1. Vállalati spamszűrés open source
célhardver segítségével
Sütő János
(sj@acts.hu)

2. Spam trendek (2010 Q3 – 2011 Q2)
Forrás: Symantec

3. Védekezés a felhasználó gépén =
adminisztrációs pokol

4. Védekezés az SMTP szerveren =
jó lehet, de ...

5. Figyeljünk az extra terhelésre!

6. Kihelyezett spamszűrő

7. Védekezés célhardverrel
Internet Tűzfal Appliance Mail szerver

8. Na mi van a
dobozban?
postfix
postscreen
postgrey
clapf
clamav

9. postscreen: a zombik távoltartására
„Félbevágott” 220-as banner (pregreet teszt)
Fekete- ill. fehérlista (cidr)
Fekete- ill. fehérlista (DNS)
Protokoll tesztek
Egyetlen processz → kis erőforrásigény
Az smtpd processzeknek csak a hasznos email
forgalommal kell foglalkozniuk

10. postscreen konfiguráció
postscreen_access_list = permit_mynetworks,
cidr:/etc/postfix/postscreen_access.cidr
postscreen_greet_wait = ${stress?2}${stress:4}s
postscreen_greet_banner = Hey there, wait a little
#postscreen_dnsbl_threshold = 2
#postscreen_dnsbl_sites = zen.spamhaus.org*2
# bl.spamcop.net*1 b.barracudacentral.org*1
postscreen_dnsbl_action = ignore
postscreen_greet_action = enforce
postscreen_pipelining_enable = yes
postscreen_non_smtp_command_enable = yes

11. postscreen statisztika
2011.04.05-05.10:
python.org: pregreet (35%) + ZEN* (64%)
charite.de: pregreet (27%) + ZEN* (73%)
ZEN = Spamhaus feketelista (zen.spamhaus.org)
Saját mérés: -15% (csak a pregreet teszt)

12. Szürkelista működése #1
S: 220 mail.aaa.fu ESMTP
C: HELO bela-pc
S: 250 OK
C: MAIL FROM: <bogus@address>
S: 250 OK
C: RCPT TO: <bela@aaa.fu>
S: 450 you are greylisted for 5 mins
C: QUIT

13. Szürkelista működése #2
S: 220 mail.aaa.fu ESMTP
C: HELO bela-pc
S: 250 OK
C: MAIL FROM: <bogus@address>
S: 250 OK
C: RCPT TO: <bela@aaa.fu>
S: 250 OK
C: DATA
...

14. Mellékhatás: késleltetést okoz

15. Szelektív szürkelista: a zombik ellen

16. postgrey konfiguráció
smtpd_recipient_restrictions =
permit_mynetworks,
reject_unauth_destination,
reject_non_fqdn_recipient,
check_policy_service inet:127.0.0.1:10023

17. 4 hét aggregált statisztikája
postscreen: 2105 (37%)
postgrey: 3590 (63%)

18. Nem elég SMTP szinten szűrni

19. Át kell vizsgálni a levelek tartalmát is

21. Nagy teljesítmény: több millió
levél / nap egy kommersz PC-n

22. Spam felismerés arány: >99.5% (1007/1013 = 99.4%)
Fals pozitív hibaarány: <0.1% ( 2/4787 = 0.04%)

23. Könnyen adminisztrálható

24. A spameket karanténba
lehet zárni

25. Csapda email cím:
védőoltás a spammerek ellen

26. Clamav a vírusok ellen
+SaneSecurity vírusszignatúrák

27. Az appliance belülről

28. Fontos az email címek
szinkronizációja az appliance-re!
Internet Tűzfal Appliance Mail szerver