaso no tuviera el record TXT con el spf (el SPF se define en el record TXT del dominio), entonces se considera un SPF neutro y no hay forma de validar si es o no un spammer.

Como sí lo tenemos, el servidor nuestro procede a verificar si la IP que envía el correo haciéndose pasar por hotmail.com está entre la lista de IPs autorizadas por éste record SPF de hotmail.

Si estuviera entre la lista de IPs autorizadas por el record TXT de hotmail.com, se le puede dejar pasar con confianza. Si no fuera una IP autorizada, se le podría marcar como spam o asignarle algún valor tendiente a considerarlo como spam.

Ahora veamos desde el punto de vista de nosotros, como clientes válidos, que estamos enviando correos a un servidor remoto

Supongamos que estamos enviando un correo a gmail.com desde nuestro dominio: [email protected] (lo escojo porque ya ellos tienen SPF activado).

Supongamos que gmail.com revisa (y en efecto lo hace) los records SPF de los dominios que les envían correos.

Nuestro legítimo servidor de satnet se conectará a gmail, le dirá que tiene un correo desde [email protected] y el servidor de gmail lo que hará será verificar los records TXT de uio.satnet.net que al día de hoy son estos:

[root@laptop ~]# host -t txt uio.satnet.net uio.satnet.net text "v=spf1 ip4:200.63.212.96/29 -all"

Bien, como satnet tiene SPF declarado, gmail verificará si la IP que envía el correo es la autorizada por satnet. Si lo fuera, no será considerado spam. Si no lo fuera, será catalogado como tal.

Qué sucede si no tenemos records TXT declarados con SPF? Nadie podrá saber si alguien que use tu dominio para enviar un correo es legítimo o no. Podrías por lo tanto estar propenso a ser catalogado



como spammer según otras técnicas que pueden equivocarse.

No te has fijado que hotmail.com cataloga mucho correo válido como junk (spam)? Eso es porque no sabe verdaderamente si es o no es, y porque sus filtros parecen no ser muy buenos.

Te comento, eso me pasaba mucho a mi, y desde que implementé SPF, ya mis correos llegan correctamente a hotmail. Porque hotmail sabe que yo soy yo y tiene más confianza.

Por qué usar SPF en tu dominio?

Porque no serás bloqueado por los sistemas de greylisting que soporten SPF. El greylisting acostumbra a dejar pasar a los servidores que tengan SPF declarado, sin demora alguna!

Porque los servidores que reciban tus correos sabrán a ciencia cierta que eres una persona que envía un mail legítimo y tendrás poquísimas opciones de ser catalogado como spammer.

Qué pasaría sí los spammers comienzan a usar spf?

Tendrán que enviar correos desde un FROM que es de ellos, desde un dominio que es de ellos, y no podrán ocultar o disimular el FROM, así que se delatarían mucho mucho más fácilmente y se podría actuar legítimamente contra ellos de una forma más cómoda. Ojalá lo comiencen a usar!

Quién ya implementa SPF?

en el país, conozco de satnet quito y guayaquil , puntonet, ecualinux.com (yo) y así día a día se irán sumando más personas puesto que en verdad ayuda, tanto para que recibas como para que envíes correos. Si conoces de alguien más que tenga SPF no dudes en listarlo.

El spammer comenzaría a retroceder, hemos notado que ya no nos llega mucho spam de satnet o de puntonet (con direcciones email de ellos) esto es porque nuestro sistema detecta que es un correo ilegítimo y lo bloquea.

Por favor cualquier pregunta o sugerencia no dudes en postearla, para así ir aclarando el tema, pero créeme, es bastante bueno este sistema.


Cómo usar el SPF desde el punto de vista de cliente (nosotros enviando mails)? | EcuaLUG

Cómo usar el SPF desde el punto de vista de cliente (nosotros enviando mails)?


En los DNS de tu dominio declaras un record TXT en tu dominio (todo sistema de manejo de DNS te debe permitir crear un record TXT.

Veamos algunas variantes de cómo declararlo:

host -t txt eurosolutions.net v=spf1 a mx -all

Esta forma indica que los que pueden enviar correos a nombre del dominio eurosolutions.net son: v=spf1 : usa la versión 1 del spf (hay otra pero no la he usado). a : todos los records A que tenga el dominio mx : todos los servidores que reciben correos para el dominio (mx) -all : Nadie más excepto los antes descritos pueden enviar. Considérese definitiva la respuesta (es decir, en serio que nadie más).

Veamos otro caso:

host -t txt hotmail.com hotmail.com text "v=spf1 include:spf-a.hotmail.com include:spf-b.hotmail.com include:spf-c.hotmail.com include:spf-d.hotmail.com ~all"

include:...... : Esto indica que además se debe considerar como autorizados, a los records TXT de esos dominios (spf-a.hotmail.com spf-b.hotmail.com, etc, etc). Es como una forma de extender fácilmente los records SPF

~all - Algo así como: todavía tengo dudas de que éste sea todo el universo de permisos. Acepta el mail, pero márcalo como posible spam. Es usado como una forma de transición entre el no tener spf y tenerlo. Es usado cuando consideras que cualquiera puede enviar correos desde tu dominio desde cualquier lugar. Sugiero no usarlo.

Veamos otro:

http://www.ecualug.org/?q=2007/03/30/comos/c_mo_usar...l_punto_de_vista_de_cliente_nosotros_enviando_mails (1 de 2)31/01/2008 11:00:05 a.m.



