Filtro de conteúdo do postfix (spamassassin) get's bypassed

1

Ultimamente recebemos muitas mensagens de spam em japonês, contendo cabeçalhos estranhos. Pelo menos, parece que um e-mail é oferecido remotamente, mas o e-mail é tratado como se fosse enviado internamente, o que ignora os filtros de conteúdo.

Received: by mail.mydomain.tld (Postfix, from userid 5001)
    id 6B03E49E06C; Fri, 20 Jul 2018 16:11:41 +0200 (CEST)
Received: from mail.mydomain.tld (mail.mydomain.tld [127.0.0.1])
    by mail.mydomain.tld (Postfix) with ESMTP id 9D42049E05D
    for <[email protected]>; Fri, 20 Jul 2018 16:11:41 +0200 (CEST)
Received: from uc.cn (unknown (80.223.20.65])
     by uc.cn with SMTP id 9b2d56fa-9aab-41fd-bf0b-dc1fcc4d8b6b;
     for <[email protected]>;Fri, 20 Jul 2018 22:11:52 +08:00
Received: from uc.cn (unknown [222.185.22.12])
    by mail.mydomain.tld (Postfix) with SMTP id 910DF49E05D
    for <[email protected]>; Fri, 20 Jul 2018 16:11:39 +0200 (CEST)
Received: by mail.mydomain.tld (Postfix)
    id B312049E05F; Fri, 20 Jul 2018 16:11:41 +0200 (CEST)
Return-Path: <[email protected]>
From: =?utf-8?B?6aG+5YWx?= <[email protected]>
To: <[email protected]>
Subject: =?utf-8?B?54aK546rfumdouivleaIkOWKn37opoHpgIHkvaAxODjntrXph5Eg5Yqg?=
    =?utf-8?B?5oiR5LyB6bmFMjgxMzMzOTc3MSDpooYg6L+e5o6lIDU1NDYzOEMwTSAgICA=?=
    =?utf-8?B?ICAgIA0KDQoNCg0KDQoNCg0KDQoNCg0KDQoNCg0KDQo=?=
    =?utf-8?B?DQogICAgICAgICAgICAgICAgICA=?=
Date: Fri, 20 Jul 2018 16:11:52 +0200
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_0E6A_01D42046.4A45B970"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AQLZY/ijut0x7cMD09Bp+ejCSgrNhw==
Disposition-Notification-To: <[email protected]>

Estamos usando o Postfix 2.9.6 com o SpamAssassin 3.3.2. vinculado usando -o content_filter ao processo smtp. Também estamos executando o processo smtps do Postfix, também vinculado ao SA usando -o content-filter=

Eu simplesmente não consigo descobrir como a mensagem é enviada dessa maneira e por que os filtros de conteúdo são ignorados.

    
por royarisse 07.08.2018 / 12:29

1 resposta

2

Estou surpreso que você tenha deixado essa mensagem chegar até o SpamAssassin. Várias restrições internas do Postfix teriam rejeitado esse spam muito antes de chegar tão longe.

Do meu servidor de e-mail ativo:

smtpd_helo_required = yes

Alguns spammers não se incomodam com um HELO. Este fez, mas isso permitiu que outras verificações baseadas em HELO funcionassem corretamente e não fossem trivialmente ignoradas por não enviar um HELO.

smtpd_helo_restrictions =
        # other items ...
        reject_invalid_helo_hostname,
        reject_unknown_helo_hostname,
        # other items ...

O nome do host HELO enviado por este servidor era inválido. Eles alegaram ser uc.cn , mas a procura do endereço IP deu NXDOMAIN e a pesquisa em uc.cn forneceu um endereço IP diferente. reject_invalid_helo_hostname e reject_unknown_helo_hostname rejeitam mensagens de hosts remotos que afirmam ser alguém que não estão na mensagem EHLO / HELO.

smtpd_recipient_restrictions =
        # other items ...
        reject_rbl_client bl.spamcop.net,
        reject_rbl_client cbl.abuseat.org,
        reject_rbl_client zen.spamhaus.org,
        reject_rbl_client b.barracudacentral.org,
        reject_rbl_client dnsbl-1.uceprotect.net,
        check_policy_service unix:private/policy-spf,
        # other items ...

O endereço IP que forneceu o email para você já está em várias listas negras de spam. Considere adicionar alguns à sua configuração para rejeitar o pior spam antes que ele chegue perto dos seus servidores.

A verificação dos registros SPF também teria causado a rejeição desse email. Instale um serviço SPF, como pypolicyd-spf (usado aqui).

Você também pode encontrar a documentação do Postfix com uma leitura interessante.

    
por 07.08.2018 / 16:01