[GTER] Greylisting - Em que redes usar

Marcelo Coelho marcelo at tpn.com.br
Tue Mar 8 16:32:05 -03 2005


Olá!

Eu uso a solução disponível em
http://www.digitaleveryware.com/projects/greylisting/ para qmail. Foi feita
originalmente para Exim.

O programa abaixo cria uma ferramenta standalone, qmail-envelope-scanner
http://www.digitaleveryware.com/projects/greylisting/greylistqmail.tar.gz

Após isso apliquei o seguinte patch ao qmail-smtpd:
http://www.shupp.org/patches/greylisting-20041205.patch

Com uma pequena diferença:

No qmail-smtpd.c, ao invés de chamar

  if (!envelope_scanner()) return;

Para fazer a verificação do greylisting, eu usei o seguinte:

  if (env_get("GREYLISTING") && !envelope_scanner()) return;

Desta forma, somente se a variável de ambiente GREYLISTING estiver definida
o greylisting será utilizado.

Isso flexibilizou a criação das regras usando o tcpserver (tcp.smtp).
Exemplo:

=192.168.1.:allow
=.dsl.telesp.net.br:allow,GREYLISTING=""
=.uol.com.br:allow
=.ru:allow,GREYLISTING=""
=.ch:allow,GREYLISTING=""
:allow,GREYLISTING=""

No exemplo acima, tudo o que tiver reverso .uol.com.br ou IP de rede interna
não passará pelo greylisting, o restante sim.

A manutenção fica simples: se percebo que uma determinada rede, domínio, ou
país está enviando muito SPAM, coloco no greylisting. Se percebo que existe
um MTA válido que entrega muitas mensagens, eu o retiro do greylisting e
posso até continuar fazendo as demais checagens, de RBL, reverso, etc.

O fato de desativar o greylisting para uma rede ou host que possui MTA
válido não aumentará o SPAM. Se o MTA é um MTA de *verdade*, ele entregará
todas as mensagens que passarem por greylisting, então penso, se o servidor
irá vencer todas, porque colocá-lo no greylisting? Uso o greylisting para
identificar os malandrinhos spammers que usam o método "fire-and-forget",
quem tem MTA válido deve passar direto. Dá trabalho, sei, mas é o que eu
penso...

No futuro pretendo modificar o qmail de forma que ele decida por conta
própria se irá utilizar greylisting ou não. Hosts que enviarem HELO
inválidos, ou quem estiver violando o SPF são candidatos em potenciais,
independentemente da rede. Já que não podemos bloqueá-los (por causa do caos
já conhecido por todos), pelo menos que fiquem na "geladeira" (gostei do
termo).

--
Marcelo Coelho
marcelo at tpn.com.br





----- Original Message ----- 
From: "Marcos Dutra" <macdutra at gmail.com>
To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
<gter at eng.registro.br>
Sent: Tuesday, March 08, 2005 3:06 PM
Subject: Re: [GTER] Greylisting - Em que redes usar


Então Marcelo, eu também uso o greylist mas fazendo o que o Paulo faz,
liberando os ips conhecidos e barrando o resto, vejo que a sua solução
é mais robusta e usa menos a máquina.
Se puder compartilhar seu conhecimento com esses novos patches que
você desenvolveu seria de bom agrado e assim mais máquinas que
testarão a sua solução.

Abraços

Marcos


On Tue, 8 Mar 2005 14:56:48 -0300, Marcelo Coelho <marcelo at tpn.com.br>
wrote:
> Discordo apenas que liberando o servidor do UOL irá fazer passar mais SPAM
> pelo Greylisting.
> O UOL é um MTA válido, irá passar pelo greylisting seja a mensagem SPAM ou
> não, pois ele irá tentar mais de uma vez entregar a mensagem.
>
>
> ----- Original Message -----
> From: "Paulo Manoel Mafra" <mafra at das.ufsc.br>
> To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
> <gter at eng.registro.br>
> Sent: Tuesday, March 08, 2005 2:43 PM
> Subject: Re: [GTER] Greylisting - Em que redes usar
>
> > On Tue, Mar 08, 2005 at 01:58:06PM -0300, Marcelo Coelho wrote:
> > * Minha idéia é não ter que usar o greylisting sem necessidade. Um
> exemplo: os
> > * servidores UOL diariamente entregam milhares de mensagens ao servidor.
> Se eu
> > * já sei que o UOL possui um MTA válido, porque ficar utilizando
> greylisting
> > * para milhares de mensagens? Então eu criei uma regra em que os
> servidores
> > * SMTP do UOL não passam no greylisting, pois certamente eles irão
vencer
> a
> > * barreira. O mesmo para Terra, Hotmail, etc...
> > *
> > * Agora, as conexões Cable/DSL são a outra ponta da corda. Ao contrário
do
> > * UOL, a maioria das mensagens recebidas destas conexões são
> SPAM/VIRUS/SCAM.
> > * Por isso, para estas redes "não-confiáveis", uso greylisting.
> > *
> > * Eu estou usando a implementação para qmail disponível em
> > * http://www.digitaleveryware.com/projects/greylisting/ com algumas
> > * modificações que eu fiz, para melhorar a performance (basicamente
> retirei a
> > * checagem de whitelist direto no mysql e a incorporei através de uma
> variável
> > * de ambiente no tcpserver com o nome de GREYLISTING, através do arquivo
> de
> > * controle tcp.smtp, assim, posso decidir, seja pelo reverso, seja pelo
> > * IP/Classe, quem passará no greylisting e quem passa direto.
> > *
> > * Implementei há menos de 24 horas, e o resultado está sendo positivo:
92%
> das
> > * mensagens ficam retidas no Greylisting.
> >
> > Ola, estou usando greylisting ha mais ou menos um ano. Os resultados sao
> muito bons.
> > As minhas estatisticas apontam para 65%, mas a grande vantagem eh o
baixo
> indice de falsos positivos (praticamente zero).
> > Adotei como regra geral bloquear tudo e liberar apenas servidores
> conhecidos.
> > Outra medida interessante que adotamos foi criar um script para enviar
um
> relatorio aos usuarios informando os emails bloqueados pelo filtro. Assim
> caso haja algum engano, podemos tomar alguma providencia.
> > Claro que liberando para servidores da uol, vai passar bastante spam.
Para
> resolver esse problema adotamos o uso de tecnicas de filtragem por
conteudo.
> > Estamos utilizando a implementacao (spamd) do openbsd em conjunto com o
> (pf) filtro de pacotes.
> >
> > Abracos,
> >
> > Paulo Manoel Mafra
> > LCMI - Laboratorio de Controle e Micro Informatica
> > Departamento de Automação e Sistemas - UFSC
> > --
> > GTER list    https://eng.registro.br/mailman/listinfo/gter
> >
>
> --
> GTER list    https://eng.registro.br/mailman/listinfo/gter
>
--
GTER list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list