Cómo usar el SPF desde el punto de vista de cliente (nosotros enviando mails)? | EcuaLUG

host -t txt uio.satnet.net uio.satnet.net text "v=spf1 ip4:200.63.212.96/29 -all"

Aquí dice: ip4 : Esto es, las siguientes IPs son las autorizadas a enviar correos a nombre de éste dominio -all : nadie más!

Así hay muchísimos ejemplos. Yo por mi parte te sugiero leas el significado de las diversas opciones en: http://www.openspf.org/SPF_Record_Syntax

Por mi parte te sugiero uses éstas opciones:

Si todavía no estás muy seguro de si el SPF es para tí o no (cosa que no deberías dudar), usa esto:

text "v=spf1 a mx ~all"

Significa: cualquier mx que tenga declarado mi dominio así como cualquier record A que tenga declarado. Ellos solamente (-) podrán enviar correos de mi dominio.

Si ya estás seguro que el spf es lo adecuado y que no te causó problemas usa esto:

text "v=spf1 a mx -all"

Significa: cualquier mx que tenga declarado mi dominio así como cualquier record A que tenga declarado. Pienso (~) que ellos son los únicos que podrán enviar correos de mi dominio pero no excluyas a otros, sólo considéralos más peligrosos.

http://www.ecualug.org/?q=2007/03/30/comos/c_mo_usar...l_punto_de_vista_de_cliente_nosotros_enviando_mails (2 de 2)31/01/2008 11:00:05 a.m.

http://www.openspf.org/SPF_Record_Syntax

Cómo usar el SPF en nuestro servidor (para revisar correos que nos llegan) | EcuaLUG

Cómo usar el SPF en nuestro servidor (para revisar correos que nos llegan)


Supongo ya tengas instalado el spamassassin y el mailscanner. Entonces nos centraremos en hacerle algunas adiciones y cambios al spamassassin.

Prefiero que sea el spamassassin quien revise los records TXT y le asigne valores a los correos entrantes. Si usan -all en un dominio y el correo viene de otro lado no autorizado el spamassassin lo castiga durísimo. Si usan ~all spamassassin sólo pondrá mayor interés en el correo, pero no podrá decidir en definitiva.

Es por eso que sugiero el uso de -all

Bueno instalemos éste peque rpm del repositorio de rpmforge (DAG):

yum install perl-Mail-SPF-Query

con esto le permitiremos al spamassasin que realice preguntas sobre SPF.

Ahora editamos /etc/mail/spamassassin/init.pre y verificamos que una línea que se refiere al SPF esté deshabilitada:

# SPF - perform SPF verification. # loadplugin Mail::SpamAssassin::Plugin::SPF

Fíjense que no tiene comentarios (#) al inicio

Reiniciamos el MailScanner:


y listo, ya está listo, nuestro spamassassin verificará el SPF, si quieres mira los logs y comenzarás a ver puntos asignados por SPF.

http://www.ecualug.org/?q=2007/03/30/comos/c_mo_usar...uestro_servidor_para_revisar_correos_que_nos_llegan (1 de 2)31/01/2008 11:00:29 a.m.



Cómo usar el SPF en nuestro servidor (para revisar correos que nos llegan) | EcuaLUG

http://www.ecualug.org/?q=2007/03/30/comos/c_mo_usar...uestro_servidor_para_revisar_correos_que_nos_llegan (2 de 2)31/01/2008 11:00:29 a.m.

2- Cómo prohibir conexiones desde ciertos sitios en listas negras? | EcuaLUG

2- Cómo prohibir conexiones desde ciertos sitios en listas negras?


Una lista negra es un sitio donde se guardan (listan) las IPs o redes que están reconocidamente enviando spam.

Muchas personas se quejan de que pueden generar falsos positivos y es cierto. Es más a veces puede pasar, pero las listas negras son un gran recurso para bloquear a esos spammers persistentes que no se cansan de usar o abusar de una misma IP.

Como recomendación, si estás en una lista negra, no pienses que es el fin del mundo, sencillamente hay que, antes de deslistarte, determinar la causa que provocó que ahi cayeras, eliminarla, y entonces deslistarte.

A mi me ha pasado algunas veces y es porque algunos usuarios piensan que lo que ellos envían no es spam, los otros sí. Es como cuando te llevas un semáforo, no hicistes nada malo. Ahora, que se lo lleve otro cuando tenías la verde.. de hijoeputa palante le dices de todo al pobre que tampoco pensó que era malo.

El spammer es como el preso, qué preso está legítimamente preso? Todos están presos de forma misteriosamente poco clara, no tenían la culpa, otros los pusieron ahi, ellos no hicieron nada.

Qué listas negras usar?

Sugiero estas tres:

http://www.spamhaus.org

www.sorbs.net

www.spamcop.net

spamhaus es sumamente efectiva y detecta una cantidad inmensa de potenciales spammers.

Ahora, spamcop es buena por una cosa, te permite reportar al spammer.

Acaso no te ha llegado spam de algún honorable diputado? y de algún hotel de quito? y de un instituto para enseñarte a bordar y soldar? y de una empresa que vende camarones al por mayor? Y a mi QUE C.. me importan sus correos promocionales o como les llamen?

