只有 Mail Server 能做到的事

[掛號信]

素大:

常常會收到如下的信件, 有些是對方利用廣播方式, 有些是垃圾信...

[2009/9/28 上午 10:48:15] [5820] SMTP 服務接受從 114.42.127.28 來的連線
[2009/9/28 上午 10:48:26] [5820] 114.42.127.28 要求 SMTP 服務 - 寄信人是 Gql4HxZKUzaf6@mail.ht.net.tw
[2009/9/28 上午 10:48:34] [5820] 114.42.127.28 - 郵件內容已收到 (To:myname@mydomain.com.tw) 111179 bytes ( 18.1 KB/s)
[2009/9/28 上午 10:48:34] [5820] 儲存郵件到 <myname> 的信箱, 檔名為 _20090928104826-1478174861-5820.eml 111335 bytes
[2009/9/28 上午 10:48:35] [5820] SMTP 服務中斷從 114.42.127.28 來的連線

收進來的信檔頭如下:

Received: from B ([114.42.127.28])
by autoid.com.tw ([192.168.2.4]);
Mon, 28 Sep 2009 10:48:34 +0800
Received: from tpts7
by tpts4.seed.net.tw with SMTP id d0OfFi06ZWYkbp3bB7DfgcTF;
Mon, 28 Sep 2009 10:51:11 +0800
Message-ID: <ErkQK0>
From: 凱尼斯旅行社 全國最大旅遊網站
To:
Subject: =?big5?Q?=B3v=AC=EE=B1m=B7=AC=A1=E3=B4M=B5=DB=AC=EE=A4=D1=AA=BA=ADy=B8=F1 =AE=B7=AE=BB=A4=E9=A5=BB=B7=AC=AC=F5=B4=BA=ADP=A1I?=
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_OHMEVzUMfBScM9vRZI5A"
X-Mailer: dPD8EAm8ZJSNCMHC7TFQ0M2E
X-Priority: 3
X-MSMail-Priority: Normal
X-SpamInfo: bannedword, 1-0 10

This is a multi-part message in MIME format.

------=_NextPart_OHMEVzUMfBScM9vRZI5A
Content-Type: multipart/alternative;
boundary="----=_NextPart_OHMEVzUMfBScM9vRZI5AAA"


------=_NextPart_OHMEVzUMfBScM9vRZI5AAA
Content-Type: text/html;
charset="big5"
Content-Transfer-Encoding: base64

雖然已經做了內文判斷與標題判斷, 目前 MailD 並沒有針對寄信人的部份做處理, 只有黑白名單, 仍有許多漏網之魚利用此一機制, 當信件收進來後做再多的努力, 都比不上 Server 的一個簡單動作, 在 MailD 的過濾器設定中有個 [其他] 的頁籤, 目前有個選項是 [檢查信件的日期是否為未來的日期], 是否可以請素大加個 [檢查寄信人是否與信件內相同], 不知意下如何

[Arnor]

我認為這case 應該通不過反查檢查,
沒那麼特例要用你說的方式才能阻隔它.
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

[gramy]

原本我也想請素大開發這個功能，
不過這個其實有些困難而作罷！(應該解釋為會有矛盾較好)

案例：
我有一個seednet的信箱，設定自動轉寄到我自家網域的信箱來作郵件整合與過濾，
即當有人111@aaa.com寄到我seednet信箱時，
郵件會自動轉寄到我自家網域上，

當郵件交換時，郵件log上是秀111@aaa.com寄出，但是是seednet的ip。
若我有啟用ip反解比對的話，也是會判定到廣告信上，
除非seednet有雷電的功能，自動轉寄時，改為seednet網域寄出到我的自家網域，才不會被擋，

但反過來說，若是seenet有雷電的特異功能，
秀111@seed.net.tw寄到自家網域信箱時，ip反解對了，可以通過第一道防線，
但可能會被我們想要開發的寄件人比對是否不同的功能擋下？

我不確定掛號信大的這類廣告信件多或是少？
我個人的這類廣告信是很少，
(一個月可能不到一封)

可能是因為我除了雷電的內建廣告信阻擋功能外，
我尚有安裝spamassassin補強過濾吧，

個人覺得兩者疊加的阻擋廣告信的效果覺得比gmail的還要好~
掛號信大大到是可以試試看，
===================
其實這類信件我大都是以內文過濾，
設定其廣告信內文的連結網域或連絡電話來作過濾，
只要發過給我一次，除非它又換網域、連絡電話，不然一定擋的下來，
(因為做生意是做長長久久，不可能常換電話)
(換網域到是有可能，畢竟網域便宜，又方便申請)

