PDA

Bekijk Volledige Versie : Uitgaande mail spamfilteren ?



Eflicta
29/02/12, 16:23
Hey,

Puur een beleidsvraag, de techniek erachter is geen issue :)

Inkomende mail op spam filteren (taggen, bouncen, whatever) is heel normaal. Echter, wat doen jullie met uitgaande mail?

Ik loop tegen dit vraagstuk aan na de zoveelste spamrun waarbij een uitgaand mail-IP geblacklist wordt ivm. spam. We hebben de diensten al gescheiden zodat impact minimaal is, maar zitten vast aan het feit dat X aantal klanten (> 10000) via 1 IP uitmailen. Nu kan ik wel dit IP wijzigen op het moment dat er een blacklisting is, maar... Mah!

Principieel ben ik van mening dat ik van uitgaande mail af zou moeten blijven; inkomende mail krijgen klanten zelf de keuze. Echter! Een blacklisting geeft _veel_ overlast. Zowel voor de klant, als voor de supportafdeling.

't Probleem bij de bron aanpakken is moeilijk, websites worden gehackt en computers van klanten ook...


Wat doen jullie? Uitgaande mail filteren? Taggen als spam? Er vanaf blijven en problemen voor lief nemen?

Dreas
29/02/12, 16:39
Uitgaande mail filteren en de spam in quarantine plaatsen, vervolgens gebaseerd op wat er geblokkeerd is de lekke scripts opruimen / spammende klanten afsluiten / wachtwoorden fixed die zijn compromised. Daarmee voorkom je dat je geblacklist wordt en hou je je netwerk schoon :)

dennis0162
29/02/12, 16:53
Je zou het perl scriptje van DirectAdmin kunnen gebruiken om het e.a. te beperken. (blokkeert het mailen als klant xxx mails die dag heeft verzonden)
Zit tegenwoordig standaard op een DirectAdmin installatie. Je zou het script een beetje kunnen ombouwen zodat het bijvoorbeeld ook met Postfix werkt.

Pur
29/02/12, 19:36
Uitgaande mail via bijvoorbeeld mail() wordt naar een smarthost gestuurd. Op de helpdesk pagina staat dezelfde smarthost voor afleveren via SMTP. Aldaar wordt op spam en virus gecheckt.

redbeenl
29/02/12, 20:27
Je kan (bijvoorbeeld via CSF) het aantal mails binnen een bepaalde periode per gebruiker beperken. Dit kan de overlast beperken.

################################################## #############################
# SECTION:Relay Tracking
################################################## #############################
# Relay Tracking. This allows you to track email that is relayed through the
# server. There are also options to send alerts and block external IP addresses
# if the number of emails relayed per hour exceeds configured limits. The
# blocks can be either permanent or temporary.
#
# The following information applies to each of the following types of relay
# check:
# RT_[relay type]_ALERT: 0 = disable, 1 = enable
# RT_[relay type]_LIMIT: the limit/hour afterwhich an email alert will be sent
# RT_[relay type]_BLOCK: 0 = no block;1 = perm block;nn=temp block for nn secs

gjtje
29/02/12, 22:06
Wij filteren in en uitgaand. Klanten hebben getekend dat ze geen spam mogen versturen dus dan mag je dat ook wel controleren. :)
Daarnaast is het de taak van de hoster om een goed netwerk te onderhouden, voorkomen van blacklisting vind ik daar ook een onderdeel van.

Eflicta
01/03/12, 09:07
Uitgaande mail filteren en de spam in quarantine plaatsen, vervolgens gebaseerd op wat er geblokkeerd is de lekke scripts opruimen / spammende klanten afsluiten / wachtwoorden fixed die zijn compromised. Daarmee voorkom je dat je geblacklist wordt en hou je je netwerk schoon :)Maar wat je in quarantine plaatst, audit je dus alleen om zo te achterhalen wie 'r bezig is.

Als ik zo'n oplossing zou maken, zou ik het mailtje direct bouncen en de verantwoordelijkheid bij de klant leggen (anders blijft de supportafdeling er achteraan hollen...)


Je zou het perl scriptje van DirectAdmin kunnen gebruiken om het e.a. te beperken. (blokkeert het mailen als klant xxx mails die dag heeft verzonden)
Zit tegenwoordig standaard op een DirectAdmin installatie. Je zou het script een beetje kunnen ombouwen zodat het bijvoorbeeld ook met Postfix werkt.Gelukkig gebruik ik geen DA, Plesk, Cpanel of iets dergelijks ;) De moeilijkheidsgraad zit 'm gelukkig ook niet op het technische vlak, maar vooral in of het 'done' is om te filteren.


Uitgaande mail via bijvoorbeeld mail() wordt naar een smarthost gestuurd. Op de helpdesk pagina staat dezelfde smarthost voor afleveren via SMTP. Aldaar wordt op spam en virus gecheckt.

En wat doe je met de mail als die virii of spam bevat? Counter bijhouden, bouncen, keihard droppen zonder notificatie?


Wij filteren in en uitgaand. Klanten hebben getekend dat ze geen spam mogen versturen dus dan mag je dat ook wel controleren. :)
Daarnaast is het de taak van de hoster om een goed netwerk te onderhouden, voorkomen van blacklisting vind ik daar ook een onderdeel van.

Thanks, :)

Dat het taak van de hoster is, ben ik met je eens. Vandaar ook dat ik hier nu naar aan het kijken ben. Op 't moment dat we 'n klant te pakken hebben (hetzij omdat we al op een blacklist staan, hetzij omdat we de mailqueue vol zien stromen) krijgt hij/zij de 1ste waarschuwing en zetten we de site offline / zorgen dat de spam niet meer verstuurd kan worden.

Bij de 2de keer vandezelfde klant factureren we een X bedrag.


Als ik zo de reacties zie, is het in ieder geval niet gek om *iets* met de uitgaande mail te doen, :)

Dreas
01/03/12, 19:43
Maar wat je in quarantine plaatst, audit je dus alleen om zo te achterhalen wie 'r bezig is.

Als ik zo'n oplossing zou maken, zou ik het mailtje direct bouncen en de verantwoordelijkheid bij de klant leggen (anders blijft de supportafdeling er achteraan hollen...)

Je moet uiteraard direct bounces zodat de verzender weet dat het bericht niet is afgeleverd :) Quarantine is puur zodat je actief de spammers kan afsluiten in je eigen netwerk.