只有 Mail Server 能做到的事

 
發表新主題   回覆主題    尊龍佈告欄 首頁 -> 雷電MAILD (mail server)
上一篇文章 :: 下一篇文章  
發表人 內容
掛號信
十段
十段


註冊時間: 2005-12-29
文章: 236
來自: 中華民國

發表發表於: 星期二 九月 29, 2009 8:53 am    文章標題: 只有 Mail Server 能做到的事 引言回覆

素大:

常常會收到如下的信件, 有些是對方利用廣播方式, 有些是垃圾信...

[2009/9/28 上午 10:48:15] [5820] SMTP 服務接受從 114.42.127.28 來的連線
[2009/9/28 上午 10:48:26] [5820] 114.42.127.28 要求 SMTP 服務 - 寄信人是 Gql4HxZKUzaf6@mail.ht.net.tw
[2009/9/28 上午 10:48:34] [5820] 114.42.127.28 - 郵件內容已收到 (To:myname@mydomain.com.tw) 111179 bytes ( 18.1 KB/s)
[2009/9/28 上午 10:48:34] [5820] 儲存郵件到 <myname> 的信箱, 檔名為 _20090928104826-1478174861-5820.eml 111335 bytes
[2009/9/28 上午 10:48:35] [5820] SMTP 服務中斷從 114.42.127.28 來的連線

收進來的信檔頭如下:

Received: from B ([114.42.127.28])
by autoid.com.tw ([192.168.2.4]);
Mon, 28 Sep 2009 10:48:34 +0800
Received: from tpts7
by tpts4.seed.net.tw with SMTP id d0OfFi06ZWYkbp3bB7DfgcTF;
Mon, 28 Sep 2009 10:51:11 +0800
Message-ID: <ErkQK0>
From: 凱尼斯旅行社 全國最大旅遊網站
To:
Subject: =?big5?Q?=B3v=AC=EE=B1m=B7=AC=A1=E3=B4M=B5=DB=AC=EE=A4=D1=AA=BA=ADy=B8=F1 =AE=B7=AE=BB=A4=E9=A5=BB=B7=AC=AC=F5=B4=BA=ADP=A1I?=
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_OHMEVzUMfBScM9vRZI5A"
X-Mailer: dPD8EAm8ZJSNCMHC7TFQ0M2E
X-Priority: 3
X-MSMail-Priority: Normal
X-SpamInfo: bannedword, 1-0 10

This is a multi-part message in MIME format.

------=_NextPart_OHMEVzUMfBScM9vRZI5A
Content-Type: multipart/alternative;
boundary="----=_NextPart_OHMEVzUMfBScM9vRZI5AAA"


------=_NextPart_OHMEVzUMfBScM9vRZI5AAA
Content-Type: text/html;
charset="big5"
Content-Transfer-Encoding: base64

雖然已經做了內文判斷與標題判斷, 目前 MailD 並沒有針對寄信人的部份做處理, 只有黑白名單, 仍有許多漏網之魚利用此一機制, 當信件收進來後做再多的努力, 都比不上 Server 的一個簡單動作, 在 MailD 的過濾器設定中有個 [其他] 的頁籤, 目前有個選項是 [檢查信件的日期是否為未來的日期], 是否可以請素大加個 [檢查寄信人是否與信件內相同], 不知意下如何
回頂端
檢視會員個人資料 發送私人訊息
Arnor
究極の素還尊
究極の素還尊


註冊時間: 2001-11-07
文章: 13011
來自: TAIWAN

發表發表於: 星期三 九月 30, 2009 10:05 am    文章標題: 引言回覆

我認為這case 應該通不過反查檢查,
沒那麼特例要用你說的方式才能阻隔它.
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/
回頂端
檢視會員個人資料 發送私人訊息 發送電子郵件
gramy
九段
九段


註冊時間: 2007-09-21
文章: 188

發表發表於: 星期三 十月 14, 2009 11:51 pm    文章標題: 引言回覆

原本我也想請素大開發這個功能,
不過這個其實有些困難而作罷!(應該解釋為會有矛盾較好)

