rolig på virusfronten.. men hissig på spamfronten

[lohelle]

sjekket statistikk for min mailserver (hoster ca 20 domener)

sist jeg sjekket denne (noen mnd siden.. kanskje et år?) så var det ca 10% virus og ca 50% spam. Nå er dette endret seg til 1% virus og 75% spam..

 

Heldigvis er ikke spam-mailene så store.. Men likevel så er det jo helt utrolig mye av de.

Se url under av statistikk etter bare noen timer:

 

http://www.tech-support.no/log.htm

 

 

noen andre som har tilsvarende statistikk?

[knut]

Ja det er stort sett sånn det er.

 

F.eks. en fortinet brannmur jeg administrerer har denne statistikken:

AV 195 viruses caught

IPS 9122 attacks blocked

Spam 2496 spams detected

[wsp]

Ja det er stort sett sånn det er.

 

F.eks. en fortinet brannmur jeg administrerer har denne statistikken:

AV  195 viruses caught

IPS  9122 attacks blocked

Spam  2496 spams detected

6548385[/snapback]

 

Ser det samme her også. Mengden virus er minimal, men det er gjerne ofte også fordi virusmail blir blokkert før de kommer til virussjekken pga HELO, SPF, RBL etc. Men antivirus er likevel viktig å ha for å blokkere de resterende.

 

Her er et par skjermbilder fra to forskjellige servere som filtrerer mail for ulike domener:

[lohelle]

oppdatert info ligger nå på siden (http://www.tech-support.no/log.htm)

har "gått seg til" med 78% spam nå (forrige statistikk var etter under 24t etter reset av statistikk.

 

Veldig grei statistikk wsp! hva er prosent med spam mon tro...?

 

edit: det kommer faktisk MYE mer spam om jeg skrur av "spam repellant" (eller hva det nå heter).

Denne funksjonen gjør at server venter x antall sekunder med greeting. Spam-sendere har gjerne VELDIG kort timeout på sending (for å få ut mest mulig meldinger), og da vil disse gjerne gi opp (siden smtp-server venter 15 sekunder med å svare)

"skikkelig" mail kommer gjennom.

 

Filteret er nå ikke strengt i hele tatt, men tar mesteparten av spam likevel.. Kjører nå 5 av 10 i spam-score som grense for tagging og 9,5 i score for blokking..

Endret 27. juli 2006 av lohelle

[wsp]

Veldig grei statistikk wsp! hva er prosent med spam mon tro...?

 

På det ene systemet er statistikken 98% spam for siste måned (tydelig at det er ferietid nå) og 76% for siste 400 dager.

 

På det andre systemet er 62% blokkert.

 

Kombinasjonen av mange typer blokkeringer gjør at vi sjelden får inn spam lenger samtidig som blokkering på smtp-nivå har gjort administrasjon til en drøm da det praktisk talt er vedlikeholdsfritt. Spam havner ikke i brukernes mailbokser og med blokkering på smtp-nivå får avsender melding om at mailen ikke kunne leveres UTEN at det sendes ut en mail om det fra våre systemer. Du ser på statistikken i forrige posting hvilke typer blokkeringer vi bruker på de ulike serverne.

 

Lars

[tyldum]

Er en stund siden jeg kjørte skikkelig statistikk, mest fordi at spam'en i stor grad er borte, men her er en graf for ett av systemene jeg administrerer (lav-volum).

 

Blå er totalt antall meldinger, mens den grønne er antall spam tagget av SpamAssassin.

Virus utgjør så forsvinnende lite at det ikke er med.

 

I desember gikk mengden taket uten noen spesiell årsak. Gjett når jeg innførte grålisting?

[lohelle]

Er en stund siden jeg kjørte skikkelig statistikk, mest fordi at spam'en i stor grad er borte, men her er en graf for ett av systemene jeg administrerer (lav-volum).

 

Blå er totalt antall meldinger, mens den grønne er antall spam tagget av SpamAssassin.

Virus utgjør så forsvinnende lite at det ikke er med.

 

I desember gikk mengden  taket uten noen spesiell årsak. Gjett når jeg innførte grålisting?

6588565[/snapback]

 

noen anbefalte blacklists? fikk vite at sorbs ikke var å anbefale (blacklistet hele ranges osv).

Bruker nå :

relay.ordb.org

bl.spamcop.net

sbl-xbl.spamhaus.org

 

edit: jøss! nå sa statistikken kun 17% normal email! dvs 83% spam! Har dere merket mer spam i dag? (til server, ikke til brukerene)

 

kanskje spammerene også har hatt ferie..

Endret 31. juli 2006 av lohelle

[tyldum]

Støtter meg igrunnen til standard SpamAssassin. Et veltrent bayesfilter (40000 spam og 50000 ham) gjør underverker sammen med Pyzor og Razor.

 

Det jeg har ekstra er:

uridnsbl        URIBL_CNKR      cn-kr.blackholes.us TXT
body            URIBL_CNKR      eval:check_uridnsbl('URIBL_CNKR')
tflags          URIBL_CNKR      net
score           URIBL_CNKR      2.0

header          X_RBL_INTERSIL  eval:check_rbl('INTERSIL_NET','blackholes.intersil.net')
describe        X_RBL_INTERSIL  Sender IP has a bad track record
tflags          X_RBL_INTERSIL  net
score           X_RBL_INTERSIL  0.5

urirhssub       URIBL_BLACK  multi.uribl.com.        A   2
body            URIBL_BLACK  eval:check_uridnsbl('URIBL_BLACK')
describe        URIBL_BLACK  Contains an URL listed in the URIBL blacklist
tflags          URIBL_BLACK  net
score           URIBL_BLACK  3.0

urirhssub       URIBL_GREY  multi.uribl.com.        A   4
body            URIBL_GREY  eval:check_uridnsbl('URIBL_GREY')
describe        URIBL_GREY  Contains an URL listed in the URIBL greylist
tflags          URIBL_GREY  net
score           URIBL_GREY  0.25

 

Samt grålisting. Håper snart på å kunne oppgradere Postfix slik at jeg får greetpause slik som lohelle nevner. Forhåpentligvis betyr det at jeg kan løsne litt på grålistingen. Idag hvitelister jeg alle sendere med en revers som inneholder .no, men veldig mange ser ut til å ikke ha dette i orden...

