Upload
cropcreativos
View
39
Download
0
Embed Size (px)
Citation preview
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 1/33
1- "greet_pause" como forma de prevenir el spam | EcuaLUG
1- "greet_pause" como forma de prevenir el
spam
Enviado por Epe el Mié, 2007-02-07 14:42.
También conocida como greeting pause, es una técnica que se puede usar en sendmail para espantar a
los spammers que no cumplan con una sencilla condición de respeto.
Veamos algo, cuando haces telnet al puerto 25 de tu máquina te sale algo así:
telnet IPDEMISERVER 25
Trying IPDEMISERVER...
Connected to mail.xyz.com (1.2.3.4).
Escape character is '^]'.
La sesión no se ha iniciado completamente todavía, esto es, el servidor no te ha enviado el greet o
bienvenida. La bienvenida es un mensaje que el servidor envía cuando ya está listo y dice así:
220 mail.xyz.com ESMTP Wed, 7 Feb 2007 14:23:26 -0500
Ahora, entre el primer cuadro y la bienvenida (segundo cuadro), pasan algunos segundos.
Un spammer no tiene tiempo para estar esperando varios segundos hasta que aparezca la bienvenida,
y qué hace? Pues comienza a enviar los comandos antes de que aparezca la bienvenida. De esta forma
ahorra tiempo.
Recuerda que el spammer no está enviando tu correo a 10 personas sino a decenas, cientos, quizá
miles o millones de correos. Cada segundo que pierda es negocio malo para él, puesto que cada
segundo que pierde aumenta la posibilidad de que le detecten y bloqueen.
Es por esto que los spammers no esperan al mensaje 220 conocido como greeting.
Los sistemas de correo SMTP legales, esperan pacientemente el tiempo que sea necesario hasta que
aparezca el mensaje 220 y sólo entonces comienzan a enviar sus correos.
Qué podemos hacer?
http://www.ecualug.org/?q=2007/02/07/comos/centos/c...dmail/1_greet_pause_como_forma_de_prevenir_el_spam(1 de 3)31/01/2008 10:57:05 a.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 2/33
1- "greet_pause" como forma de prevenir el spam | EcuaLUG
Podemos indicarle a nuestro sendmail que se moleste en demorar el inicio de sesión, el mensaje de
bienvenida unos segunditos. Por ejemplo digamos 5 segundos.
Así que cuando abran una sesión al puerto 25, el sendmail nuestro demorará ese tiempo. Si alguien
intenta escribir algún comando antes de ese tiempo, el sistema le dirá que no está permitido, le
emitirá un fallo.
De esta forma muchos correos de spam sencillamente no llegarán, pues los spammers tienen sus
sistemas de bulking preparados para enviar rapidamente y no esperar.
Ahora, qué puede suceder a futuro? Que los spammers comiencen a respetar el mensaje 220 y a
esperar. Eso igual les afectará, por qué? porque si están enviando 10millones de mensajes y por cada
uno tienen que esperar 5 segundos, entonces demorarán muchísimo tiempo lo que hará poco rentable
el envío. El demorarles es efectivo en cualquier variante.
Cómo implementarlo?
edita /etc/mail/sendmail.mc y busca esta linea:
FEATURE(`access_db',`hash -T -o /etc/mail/access.db')dnl
Puede que en tu caso la linea varíe, pero la idea es que diga: access_db de feature.
Justo debajo de ésta linea pon:
FEATURE(`greet_pause', `5000')
Salva el archivo (sendmail.mc) y procede a recompilar el sendmail.cf; Nunca está de más hacer una
copia previa del /etc/mail/sendmail.cf por si acaso algo te falla.
m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf
Reinicia tu sendmail.
Ahora verás que si haces un telnet al puerto 25 de tu máquina, el sendmail demorará unos 5 segs en
aparecer con su greeting pause. Si escribes algo antes de esos 5 segs te dará un error, veamos el
ejemplo:
# telnet mail.xyz.com 25
Trying 67.15.12.90...
Connected to mail.xyz.com (1.2.3.4).Escape character is '^]'.
ehlo epe
554 mail.xyz.com ESMTP not accepting messages
http://www.ecualug.org/?q=2007/02/07/comos/centos/c...dmail/1_greet_pause_como_forma_de_prevenir_el_spam(2 de 3)31/01/2008 10:57:05 a.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 3/33
1- "greet_pause" como forma de prevenir el spam | EcuaLUG
250-mail.xyz.com Hello [200.63.231.203], pleased to meet you
250 ENHANCEDSTATUSCODES
mail from: [email protected]
550 5.0.0 Command rejected
Es decir, antes del 220 emití un comando (ehlo) y el sistema entonces me cerró, me emite un 554 un
mensaje de error. Tengo que cerrar la sesión y abrirla de nuevo.. y eso no le conviene a los atacantes.
