時(shí)不時(shí)的收到從新浪發(fā)來(lái)的垃圾郵件，怎么對(duì)付？

lookin

Return-Path: <nfteugr0o@sina.com>
Delivered-To: idescn.com-info@idescn.com
Received: (qmail 5051 invoked by uid 523); 17 Sep 2008 16:18:23 -0000
Received: from unknown (HELO smtp.sina.com.cn) (202.108.3.166)
  by 0 with SMTP; 17 Sep 2008 16:18:23 -0000
Received: from mail5-202.sinamail.sina.com.cn (unknown [10.55.5.202])
        by smtp.sina.com.cn (SINAMAIL) with ESMTP id 561DFD63C43
        for <neo@idescn.com>; Wed, 17 Sep 2008 23:22:28 +0800 (CST)
Received: from unknown (HELO mail3-13.sinamail.sina.com.cn) ([10.55.2.13])
  by mail5-202.sinamail.sina.com.cn with ESMTP; 17 Sep 2008 23:22:28 +0800
Received: by mail3-13.sinamail.sina.com.cn (Postfix, from userid 99)
        id 13F5DFF8417; Wed, 17 Sep 2008 23:22:28 +0800 (CST)
Received: from Sina WebMail (nfteugr0o@sina.com|121.32.68.59)
Received: from [121.32.68.59] by mail3-13.sinamail.sina.com.cn via HTTP;
Wed, 17 Sep 2008 23:22:28 +0800 (CST)
Date: Wed, 17 Sep 2008 23:22:28 +0800
From: nfteugr0o@sina.com
To: xinshiji@public.xm.fj.cn
Subject: =?GBK?B?UmU6yOe6zszhuN+j3sbz0rXQwrL6xre/qreitcSmzbncwO3Lrsa9YS4yMjY=?=
MIME-Version: 1.0
X-Priority: 3
X-MessageID: 1221664948.05.32739
X-OriginaIP: 202.108.3.13
X-Mailer: Sina WebMail 4.0
Content-Type: multipart/mixed;
         boundary="=-sinamail_mix_18a02281ab2f97641eb1e07547a77ac2"
Message-Id: <20080917152228.13F5DFF8417@mail3-13.sinamail.sina.com.cn>
X-Spam-Checker-Version: SpamAssassin 3.0.0 (2004-09-13) on Ides
X-Spam-Level:
X-Spam-Status: No, score=0.2 required=5.0 tests=HTML_MESSAGE,NO_REAL_NAME
        autolearn=no version=3.0.0


比如以上這封，根本就攔不住，只有一個(gè)標(biāo)題和一個(gè)word附件，nfteugr0o@sina.com這個(gè)帳號(hào)也是隨機(jī)申請(qǐng)的吧，可能還有很多，
sina.com的這個(gè)域名也是暢通無(wú)阻，rbl 之類的就沒(méi)用了
我這個(gè)接受地址是info@idescn.com可以通過(guò)RCPT讀取，那么下面
From: nfteugr0o@sina.com
To: xinshiji@public.xm.fj.cn
To:后面的地址是偽造的？
如何才能檢查到TO:后面的內(nèi)容？

那么多的Received是什么意思？中轉(zhuǎn)了很多次嗎？這么做有啥用？

lookin

大家對(duì)垃圾郵件不感興趣啊
這個(gè)是很典型的垃圾郵件吧？通過(guò)轉(zhuǎn)發(fā)避免了黑名單？

ardi

這類垃圾郵件確實(shí)比較難處理

lookin

問(wèn)題是為啥要偽造一個(gè)對(duì)不上的地址
To: xinshiji@public.xm.fj.cn？
如果寫(xiě)真實(shí)的地址 info@idescn.com有啥不同？
這里面有什么講究�。�

收到這樣的垃圾郵件，真是火大

思一克

sina, tom, 21cn,
有許多垃圾發(fā)送的人(機(jī)構(gòu))在上面注冊(cè)免費(fèi)信箱到處發(fā)垃圾. 主要是開(kāi)發(fā)票的,培訓(xùn)的垃圾.

不容易封. SA基本沒(méi)有用.

如果你的公司不大, 一個(gè)好方法可以是這樣的規(guī)則:

allow來(lái)自這里的個(gè)別人的郵件
block所有這些地方的郵件.

我@一條柴

你用的什麼rbl？？？ 國(guó)外的rbl都比較準(zhǔn)確、嚴(yán)謹(jǐn)， 一般都攔的住的.

你試試以下幾個(gè)RBL:
reject_rbl_client list.dsbl.org,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client dnsbl.sorbs.net

思一克

根據(jù)ＩＰ的RBL對(duì)與反垃圾來(lái)說(shuō), 是最初級(jí)階段的和最沒(méi)有用的方法.