Pues bien, con spamcop puedes reportar esos correos y spamcop bloqueará la IP que generó ese correo. Así los proveedores proceden a respetar un poco más a los otros usuarios y sacan al spammer.

Cómo agregarlas?

Aunque hay varias formas de agregarlas, sugiero hacerlo en el sendmail directamente aunque otra forma es a través del mailscanner.

Agregándolas directamente al sendmail hará que el sendmail rechace hablar con cualquier IP listada.. y esto provocará que los

http://www.ecualug.org/?q=2007/02/07/comos/centos/c_m...bir_conexiones_desde_ciertos_sitios_en_listas_negras (1 de 3)31/01/2008 11:00:51 a.m.



http://www.spamhaus.org/


proveedores de internet se vean en problemas al ser bloqueados y tomen acciones contra el spammer inmediatamente.

Editemos /etc/mail/sendmail.mc y busquemos una linea que diga así:

FEATURE(delay_checks)dnl

Justo debajo de ésta linea agregamos lo siguiente (sugiero que copies y pegues):

FEATURE(`dnsbl',`dul.dnsbl.sorbs.net',`"554 Rejected " $" - see http://www.sorbs.net/lookup.shtml?"$')dnlFEATURE(`dnsbl',`nomail.rhsbl.sorbs.net',`"554 Rejected " $" - see http://www.sorbs.net/lookup.shtml?"$')dnlFEATURE(dnsbl, `sbl-xbl.spamhaus.org', `"554 Rejected - see http://www.spamhaus.org/query/bl?ip=+"$')dnlFEATURE(`dnsbl', `bl.spamcop.net', `554 Rejected - see http://spamcop.net/')dnl

Al terminar procedemos a generar el nuevo .cf:


Nunca está de más hacer una copia previa del sendmail.cf

Una vez generado, procedemos a reiniciar nuestro sendmail.

Cómo verifico que funcione?

Mira dentro de /var/log/maillog por unos minutos, comenzarás a ver mensajes así:

tail -f /var/log/maillog....Feb 7 14:58:46 srv4 sm-acceptingconnections[19271]: l17Jwf3t019271: ruleset=check_rcpt, arg1=, relay=23.230.adsl.brightview.com [80.189.230.23], reject=554 5.7.1 Rejected - see http://www.spamhaus.org/query/bl?ip=+80.189.230.23...

En este ejemplo fue bloqueado por spamhaus, ni siquiera se le dió oportunidad de iniciar una sesión para enviar el correo, se le bloqueó.

Algunas estadísticas

Aquí muestro algunas estadísticas de todos los mails capturados por las diferentes listas en esta semana que pasó:

grep -c spamcop maillog.1 1553

grep -c sorbs.net maillog.1 12381

grep -c spamhaus maillog.1



7332

Al menos evité unos 20mil correos que llegaran a mis usuarios. No es un record, pero al menos ayuda a descongestionar el servidor.

Sorbs tuvo buen servicio porque es el primero que tengo en la lista, y por sorbs se bloquean los primeros.. sólo si en sorbs no está se bloquean en spamhaus y únicamente si no están ni en sorbs ni en spamhaus, entonces se bloquean por spamcop. Porque en ese orden lo puse.

Spamcop es buenísimo, sobre todo cuando le ayudamos con reportes.


Cómo reportar spam a spamcop? | EcuaLUG

Cómo reportar spam a spamcop?


Esta es una de las grandes ventajas de spamcop el que permite que le reportes los spams que recibes.

Lamentablemente muchos sistemas antispam todavía no están preparados para prevenir el spam en español. Seguro no te gusta un correo todos los días que diga:

LAS MEJORES SECRETARIAS . publcidad . uvt82

Décimo Segundo Congreso Latinoamericano de Asistentes Gerenciales y Secretarias

LAS ASISTENTES GERENCIALES Y EL CLIENTE INTERNO Y EXTERNO

....LO MEJOR DEL MANAGEMENT 2007 HOTEL SOL DE ORO 20 y 21 de Marzo de 2007

.

.

. porque no soy secretaria, ni he solicitado esto, que además es en Perú y tiene las trazas del spam: "publcidad . uvt82"

Este correo vino de terra.com.pe y está viniendo mucho correo de ahi. Parece que las personas de terra no se preocupan por sacar al spammer.

Qué podemos hacer?

Podemos ir a spamcop.net y crearnos una cuenta. Vamos donde dice: REPORT SPAM y abajo dice: Register now.

Al registrarte, spamcop te enviará una dirección de correo a la cual le podrás reenviar todos esos correos de spam.

Es una dirección medio larguita, por eso debes ponerla en tu libreta de direcciones. En mi caso luce así (he alterado los valores pues cada quien tiene su propia dirección):

[email protected]

http://www.ecualug.org/?q=2007/02/07/comos/c_mo_reportar_spam_spamcop (1 de 2)01/02/2008 06:35:18 p.m.



http://www.spamcop.net/

Cómo reportar spam a spamcop? | EcuaLUG

Yo llego todas las mañanas, tomo la lista de correos spam que tenga (a veces uno o dos, a veces ninguno, a veces más) y les hago un forward, a la vez a todas, las marco todas y las reenvío para ese correo que spamcop me ha dado.

Una vez spamcop las reciba, te devolverá un correo con un enlace por cada correo que hayas enviado, ese enlace te permitirá verificar que el correo es spam y confirmar tu reporte. Al tu confirmar el reporte, spamcop procederá a bloquear esa IP.