Qué tiempo de demora sugerimos?
no 5 segs, quizá 2 ó 3 segs.. este valor puedes acomodarlo según necesites.
Fijate que se mide en milesimas: 5000 es 5segs, 2000 es 2 segs.
Cómo quitar la pausa para localhost?
Editamos /etc/mail/access y agregamos esta linea:
GreetPause:localhost 0
reiniciamos sendmail.
localhost casi nunca envía spam (somos nosotros mismos). por eso es bueno ponerlo como 0 espera
pues lo usa el squirrelmail. Podrías listar otra red si necesitas. La idea es:
GreetPause:red tiempo
La red se lista como se acostumbra en el access de sendmail (192.168.1 por ejemplo, sería para la red
192.168.1.0/24)
Vamos, no es que el spam desaparezca con esto, lo que síte quitarás decenas quizá miles de máquinas
impertinentes que envían locamente el spam.
Luego veremos otras medidas.
http://www.ecualug.org/?q=2007/02/07/comos/centos/c...dmail/1_greet_pause_como_forma_de_prevenir_el_spam(3 de 3)31/01/2008 10:57:05 a.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 4/33
10- Cómo prevenir el spam de imágenes. | EcuaLUG
10- Cómo prevenir el spam de imágenes.
Enviado por Epe el Lun, 2007-03-26 21:57.
El spam de imágenes es ese en el cual te llegan los correos embebidos en una sola imagen (almomento) de forma tal que el sistema de bayesiana tiene poca info que tragarse. Y el spamassassinno puede determinar bien el objetivo del correo. Me explico:
muchas personas reciben faxes legales e imágenes de diverso tipo via email, no hay forma dedeterminar que es spam o no con tan solo ver que viene una imagen.
El crecimiento de éste tipo de spam ha sido grande, al momento a propósito la cantidad de correospam que llega a los buzones es de aproximadamente el 77% de los correos y el de imagen es muyusado al momento. Éste artículo hace un análisis de eso: http://www.theregister.com/2007/03/26/ image_spam/
En realidad la forma que hallamos más efectiva al momento es el uso del greylist combinado con elde greeting pause.. ya no me llegan spam de imágenes.
Sin embargo antes de descubrir ésta forma habían otras que sugiero implementar. Se llama imageinfo
Éste plugin de spamassasin, funciona al momento con spamsassassin 3.1.x y se puede descargar deéste sitio:
http://www.rulesemporium.com/plugins.htm
Ambos archivos (el .pm y el .cf) sugiero ponerlos dentro de /etc/mail/spamassassin:
cd /etc/mail/spamassassin
wget http://www.rulesemporium.com/plugins/ImageInfo.pm
wget http://www.rulesemporium.com/plugins/imageinfo.cf
Una vez lo hayamos bajado, en éste mismo directorio tenemos un archivo llamado init.pre lo
editamos y al final agregamos:
loadplugin Mail::SpamAssassin::Plugin::ImageInfo /etc/mail/
spamassassin/ImageInfo.pm
http://www.ecualug.org/?q=2007/03/26/comos/10_c_mo_prevenir_el_spam_de_im_genes(1 de 2)31/01/2008 10:58:32 a.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 5/33
10- Cómo prevenir el spam de imágenes. | EcuaLUG
después reiniciamos el MailScanner:
service MailScanner restart
Listo, ahora tendremos activo un plugin que te ayudará a detectar ese correo con imágenes. No tienemuchos falsos positivos.
http://www.ecualug.org/?q=2007/03/26/comos/10_c_mo_prevenir_el_spam_de_im_genes(2 de 2)31/01/2008 10:58:32 a.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 6/33
11- Qué es el SPF? (Sender Policy Framework) | EcuaLUG
11- Qué es el SPF? (Sender Policy Framework)
Enviado por Epe el Vie, 2007-03-30 12:08.
Una técnica ya no tan nueva, pero increíblemente poco usada. Es el Sender Policy Framework.
El SPF como le llamaré, busca como objetivo el poder informarle al servidor que recibe un correo si
ese correo viene de un destino legítimo o no.
Por ejemplo: Cuántas veces no te ha pasado que te llega un correo de [email protected] pero que
en realidad no ha sido hotmail.com quien lo envió?
Esto ocurre mucho, los spammers falsifican el FROM de los correos, envían correos spam desde
digamos: China o Guayuaquil, y se hacen pasar por hotmail.com para evitar declarar su verdadera
dirección.
