Mailinglist Archive: opensuse-es (2177 mails)

< Previous Next >
Re: [suse-linux-s] Depurando al "asesino"
  • From: Camaleón <noelamac@xxxxxxxxxxxxxx>
  • Date: Sat, 16 Oct 2004 10:18:46 +0200
  • Message-id: <4170D966.1030600@xxxxxxxxxxxxxx>
Carlos E. R. wrote:

Puedes eliminar previamente los virus, usando amavis_new, por ejemplo.

¿Qué tiene el amavis-new que todo el mundo lo utiliza?

:)

No tengo nada en contra de él, pero siempre me ha gustado utilizar la menor cantidad de programas posibles, así los errores son más sencillos de detectar (al final no sabes si el que falla es el filtro de amavis, postfix o SA).

Puedes también inventar una regla que le de algunos puntos negativos a esas direcciones, en vez de 100. Sabes que puedes definir reglas locales para el SA.

Muy complicado. :-)

Se puede inventar una regla que detecte si ha sido enviado por el servidor de terra - el SA tiene reglas para el yahoo, por ejemplo. Ahora, date cuenta que gente como yo envia con el from de terra, pe, pero sin usar para nada a terra, por lo que esa regla te diría que mi from es falso.

Habría que ver como hace el SA para detectar los falsos yahoo, e imitarlo con terra.

Carlos, SA lo puede hacer sin necesidad de reglas. Simplemente configurando los parámetros de "whitelist_from_rcvd" junto con "trusted_networks". Pero es que no sé qué valores poner en "trusted_networks"...

Los dns detectan muchas spams, es cierto, y al menos usándolos dentro del SA es más justo que usarlo en el psotfix (si lo activas en el postfix, gente como yo los bloqueas).

No creo que los tiros vayan por ahí. Entiendo (según la documentación de SA) que para que SA pueda identificar que un correo ha salido del servidor del que dice pertenecer, tiene que verificar (utilizando la resolución de nombres de los registros MX) que efectivamente es así. Por ejemplo, recibo muchos correos con virus (.zip) que dicen que son de "usuario@xxxxxxxx" pero si analizas las cabeceras del correo ves que ha salido de una IP de ADSL de Telefónica. Vamos, que de Terra nada.

Si yo tengo en "whitelist_from_rcvd" configuradas las direcciones de *@terra.es solamente, ese correo me pasa como bueno (-50 bayes), pero si se tuviera bien configurada, además, la opción de "trusted_networks", SA se daría cuenta de que ese correo no puede ser bueno porque la cabecera está falseada, y no proviene de Terra, por lo que le afectaría la puntuación normalizada.

No creo que esta opción tenga relación alguna con el bloqueo de IP en listas negras, o de rangos de direcciones, eso es otro tema, que por supuesto, no pienso activarlo.

Lo que pretendo es que a las direcciones que están en la lista blanca provengan de los servidores de correo a los que pertenecen. En caso contrario, que se les aplique las reglas bayesianas convenientes.

Mmmm. Ten en cuenta que en cuanto el SA tiene un tiempo, empiezan a colarse algunos más que antes, y hay que actualizarlo.

No hay problema. Puede ser entrenado cada x tiempo.

:)

Saludos,


--
Camaleón


< Previous Next >
Follow Ups
References