Bueno, inicialmente no la bloquea sino que intenta contactarles, si no responden o actúan, les bloquea por un cierto tiempo.

así se ve el reporte de este curso de secretarias:

Y listo. Si muchas personas reportamos a spamcop le ayudamos a mejorar su nivel de detección y ayudamos a bloquear a todos esos ISP nacionales o no que envían spam descaradamente o que permiten que sus usuarios envíen.

http://www.ecualug.org/?q=2007/02/07/comos/c_mo_reportar_spam_spamcop (2 de 2)01/02/2008 06:35:18 p.m.

3- greylisting | EcuaLUG

3- greylisting


Una técnica ya un poco vieja pero muy efectiva es el greylisting. El greylisting se propuso en Julio del 2003 por Evan Harris.

El Greylisting es increíblemente fácil de mantener y no genera falsos positivos lo que lo hace muy deseable, además el greylisting reduce el número de spams entrantes hasta en unas 10 veces.

En efecto, para muchos el greylisting puede parecer una técnica muy fácil de evitar por parte de los spammers pero no es así, en efecto tiene una gran efectividad ante el spam.

Qué es el greylisting?

Greylisting funciona porque los spammers y gusanos para poder enviar sus correos de la forma más rápida usan atajos que no se atienen a cómo funciona el sistema de correos SMTP. Por ejemplo, ellos sólo intentan enviar los mensajes una vez, si falla el envío, descartan el mensaje y no es así como funciona el servicio de SMTP que sí reintenta los correos.

Es aqui donde greylisting actúa, en la característica de los spammers de no encolar los mensajes con fallos temporales como debe hacerse, para reintentar luego. El spammer no tiene tiempo de reintentar. Los servidores legales sí reintentan durante horas y días hasta que lo envían. El spammer si no puede a la primera no se preocupa mucho, sigue con las siguientes direcciones.

El problema es que implementar el reenvío complica el sistema de correos y carga el sistema de correos de la máquina que envía, el spammer no tiene tiempo para reintentar, no tiene tiempo para encolar, no quiere pues eso le demora.

El greylisting genera una tripleta de cada conexión que recibe guarda la IP, el que envía y el que recibe, por eso se llama tripleta. Esta tripleta se guarda en la BD. Si la tripleta no existe en la base de datos (BD) entonces es negada la conexión con un error 400 (error temporal), el mensaje entonces será reintentado por parte del servidor smtp un tiempo luego. Por supuesto el spammer nunca reintentará y ahi está la ventaja del greylisting.

Este rechazo dura normalmente media hora. Media hora después, el correo es aceptado. El spammer nunca reintentará, repito: aqui está la ventaja nuestra.

http://www.ecualug.org/?q=2007/02/07/comos/centos/c_mo_prevenir_el_spam_con_sendmail/3_greylisting (1 de 3)01/02/2008 06:35:37 p.m.




Una vez pasada la media hora el correo se envía y esa tripleta se guarda como confiable. Es decir, no vuelve a ser rechazada durante un determinado tiempo (3 días por defecto). si en ese periodo ventana de aceptación se vuelve a enviar un correo desde esa tripleta, entonces se vuelve a extender el tiempo durante 3 días.

Pros:

Principalmente es su efectividad, es altamente efectivo. Además de su bajo mantenimiento, en verdad una vez bien configurado no hay que darle mucho mantenimiento cosa que agradecerán los administradores que casi siempre andan sobrecargados de trabajo. No requiere de actualizaciones de plugins ni de nuevos virus ni patrones ni nada.. sencillamente va actualizando su base de datos con cada conexión

Puede ocurrir el caso de que un spammer envíe más de un correo, lo que hará que seguramente los siguientes correos lleguen. Sin embargo esto tiene un beneficio. Durante el periodo de rechazo inicial, le damos tiempo a las listas negras, razor, dcc, etc, a actualizar la IP del spammer y entonces el correo sería detectado vía estos sistemas de detección de spam pues ha pasado tiempo suficiente. Además se obligaría así al spammer a enviar varios correos, cosa que no les conviene pues ellos tienen el tiempo contado para enviar el spam.

Contras:

Bueno, no todo es perfecto y el greylisting tiene algunos contras, uno muy muy duro de sobreponer y es que en efecto todo correo inicial de una tripleta que llegue será rechazado: el primer mensage desde un origen hacia un destino será rechazado. En la mayoría de los casos tomará entre 20 y 40 minutos en llegar ese primero mensaje. Si ambos usuarios están al teléfono cuando el correo se envíe, notarán que el correo no llegará. A mi me ha pasado muchas veces y es duro explicarle a los usuarios el por qué, puesto que ya te llaman predispuestos y enojados sobre el tema.

Lo curioso es que si intentan enviar el correo digamos unos 30 minutos después, ese correo llega, sin embargo el primero no. Porque el primero está encolado para ser reintentado. Y eso les enoja aún más pues piensan que "algunos" correos se están perdiendo. Lo que les termina de excitar negativamente es que quizá 40 minutos después llega el primero, después de haber llegado el segundo, ahi los gritos los oirán en el cielo.

La parte positiva es que si tienes un usuario intransigente, greylist te permite ponerlo en una lista de exluidos esto es: a él no se le demorarán los mails.. pero le llegará más spam.