Así fue como se concibió el protocolo SMTP, cualquiera podría enviar un correo desde cualquier
servidor de SMTP, sea donde fuere que éste servidor estuviere. El objetivo no es burdo, tosco o
malintencionado. Es por el bien de la internet. Supongamos lo siguiente:
Antiguamente, los servidores de internet te podían desaparecer por varias horas, incluso días, puesto
que no era considerado algo prioritario como ahora. Entonces cómo enviabas tus correos? Pues te
conectabas a otro servidor smtp y enviabas el correo con el FROM del servidor que estaba caído. No
importa, los correos de respuesta llegarían a su destino (tu) tan pronto ese servidor caído se levantara,
pero por lo menos enviabas correos.
Es por eso que el smtp se creó así. Los spammers lo han visto como la oportunidad de su vida para
ocultar o dificultar el descubrimiento de quién envió el correo... hasta hoy.
El SPF se está implementando cada día en más dominios y sugiero que lo hagas con tu dominio
también.
Veamos el escenario actual:
Desde el punto de vista de un servidor que recibe un correo:
Supongamos que tenemos un servidor smtp sendmail, que está recibiendo un correo desde alguien
http://www.ecualug.org/?q=2007/03/30/comos/11_qu_es_el_spf_sender_policy_framework(1 de 3)31/01/2008 10:59:17 a.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 7/33
11- Qué es el SPF? (Sender Policy Framework) | EcuaLUG
que clama ser hotmail.com (FROM [email protected]). Supongamos que éste servidor nuestro
tiene activado verificaciones SPF.
Lo primero que haría el servidor nuestro es ver si ese dominio (hotmail.com) tiene un record SPF,
para eso verifica el record TXT del dominio:
[root@laptop ~]# host -t txt hotmail.com
hotmail.com text "v=spf1 include:spf-a.hotmail.com include:spf-b.
hotmail.com include:spf-c.hotmail.com include:spf-d.hotmail.com
~all"
Oh sí, lo tiene! Dentro de un rato veremos qué es lo que dice ese record. Pero lo tiene.
Si acaso no tuviera el record TXT con el spf (el SPF se define en el record TXT del dominio),
entonces se considera un SPF neutro y no hay forma de validar si es o no un spammer.
Como sí lo tenemos, el servidor nuestro procede a verificar si la IP que envía el correo haciéndose
pasar por hotmail.com está entre la lista de IPs autorizadas por éste record SPF de hotmail.
Si estuviera entre la lista de IPs autorizadas por el record TXT de hotmail.com, se le puede dejar
pasar con confianza. Si no fuera una IP autorizada, se le podría marcar como spam o asignarle algún
valor tendiente a considerarlo como spam.
Ahora veamos desde el punto de vista de nosotros, como clientes válidos, que estamos enviando
correos a un servidor remoto
Supongamos que estamos enviando un correo a gmail.com desde nuestro dominio: xyzabc@uio.
satnet.net (lo escojo porque ya ellos tienen SPF activado).
Supongamos que gmail.com revisa (y en efecto lo hace) los records SPF de los dominios que les
envían correos.
Nuestro legítimo servidor de satnet se conectará a gmail, le dirá que tiene un correo [email protected] y el servidor de gmail lo que hará será verificar los records TXT de uio.satnet.
net que al día de hoy son estos:
[root@laptop ~]# host -t txt uio.satnet.net
uio.satnet.net text "v=spf1 ip4:200.63.212.96/29 -all"
Bien, como satnet tiene SPF declarado, gmail verificará si la IP que envía el correo es la autorizada
por satnet. Si lo fuera, no será considerado spam. Si no lo fuera, será catalogado como tal.
Qué sucede si no tenemos records TXT declarados con SPF? Nadie podrá saber si alguien que use tu
dominio para enviar un correo es legítimo o no. Podrías por lo tanto estar propenso a ser catalogado
http://www.ecualug.org/?q=2007/03/30/comos/11_qu_es_el_spf_sender_policy_framework(2 de 3)31/01/2008 10:59:17 a.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 8/33
11- Qué es el SPF? (Sender Policy Framework) | EcuaLUG
como spammer según otras técnicas que pueden equivocarse.
No te has fijado que hotmail.com cataloga mucho correo válido como junk (spam)? Eso es porque no
sabe verdaderamente si es o no es, y porque sus filtros parecen no ser muy buenos.
Te comento, eso me pasaba mucho a mi, y desde que implementé SPF, ya mis correos llegan
correctamente a hotmail. Porque hotmail sabe que yo soy yo y tiene más confianza.
Por qué usar SPF en tu dominio?
Porque no serás bloqueado por los sistemas de greylisting que soporten SPF. El greylisting
acostumbra a dejar pasar a los servidores que tengan SPF declarado, sin demora alguna!
Porque los servidores que reciban tus correos sabrán a ciencia cierta que eres una persona que envía
un mail legítimo y tendrás poquísimas opciones de ser catalogado como spammer.