為什么?　垃圾發(fā)自合法的ＩＰ，比如ＳＩＮＡ，　ＴＯＭ，　你ＲＢＬ能有用途嗎，　阻擋了就會(huì)影響正常的郵件．
ＲＢＬ還有許多錯(cuò)誤阻擋（由于精度問(wèn)題）．
比如一個(gè)ＩＰ發(fā)垃圾了，�。遥拢蹋ū热纾樱校粒停龋粒眨樱┚箤ⅲ踩f(wàn)個(gè)ＩＰ都列入了．

所以，　一般不要用ＲＢＬ，　任何都不要用．　

原帖由 我@一條柴 于 2008-9-19 16:09 發(fā)表
你用的什麼rbl？？？ 國(guó)外的rbl都比較準(zhǔn)確、嚴(yán)謹(jǐn)， 一般都攔的住的.

你試試以下幾個(gè)RBL:
reject_rbl_client list.dsbl.org,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client bl.spamcop.net,
...

我@一條柴

原帖由 思一克 于 2008-9-19 16:31 發(fā)表
根據(jù)ＩＰ的RBL對(duì)與反垃圾來(lái)說(shuō), 是最初級(jí)階段的和最沒(méi)有用的方法.

為什么?　垃圾發(fā)自合法的ＩＰ，比如ＳＩＮＡ，�。裕希�，　你ＲＢＬ能有用途嗎，　阻擋了就會(huì)影響正常的郵件．
ＲＢＬ還有許多錯(cuò)誤阻擋（由 ...

我用以上的RBL很有效，真的，沒(méi)有騙你。

的確，RBL會(huì)攔截不少正常郵件，特別是中國(guó)大陸的IP地址。

如果你擔(dān)心RBL會(huì)把正常郵件也攔截掉的話加以使用check_sender_access功能，比較靈活，既可以Accept又可以Reject，還有目前叫流行的SPF你都可以用上。

我的做法是使用RBL的同時(shí)，也使用spamassassin，你需要修改以下文件/usr/share/spamassassin/20_dnsbl_tests.cf

這個(gè)文件的作用是根據(jù)裡面列出的RBL定的分?jǐn)?shù)對(duì)收取的郵件進(jìn)行評(píng)分的，你也可以使用我提供的RBL加入此文件裡面并定適當(dāng)?shù)姆謹(jǐn)?shù)。

只用/usr/share/spamassassin/20_dnsbl_tests.cf的功能就可以避免直接把郵件攔截掉，而是把郵件定義為spam，然後你再使用autolearn或spamassassin的whitelist功能你就能對(duì)某些非spam的郵件進(jìn)行過(guò)濾。

還有到http://www.ccert.edu.cn/spam/sa/Chinese_rules.htm下載Chinese_rules.cf文件，放到/usr/share/spamassassin，此文件是針對(duì)中文垃圾郵件的。

還有，現(xiàn)在還有某些spam mail是冒充發(fā)信人地址是你公司員工地址發(fā)郵件的，此時(shí)spamassassin或許能起一定的作用，但一般情況下spamassassin都會(huì)為本地地址減50分左右，所以基本也無(wú)效，因此就要啟用Preventing sender spoofing了。

要啟用此功能可以用milter，也可以用postfix自有的功能實(shí)現(xiàn)：在main.cf中加入

smtpd_reject_unlisted_sender = yes
smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_sender_login_mismatch, reject_authenticated_sender_login_mismatch, reject_unauthenticated_sender_login_mismatch

然後根據(jù)你進(jìn)行用戶認(rèn)證的實(shí)際情況（mysql或ldap）對(duì)auth和from進(jìn)行對(duì)比就行了。

[ 本帖最后由 我@一條柴 于 2008-9-20 02:21 編輯 ]

思一克

TO 樓上,

RBL是有效的, 我不否認(rèn). 但比其它更高級(jí)的反垃圾, 效果差很多.

就拿LZ的例子, sina.com上的注冊(cè)的垃圾發(fā)送, RBL就是無(wú)效的, 而且是徹底無(wú)效的.
tom.com, yahoo.com.cn yahoo.com, 21cn.com... 上都有這種垃圾. RBL都是無(wú)效的.

我@一條柴

原帖由 思一克 于 2008-9-20 10:56 發(fā)表
TO 樓上,

RBL是有效的, 我不否認(rèn). 但比其它更高級(jí)的反垃圾, 效果差很多.

就拿LZ的例子, sina.com上的注冊(cè)的垃圾發(fā)送, RBL就是無(wú)效的, 而且是徹底無(wú)效的.
tom.com, yahoo.com.cn yahoo.com, 21cn.com...  ...

我明白你的意思，也基本贊同。

但重要的是防止spam的方法上單單用RBL是不明智的。 還要結(jié)合spamassassin，其實(shí)spamassassin有很多潛在功能是很好用的，當(dāng)然，這也需要比較復(fù)雜的配置，而且autolearn需要一段時(shí)間，最少收集200封郵件才起效。

如果LZ有興趣的話可以了解一下mailwatch， 它是配合mailscanner使用的。 Google上找找，但注意不是什么“郵箱管家”。