Lo negativo es que el usuario que más se queja, es el que más se queja por todo. Así que te dirá: sí, reparaste eso de los envíos demorados, pero ahora me llega mucho spam. La idea siempre es: protesto ante todo.

Algunas implementaciones de greylisting tienen un modelo de aprendizaje, es decir, puedes ponerlo a aprender (sin rechazar) cuáles son las IPs desde donde más recibes correos, y después activar el greylist.. de esta forma puedes minimizar las quejas iniciales.



Los mails salientes pueden ser demorados también, por el callback que implementan algunos SMTP, callback es ese correo que te llega poco después de haber enviado un mail a un destinatario, en el cual te piden que confirmes que eres un ser humano haciendo click en una dirección, etc, etc, etc.. bueno, este correo será demorado por el greylisto.. y enojará al usuario.

Los callbacks están destinados a morir por los problemas que introducen, los usuarios no esperan tener que confirmar su mail. Además que el SPF ayuda mucho a luchar contra ese tema. A medida que el SPF crezca en uso, disminuirá el uso de callbacks.

El grave problema es cuando no se envían correos desde una IP sino desde múltiples. Como por ejemplo hotmail, yahoo o gmail, estos servidores se conectan desde diferentes IPs, quizá el primer intento se hace desde una IP y los subsiguientes desde otras, lo que afecta a las tripletas ya que serán diferentes IP.

A este efecto se puede mantener una lista blanca, y se mantiene una lista blanca de los servidores que usan ésta técnica. Otra forma que uso es blanquear la red clase C completa (/24) en vez de una tripleta por IP usar una tripleta por red.

Qué hacen los spammers?

No podemos pensar que los spammers se quedarán impávidos ante ésta situación. Quizá algunos esperen que sean tantas las situaciones negativas que no se efectivice el uso del greylisting.

En efecto algunos spammers ya han implementado el reintento, sin embargo como ya comentamos, esto no le conviene al spammer puesto que le demorará el reenvío y con eso podrán ser detectados mucho más fácilmente. En realidad no muchos lo han implementado ni lo implementarán el reintento puesto que les afecta en verdad.

Bibliografía:

http://greylisting.org/ -- Mucha más información sobre greylisting

http://spf.pobox.com/ -- Sender Policy Framework (SPF) es una tecnología que prevendrá la falsificación de direcciones, se puede usar en colaboración con el greylisting.


http://greylisting.org/

http://spf.pobox.com/

4- Instalando milter-greylist en CentOS | EcuaLUG

4- Instalando milter-greylist en CentOS


milter-greylist es un milter muy fácil de instalar en CentOS, que seguramente te ayudará a evitar el spam, te lo garantizo.

Lo podemos bajar desde: http://centos4.centos.ec o http://centos5.centos.ec ahi siempre trato de mantener la última versión del milter-greylist.

Una vez lo tengamos abajo podemos instalarlo:

rpm -Uvh milter-greylist*.rpm

Al finalizar de instalarlo, debemos agregar la siguiente config al sendmail.mc debajo de FEATURE access poner:

FEATURE(`milter-greylist')dnl

Después debemos recompilar el sendmail.cf:


Además debemos cambiar el dueño del directorio /var/milter-greylist (crear el directorio si no existe):

chown smmsp.smmsp /var/milter-greylist -R

Ahora sí, procedamos a editar el /etc/mail/greylist.conf

Está mayormente configurado, sólo sugiero las últimas dos líneas cambiarlas de forma que se vean así:

acl greylist list "grey users" delay 3m autowhite 3dacl greylist default delay 3m autowhite 5d

La última linea, por precaución viene usualmente configurada como: whitelist, en vez de greylist, lo que hace que el greylist si es activado por error, funcione aceptando todo. Cosa que no es lo que

http://www.ecualug.org/?q=2007/02/07/comos/4_instalando_milter_greylist_en_centos (1 de 2)01/02/2008 06:35:53 p.m.



http://centos4.centos.ec/

http://centos5.centos.ec/

4- Instalando milter-greylist en CentOS | EcuaLUG

queremos.

Arranquemos el milter:

service milter-greylist startchkconfig milter-greylist on

y reiniciemos el sendmail:

service sendmail restart

Recuerda que si usas MailScanner no debes reiniciar sendmail. Reinicia MailScanner

Listo, en teoría todo estará funcionando, dale una miradita a /var/log/maillog y prueba enviandote unos correos.

En este ejemplo estamos bloqueando los mails por 3 minutos y después autoblanqueándolos por 5 días, de esta forma los usuarios solo reciben el primero demorado.

Recuerda que si durante esos 5 días llega otro correo del mismo lugar, entonces el autowhitelisting nuevamente dejará por 5 días pasar mails. De esta forma si hay un intercambio fluido de correos, los usuarios no notarán la demora.

http://www.ecualug.org/?q=2007/02/07/comos/4_instalando_milter_greylist_en_centos (2 de 2)01/02/2008 06:35:53 p.m.

5- Cómo revisar los correos contra spam, virus y contenidos maliciosos? | EcuaLUG

5- Cómo revisar los correos contra spam, virus y contenidos maliciosos?


Este es el objetivo, que los correos que lleguen sean revisados contra spam y contenidos maliciosos, así como viruses.