Qué pasaría sí los spammers comienzan a usar spf?
Tendrán que enviar correos desde un FROM que es de ellos, desde un dominio que es de ellos, y no
podrán ocultar o disimular el FROM, así que se delatarían mucho mucho más fácilmente y se podría
actuar legítimamente contra ellos de una forma más cómoda. Ojalá lo comiencen a usar!
Quién ya implementa SPF?
en el país, conozco de satnet quito y guayaquil , puntonet, ecualinux.com (yo) y así día a día se irán
sumando más personas puesto que en verdad ayuda, tanto para que recibas como para que envíes
correos. Si conoces de alguien más que tenga SPF no dudes en listarlo.
El spammer comenzaría a retroceder, hemos notado que ya no nos llega mucho spam de satnet o de
puntonet (con direcciones email de ellos) esto es porque nuestro sistema detecta que es un correo
ilegítimo y lo bloquea.
Por favor cualquier pregunta o sugerencia no dudes en postearla, para así ir aclarando el tema, perocréeme, es bastante bueno este sistema.
http://www.ecualug.org/?q=2007/03/30/comos/11_qu_es_el_spf_sender_policy_framework(3 de 3)31/01/2008 10:59:17 a.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 9/33
Cómo usar el SPF desde el punto de vista de cliente (nosotros enviando mails)? | EcuaLUG
Cómo usar el SPF desde el punto de vista decliente (nosotros enviando mails)?
Enviado por Epe el Vie, 2007-03-30 12:21.
En los DNS de tu dominio declaras un record TXT en tu dominio (todo sistema de manejo de DNS te
debe permitir crear un record TXT.
Veamos algunas variantes de cómo declararlo:
host -t txt eurosolutions.net
v=spf1 a mx -all
Esta forma indica que los que pueden enviar correos a nombre del dominio eurosolutions.net son:
v=spf1 : usa la versión 1 del spf (hay otra pero no la he usado).
a : todos los records A que tenga el dominio
mx : todos los servidores que reciben correos para el dominio (mx)-all : Nadie más excepto los antes descritos pueden enviar. Considérese definitiva la respuesta (es
decir, en serio que nadie más).
Veamos otro caso:
host -t txt hotmail.com
hotmail.com text "v=spf1 include:spf-a.hotmail.com include:spf-b.
hotmail.com include:spf-c.hotmail.com include:spf-d.hotmail.com
~all"
include:...... : Esto indica que además se debe considerar como autorizados, a los records TXT de esos
dominios (spf-a.hotmail.com spf-b.hotmail.com, etc, etc). Es como una forma de extender fácilmente
los records SPF
~all - Algo así como: todavía tengo dudas de que éste sea todo el universo de permisos. Acepta el
mail, pero márcalo como posible spam. Es usado como una forma de transición entre el no tener spf y
tenerlo. Es usado cuando consideras que cualquiera puede enviar correos desde tu dominio desdecualquier lugar. Sugiero no usarlo.
Veamos otro:
http://www.ecualug.org/?q=2007/03/30/comos/c_mo_usar...l_punto_de_vista_de_cliente_nosotros_enviando_mails(1 de 2)31/01/2008 11:00:05 a.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 10/33
Cómo usar el SPF desde el punto de vista de cliente (nosotros enviando mails)? | EcuaLUG
host -t txt uio.satnet.net
uio.satnet.net text "v=spf1 ip4:200.63.212.96/29 -all"
Aquí dice:
ip4 : Esto es, las siguientes IPs son las autorizadas a enviar correos a nombre de éste dominio
-all : nadie más!
Así hay muchísimos ejemplos. Yo por mi parte te sugiero leas el significado de las diversas opciones
en: http://www.openspf.org/SPF_Record_Syntax
Por mi parte te sugiero uses éstas opciones:
Si todavía no estás muy seguro de si el SPF es para tí o no (cosa que no deberías dudar), usa esto:
text "v=spf1 a mx ~all"
Significa: cualquier mx que tenga declarado mi dominio así como cualquier record A que tenga
declarado. Ellos solamente (-) podrán enviar correos de mi dominio.
Si ya estás seguro que el spf es lo adecuado y que no te causó problemas usa esto:
text "v=spf1 a mx -all"
Significa: cualquier mx que tenga declarado mi dominio así como cualquier record A que tenga
declarado. Pienso (~) que ellos son los únicos que podrán enviar correos de mi dominio pero no
excluyas a otros, sólo considéralos más peligrosos.
http://www.ecualug.org/?q=2007/03/30/comos/c_mo_usar...l_punto_de_vista_de_cliente_nosotros_enviando_mails(2 de 2)31/01/2008 11:00:05 a.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 11/33
Cómo usar el SPF en nuestro servidor (para revisar correos que nos llegan) | EcuaLUG
Cómo usar el SPF en nuestro servidor (pararevisar correos que nos llegan)
Enviado por Epe el Vie, 2007-03-30 12:40.
