Misurazioni inaspettate

Oltre alla fornitura di filtraggio presso i nostri sistemi (sia per chi ha posta sui nostri sistemi che per chi ha un mailserver altrove), sul lavoro capita anche di realizzare mailserver adibiti a filtraggio “stand-alone”. In sostanza, dal punto di vista del cliente finale, li potete considerare come appliance: vengono installati nel datacenter del cliente, la configurazione la studiamo in base alla struttura del flusso postale del cliente, ecc.

Ne abbiamo installati presso altri ISP e presso alcuni “enti” con un parco utenti tale da giustificare l’onere.

Una volta in-situ, questi sistemi pigliano gli aggiornamenti del ruleset via rsync dai nostri repository e, salvo beghe, girano in proprio, con alcune funzionalità gestite direttamente dal cliente (aggiunta/rimozione domini, whitelisting/blacklisting locale, ecc).

Su alcuni di questi sistemi, dove possibile, manteniamo anche delle spamtrap, per ragioni spero ovvie che non mi dilungo a spiegare.

Oggi un vecchio server di questo tipo (che gira in autorun dalla notte dei tempi, in pratica) accettava delle mail da snowshoe dirette a una di queste spamtrap. Mail che normalmente sarebbero state rifiutate dalla nostra DNSBL interna deputata a questo scopo.
Dato che non me ne spiegavo il motivo, sono andato a controllare la macchina, e ho trovato che la ragione dell’inghippo era il fatto che l’istanza locale di rbldnsd da essa eseguita era crashata e non più in esecuzione.

L’istanza locale di rbldnsd viene usata per tutte le DNSBL che questi sistemi utilizzano e oltre alle DNSBL gestite da noi, quindi, mantiene la copia delle DNSBL “pubbliche” (le varie liste di Spamhaus, SURBL, ecc) utilizzate dal software di filtraggio. Il fatto che il servizio fosse crashato (cosa rarissima: mai visto rbldnsd crashare prima, e quello era in esecuzione ininterrotta da almeno 4 anni, salvo reboot vari) significa quindi che i filtri non potevano usufruire di quei dati preziosissimi.

Sono andato a vedere sui grafici di quel server quando il crash è capitato, perchè mi sembrava strano che nel frattempo il sistema non avesse iniziato ad essere subissato dallo spam.

Lo spettro della settimana

Il grafico che evidenzia il fatto lo vedete qui accanto: mostra “lo spettro” di distribuzione delle ragioni di blocco. Come è possibile notare, dalle 18 circa di venerdì scorso nessuna DNSBL è più intervenuta, pertanto quello è il momento del crash di rbldnsd.

E’ abbastanza evidente anche il fatto che tra le ragioni di blocco siano “subentrati” i filtri locali di postfix a riempire il vuoto. Si tratta di filtri locali su domini, pattern, helo, ecc, accumulati in oltre 10 anni di gestione di filtri antispam.

Il che permette, non volutamente, una misura piuttosto rapida e precisa dell’efficacia di quella componente di filtraggio: basta vedere in quanto è possibile stimare la differenza tra il filtraggio attuato in precedenza e quello di questa settimana.

E quindi eccovi qui il secondo grafico, che mostra la quantità di spam e ham transitati nell’ultimo mese su quel sistema.

Un mese di posta

Sostanzialmente, ne emerge che quei filtri locali, da soli, fermano comunque il 95% del flusso postale entrante, con uno scostamento estremamente piccolo rispetto all’efficacia del ruleset nel suo complesso.

Il che, ammetto, è dal mio punto di vista piuttosto inaspettato…

Read Full Post »

[MONOURL] Happy Birthday, Internet!

http://www.circleid.com/posts/20090903_happy_birthday_internet/

Read Full Post »

milter-link going commercial

Milter-link, per chi non lo sapesse, è un milter sviluppato da Anthony Howe originariamente per sendmail ma che funziona senza problemi anche con postfix.

Permette di analizzare il body di un messaggio mentre lo si riceve, provvede ad estrarre le URL da esso linkate e eseguire il lookup di queste su DNSBL pensate per questo scopo (quali SURBL e URIBL), per poi eventualmente rigettare il messaggio qualora questo sia listato.

Ha anche una serie di possibilità aggiuntive, come il lookup degli A-record dell’URL su DNSBL di tipo “classico” (quelle che listano IP, per capirci) come SBL, o il lookup dei record A dei record NS del dominio in URL, ecc. il cui utilizzo richiede però un buon grado di comprensione di cosa si sta facendo e di come è opportuno farlo: sono funzionalità utilissime se mantenete le vostre DNSBL da usare in questo ruolo, ma in mani incaute sono potenzialmente disastrose.

Da pochi mesi, si è aggiunta una funzionalità richiesta da me medesimo per esigenze sperimentali, che consiste nella possibilità di estrarre da un messaggio anche gli eventuali indirizzi email presenti in header (From, Reply-To, Sender) e body (ad esempio link di tipo “mailto”) ed effettuare il lookup delle stesse (in realtà del loro hash MD5 in formato esadecimale) su apposite DNSBL mantenute allo scopo (non cercatene di pubbliche in giro, tanto per ora non ne trovate).

L’approccio si sta rivelando piuttosto efficace nel controllo di tipologie di spam di difficile trattamento con i “metodi classici” come i 419.

In virtù della quantità di features introdotte e della oramai piuttosto testata maturità ed efficacia del prodotto, Anthony ha oggi annunciato il passaggio di questo milter ad una licenza di tipo commerciale: 85€ per una “site license” (che in altre parole significa che pagate una licenza ma se poi avete 5 MTA in casa usate la stessa licenza per tutti).

Vista l’utilità dell’oggetto e il costo irrisorio, mi sento vivamente di sponsorizzarne l’adozione da parte di chi volesse aggiungere funzionalità di URL-scanning ai propri mailserver senza imbarcarsi nella sequela di bestemmie che può dare il tuning di SpamAssassin, soprattutto per quanto concerne le prestazioni in sistemi con flussi “corposi”.

Read Full Post »