Te explico un poco cómo funciona sendmail:

Sendmail es el MTA, el cuál se ocupa de recibir los correos que llegan a tu server o que van a salir de tu server. El sendmail trabaja en el puerto 25.

Una vez un correo es recibido por el sendmail, éste verifica: 1- Está el dominio listado en el archivo local-host-names ? Si está listado lo entrega al procmail (Local Delivery Agent) el cual se encarga de depositarlo ya sea en el mailbox o en el maildir del usuario.

2- Si no está listado en local-host-names, entonces verifica si la IP que envía el correo está permitida usarle de relay, esto es en el archivo access.

3- Si está permitido en el access procede a realizar todos los pasos necesarios para entregar el correo al servidor de destino.

Es así como funciona el servicio de SMTP del MTA sendmail. Ahora, mejoremos las palabras: Es así como funcionaba normalmente.

Cuando se creó el protocolo smtp no se hicieron provisiones para virus o spam; males que llegaron mucho después, años después de haberse creado. El sendmail ha evolucionado para mitigar un poco el spam, pero el sendmail es un sistema MTA que obedece al protocolo SMTP y no hay provisiones en ese protocolo para esos males.

Cómo podemos evitar esto? Bueno, una posible solución que plantearé aqui y consiste básicamente en no permitir que el sendmail envíe los correos que recién acabe de recibir. Esto es, que los deposite temporalmente en una cola hasta que sean revisados.

Para esto, usaremos dos procesos de sendmail.

http://www.ecualug.org/?q=2007/02/09/comos/5_c_mo_r..._correos_contra_spam_virus_y_contenidos_maliciosos (1 de 3)01/02/2008 06:36:13 p.m.




El proceso 1 escuchará en el puerto 25, todo lo que llegue a este proceso será depositado en una cola (directorio) llamada: /var/spool/mqueue.in sin hacer nada más, sólo los irá depositando ahi.

El proceso 2 estará vigilando otro directorio, llamado /var/spool/mqueue en cuanto él vea que hay algún correo esperando en este directorio (cola) lo tomará y lo despachará hacia su destino, ya sea un destino local o remoto.

He de hacer notar la diferencia. El proceso 1 escribe hacia /var/spool/mqueue.in y el 2 lee desde OTRO directorio llamado /var/spool/mqueue

A los correos hay que hacerle una operación muy sencilla y es: tomarlos de mqueue.in, revisarlos contra virus, spam y contenidos maliciosos y, sí están limpios, moverlos hacia mqueue

Para este proceso de chequeo, usaremos un programma, llamado MailScanner el cuál se ocupa de hacer precisamente esto. Tomar de la cola mqueue.in, revisar los correos y moverlos a la cola mqueue

Tan simple como esto.

El MailScanner se caracteriza por ser un sistema que se apoya en otros para poder realizar todo el proceso de verificación de los correos.

Contenido Malicioso: Lo revisa directamente él con técnicas propias de los autores. Este contenido puede ser phishing, web bugs, iframes en correos, formularios, y algún que otro contenido dañino. Por esta razón es bueno usar el mailscanner porque detecta implícidamente contenido malicioso.

Virus: Para esto el MailScanner se apoyará en algún sistema antivirus que podamos tener. Realmente los virus no son el mayor problema en estos momentos, pero siempre hay algún que otro que los envía así que es bueno verificarlos. El MailScanner es capaz de utilizar una veintena de diferentes antivirus comerciales o no. Pero específicamente uso uno, el clamav desde hace unos 4 años y jamás he tenido un problema con él del que me tenga que quejar.

Spam: Este es su fuerte, el MailScanner aplica diversas técnicas para detección del spam, pero fundamentalmente se basa en revisar los correos con el spamassassin, al spamassassin le corresponde determinar mediante un puntaje si el correo es spam o no. El MailScanner toma ese puntaje y puede tomar diversas medidas.

MailScanner tiene dos limites o cotas para determinar si un correo es spam. La cota inferior por defecto es de un valor de 6 y la cota superior (alta) es de un valor de 10.

Todo correo que no llegue a la cota inferior, no es clasificado como spam

Todo correo que supere la cota inferior, es marcado con la palabra {spam?} y es entregado a su destino. Es como una luz de alerta, amarilla, para advertir de que puede que sea spam.


http://www.mailscanner.info/

http://www.clamav.net/


Todo correo que supere la cota superior, por defecto es tratado como los correos de la cota inferior (marcado y entregado) sin embargo les indicaré en el proceso de configuración cómo hacer para borrarlo. Yo sugiero que todo correo que haya superado la cota superior sea borrado pues es casi 100% spam.

El spamassassin hace uso de las listas negras, por lo que es muy efectivo, además de otras técnicas que aqui explicaré.

Recuerden que en todo caso, la lucha antispam es dura y tenemos que estar todos los días alertas para ver nuevas técnicas a alicar.


Cómo instalar el clamav? | EcuaLUG

Cómo instalar el clamav?


Suponiendo que ya has instalado el repositorio de DAG podemos proceder a instalar el clamav mediante el comando:

yum install clamav

Una vez instalado nunca está de más actualizarlo: freshclam

Como propaganda: ayudo a las personas de clamav a distribuir las actualizaciones para América así que cuando hagas un freshclam acuérdate que estamos ayudándote y ayudando a clamav como agradecimiento por tan buen servicio de parte de ellos.