Supongo ya tengas instalado el spamassassin y el mailscanner. Entonces nos centraremos en hacerle
algunas adiciones y cambios al spamassassin.
Prefiero que sea el spamassassin quien revise los records TXT y le asigne valores a los correos
entrantes. Si usan -all en un dominio y el correo viene de otro lado no autorizado el spamassassin lo
castiga durísimo. Si usan ~all spamassassin sólo pondrá mayor interés en el correo, pero no podrá
decidir en definitiva.
Es por eso que sugiero el uso de -all
Bueno instalemos éste peque rpm del repositorio de rpmforge (DAG):
yum install perl-Mail-SPF-Query
con esto le permitiremos al spamassasin que realice preguntas sobre SPF.
Ahora editamos /etc/mail/spamassassin/init.pre y verificamos que una línea que se refiere al SPF
esté deshabilitada:
# SPF - perform SPF verification.#
loadplugin Mail::SpamAssassin::Plugin::SPF
Fíjense que no tiene comentarios (#) al inicio
Reiniciamos el MailScanner:
service MailScanner restart
y listo, ya está listo, nuestro spamassassin verificará el SPF, si quieres mira los logs y comenzarás a
ver puntos asignados por SPF.
http://www.ecualug.org/?q=2007/03/30/comos/c_mo_usar...uestro_servidor_para_revisar_correos_que_nos_llegan(1 de 2)31/01/2008 11:00:29 a.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 12/33
Cómo usar el SPF en nuestro servidor (para revisar correos que nos llegan) | EcuaLUG
http://www.ecualug.org/?q=2007/03/30/comos/c_mo_usar...uestro_servidor_para_revisar_correos_que_nos_llegan(2 de 2)31/01/2008 11:00:29 a.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 13/33
2- Cómo prohibir conexiones desde ciertos sitios en listas negras? | EcuaLUG
2- Cómo prohibir conexiones desde ciertos sitios en listasnegras?
Enviado por Epe el Mié, 2007-02-07 15:05.
Una lista negra es un sitio donde se guardan (listan) las IPs o redes que están reconocidamente enviando spam.
Muchas personas se quejan de que pueden generar falsos positivos y es cierto. Es más a veces puede pasar, pero las listas
negras son un gran recurso para bloquear a esos spammers persistentes que no se cansan de usar o abusar de una misma IP.
Como recomendación, si estás en una lista negra, no pienses que es el fin del mundo, sencillamente hay que, antes de
deslistarte, determinar la causa que provocó que ahi cayeras, eliminarla, y entonces deslistarte.
A mi me ha pasado algunas veces y es porque algunos usuarios piensan que lo que ellos envían no es spam, los otros sí. Es
como cuando te llevas un semáforo, no hicistes nada malo. Ahora, que se lo lleve otro cuando tenías la verde.. de hijoeputa
palante le dices de todo al pobre que tampoco pensó que era malo.
El spammer es como el preso, qué preso está legítimamente preso? Todos están presos de forma misteriosamente poco clara,
no tenían la culpa, otros los pusieron ahi, ellos no hicieron nada.
Qué listas negras usar?
Sugiero estas tres:
http://www.spamhaus.org
www.sorbs.net
www.spamcop.net
spamhaus es sumamente efectiva y detecta una cantidad inmensa de potenciales spammers.
Ahora, spamcop es buena por una cosa, te permite reportar al spammer.
Acaso no te ha llegado spam de algún honorable diputado? y de algún hotel de quito? y de un instituto para enseñarte a bordar
y soldar? y de una empresa que vende camarones al por mayor? Y a mi QUE C.. me importan sus correos promocionales o
como les llamen?
Pues bien, con spamcop puedes reportar esos correos y spamcop bloqueará la IP que generó ese correo. Así los proveedores
proceden a respetar un poco más a los otros usuarios y sacan al spammer.
Cómo agregarlas?
Aunque hay varias formas de agregarlas, sugiero hacerlo en el sendmail directamente aunque otra forma es a través del
mailscanner.
Agregándolas directamente al sendmail hará que el sendmail rechace hablar con cualquier IP listada.. y esto provocará que los
http://www.ecualug.org/?q=2007/02/07/comos/centos/c_m...bir_conexiones_desde_ciertos_sitios_en_listas_negras(1 de 3)31/01/2008 11:00:51 a.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 14/33
2- Cómo prohibir conexiones desde ciertos sitios en listas negras? | EcuaLUG
proveedores de internet se vean en problemas al ser bloqueados y tomen acciones contra el spammer inmediatamente.
