iSecure blog

Narazil jsem nedávno na webtrhu na poměrně zajímavou věc. Ačkoliv to s tématem fóra moc nesouvisí, trošku jsem zapátral cože je to vlastně za ochranu, která dotyčného s poštou poslala doháje. Absolvoval jsem pár kvalitních přednášek o blokování spamu a jednotlivých metodách ještě za mého působení v jedné nadnárodní firmě, nicméně tohle pro mě byla novinka.

Remote host said: 554 Refused. Your reverse DNS entry contains your IP address and a country code.

RBL i odmítání odesilatele na základě chybějícího reverzního záznamu jako prepost filtr je celkem běžná věc, ale ztrácí na účinosti čím dál víc. RBL and his friends je sice krásná věc, ale jeho problémem a částečně i výhodou je jistá setrvačnost, takže staré známé spamery sice zablokuje, ale třeba s botnetama už se tak dobře nevypořádá. Reverzní záznamy dns ke každé adrese ačkoliv jsou podmínkou v RFC pro obhospodařování bloku ip adres, stále nejsou samozřejmostí, resp. ispíci na to serou protože z toho neplyne žádná výhoda resp. nevýhoda, pomineme-li striktní irc a ftp servery. A ty co na to neserou mají třeba problém s ČDT protože jim jejich “dns specialist” (ano, opravdu tam takovou pozici mají) nadelegoval pouze 3 céčka z 16 - idiot !

Neodbíhejme - i připadů bez rDNS ubylo. Skvělej nápad autora spamdyke a též výše zmíněné hlášky, vypadá poměrně účině. Totiž, řekněme že je jistá konvence pojmenovávat mailservery třeba mail.example.com, smtp.example.com k ním samozřejmě identické reverzy. Vtip je v tom, že spousta mailů pochází od zavirovaných počítačů připojujících se přímo na váš mailserver, to lze ale poměrně dobře rozpoznat. Jeden způsob (používá třeba GTS) spočívá v tom že se zpětně pokouší připojit na port 25, pokud se nepřipojí tak mail zamítne… Druhý způsob, který vidím poprvé u spamdyku je zkontrolovat si reverzní záznam pokud neobsahuje nějaké nepatřičné věci, třeba “.ppp.” nebo “adsl” už samo o sobě působí dost nedůvěryhodně a konečně případ “host-123-45-65-85.cust.example.com” což je poměrně častý případ jak ispíci genericky označujou jednotlivé adresy pro klienty - nacpou do reverzu ip adresu a přihodí třeba jakým drátem jsou připojeni. Jedině idiot takhle může pojmenovat svůj mailserver, takže máme celkem dobrý důvod blokovat i takové adresy. I tak je ale účinost filtru menší než předchozí, přecejenom spamerů pouštějících na infikovaném počítači mailserver je málo a i když k tomu třeba časem dospějou s rdns asi těžko hnou…nejlepší asi je zkombinovat oba.

Tak jsem to hned nasadil a nemůžu si vůbec stěžovat. Popravdě úplně mě zahřejvá u srdce když prolejzam logy na všech mailserverech, které obhospodařuju a naprostá většina záznamů vypadá takto:

Další výhodou je že blokování před odesláním ušetří hodně času na procesoru, které by jinak ukousl věčně nenažraný spamassassin. Zatím jsem neobjevil žádný false positive, ale přesto se určitě objeví. Správců co nemají ani tušení co je rdns (viz první odkaz) a zkoušejí sestavit funkční mailserver je pořád dost.