El clamav está lamentablemente disponible en dos repositorios al momento, uno es en DAG y otro es en el de karan, así que si tienes ambos repositorios, seguramente el sistema yum te dirá que ha ocurrido un conflicto. Te sugiero que si esto te pasa, edites /etc/yum.repos.d/kbs*.repo y agregues a cada repo de karan la siguiente línea:

exclude=clamav*

Esto es para que el yum no use el clamav de karan. Así usará solamente el de dag.

Cada archivo kbs* puede consistir de varios repos, es a cada repo al que hay que agregarle. Puedes determinar un repo de otro pues cada repo comienza con la palabra [nombredelrepo] entre corchetes.

Por ejemplo:

[kbs-CentOS-Extras]

Clamav es muy fáci de instalar y de actualizar, pues con:

yum update

Tendremos siempre la última versión de clamav actualizadita, por varios años más.

http://www.ecualug.org/?q=2007/02/09/comos/c_mo_instalar_el_clamav (1 de 2)01/02/2008 06:36:33 p.m.



http://www.ecualug.org/?q=2006/03/30/comos/centos/c_mo_usar_el_repositorio_de_dag_en_nuestro_centos

Cómo instalar el clamav? | EcuaLUG

MailScanner se ocupará de invocar cada una hora al comando freshclam, así que no te preocupes, mailscanner actualiza la BD de clamav mediante esta invocación cada hora.

http://www.ecualug.org/?q=2007/02/09/comos/c_mo_instalar_el_clamav (2 de 2)01/02/2008 06:36:33 p.m.

Cómo instalar el MailScanner | EcuaLUG

Cómo instalar el MailScanner


Primero que todo, por favor, antes de instalar el mailscanner asegúrate de que tengas correctamente instalado y configurado y funcionando el sendmail.

Repito de otra forma: no instales el mailscanner sin antes haber usado al menos unos minutos el sendmail solo, instalado y usado el sendmail.

Por qué? porque ya sé que vendrán con las típicas preguntas y comentarios de "no funciona" el mailscanner no es el que funciona o no, cuando tengas un problema en tu correo casi siempre será culpa del sendmail que no está bien instalado. Es por eso que es lo ultimo que hay que hacer.. instalar el mailscanner.. sólo se hace después de haber tenido funcionando el sendmail para que no tengas dudas del mailscanner y para que sepas que el sendmail te funciona.

Ahora sí, cómo instalamos el mailscanner?

Nos llegamos por mailscanner.info, en la sección de downloads veremos varios archivos para bajar. El primer TGZ que aparece dice:

for RedHat, Fedora and Mandrake Linux (and other RPM-based Linux distributions)

Esta es la versión que bajamos.

Es un tgz que cuando lo tengamos abajo tenemos que abrirlo, entrar al directorio y proceder a ejecutar la instalación:

tar -zxf MailScanner*.tar.gzcd MailScanner*./install.sh

El autor del mailscanner no distribuye los rpm, sino el código fuente en formato src.rpm por lo que el script ./install.sh lo que hará será crear los rpm para tu centos basándose en estos src.rpm.

El proceso tomará un tiempo. Si el proceso fallare es casi seguramente porque te falta alguna herramienta (paquete) de compilación. Típicamente el patch, make, gcc o similares.

http://www.ecualug.org/?q=2007/02/09/comos/c_mo_instalar_el_mailscanner (1 de 2)01/02/2008 06:36:58 p.m.



http://www.mailscanner.info/

Cómo instalar el MailScanner | EcuaLUG

Lo bueno es que el MailScanner te informará qué paquete debes instalar, si falla, lee el mensaje y ahi te dirá precisamente qué hay que instalar. Por supuesto una vez lo instales, no te olvides de volver a ejecutar ./install.sh para reintentar la intalación del mailscanner.

Con esto basta, al finalizar de instalar tenemos que ejecutar los siguientes comandos:

chkconfig sendmail offservice sendmail stopchkconfig MailScanner onservice MailScanner start

No se te olvide ninguno de esos 4. Lo que hacemos es apagar y desactivar el sendmail. Porque el mailscanner ahora se ocupa de encenderlo y apagarlo. Y en las dos ultimas lineas encendemos y activamos el mailscanner para que siempre arranque.

No hay que volver a hacer uso del servicio sendmail, puesto que el mailscanner lo hace.

A partir de ahora si queremos apagar la mensajería ponemos: service MailScanner stop

el mailscanner apagará al sendmail. Si queremos reiniciar el sendmail lo hacemos desde el mailscanner: service MailScanner restart

En fin, donde antes poníamos sendmail, ahora ponemos MailScanner

Si se te ocurriera arrancar independientemente el sendmail a través del servicio sendmail ocurrirá que el sistema no procesará los correos puesto que estará actuando a la antigua. Es el error más común que cometen las personas.

http://www.ecualug.org/?q=2007/02/09/comos/c_mo_instalar_el_mailscanner (2 de 2)01/02/2008 06:36:58 p.m.

Cómo instalar el spamassassin? | EcuaLUG

Cómo instalar el spamassassin?


Tan fácil o mejor que el clamav. Igualmente hay que tener el repositorio de DAG previamente configurado. Emitimos el comando:

yum install spamassassin

Lo cual bajará el spamassassin de DAG.

RedHat distribuye un paquete de spamassassin pero es un poquito viejo, versión 3.0.x sin embargo DAG se preocupa de mantener un paquete rpm con la última versión de spamassassin siempre.