Editemos /etc/mail/sendmail.mc y busquemos una linea que diga así:
FEATURE(delay_checks)dnl
Justo debajo de ésta linea agregamos lo siguiente (sugiero que copies y pegues):
FEATURE(`dnsbl',`dul.dnsbl.sorbs.net',`"554 Rejected " $" - see http://www.sorbs.net/lookup.shtml?"$')dnl
FEATURE(`dnsbl',`nomail.rhsbl.sorbs.net',`"554 Rejected " $" - see http://www.sorbs.
net/lookup.shtml?"$')dnl
FEATURE(dnsbl, `sbl-xbl.spamhaus.org', `"554 Rejected - see http://www.spamhaus.org/
query/bl?ip=+"$')dnl
FEATURE(`dnsbl', `bl.spamcop.net', `554 Rejected - see http://spamcop.net/')dnl
Al terminar procedemos a generar el nuevo .cf:
m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf
Nunca está de más hacer una copia previa del sendmail.cf
Una vez generado, procedemos a reiniciar nuestro sendmail.
Cómo verifico que funcione?
Mira dentro de /var/log/maillog por unos minutos, comenzarás a ver mensajes así:
tail -f /var/log/maillog
.
.
.
.
Feb 7 14:58:46 srv4 sm-acceptingconnections[19271]: l17Jwf3t019271:
ruleset=check_rcpt,
arg1=, relay=23.230.adsl.brightview.com [80.189.230.23], reject=554 5.7.1
Rejected - see http://www.spamhaus.org/query/bl?ip=+80.189.230.23
.
.
.
En este ejemplo fue bloqueado por spamhaus, ni siquiera se le dió oportunidad de iniciar una sesión para enviar el correo, se le
bloqueó.
Algunas estadísticas
Aquí muestro algunas estadísticas de todos los mails capturados por las diferentes listas en esta semana que pasó:
grep -c spamcop maillog.1
1553
grep -c sorbs.net maillog.1
12381
grep -c spamhaus maillog.1
http://www.ecualug.org/?q=2007/02/07/comos/centos/c_m...bir_conexiones_desde_ciertos_sitios_en_listas_negras(2 de 3)31/01/2008 11:00:51 a.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 15/33
2- Cómo prohibir conexiones desde ciertos sitios en listas negras? | EcuaLUG
7332
Al menos evité unos 20mil correos que llegaran a mis usuarios. No es un record, pero al menos ayuda a descongestionar el
servidor.
Sorbs tuvo buen servicio porque es el primero que tengo en la lista, y por sorbs se bloquean los primeros.. sólo si en sorbs no
está se bloquean en spamhaus y únicamente si no están ni en sorbs ni en spamhaus, entonces se bloquean por spamcop. Porque
en ese orden lo puse.
Spamcop es buenísimo, sobre todo cuando le ayudamos con reportes.
http://www.ecualug.org/?q=2007/02/07/comos/centos/c_m...bir_conexiones_desde_ciertos_sitios_en_listas_negras(3 de 3)31/01/2008 11:00:51 a.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 16/33
Cómo reportar spam a spamcop? | EcuaLUG
Cómo reportar spam a spamcop?
Enviado por Epe el Mié, 2007-02-07 15:16.
Esta es una de las grandes ventajas de spamcop el que permite que le reportes los spams que recibes.
Lamentablemente muchos sistemas antispam todavía no están preparados para prevenir el spam en español.
Seguro no te gusta un correo todos los días que diga:
LAS MEJORES SECRETARIAS . publcidad . uvt82
Décimo Segundo Congreso Latinoamericano de Asistentes Gerenciales y Secretarias
LAS ASISTENTES GERENCIALES Y
EL CLIENTE INTERNO Y EXTERNO
....LO MEJOR DEL
MANAGEMENT
2007
HOTEL SOL DE ORO20 y 21 de Marzo de 2007
.
.
.
porque no soy secretaria, ni he solicitado esto, que además es en Perú y tiene las trazas del spam: "publcidad .
uvt82"
Este correo vino de terra.com.pe y está viniendo mucho correo de ahi. Parece que las personas de terra no se
preocupan por sacar al spammer.
Qué podemos hacer?
Podemos ir a spamcop.net y crearnos una cuenta. Vamos donde dice: REPORT SPAM y abajo dice: Register
now.
Al registrarte, spamcop te enviará una dirección de correo a la cual le podrás reenviar todos esos correos de spam.
