General

Control de UCE en Postfix

Hay tres formas de combatir el correo no deseado que pasa a través de un MTA Postfix. Una daña las uñas (y aún se recibe mucho spam), y las otras no tanto. El primer servidor de correo que instalé con controles de UCE corría Sendmail y utilizaba SpamAssassin a través de procmail, probablemente la forma más sencilla de implementar un control de spam en la actualidad. Pasé casi dos años acomodando detalles en SA, incluyendo los valores de las reglas, las listas blancas y negras y pare usted de contar, y pronto se da uno cuenta de que está invirtiendo demasiados recursos en evaluar si un correo recibido es legítimo o no.Allí entra el segundo método, revisar un correo antes de recibirlo. Casi todo MTA Postfix que venga en una distribución de Linux ya trae algo de eso, para evitar que el MTA sea usado como un relay abierto. Pero siempre se puede ir más allá, utilizando listas negras que otros mantienen. Si tu objetivo en la vida no es mantener una lista negra, entonces no lo hagas, ya hay muchas que puedes usar, con políticas para todos los gustos. Yo uso DSBL y SpamHaus, y además tengo un caché DNS entre el MTA y OpenDNS.

smtpd_recipient_restrictions =  ...  reject_rbl_client list.dsbl.org,  reject_rbl_client sbl-xbl.spamhaus.org,  ...

Hay un punto intermedio, en el cual te aprovechas de características de Postfix que refuerzan la verificación de comportamiento de los clientes SMTP que hablan con él. Por increíble que parezca, cosas como reject_non_fqdn_hostname y reject_invalid_hostname en Postfix eliminan una gran cantidad de UCE antes de que los recibas y tengas que pasarlos por SpamAssassin con el uso de recursos correspondiente. Y es gratis.

smtpd_delay_reject = yessmtpd_helo_required = yessmtpd_helo_restrictions =   ...   reject_non_fqdn_hostname,   reject_invalid_hostname,   ...smtpd_sender_restrictions =   ...   reject_non_fqdn_sender,   reject_unknown_sender_domain,   ...smtpd_recipient_restrictions =  ...  reject_unauth_pipelining,  reject_non_fqdn_recipient,  reject_unknown_recipient_domain,  reject_unauth_destination,  ...

La tendencia actual apunta a detener el spam no cuando lo recibes, ni cuando te lo envían, sino en el origen o cerca de él. La más accesible de esas tecnologías es SPF, y es bastante fácil ponerla a funcionar en Postfix. Se trata de llevar registros DNS de los MTA autorizados para el envío de correo electrónico de un dominio en particular. Así evitas que un desktop Windows en Tailandia te diga que steve@apple.com quiere venderte Viagra.Finalmente hay un mecanismo muy sencillo de control de UCE que se basa en el punto 4.5.4.1 del RFC 2821 y es greylisting. En Postfix es muy fácil usar postgrey para establecer un sencillo mecanismo de listas grises que reduce en un 80% las incidencias de UCE en un servidor típico.El MTA de g33k.com.ve le da servicio a varias cuentas y listas de correo de proyectos F/OSS y cultura libre con estas sencillas reglas. La administración es nula, no hay listas negras que mantener (ni en SQL ni nada) y sobre todo, la incidencia de correo basura es de 0%. Sin usar SpamAssassin, en un VPS de 15 VEF al mes. Gracias a ${DEIDAD} por el F/OSS.

Standard

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s