案例:
我有一個seednet的信箱,設定自動轉寄到我自家網域的信箱來作郵件整合與過濾,
即當有人111@aaa.com寄到我seednet信箱時,
郵件會自動轉寄到我自家網域上,

當郵件交換時,郵件log上是秀111@aaa.com寄出,但是是seednet的ip。
若我有啟用ip反解比對的話,也是會判定到廣告信上,
除非seednet有雷電的功能,自動轉寄時,改為seednet網域寄出到我的自家網域,才不會被擋,

但反過來說,若是seenet有雷電的特異功能,
秀111@seed.net.tw寄到自家網域信箱時,ip反解對了,可以通過第一道防線,
但可能會被我們想要開發的寄件人比對是否不同的功能擋下?

我不確定掛號信大的這類廣告信件多或是少?
我個人的這類廣告信是很少,
(一個月可能不到一封)

可能是因為我除了雷電的內建廣告信阻擋功能外,
我尚有安裝spamassassin補強過濾吧,

個人覺得兩者疊加的阻擋廣告信的效果覺得比gmail的還要好~
掛號信大大到是可以試試看,
===================
其實這類信件我大都是以內文過濾,
設定其廣告信內文的連結網域或連絡電話來作過濾,
只要發過給我一次,除非它又換網域、連絡電話,不然一定擋的下來,
(因為做生意是做長長久久,不可能常換電話)
(換網域到是有可能,畢竟網域便宜,又方便申請)

參考看看囉!


gramy 在 星期三 十月 21, 2009 10:40 pm 作了最後編輯, 共編輯過 2 次
回頂端
檢視會員個人資料 發送私人訊息
掛號信
十段
十段


註冊時間: 2005-12-29
文章: 236
來自: 中華民國

發表發表於: 星期二 十月 20, 2009 8:24 am    文章標題: 引言回覆

依gramy所言,頗有道理,基本上,這類垃圾信是很好擋,可能是我比較挑剔吧,一般硬體防火牆都只有擋IP功能較強,素大也建議擋IP儘量用硬體防火牆,而硬體防火牆是沒有提供內文判斷後刪除信件的功能,原因是信件要收下來才能判斷,就算是垃圾信也是收了,接著交給MailD處理,對網路頻寬與MailD的效能提昇並無幫助,每天幾百封至數千封的垃圾信其實並沒有減少,我只是想把收信後的判斷提昇到不收信這個層級,當然是採用漸進式,像SORB也都是收信後提示使用者而已,還是有不少使用者收到提示後仍然開啟信件(這是人之常情), 結果又觸發了信件釣魚機制(類似回條功能),就這樣惡性循環,我個人淺見是以為,在MailD的LOG上看到aaa@bbb.com實際上收信後卻不是,應該都需要再做額外判斷,這是屬於Mail Server層級能夠這樣寄,一般寄件人是不可能做這樣處理,也因為這樣,收信端的User也同樣沒有能力來判斷,所以我才會說這是只有Mail Server能做的事,因此,與大家交換意見.
回頂端
檢視會員個人資料 發送私人訊息
gramy
九段
九段


註冊時間: 2007-09-21
文章: 188

發表發表於: 星期三 十月 21, 2009 1:07 pm    文章標題: 引言回覆

掛號信大您好:

我們公司也是不開反解過濾的一個~~^^"
因為一開下去,真的有一些的郵件都會被判定為廣告信,
雖然只要後來加入白名單,就能避免,
但我後來還是選擇沒開反解過濾,
而是使用Spamassassin的郵件行為判斷過濾,
(雖然它已沒再更新了~~>"<)

也就是您所述的,在mail server層級對郵件再做額外判斷
(只是是全部的郵件都做判斷,且不只有針對冒名寄信...)


