Om spam och blocking - flera dagar ( nästan )utan spam

peter h peter at hk.ipsec.se
Wed Jan 24 16:45:44 CET 2007 

En personlig approach på spambekämpning, läs om du är intresserad.


Länge har jag haft mycket spam. Det blir så om man publicerat sig någonstans.

Då de "vanliga" spamcop, spamhaus SPEWS inte räcker fram började jag 
i ren desperation att "whoisa" de spam jag fick. 

Så småningom började ett mönster visa sig, spam kommer numera till 99% 
från "adsl/cable" nät, dvs bredbandsanslutna windowsdatorer som
stulits av spammare.

Vissa ISP tycks strunta blankt i detta och tillåter missbruket. 

Så småningom uppstod tanken att blocka dessa i "access" ( med en liten
hack så man kunde uttrycka CIDR-ranges.

Då jag har flera mailservers fick jag kopiera och customisera access
tvärs över. Ända till det slog mig hur det naturligtvis skall göras : 
i en dns-baserad blocklista.

Några timmars pyssel och jag kunde generera en dns-zonefil i stället.
Nu blev det bara några sekunders arbete att addera en "ignorant" isp.

Numera har jag 450M ip-adresser och får (nästan) inga spam. Inte heller
saknar jag mail ( men jag har nog inte så många brevvänner i 
turkiet eller korea)

Gjorde dessutom en liten räknare som visar hur fördelningen 
av blockning blir per cidr-size. 


Generate SOA
Add access
/5        0  HOSTS: 0  Totalt: 0
/6        0  HOSTS: 0  Totalt: 0
/7        2  HOSTS: 67108864  Totalt: 67108864
/8       16  HOSTS: 268435456  Totalt: 335544320
/9        0  HOSTS: 0  Totalt: 335544320
/10        4  HOSTS: 16777216  Totalt: 352321536
/11       10  HOSTS: 20971520  Totalt: 373293056
/12       26  HOSTS: 27262976  Totalt: 400556032
/13       32  HOSTS: 16777216  Totalt: 417333248
/14       45  HOSTS: 11796480  Totalt: 429129728
/15       39  HOSTS: 5111808  Totalt: 434241536
/16      177  HOSTS: 11599872  Totalt: 445841408
/17       81  HOSTS: 2654208  Totalt: 448495616
/18       69  HOSTS: 1130496  Totalt: 449626112
/19       59  HOSTS: 483328  Totalt: 450109440
/20       53  HOSTS: 217088  Totalt: 450326528
/21       19  HOSTS: 38912  Totalt: 450365440
/22       12  HOSTS: 12288  Totalt: 450377728
/23       12  HOSTS: 6144  Totalt: 450383872
/24       76  HOSTS: 19456  Totalt: 450403328
/25        1  HOSTS: 128  Totalt: 450403456
/26        1  HOSTS: 64  Totalt: 450403520
/27        0  HOSTS: 0  Totalt: 450403520
/28        0  HOSTS: 0  Totalt: 450403520
/29        3  HOSTS: 24  Totalt: 450403544
/30        0  HOSTS: 0  Totalt: 450403544
/31        0  HOSTS: 0  Totalt: 450403544
/32       12  HOSTS: 12  Totalt: 450403556
./cidr2zone -n -T <  manet2 - | sort -t.  +4 +3 +2 +1 -n | uniq >> spews2.db
/usr/local/bin/named-checkzone spews2.manet.nu spews2.db
zone spews2.manet.nu/IN: loaded serial 701241616
OK
rndc reload
server reload successful
>


Tittar jag i en mailserver har jag analyserat vad som blockar spam,
"man-2" är denna blocklista :


Total=180, Spam=161 ( 89%), Accepted=19  Wed Jan 24 16:43:50 CET 2007
Sorbs Manet Man-2 Spamcop spamhaus STrap Manual RelDeny DNS rDNS Forged PreGr
   30     2    66       9       4      0     2      8     8     0     0    40

( här är ungefär halva dygnsvolymen medtagen)

Fördelen med blocklistning är att jag kan ignorera utvecklingen 
av nya "innehållsformat" jag blockar allt från en viss ISP/region.



-- 
        Peter Håkanson   

        There's never money to do it right, but always money to do it
        again ... and again ... and again ... and again.
        ( Det är billigare att göra rätt. Det är dyrt att laga fel. )

More information about the BUS mailing list