Копытов Иван: заметки с тегом spamassassin https://kini24.ru/tags/spamassassin/ Блог ленивого сисадмина ru Aegea 11.3 (v4134) Блог ленивого сисадмина Борьба со спамом при помощи ASN 42 https://kini24.ru/all/borba-so-spamom-pri-pomoschi-asn/ Thu, 19 Jan 2017 10:18:44 +0700 https://kini24.ru/all/borba-so-spamom-pri-pomoschi-asn/ <h2>Блокируем целую подсеть спамеров одним махом</h2> <p>Бывает, что нужно отсечь почту, приходящую от целой сети. Отправители все время меняют свои адреса: отправляют определенное количество писем, меняют адрес, снова меняют адрес, снова отправляют... В таком случае помогает запрет на прием писем с определенных IP-адресов. А что делать, если таких адресов скапливается очень много? В итоге мы получаем целую «простыню» в настройках почтового сервера. Лично меня это не устраивает. Изучив часть из них, обратил внимание, что все они принадлежат одной сети. Посмотрев на список IP-адресов, закрепленных за этой сетью, понял, что список будет очень большим. Тогда же я заметил, что в регистрационных данных присутствует такая вещь, как <a href="https://ru.wikipedia.org/wiki/%D0%90%D0%B2%D1%82%D0%BE%D0%BD%D0%BE%D0%BC%D0%BD%D0%B0%D1%8F_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_(%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82)">ASN</a>. Если очень кратко, то это уникальный идентификатор, присвоенный этой сети. Появилась мысль как-то использовать этот идентификатор в борьбе со спамом. Изучив список плагинов Spamassassin’а, увидел, что помимо прочих он также может определять не только вышеупомянутый ASN, но и подсеть отправителя.<br /> Далее было дело техники. В настройках Spamassassin’а включаем загрузку этого модуля в <i>v320.pre</i>:</p> <pre class="e2-text-code"><code class="">loadplugin Mail::SpamAssassin::Plugin::ASN</code></pre><p>Дальше нам нужно, чтобы он вставлял нужные заголовки в получаемые письма. Для этого в <i>local.cf</i> добавляем следующую строку:</p> <pre class="e2-text-code"><code class="">add_header all ASN _ASN_ _ASNCIDR_</code></pre><p>Перезапускаем Spamassassin и... ничего не получилось. Заголовок вставляется, но данных в нем нет</p> <pre class="e2-text-code"><code class="">X-Spam-ASN:</code></pre><p>Я потратил почти полдня, пока нашел причину почему это не работает. Оказалось, что в параметрах запуска Spamassassin был указан параметр -L, который запрещает работу с DNS. После удаления этого параметра, заголовок приобрел более «осмысленный» вид:</p> <pre class="e2-text-code"><code class="">X-Spam-ASN: AS25549 95.170.128.0/22</code></pre><p>Вот теперь уже можно отдавать письмо на дополнительную проверку postfix. В файл <i>header_checks</i> добавляем строку:</p> <pre class="e2-text-code"><code class="">/^X-Spam-ASN.*AS25549 .*/ DISCARD This is spamer</code></pre><p>и перезапускаем postfix. Всё, больше писем из этой сети вы не получите.<br /> Но, к сожалению, не все сети имеют ASN. Тогда бороться с ними остается только по IP-адресам.</p>