================
換個做法,若是你不想額外裝Spamassassin,
且這類廣告郵件較多需要阻擋的話,

可如同素大告知的方法,
設定開啟反解過濾,
但是信件規則選:收信,在郵件標題加註「**未通過PTR反解**」之類,
郵件不移入未驗證信匣,

若有誤判的郵件,再把其網域加入白名單,
使用一段時間後應該白名單中就有大部份常往來但未設定PTR的網域,
可再把反解過濾的信件規則改為移至未驗證信匣,
(您要手動加白名單,初期辛苦一點到是真的~^^")

參考看看囉~
===================
以pchome郵箱為例,若PTR反解無法通過,是無法寄送過去的,
當然其應該也有所謂的白名單來讓一些isp的郵件寄送通過,
但整體而言,其廣告信就真的比其它業者少很多,
且前端就擋掉無PTR的寄信後,也不需浪費其伺服器資源做後續處理(存信、判斷....)
回頂端
檢視會員個人資料 發送私人訊息
掛號信
十段
十段


註冊時間: 2005-12-29
文章: 236
來自: 中華民國

發表發表於: 星期四 十一月 05, 2009 8:38 am    文章標題: 引言回覆

狀況又來了, 今天在 LOG 上是這樣顯示的

[2009/11/5 上午 08:13:45] [5960] 122.147.10.188 要求 SMTP 服務 - 寄信人是 1567@webmax2.tca.org.tw
[2009/11/5 上午 08:13:47] [5960] 122.147.10.188 - 郵件內容已收到 (To:name@host.com.tw) 19878 bytes ( 12.8 KB/s)
[2009/11/5 上午 08:13:47] [5960] 儲存郵件到 <name> 的信箱, 檔名為 _20091105081345-778044705-5960.eml 20046 bytes


收到的信件檔頭卻是

Received: from webmax2.tca.org.tw ([210.208.204.70])
by host.com.tw ([192.168.2.4]);
Thu, 5 Nov 2009 08:07:34 +0800
Received: from webmax2 ([127.0.0.1]) by webmax2.tca.org.tw with Microsoft SMTPSVC(6.0.3790.3959);
Thu, 5 Nov 2009 08:11:48 +0800
From: =?big5?B?SVRJU75QsOKkpKTf?= <charlie>
To: <name>
Cc:
Date: Thu, 05 Nov 09 08:11:48 +0800
Subject: | =?big5?B?sU23fq7RxHkgtKOkyabbp9rEdqqnueqkTw==?=
Message-ID: <X>
MIME-Version: 1.0
Content-Type: text/html;
charset="big5"
Content-Transfer-Encoding: base64
Return-Path: 1037@webmax2.tca.org.tw
X-OriginalArrivalTime: 05 Nov 2009 00:11:48.0899 (UTC) FILETIME=[916BA730:01CA5DAC]


因為 1567@webmax2.tca.org.twcharlie@mail.tca.org.tw 根本就不同, 加入黑名單也沒用, 除非用時間日期, 否則也無法從 LOG 中以信箱來追查, 這就是我的困擾
回頂端
檢視會員個人資料 發送私人訊息
gramy
九段
九段


註冊時間: 2007-09-21
文章: 188

發表發表於: 星期四 十一月 05, 2009 9:28 am    文章標題: 引言回覆

應該也是差不多前述的方法就能處理:

一、開反解過濾:
122.147.10.188 的PTR : 122-147-10-188.static.sparqnet.net
郵件對應記錄是
webmax2.tca.org.tw MX preference = 60, mail exchanger = webmax2.tca.org.tw
webmax2.tca.org.tw internet address = 202.132.1.107


二、裝Spamassassin評分郵件行為過濾:
(若廣告信特徵不明顯,可能也是會漏掉)

三、設「內文過濾」,擋「tca.org.tw 」

參考看看囉~
回頂端
檢視會員個人資料 發送私人訊息
掛號信
十段
十段


註冊時間: 2005-12-29
文章: 236
來自: 中華民國

發表發表於: 星期五 十一月 06, 2009 8:04 am    文章標題: 引言回覆

雖然方法不錯, 可是我是希望能在使用者端就處理, 畢竟只有使用者才能知道, 誰是垃圾信, 誰不是, 再看這個例子

[2009/11/6 上午 06:30:06] [4352] 119.160.244.78 要求 SMTP 服務 - 寄信人是 tw_edm.gqya-name=host.com.tw@returns.bulk.yahoo.com
[2009/11/6 上午 06:30:10] [4352] 119.160.244.78 - 郵件內容已收到 (To:name@host.com.tw) 33737 bytes ( 14.9 KB/s)
[2009/11/6 上午 06:30:10] [4352] 儲存郵件到 <name> 的信箱, 檔名為 _20091106063006-858230205-4352.eml 33940 bytes

同樣的, 信件檔頭也是找不到蛛絲馬跡, 黑名單根本沒作用, 寄信人是 tw_edm.gqya-name=host.com.tw@returns.bulk.yahoo.com 收到後加入黑名單變成 tw-edm-monday@yahoo-inc.com

Received: from n1.bullet.tw1.yahoo.com ([119.160.244.78])
by host.com.tw ([192.168.2.4]);
Fri, 6 Nov 2009 06:30:10 +0800
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo-inc.com; s=twedm; t=1257460466; bh=Z/A10m28UUnvzopW820TvIm1qs3LiCo3dHImA7Fmbzk=; h=Received:Received:Date:Received:To:From:Subject:Content-Transfer-Encoding:Errors-to:Content-type:X-yahoo-newman-property:X-yahoo-newman-id:Mime-Version; b=mb2ginrtXT/9qcL/2dVWKv0c30vZks3NDBMlJWX7/Aja9ApvhJqsgoBHIIkydKp3iJMI/KnaD1cr0EO4slBTz29c3qx32KcovCTGPeT2rF3Tkd5w/GEhkZMWdTEvrvYdWG7wNcWj8rjWrs7qWCiBDX9cxJvVeo/te2pAYSC/x0A=
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws; s=twedm; d=yahoo-inc.com;
b=g/UhnAGnn600cjLaeoGL9mDGhp9FSks1KrItl/T/Vg+D0wFcvaiihbtTQ/7IIGc74YJf4X1Q3zafV91qMtZFOzEf4t9fLGnG/xNkfF6W6/LdnNrp53nuCS5UMdMprwTrFAPQWDWrnbG0HRkLoKxIOMifnrsDTEAqN+PftKzGCKA=;
Received: from [119.160.244.77] by n1.bullet.tw1.yahoo.com with NNFMP; 05 Nov 2009 22:34:26 -0000
Received: from [119.160.247.58] by t2.bullet.tw1.yahoo.com with NNFMP; 05 Nov 2009 22:34:26 -0000
Date: 06 Nov 2009 06:34:26 +0800
Received: from [127.0.0.1] by d101.delivery.tw1.yahoo.com with NNFMP; 05 Nov 2009 22:34:26 -0000
To: name@host.com.tw
From: =?big5?b?WWFob28hqV+8r8HKqqukpKTfrautbrNxqr6rSA==?=<tw>
Subject: =?big5?b?oWlWSVCxTcTdoWqzzKvhMaTRIaTxsU3CZKtLqXl+q361UL5jpV01N6fpsF+hRLz2vlCuQrtlpFWx/jE5OQ==?=
Content-Transfer-Encoding: 8bit
Errors-to: null@cc.yahoo-inc.com
Content-type: text/html;charset=big5
X-yahoo-newman-property: tw_edm
X-yahoo-newman-id: 05022009110501:00:01:40:name
Mime-Version: 1.0

也不可能把整個 Yahoo 擋下來, 類似的手法其實很普遍, 真的, 只有 Mail Server 才能把這些信件分離出來, 這是最快又最簡單的方式啦
回頂端
檢視會員個人資料 發送私人訊息
從之前的文章開始顯示:   
發表新主題   回覆主題    尊龍佈告欄 首頁 -> 雷電MAILD (mail server) 所有的時間均為 台北時間 (GMT + 8 小時)
1頁(共1頁)

 
前往:  
無法 在這個版面發表文章
無法 在這個版面回覆文章
無法 在這個版面編輯文章
無法 在這個版面刪除文章
無法 在這個版面進行投票


Powered by phpBB © 2001-2007 phpBB Group