Es una dirección medio larguita, por eso debes ponerla en tu libreta de direcciones. En mi caso luce así (healterado los valores pues cada quien tiene su propia dirección):
http://www.ecualug.org/?q=2007/02/07/comos/c_mo_reportar_spam_spamcop(1 de 2)01/02/2008 06:35:18 p.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 17/33
Cómo reportar spam a spamcop? | EcuaLUG
Yo llego todas las mañanas, tomo la lista de correos spam que tenga (a veces uno o dos, a veces ninguno, a veces
más) y les hago un forward, a la vez a todas, las marco todas y las reenvío para ese correo que spamcop me ha
dado.
Una vez spamcop las reciba, te devolverá un correo con un enlace por cada correo que hayas enviado, ese enlace
te permitirá verificar que el correo es spam y confirmar tu reporte. Al tu confirmar el reporte, spamcop procederá
a bloquear esa IP.
Bueno, inicialmente no la bloquea sino que intenta contactarles, si no responden o actúan, les bloquea por un
cierto tiempo.
así se ve el reporte de este curso de secretarias:
Y listo. Si muchas personas reportamos a spamcop le ayudamos a mejorar su nivel de detección y ayudamos a
bloquear a todos esos ISP nacionales o no que envían spam descaradamente o que permiten que sus usuarios
envíen.
http://www.ecualug.org/?q=2007/02/07/comos/c_mo_reportar_spam_spamcop(2 de 2)01/02/2008 06:35:18 p.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 18/33
3- greylisting | EcuaLUG
3- greylisting
Enviado por Epe el Mié, 2007-02-07 22:46.
Una técnica ya un poco vieja pero muy efectiva es el greylisting. El greylisting se propuso en Julio
del 2003 por Evan Harris.
El Greylisting es increíblemente fácil de mantener y no genera falsos positivos lo que lo hace muy
deseable, además el greylisting reduce el número de spams entrantes hasta en unas 10 veces.
En efecto, para muchos el greylisting puede parecer una técnica muy fácil de evitar por parte de los
spammers pero no es así, en efecto tiene una gran efectividad ante el spam.
Qué es el greylisting?
Greylisting funciona porque los spammers y gusanos para poder enviar sus correos de la forma más
rápida usan atajos que no se atienen a cómo funciona el sistema de correos SMTP. Por ejemplo, ellos
sólo intentan enviar los mensajes una vez, si falla el envío, descartan el mensaje y no es así como
funciona el servicio de SMTP que sí reintenta los correos.
Es aqui donde greylisting actúa, en la característica de los spammers de no encolar los mensajes con
fallos temporales como debe hacerse, para reintentar luego. El spammer no tiene tiempo de reintentar.
Los servidores legales sí reintentan durante horas y días hasta que lo envían. El spammer si no puede
a la primera no se preocupa mucho, sigue con las siguientes direcciones.
El problema es que implementar el reenvío complica el sistema de correos y carga el sistema decorreos de la máquina que envía, el spammer no tiene tiempo para reintentar, no tiene tiempo para
encolar, no quiere pues eso le demora.
El greylisting genera una tripleta de cada conexión que recibe guarda la IP, el que envía y el que
recibe, por eso se llama tripleta. Esta tripleta se guarda en la BD. Si la tripleta no existe en la base de
datos (BD) entonces es negada la conexión con un error 400 (error temporal), el mensaje entonces
será reintentado por parte del servidor smtp un tiempo luego. Por supuesto el spammer nunca
reintentará y ahi está la ventaja del greylisting.
Este rechazo dura normalmente media hora. Media hora después, el correo es aceptado. El spammer
nunca reintentará, repito: aqui está la ventaja nuestra.
http://www.ecualug.org/?q=2007/02/07/comos/centos/c_mo_prevenir_el_spam_con_sendmail/3_greylisting(1 de 3)01/02/2008 06:35:37 p.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 19/33
3- greylisting | EcuaLUG
Una vez pasada la media hora el correo se envía y esa tripleta se guarda como confiable. Es decir, no
vuelve a ser rechazada durante un determinado tiempo (3 días por defecto). si en ese periodo ventana
de aceptación se vuelve a enviar un correo desde esa tripleta, entonces se vuelve a extender el tiempo
durante 3 días.
Pros:
Principalmente es su efectividad, es altamente efectivo. Además de su bajo mantenimiento, en verdad
una vez bien configurado no hay que darle mucho mantenimiento cosa que agradecerán los
administradores que casi siempre andan sobrecargados de trabajo. No requiere de actualizaciones de
plugins ni de nuevos virus ni patrones ni nada.. sencillamente va actualizando su base de datos con
cada conexión
Puede ocurrir el caso de que un spammer envíe más de un correo, lo que hará que seguramente los
siguientes correos lleguen. Sin embargo esto tiene un beneficio. Durante el periodo de rechazo inicial,
le damos tiempo a las listas negras, razor, dcc, etc, a actualizar la IP del spammer y entonces el correosería detectado vía estos sistemas de detección de spam pues ha pasado tiempo suficiente. Además se
obligaría así al spammer a enviar varios correos, cosa que no les conviene pues ellos tienen el tiempo
contado para enviar el spam.