參考看看囉！

[掛號信]

依gramy所言,頗有道理,基本上,這類垃圾信是很好擋,可能是我比較挑剔吧,一般硬體防火牆都只有擋IP功能較強,素大也建議擋IP儘量用硬體防火牆,而硬體防火牆是沒有提供內文判斷後刪除信件的功能,原因是信件要收下來才能判斷,就算是垃圾信也是收了,接著交給MailD處理,對網路頻寬與MailD的效能提昇並無幫助,每天幾百封至數千封的垃圾信其實並沒有減少,我只是想把收信後的判斷提昇到不收信這個層級,當然是採用漸進式,像SORB也都是收信後提示使用者而已,還是有不少使用者收到提示後仍然開啟信件(這是人之常情), 結果又觸發了信件釣魚機制(類似回條功能),就這樣惡性循環,我個人淺見是以為,在MailD的LOG上看到aaa@bbb.com實際上收信後卻不是,應該都需要再做額外判斷,這是屬於Mail Server層級能夠這樣寄,一般寄件人是不可能做這樣處理,也因為這樣,收信端的User也同樣沒有能力來判斷,所以我才會說這是只有Mail Server能做的事,因此,與大家交換意見.

[gramy]

掛號信大您好：

我們公司也是不開反解過濾的一個~~^^"
因為一開下去，真的有一些的郵件都會被判定為廣告信，
雖然只要後來加入白名單，就能避免，
但我後來還是選擇沒開反解過濾，
而是使用Spamassassin的郵件行為判斷過濾，
(雖然它已沒再更新了~~>"<)

也就是您所述的，在mail server層級對郵件再做額外判斷
(只是是全部的郵件都做判斷，且不只有針對冒名寄信...)


================
換個做法，若是你不想額外裝Spamassassin，
且這類廣告郵件較多需要阻擋的話，

可如同素大告知的方法，
設定開啟反解過濾，
但是信件規則選：收信，在郵件標題加註「**未通過PTR反解**」之類，
郵件不移入未驗證信匣，

若有誤判的郵件，再把其網域加入白名單，
使用一段時間後應該白名單中就有大部份常往來但未設定PTR的網域，
可再把反解過濾的信件規則改為移至未驗證信匣，
(您要手動加白名單，初期辛苦一點到是真的~^^")

參考看看囉~
===================
以pchome郵箱為例，若PTR反解無法通過，是無法寄送過去的，
當然其應該也有所謂的白名單來讓一些isp的郵件寄送通過，
但整體而言，其廣告信就真的比其它業者少很多，
且前端就擋掉無PTR的寄信後，也不需浪費其伺服器資源做後續處理(存信、判斷....)

[掛號信]

狀況又來了, 今天在 LOG 上是這樣顯示的

[2009/11/5 上午 08:13:45] [5960] 122.147.10.188 要求 SMTP 服務 - 寄信人是 1567@webmax2.tca.org.tw
[2009/11/5 上午 08:13:47] [5960] 122.147.10.188 - 郵件內容已收到 (To:name@host.com.tw) 19878 bytes ( 12.8 KB/s)
[2009/11/5 上午 08:13:47] [5960] 儲存郵件到 <name> 的信箱, 檔名為 _20091105081345-778044705-5960.eml 20046 bytes


收到的信件檔頭卻是

Received: from webmax2.tca.org.tw ([210.208.204.70])
by host.com.tw ([192.168.2.4]);
Thu, 5 Nov 2009 08:07:34 +0800
Received: from webmax2 ([127.0.0.1]) by webmax2.tca.org.tw with Microsoft SMTPSVC(6.0.3790.3959);
Thu, 5 Nov 2009 08:11:48 +0800
From: =?big5?B?SVRJU75QsOKkpKTf?= <charlie>
To: <name>
Cc:
Date: Thu, 05 Nov 09 08:11:48 +0800
Subject: | =?big5?B?sU23fq7RxHkgtKOkyabbp9rEdqqnueqkTw==?=
Message-ID: <X>
MIME-Version: 1.0
Content-Type: text/html;
charset="big5"
Content-Transfer-Encoding: base64
Return-Path: 1037@webmax2.tca.org.tw
X-OriginalArrivalTime: 05 Nov 2009 00:11:48.0899 (UTC) FILETIME=[916BA730:01CA5DAC]


