Co to jest RBL i czy warto z niego korzystać?

RBL mówiąc wprost to, lista spamerów zawierająca numery IP lub adresy email z którego idzie spam. Listy prowadzone są albo przez organizacje non profit albo przez komercyjne organizacje, które odpłatnie udostępniają takie listy administratorom serwerów pocztowych. Listy takie aktualizowane są w czasie rzeczywistym co znaczy, że często się zdarza, że zanim spam do nas dotrze już znajduje się na takiej liście i jest odpowiednio punktowany.

Jak korzystać z takich list RBL? Można to zrobić na kilka sposobów, a taka informacja znajduje się zawsze w danym serwisie RBL, ja polecam dodać odpowiednie reguły do Spamassassina i ustawić odpowiednią punktację. Zasada jest taka, że Popularnym zaufanym RBL ustawiamy większą punktację, tym mniej popularnym i którym mniej ufamy mniejszą.

Z jakich list RBL warto korzystać? Ja osobiście korzystam z SPAMCOP, SPAMHAUS, BLACK, UCEFPROTECT, SORBS i te polecam, należy tu wspomnieć także o polskim RBL jakim jest POLSPAM, jednak mimo że posiada on polskie adresy i zdawało by się, że korzystanie z niego powinno być dobrym pomysłem dla poczty w Polsce to, w efekcie jest to bardzo uciążliwe, gdyż zawiera on na swoich listach wiele adresów popularnych serwisów takich jak onet, wp, o2, allegro i podobne, a których filtrować w całości nie chcemy. Swego czasu bywało nawet, że praktycznie każdy email jaki mi przychodził z polskich adresów, zamieszczony był na POLSPAM i lądował w spamie.

Jeśli już zdecydujesz się jednak z niego korzystać, polecam dać mu niewielką punktację np. 0.2pkt-0.5pkt (lub mniej), aby się nie okazało, że większość maili wyląduje nam w spamie. Czasami może być to pomocne jako sposób na podbicie punktacji dla polskich adresów, z którymi wiąże się większe ryzyko spamu.

Wybierając RBL pod własne preferencję polecam serwis http://www.intra2net.com/en/support/antispam/ Po kliknięciu w nazwę danego RBL pokażą się nam gotowe reguły jakie należy dodać do pliku local.cf naszego spamassassina.

Jak sprawdzić, czy filtrowanie po RBL działa? W źródle wiadomości powinny nam zacząć pojawiać się nazwy reguł RBLi wraz z punktacją za nie. Powinieneś znacznie odczuć także mniejszą ilość dostawanego spamu.

Innym sposobem na filtracje spamu jest także RAZOR2, PYZOR, DCC, które nie są typowymi RBL, bo przechowują jedynie sumy kontrolne maili spamerskich, po których jest on potem odpowiednio punktowany. Włączyć te filtry możemy w pliku v310.pre. Przedtem jednak należało by je zainstalować na serwerze. Na Ubuntu/Debian wydajemy w konsoli polecenia:

apt-get install razor pyzor

Następnie instalujemy DCC ze źródeł:

cd /tmp
wget http://www.dcc-servers.net/dcc/source/dcc-dccproc.tar.Z
tar xzvf dcc-dccproc.tar.Z
cd dcc-dccproc-1.3.158
./configure --with-uid=amavis
make
make install
chown -R amavis:amavis /var/dcc
ln -s /var/dcc/libexec/dccifd /usr/local/bin/dccifd

następnie w pliku /etc/spamassassin/local.cf dodajemy

#dcc
use_dcc 1
dcc_path /usr/local/bin/dccproc

#pyzor
use_pyzor 1
pyzor_path /usr/bin/pyzor

#razor
use_razor2 1
razor_config /etc/razor/razor-agent.conf

Oraz restartujemy amavisa (z konsoli)

service amavis restart

Następnie wydajemy polecenie

sa-update --no-gpg

i dodajemy do crona wydając kolejno polecenia

crontab -e
23 4 */2 * * /usr/bin/sa-update --no-gpg &> /dev/null

Poniżej także reguła do dodania, autorstwa jednego z polskich serwisów antyspamowych zabojcaspamu.pl. Regułę dodajemy do naszego pliku z regułami.

# DCC, RAZOR, PYZOR
meta ZABOJCASPAMU_DCC_RAZOR_PYZOR (PYZOR_CHECK + DCC_CHECK+ RAZOR2_CHECK)
describe ZABOJCASPAMU_DCC_RAZOR_PYZOR Dwa z trzech PYZOR DCC RAZOR2
score ZABOJCASPAMU_DCC_RAZOR_PYZOR 2

6 myśli na temat „Co to jest RBL i czy warto z niego korzystać?

  1. Co dokładnie robi ta ostatnia reguła? bo wszystko fajnie działa i bez niej.
    Punktuje za Razor2, DCC, PYZOR, a dodatkowo nalicza 2pkt za tą ostatnią regułę, na pewno tak ma być?

    DCC_CHECK=1.1
    PYZOR_CHECK=1.985
    RAZOR2_CF_RANGE_51_100=0.365
    RAZOR2_CF_RANGE_E8_51_100=2.43
    RAZOR2_CHECK=1.729
    ZABOJCASPAMU_DCC_RAZOR_PYZOR=2

    • Tak ma być. Jeśli spamer znajduje się na przynajmniej dwóch z tych trzech usług np. na dcc i na pyzor, to wtedy zaczyna działać ta ostatnia reguła. Wzrasta wtedy prawdopodobieństwo, że jest to na pewno spam, więc dostaje dodatkowe 2pkt za to. Jeśli uważasz, że 2pkt to jest za dużo, ustaw odpowiednio mniej. Każdy serwer pocztowy jest indywidualny i posiada własne reguły, każdy admin też różnie podchodzi do spamu, stąd też ta punktacja zawsze powinna być modyfikowana pod własne preferencje.

      Ta reguła faktycznie jest włączona też w spamassassinie i nosi nazwę DIGEST_MULTIPLE jednak jest ona w regułach testowych i przyznawana pula punktów dla niej to 0.001pkt, czyli tyle co nic. Możesz oczywiście podbić jej tam ilość punktów, jednak uważam, że lepiej zrobić to dodatkową regułą na własnej liście. Jak ci przeszkadza, możesz testową wyłączyć poprzez zakomentowanie jej. Znajduje się ona w 20_net_tests.cf

  2. To jeszcze mam pytanie gdzie jest ten plik 20_net_test.cf, bo w /etc/spamassassin go nie widzę.

    Kolejne pytanie, to co ze standardowo włączonymi listami RBL w pamassasinie, korzystać z nich? czy lepiej je wyłączyć i korzystać z tych co podałeś? Jeśli wyłączyć, to gdzie to zrobić?

    • /usr/share/spamassassin tam masz ten plik. Zmiany punktacji dokonujesz w pliku 72_scores.cf. Jeśli chodzi o te standardowe RBL, to już zależy od ciebie, czy je zostawisz. jak dzięki nim normalna poczta nie ląduje w spamie, to możesz zostawić. Możesz im ewentualnie zmniejszyć punktację i traktować jako wzmocnienie pozostałych list.

  3. … często się zdarza, że zanim spam do nas dotrze już znajduje się na takiej liście i jest odpowiednio punktowany…

    Czyli serwisy te potrafią przewidzieć przyszłość? :]

Dodaj komentarz

seventeen − five =