У меня есть почтовый сервер для нескольких тысяч пользователей. Он использует Postfix + Amavis (со SpamAssassin + Clam).
В большинстве случаев это довольно удачная установка, но время от времени мы получаем поток электронных писем с вирусами / фишингом, например, из поля с надписью «Администратор», что-то вроде «Счет-фактура прикреплен», а затем вредоносное вложение в формате zip / pdf. Мы получим около 5000 таких сообщений (все от разных хостов) в течение нескольких часов (обычно поздно утром), а затем все закончится. Предположительно, это вирус, который отправляется с зараженных домашних компьютеров.
SpamAssassin довольно хорошо справляется с их поиском, но он не совсем легкий и создает реальную нагрузку на наш почтовый сервер, поэтому я ищу лучшее решение.
Короткое замыкание в SA - это один из вариантов. Это не останавливает проверку сообщения SA, но, по крайней мере, ограничивает количество проверяемых правил. Тем не менее, это все равно потребует ручного вмешательства (например, добавьте правило для оценки +100, а затем закройте любое электронное письмо с темой / ^ Входящий факс /). Если бы я написал плагин SA для автоматического добавления правила короткого замыкания (например, «если мы получим более 10 электронных писем за 60 секунд с той же темой, наберите +100 для будущих писем с этой темой»), это было бы открыто для злоупотреблений и ложные срабатывания.
Мне интересно, есть ли хороший способ заблокировать / отклонить / отбросить эти электронные письма на уровне SMTP, устраняя накладные расходы на сканирование, а затем через SA. Автоматическая блокировка IP (например, с помощью правил iptables или postfix) кажется бессмысленной, поскольку обычно это происходит с уникальных адресов. Часто тема будет немного случайной, например «Входящий факс № 1234», «Входящий факс получен», «№ 321 ожидает новый факс».
Много лет Postgrey для меня очень хорошее решение в борьбе со спамом / вредоносными программами. Это снижает нагрузку на трафик в SA / ClamAV до 90% без ложных срабатываний. Хорошее подобное решение - policyd / cluebringer с интерфейсом для простой обработки конфигурации через веб-браузер. С помощью cbpolicyd вы также можете управлять ограничением исходящей почты в случае, если учетная запись клиента была взломана и рассылает спам.
Также рассмотрите настройку поддельные MX, это может помочь от спама, отправляемого зомби по коммутируемым каналам.
Возможно, вам подойдет вариант policd-weight. Он выполняет легкий поиск DNSBL, просто запрашивая DNS-серверы для отправляющего IP-адреса и - если у вас есть несколько совпадений в черных списках - вы можете просто отклонить доставку почты с этого IP-адреса, чтобы эти заблокированные письма не доходили до вашего SpamAssassin.
Преимущество policyd-weight над встроенным механизмом поиска DNSBL Postfix состоит в том, что вы можете запрашивать несколько DNSBL и добавлять оценки за нахождение в DNSBL или вычитать оценки за нахождение в DNSWL, чтобы снизить риск ложных срабатываний.
Обычно я бы рекомендовал использовать следующие DNSBL соответственно. DNSWL: