虛擬主機系列 - 郵件炸彈及垃圾信
作者: 鄙雕兔 日期: 2007-01-26 21:55
一. 問題 :
1. 郵件主機每天都會收到很多 sod.rosxe@ldoflleo.com 或者 xxdse.sldfsdf@asdfjjowoo.com ..... 等亂七八糟的信件, 我要怎樣幫客戶擋掉 ?
二. 說明 :
廣告信及垃圾信在 Internet 中每天都是源源不絕的, 除非你的主機不收信或者是把網路線拔掉, 不然一定會收到很多莫名奇妙的垃圾信, 以下列幾種常見的 :
(1) 偽裝成某一網域的用戶 : 這種信一般來說都是將來源位址或者是 e-mail , 偽裝成主機的名稱或者是網域名稱, 如以下的範例 :
Ex:
有一台主機名稱為 mail01.abc.com.tw
主要用來接收 abc.com.tw 這個網域的信件
通常你會收到該垃圾郵件發信者發出以下幾種信件
From : xsdf@mail01.abc.com.tw
From : sdfff@abc.com.tw
或者是偽裝成
From : xdfs@yahoo.com.tw
From : lkjsd@gmail.com
:
以上紅字的部份為採用亂數的方式產生, 或者若有木馬程式取得用戶的通訊錄資料的話, 那紅字的部份就會變成是用戶的帳號, 這樣的郵件的主要目地是要避過針對來源網域放行的垃圾信過濾, 這樣的設定通常是設在 Procmail 中, 直街針對 *@abc.com.tw 的來源放行, 當然發信的廣告信廠商會偽裝成該網域, 因而將信件順利的送入主機中, 當然若是針對主機名稱過濾的話, 那一樣會因為偽裝而將信送入.
解法 :
1. 這個部份建議不要採用 procmail 過濾, 因為這樣的過濾誤判的機率很高, 所以設再多都沒有用, 而且要每天去檢測及增加, 若是廣告商改個網域名稱或者主機名稱後那採用 Procmail 是完全無用的.
2. 要阻擋的這樣的偽裝最好是採用灰名單 系統來阻擋, 不然真可謂道高一尺魔高一丈, 每天作不完
----------------------------------------------------------------
(2) 大量送入的郵件炸彈 : 這種信件通常是要用來偵測主機上面那些用戶的測試信, 或者是有電腦中毒及被入侵後一直發送的亂七八糟信件, 這種情況會在主機上面收到很多的退信, 因為信件的 From : 是偽造的, 所以主機的 Mailq 中會有很多送達不了的信件通知, 這個部份若是每天收到很多的信之後, 你會發現 Q 個幾萬封信在 Mailq 中是很正常的, 再來因為主機每四個小時會重送一次, 所以所有未送的信都會重新連線送出, 這樣會造成頻寬的浪費, 也會造成主機效能的低落.
解法 :
這部份在安裝的候最好取得客戶的同意, 因為若要避免退信也就是等於將 Sendmail 中 User Unknow 的退信機制關閉, 所以若是有客戶因為 E-mail 位址打錯的話, 主機是不會退信給用戶的, 客戶因為沒有收到退信所以會以為信件已經送入, 這會造成信件使用上的問題, 設定方式如下 :
<1> 請於 sendmail.mc 中加入以下的設定 :
define(`LUSER_RELAY', `local:spamuser')
說明 : 以上這行設定的意思是, 將找不到使用者的 e-mail 轉送到 spamuser 這個信箱中
<2> 請執行 m4 sendmail.mc>sendmail.cf 重新產生 sendmail.cf
設定完成後若用戶收不到信件的時候, 就可以到該信箱中查看, 看是否有人打錯了 e-mail 而將信轉到這個信箱中
------------------------------------------------------------------
(3) 大量送入的病毒及木馬信件 : 這種信件是因為其它主機被入侵或者用戶端電被入侵後所發送信件, 這些信件被客戶電腦收入後, 會造成客戶電腦的中毒或者被植入木馬, 若是這樣的情況很多的話, 那保證每天你的電話會接不完, 因為通常客戶的電腦一出事不能收信, 就會直接打電話到主機服務的公司, 但是這樣的問題卻是因為病毒或木馬引起, 所以要防堵這種情況發生的話, 請在主機上面安裝防毒軟體, 針對進入信件作過濾或者擋回才能在第一步就將信給擋下來
解法 :
這部份可以參考鄙雕兔的郵件防毒安裝資料, 直接採用 Amavis 的套件配合一套好的掃毒引擎, 這樣就可以囉, 以下是詳細安裝的網址 :
http://jeantean.idv.tw/computer/virusscan.html
-------------------------------------------------------------------
附加說明 :
1. 除了以上的垃圾信件外, 還有一些垃圾信件採用郵件本體偽裝的方式, 用來躲過以上所有的阻擋或者過濾, 這部份請再配合在主機上面安裝 spamassassin 的套件, 若是採用 Fedora Core x 的套件, 請將 spamd 的服務開啟, 並於 procmail 中加上以下的敘述, 這樣就可以將判斷為 Junk mail 的 E-mail 放到指定的信箱中, 若有誤判的情況發生時, 可以從該信箱中找回 :
## 將郵件大小小於 512 kbyte的信件送入 spamc 的程式
:0fw
* <5120000
| /usr/bin/spamc -f
# 過濾後若是信件檔頭有以下的 檔頭送入 spammail 信箱
:0
* ^X-Spam-Level: \*\*\*\*\*\*\*\*\*\*\*\*\*\*\*
/var/spool/mail/spammail
# 過濾後若是信件檔頭有以下的 檔頭送入 spammail 信箱
:0
* ^X-Spam-Status: Yes
/var/spool/mail/spammail
連結: http://helenmccrory.org
摘要: 郵件炸彈及垃圾信 -- 鄙雕兔