 

(tagger ved 6.31 poeng, karantene ved 11 poeng)

[tyldum]

edit: jøss! nå sa statistikken kun 17% normal email! dvs 83% spam! Har dere merket mer spam i dag? (til server, ikke til brukerene)

 

kanskje spammerene også har hatt ferie..

6588621[/snapback]

 

Som du ser av min graf var august ifjor en meget rolig måned. Jeg tror spammerne tar ferie (er vel en håndfull av dem som står bak mesterparten) samt at folk generelt tar ferie og slår av sine slimete usikrede windows-zombier...

 

Merker generelt at spam avtar i helgene, noe som jeg tror har med det å gjøre at arbeidsplasser slår av maskinene om helgen.

[tyldum]

Kjapp statistikk for 250 kommune-brukere. Disse fikk ikke egne epostadresser før i desember, faktisk.

 

6500 epost mottatt i juli hvorav 28% var spam (etter grålisting).

10000 epost mottatt i juni hvorav 28% var spam (etter grålisting).

7500 epost mottatt i mai hvorav 16% var spam (etter grålisting).

5400 epost mottatt i mai hvorav 14% var spam (etter grålisting).

 

Snittet siden januar er 18% spam, så grålisting hjelper vanvittig mye.

 

Det jeg har notert meg er at det kom en formidabel økning mot slutten av mai i antall forsøk på levering. Jeg ser også at spammerne begynner å skjønne grålisting og et flere eposter blir levert. Gjør nå et forsøk hvor jeg har endret standard grålisting fra 5 til 10 minutter for å se om de bare har lagt inn timer eller om de faktisk hører på hva serveren sier.

Endret 31. juli 2006 av tyldum

[lohelle]

Kjapp statistikk for 250 kommune-brukere. Disse fikk ikke egne epostadresser før i desember, faktisk.

 

6500 epost mottatt i juli hvorav 28% var spam (etter grålisting).

10000 epost mottatt i juni hvorav 28% var spam (etter grålisting).

7500 epost mottatt i mai hvorav 16% var spam (etter grålisting).

5400 epost mottatt i mai hvorav 14% var spam (etter grålisting).

 

Snittet siden januar er 18% spam, så grålisting hjelper vanvittig mye.

 

Det jeg har notert meg er at det kom en formidabel økning mot slutten av mai i antall forsøk på levering. Jeg ser også at spammerne begynner å skjønne grålisting og et flere eposter blir levert. Gjør nå et forsøk hvor jeg har endret standard grålisting fra 5 til 10 minutter for å se om de bare har lagt inn timer eller om de faktisk hører på hva serveren sier.

6588811[/snapback]

 

min statistikk regner inn spam stoppet av blacklists også.. Men den regner ikke inn det som blir stoppet av spam repellant (10 sek delay på smtp). Ser fra loggene at mange connections blir stoppet av dette. Har enda ikke hørt om en eneste "skikkelig" mail som ikke har kommet frem. "skikkelige" mailer får stort sett 0 i score i spamfilteret, mens AV OG TIL så blir noen newsletters stoppet.. Men disse blir kun tagget og ikke rejected. Et klikk i webmail som "not spam", og neste gang blir den ikke tagget..

 

bruker kerio mailserver. Meget fornøyd.

Endret 31. juli 2006 av lohelle

[tyldum]

Går utifra at du ikke bruker blacklists til å avvise, men som et av flere kriterier?

Med et system som SpamAssassin er jeg ikke så bekymret for 'collateral damage' med at svartelisten inneholder hele netblokker, det påvirker ikke legitim epost nevneverdig.

 

I Norge har vi en fordel med at vi skriver norsk, det gjør bayes veeeeeldig effektivt.

 

Delay på greet er trolig like effektivt som grålisting og skal ha veldig få falske positive. Det jeg har oppdaget er at enkelte webtjenester prøver å stå for epostsendingen selv istedenfor å legge dette over på en SMTP-server. Disse kan få trøbbel med greet pause og grålisting.

 

Min løsning er postfix integrert mot AD og med sqlgrey og amavisd-new som igjen kaller SpamAssassin og ClamAV. Er meget fornøyd her også, og det er brukerne mine og.

Var inne på tanken å implementere karantenehåndtering for brukerne, men det har vist seg så vanskelig å drive noen form for opplæring at jeg har skrinlagt det. Dessverre har jeg ikke tid til det heller...

 

En ting er sikkert, dersom julenissen kommer på besøk og vi får råd til Exchange, så skal jeg beholde Linuxen i front. Har ikke funnet noe av tilsvarende kvalitet for Exchange, og slettes ikke til den prisen og friheten.

 

Har forøvrig snust litt på Kerio og, den ser lovende ut.

[lohelle]

ble litt mye å quote.. hehe

 

treff i blacklists adder 2,5 poeng til score.. Treff i 2 lister vil GARANTERT gi tagging/reject da tagging skjer ved 5 poeng.. Reject på mailer med score over 9,5