因為 1567@webmax2.tca.org.tw 與 charlie@mail.tca.org.tw 根本就不同, 加入黑名單也沒用, 除非用時間日期, 否則也無法從 LOG 中以信箱來追查, 這就是我的困擾

[gramy]

應該也是差不多前述的方法就能處理：

一、開反解過濾：
122.147.10.188 的PTR : 122-147-10-188.static.sparqnet.net
郵件對應記錄是
webmax2.tca.org.tw MX preference = 60, mail exchanger = webmax2.tca.org.tw
webmax2.tca.org.tw internet address = 202.132.1.107


二、裝Spamassassin評分郵件行為過濾：
(若廣告信特徵不明顯，可能也是會漏掉)

三、設「內文過濾」，擋「tca.org.tw 」

參考看看囉~

[掛號信]

雖然方法不錯, 可是我是希望能在使用者端就處理, 畢竟只有使用者才能知道, 誰是垃圾信, 誰不是, 再看這個例子

[2009/11/6 上午 06:30:06] [4352] 119.160.244.78 要求 SMTP 服務 - 寄信人是 tw_edm.gqya-name=host.com.tw@returns.bulk.yahoo.com
[2009/11/6 上午 06:30:10] [4352] 119.160.244.78 - 郵件內容已收到 (To:name@host.com.tw) 33737 bytes ( 14.9 KB/s)
[2009/11/6 上午 06:30:10] [4352] 儲存郵件到 <name> 的信箱, 檔名為 _20091106063006-858230205-4352.eml 33940 bytes

同樣的, 信件檔頭也是找不到蛛絲馬跡, 黑名單根本沒作用, 寄信人是 tw_edm.gqya-name=host.com.tw@returns.bulk.yahoo.com 收到後加入黑名單變成 tw-edm-monday@yahoo-inc.com

Received: from n1.bullet.tw1.yahoo.com ([119.160.244.78])
by host.com.tw ([192.168.2.4]);
Fri, 6 Nov 2009 06:30:10 +0800
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo-inc.com; s=twedm; t=1257460466; bh=Z/A10m28UUnvzopW820TvIm1qs3LiCo3dHImA7Fmbzk=; h=Received:Received:Date:Received:To:From:Subject:Content-Transfer-Encoding:Errors-to:Content-type:X-yahoo-newman-property:X-yahoo-newman-id:Mime-Version; b=mb2ginrtXT/9qcL/2dVWKv0c30vZks3NDBMlJWX7/Aja9ApvhJqsgoBHIIkydKp3iJMI/KnaD1cr0EO4slBTz29c3qx32KcovCTGPeT2rF3Tkd5w/GEhkZMWdTEvrvYdWG7wNcWj8rjWrs7qWCiBDX9cxJvVeo/te2pAYSC/x0A=
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws; s=twedm; d=yahoo-inc.com;
b=g/UhnAGnn600cjLaeoGL9mDGhp9FSks1KrItl/T/Vg+D0wFcvaiihbtTQ/7IIGc74YJf4X1Q3zafV91qMtZFOzEf4t9fLGnG/xNkfF6W6/LdnNrp53nuCS5UMdMprwTrFAPQWDWrnbG0HRkLoKxIOMifnrsDTEAqN+PftKzGCKA=;
Received: from [119.160.244.77] by n1.bullet.tw1.yahoo.com with NNFMP; 05 Nov 2009 22:34:26 -0000
Received: from [119.160.247.58] by t2.bullet.tw1.yahoo.com with NNFMP; 05 Nov 2009 22:34:26 -0000
Date: 06 Nov 2009 06:34:26 +0800
Received: from [127.0.0.1] by d101.delivery.tw1.yahoo.com with NNFMP; 05 Nov 2009 22:34:26 -0000
To: name@host.com.tw
From: =?big5?b?WWFob28hqV+8r8HKqqukpKTfrautbrNxqr6rSA==?=<tw>
Subject: =?big5?b?oWlWSVCxTcTdoWqzzKvhMaTRIaTxsU3CZKtLqXl+q361UL5jpV01N6fpsF+hRLz2vlCuQrtlpFWx/jE5OQ==?=
Content-Transfer-Encoding: 8bit
Errors-to: null@cc.yahoo-inc.com
Content-type: text/html;charset=big5
X-yahoo-newman-property: tw_edm
X-yahoo-newman-id: 05022009110501:00:01:40:name
Mime-Version: 1.0

也不可能把整個 Yahoo 擋下來, 類似的手法其實很普遍, 真的, 只有 Mail Server 才能把這些信件分離出來, 這是最快又最簡單的方式啦