El 12/05/15 a las 10:56, Arley Consuegra Roselló escribió:
El mar, 12-05-2015 a las 10:15 -0400, Michael González Medina escribió:
El 12/05/15 a las 09:24, Arley Consuegra Roselló escribió:
acl_check_connect:
# Evitar que usen la ip de nuestro propio mx para enviarnos mensajes
(pudera dar conflictos con la config de webmail)
warn
message = Cannot use my own address
condition = ${if match
{$sender_host_address}{$received_ip_address}{yes}{no}}
# Buscar contra las listas negras la dirección del cliente que
intenta conectarse
.ifdef CHECK_RCPT_IP_DNSBLS
drop
message = Your address has been blacklisted by $dnslist_domain
dnslists = CHECK_RCPT_IP_DNSBLS
log_message = $sender_host_address is listed at $dnslist_domain
($dnslist_value: $dnslist_text)
.endif
accept
La variable CHECK_RCPT_IP_DNSBLS la puse asi:
CHECK_RCPT_IP_DNSBLS = bl.spamcop.net : sbl-xbl.spamhaus.org :
dnsbl.njabl.org
La idea es que cuando algun spammer intente connectarse a nuestro
servidor, este se encargara de revisar la IP antes de que el cliente
haya tenido la oportunidad de usar la instrucción HELO/EHLO, y si la IP
esta en dichas listas negras, loguearlo y mostrar una advertencia (util
para analisis de trazas o para usarse en fail2ban) aunque igual puede
hacerse directamente el deny
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
ok, lo agregaré a la conf.
Sugerencias:
1- Leer aquí [1] y después determines si te es mejor usar solo:
zen.spamhous.org
en lugar de:
bl.spamcop.net : sbl-xbl.spamhaus.org :
dnsbl.njabl.org
pero ya te digo, tienes que leer y ver que es lo mejor para tu caso
particular, por si no tienes acceso a ese enlace aquí te dejo la parte
interesante del mismo:
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Spamhaus ZEN Blacklist
www.spamhaus.org/zen/
ZEN is the combination of all Spamhaus DNSBLs into one single powerful
and comprehensive blocklist to make querying faster and simpler. It
contains the SBL, the XBL and the PBL blocklist.
In most cases, zen.spamhaus.org replaces sbl-xbl.spamhaus.org. If you
are currently using sbl-xbl.spamhaus.org you should now replace
'sbl-xbl.spamhaus.org' with 'zen.spamhaus.org'.
zen.spamhaus.org should now be the only spamhaus.org DNSBL in your
configuration. You should not use ZEN together with other Spamhaus
blocklists, or with blocklists already included in our zones (such as
the CBL) or you will simply be wasting DNS queries and slowing your mail
queue.
Caution: Because ZEN includes the XBL and PBL lists, do not use ZEN on
smarthosts or SMTP AUTH outbound servers for your own customers (or you
risk blocking your own customers). Do not use ZEN in filters that do any
‘deep parsing’ of Received headers, or for other than checking IP
addresses that hand off to your mailservers.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2- Filtrar con algún Anti-virus, por ejemplo para el ClamAV sería algo
como esto:
av_scanner = clamd:/var/run/clamav/clamd.ctl
3- Estudiar y leer, sobre todo, acerca de las ACLs y que hace cada una,
pues en mi opinión son muy muy importantes, por ejemplo, pudieras para
verificar las firmas de los dominios y prevenir spam etc... usar la acl:
acl_smtp_dkim = acl_check_dkim
*ojo es solo una sugerencia, no es que sea obligado ni mucho menos.
4- Verificar registros SPF.
5- Verificar las extensiones de archivo en los adjuntos.
y todo lo demás que se te ocurra mientras no interfieras con el proceso
natural de enviar y recibir correos entre tus dominios y el resto del mundo,
saludos,
--
Michael González Medina
Administrador de Red
Centro Nacional de Sanidad Vegetal
Gracias por las sugerencias, de momento no puedo
utilizar ningún tipo de mecanismo de verificación que use
dns pues no tengo salida al exterior, pero iré anotando esas cosas
para cuando me encuentre en un escenario más complejo.
claro, igual las otras que si puedes estudiar(la 2 y la 5) te las
recomiendo, así como de la 3(las ACLs) las que puedas pues son
importantísimas,
saludos,
PD: No hay nada que agradecer, este es el objetivo de la lista.
--
Michael González Medina
Administrador de Red
Centro Nacional de Sanidad Vegetal
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
