From: Henrik Kramshøj <none@hlk--kramse.dk.lh.bsd-dk.dk> Subject: Re: Spam problem ifb. m. falsk 'Return-Path' (Sendmail MTA) Date: Fri, 17 Nov 2006 14:11:24 +0100 To: bsd-dk@bsd-dk.dk
On 17/11/2006, at 12.21, Flemming Jacobsen wrote:
> Per Engelbrecht wrote:
>> Det sidste doegns tid har jeg oplevet en voldsom stigning i
>> modtagelse
>> af replies/bounces paa mails der er afsendt med vilkaarlig og falsk
>> <none@bruger--.lh.bsd-dk.dk> paa et af mine domainer. Det er kun dette ene domain der
>> rammes, men det rammes tilgengaeld med snart 700 mail pr. time fra
>> alle
>> mulige steder i verden.
>>
>> Er der nogen der har en ide til hvordan det kan stoppes ?!
>> Alle forslag modtages med kyshaand.
>
> 1) Sæt SPF records på dine domæner (http://www.openspf.org/).
Jeg valgte selv at smide SPF records på mine primære domæner
for hmm nogle år siden?, dvs dem der har MX records og som
jeg bruger på nettet.
Det har generelt været en stor success, den eneste jeg ikke har kunnet
skrive til er faktisk Preben Guldberg fra The Camp hvis mailserver
afviste mine mails når jeg sendte til mailinglisterne på thecamp.
Jeg oplevede et stort fald i "backscatter", er det ikke udtrykket
på den støj man får fra et joe-job, at ens adresse/domæne er misbrugt.
Hvis du checker TXT på eksempelvis kramse.dk får du noget i stil med:
$ host -t txt kramse.dk
kramse.dk descriptive text "v=spf1 ip4:217.157.glCCadresseremoved.128/28
ip4:mailgate.cybercity.dk ip4:smtp.3.dk ip6:2001:some:dead:beef:
81::/48 -all"
Jeg forventer at opgradere denne idet jeg har fået nye adresser efter
skift af internetudbyder i tirsdags.
Jeg forventer primært at ændre til blot at indeholde "mx" records,
som beskrevet af Cricket Liu i DNS bogen version 5 og præsentationen.
Den nye forventes at blive:
"v=spf1 mx:kramse.dk mx:security6.net ip4:smtp.fullrate.dk ip4:smtp.3.dk
ip6:2001:some:dead:beef:81::/48 -all"
Ved at henvise til MX records og DNS navne undgår jeg at skulle rette i
TXT/SPF record så ofte - evt glemme det!
Man kan finde mere information om SPF på blandt andet:
http://www.openspf.org/
Hvor der også findes en wizard og faktisk gav den en meget kortere SPF
end ovenstående:
"v=spf1 ip4:smtp.3.dk a mx mx:security6.net ~all"
Det er en anelse forkortet, men måske sværere at forstå
eksempelvis betyder mx alene at alle MX for netop dette domæne
er "ok" som afsender maskiner.
> 2) Overvej om DomainKeys er noget for dig.
kender jeg ikke
>
> 3) Opgrader din OpenBSD til FreeBSD ;-)
Ja, FreeBSD er vist hurtigere og Per har brug for at modtage SPAM
hurtigere!!!1111 eller hov nej ;-)
OpenBSD er super som frontline og kan holde til det. De indbyggede
faciliteter med spamd, PF (inkl nyeste features) samt integrationen
med BGP og andre ting som kunne være relevante for Per tror jeg
han bliver på denne :-)
Mvh
Henrik
-- Henrik Lund Kramshøj, cand.scient, CISSP Follower of the Great Way of Unix e-mail: hlk@security6.net, tlf: 2026 6000 www.security6.net - IPv6, sikkerhed, netværk Overhold netikketten! http://e-learning.security6.net - gratis kursusmateriale http:// usenet.dk/netikette/
This archive was generated by hypermail 2b30 : Thu 30 Nov 2006 - 23:00:03 CET