ORF反垃圾邮件系统

邮件服务器-邮件系统-邮件技术论坛(BBS)

 找回密码
 会员注册
查看: 30669|回复: 35
打印 上一主题 下一主题

[经验] “HAO”、“金蛋”、“抱个笔记本回家”、“牛尔”之类垃圾邮件封堵方案

[复制链接]
跳转到指定楼层
顶楼
发表于 2010-10-29 11:18:45 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
我的邮件系统一直来垃圾邮件都很少,每天服务器直接拒绝的记录都达到70%左右。为了对抗垃圾邮件,我做了如下设置:
一、开启SMTP验证;
二、关闭邮件中继;
三、启用SPF,并在域名里添加相关TXT记录,这样做是方便自己也方便别人。
四、启用DNS黑名单,用3家的黑名单,分别是:
cblless.anti-spam.org.cn封挡了大部分来自国内的垃圾邮件
Bl.spamcop.net以及zen.spamhaus.org封挡大部分来自国外的垃圾邮件
五、把yahoo.com.cn丢进黑名单,因为有段时间我做了如上设置却发现总有来自yahoo.com.cn的垃圾邮件,尽管有些是伪造的,一查它的SPF记录竟然是这样:
C:\>nslookup
> set q=txt
Non-authoritative answer:
yahoo.com.cn    text =
        "Yahoo! Inc."
竟然会有这么山寨的,就别怪我直接拒绝了吧。

10月份以来,突然发现系统的application有些不寻常的POP失败记录。尔后,便有些“给HAO的礼物”、“砸金蛋”、“抱个笔记本回家”之类的垃圾邮件从我的系统发出。再查看日志,都是正常SMTP通过验证的。显然这是暴力猜测POP密码,然后用我的邮件系统发垃圾邮件的。

我打电话到上海软众,客服的MM似乎也没什么好的解决方案,只是告诉我开启动态屏蔽。其实我的动态屏蔽是开启状态的,但它只是针对SMTP。似乎10.0以上版本可以针对POP,不过我没试。我是正版用户,升级需要MONEY

于是通过日志分析,做出如下设置:
一、启用强密码,让被猜中密码的用户更改自己的密码;
二、屏蔽主机名:
hbkj-24374
svctag-g4t6v2x
w-299955db4f804
三、屏蔽IP段:
58.40.*.*
60.190.*.*
117.81.*.*
117.131.*.*
121.240.*.*
124.42.*.*
150.101.*.*
218.249.*.*
220.181.*.*

做了如上设置后,这类邮件显然基本消失,但是我发现使用117.81.*.*这个IP段的人非常地执着和有毅力。每5分钟试35次的方式,基本24小时在用POP连我的服务器。估计他也是ADSL动态拔号的,每天换一个IP,但都不出这个IP段。除此外就是22060开头的IP,也是每天都有试的。

公布这方法的原因,主要是让大家把这些做坏事的IP段列出来,如果自己的用户不在这个IP段,那别犹豫,丢进IP屏蔽里吧。欢迎各位看客提供你们日志里的黑IP,谢谢!

此后若有新增IP,会将归属地一并发布,请根据自己的邮件系统作增减以免误杀。
2010年11月4日新增IP
212.12.114.58 德国

11月19日新增IP:
186.32.189.107 拉美地区
203.144.133.38 泰国

11月21日新增IP:
148.243.170.193 墨西哥



[ 本帖最后由 mynetway 于 2010-11-21 22:59 编辑 ]
沙发
发表于 2010-10-29 13:53:01 | 只看该作者
我昨天也收到了“金蛋”
藤椅
发表于 2010-11-1 10:17:47 | 只看该作者
我们有个客户邮件系统中仅有一人成为金蛋的发送人,不知道更改密码能否达到屏蔽效果

板凳
发表于 2010-11-1 15:09:42 | 只看该作者
好支持!
报纸
发表于 2010-11-2 00:05:20 | 只看该作者

回复 2楼 shenshui 的帖子

看来我们暂时还算幸运
地板
发表于 2010-11-3 11:24:09 | 只看该作者
顶!!!!很好的办法!

其他的类似内容的阻挡可以加入黑名单!
7
 楼主| 发表于 2010-11-3 13:55:35 | 只看该作者
更正:220.181.0.0/16这个IP段是网易的邮件IP段
所以不能屏蔽220.181.*.*,应改成220.181.17.0之后的IP
8
发表于 2010-11-4 16:31:29 | 只看该作者
非常感谢,解了我燃眉之急。
9
 楼主| 发表于 2010-11-4 21:17:07 | 只看该作者
2010年11月4日新增IP

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?会员注册

x
10
 楼主| 发表于 2010-11-4 21:24:29 | 只看该作者
从今天起,我确认是MDAEMON出现漏洞,导致这类垃圾邮件的暴发了。
一、此类暴力破解POP密码的,全是真实存在用户
二、有些用户从来没往外发过一封邮件,没公布过地址,只作为转发到其他邮箱用(有一个是我作邮件归档用),却也在被破解范围内。

请各位小心应付!

[ 本帖最后由 mynetway 于 2010-11-4 21:31 编辑 ]
您需要登录后才可以回帖 登录 | 会员注册

本版积分规则

小黑屋|手机版|Archiver|邮件技术资讯网

GMT+8, 2024-12-23 02:04

Powered by Discuz! X3.2

© 2001-2016 Comsenz Inc.

本论坛为非盈利中立机构,所有言论属发表者个人意见,不代表本论坛立场。内容所涉及版权和法律相关事宜请参考各自所有者的条款。
如认定侵犯了您权利,请联系我们。本论坛原创内容请联系后再行转载并务必保留我站信息。此声明修改不另行通知,保留最终解释权。
*本论坛会员专属QQ群:邮件技术资讯网会员QQ群
*本论坛会员备用QQ群:邮件技术资讯网备用群

快速回复 返回顶部 返回列表