Como el spam está continuamente haciendo esfuerzos por derrotar a los sistemas antispam, siempre.. así que es recomendable tener la última versión del spamassassin para mitigar este mal.

El spamassassin desde las últimas versiones es autoactualizable, esto es: permite que con un comando podamos actualizar las reglas de detección de spam.

Para poder usar la autoactualización debemos primero instalar una serie de paquetes:

yum install perl-Archive-Tar perl-IO-Zlib perl-libwww-perl

Una vez instalados ellos 3 podemos invocar frecuentemente (yo lo hago una vez a la semana o cada vez que me acuerdo) el comando:

sa-update

Con esto habremos actualizado los sistemas de detección de spam del spamassassin (Viene siendo algo así como la BD de virus de los antivirus)

http://www.ecualug.org/?q=2007/02/09/comos/c_mo_instalar_el_spamassassin 01/02/2008 06:37:44 p.m.



Cómo mejorar la detección del spamassassin? | EcuaLUG

Cómo mejorar la detección del spamassassin?


El sistema spamassassin previamente instalado podemos mejorarlo mediante una técnica de detección de correos spam conocida como Razor.

Razor es un sistema de BD en internet al que podemos consultar con el fin de que nos informe si un determinado correo tiene signos de ser spam o no. Es lo que llaman fingerprints de los correos, determinan por diversos parámetros si es o no spam.

Este sistema ayuda grandemente al spamassassin a mejorar la detección contra spam.

Instalación:

yum install perl-Razor-Agent razor-agents

Una vez instalado estos dos paquetes, que están en el repositorio de DAG, procedemos a registrarnos:

razor-admin -register

a veces el registro falla, no te preocupes, vuelvelo a intentar hasta que no falle.

No hay que hacer nada más, el spamassassin usará automáticamente al razor cuando lo encuentre.

http://www.ecualug.org/?q=2007/02/09/comos/c_mo_mejorar_la_detecci_n_del_spamassassin 01/02/2008 06:38:03 p.m.



6- Hay que reconfigurar al MailScanner para que trabaje? | EcuaLUG

6- Hay que reconfigurar al MailScanner para que trabaje?

Enviado por Epe el Sáb, 2007-02-10 10:00.

En verdad el mailscanner viene muy bien configurado por defecto, sin embargo con el tiempo y las aguas hemos detectado que mejor sería si le reconfiguráramos algunas cositas.

El archivo principal de configuración es en el que me voy a centrar, editemos este archivo:

/etc/MailScanner/MailScanner.conf

veremos que está en el formato:

PARAMETRO=VALOR

El valor a veces puede ser un archivo, o ser true/false, yes/no, o simplemente estár vacío.

Está todo muy bien explicado, léelo de principio a fin y aprenderás muchas cosas.

yo me referiré sólo a algunos parámetros que considero necesarios, los expondré con el valor que a mi me gusta poner:

Max Children = 2

A MailScanner le gusta poner 5 por defecto, me parece exagerado aún en un servidor con mediana carga. Cada hijo consume 20MB de memoria y 5 hijos te comerán 100MB aprox.

Allow Password-Protected Archives = no

Para bloquear virus que envían zip encriptados.

Quarantine Infections = no

En realidad nunca en ya casi 5 años he tenido que mirar dentro del directorio de cuarentena.

http://www.ecualug.org/?q=2007/02/10/comos/6_hay_que_reconfigurar_al_mailscanner_para_que_trabaje (1 de 2)01/02/2008 06:38:23 p.m.



6- Hay que reconfigurar al MailScanner para que trabaje? | EcuaLUG

Deliver Cleaned Messages = no

Al momento los virus vienen sin contenido, pueden no enviarse y evitas trabajo por gusto.

Send Notices = no

Estas noticias son al postmaster, te llenarán el buzón de avisos que no te dejarán hacer nada más, cientos quizá miles de avisos de virus que estaban entrando.

Required SpamAssassin Score = 3.9High SpamAssassin Score = 6

Spam Actions = deliver header "X-Spam-Status: Yes"High Scoring Spam Actions = delete

Con estas 4 opciones le decimos al MailScanner que correos con puntaje superior a 3.9 serán catalogados como spam y serán enviados al destinatario con un encabezado (X-Spam-Status: yes) para que pueda ser detectado por el thunderbird. Además que irá con la marca {spam?}.

Todo correo que supere el valor de 6, será marcado como Alto riesgo, y será borrado.

De esta forma nos dejarán de llegar decenas, quizá cientos de correos de spam enseguida.

Log Spam = yes

Si no tienes un servidor muy cargado, puedes poner esta opción en yes, de esta forma guardará estadísticas de por qué catalogó a cada correo como spam. Es bonito saber el por qué.

Con estas sencillas opciones mejoramos bastante el comportamiento de mailscanner.

Recuerda que cada vez que realices cambios en el MailScanner o en el sendmail tienes que reiniciar el servicio de MailScanner y sólo el de MailScanner:


http://www.ecualug.org/?q=2007/02/10/comos/6_hay_que_reconfigurar_al_mailscanner_para_que_trabaje (2 de 2)01/02/2008 06:38:23 p.m.

Prevenir El Spam - Ecualog

Documents

Transcript of Prevenir El Spam - Ecualog