Contras:
Bueno, no todo es perfecto y el greylisting tiene algunos contras, uno muy muy duro de sobreponer y
es que en efecto todo correo inicial de una tripleta que llegue será rechazado: el primer mensage
desde un origen hacia un destino será rechazado. En la mayoría de los casos tomará entre 20 y 40
minutos en llegar ese primero mensaje. Si ambos usuarios están al teléfono cuando el correo se envíe,
notarán que el correo no llegará. A mi me ha pasado muchas veces y es duro explicarle a los usuarios
el por qué, puesto que ya te llaman predispuestos y enojados sobre el tema.
Lo curioso es que si intentan enviar el correo digamos unos 30 minutos después, ese correo llega, sin
embargo el primero no. Porque el primero está encolado para ser reintentado. Y eso les enoja aún más
pues piensan que "algunos" correos se están perdiendo. Lo que les termina de excitar negativamente
es que quizá 40 minutos después llega el primero, después de haber llegado el segundo, ahi los gritoslos oirán en el cielo.
La parte positiva es que si tienes un usuario intransigente, greylist te permite ponerlo en una lista de
exluidos esto es: a él no se le demorarán los mails.. pero le llegará más spam.
Lo negativo es que el usuario que más se queja, es el que más se queja por todo. Así que te dirá: sí,
reparaste eso de los envíos demorados, pero ahora me llega mucho spam. La idea siempre es: protesto
ante todo.
Algunas implementaciones de greylisting tienen un modelo de aprendizaje, es decir, puedes ponerlo a
aprender (sin rechazar) cuáles son las IPs desde donde más recibes correos, y después activar el
greylist.. de esta forma puedes minimizar las quejas iniciales.
http://www.ecualug.org/?q=2007/02/07/comos/centos/c_mo_prevenir_el_spam_con_sendmail/3_greylisting(2 de 3)01/02/2008 06:35:37 p.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 20/33
3- greylisting | EcuaLUG
Los mails salientes pueden ser demorados también, por el callback que implementan algunos SMTP,
callback es ese correo que te llega poco después de haber enviado un mail a un destinatario, en el cual
te piden que confirmes que eres un ser humano haciendo click en una dirección, etc, etc, etc.. bueno,
este correo será demorado por el greylisto.. y enojará al usuario.
Los callbacks están destinados a morir por los problemas que introducen, los usuarios no esperan
tener que confirmar su mail. Además que el SPF ayuda mucho a luchar contra ese tema. A medida
que el SPF crezca en uso, disminuirá el uso de callbacks.
El grave problema es cuando no se envían correos desde una IP sino desde múltiples. Como por
ejemplo hotmail, yahoo o gmail, estos servidores se conectan desde diferentes IPs, quizá el primer
intento se hace desde una IP y los subsiguientes desde otras, lo que afecta a las tripletas ya que serán
diferentes IP.
A este efecto se puede mantener una lista blanca, y se mantiene una lista blanca de los servidores queusan ésta técnica. Otra forma que uso es blanquear la red clase C completa (/24) en vez de una
tripleta por IP usar una tripleta por red.
Qué hacen los spammers?
No podemos pensar que los spammers se quedarán impávidos ante ésta situación. Quizá algunos
esperen que sean tantas las situaciones negativas que no se efectivice el uso del greylisting.
En efecto algunos spammers ya han implementado el reintento, sin embargo como ya comentamos,
esto no le conviene al spammer puesto que le demorará el reenvío y con eso podrán ser detectados
mucho más fácilmente. En realidad no muchos lo han implementado ni lo implementarán el reintento
puesto que les afecta en verdad.
Bibliografía:
http://greylisting.org/ -- Mucha más información sobre greylisting
http://spf.pobox.com/ -- Sender Policy Framework (SPF) es una tecnología que prevendrá la
falsificación de direcciones, se puede usar en colaboración con el greylisting.
http://www.ecualug.org/?q=2007/02/07/comos/centos/c_mo_prevenir_el_spam_con_sendmail/3_greylisting(3 de 3)01/02/2008 06:35:37 p.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 21/33
4- Instalando milter-greylist en CentOS | EcuaLUG
4- Instalando milter-greylist en CentOS
Enviado por Epe el Mié, 2007-02-07 23:02.
milter-greylist es un milter muy fácil de instalar en CentOS, que seguramente te ayudará a evitar el
spam, te lo garantizo.
Lo podemos bajar desde: http://centos4.centos.ec o http://centos5.centos.ec ahi siempre trato de
mantener la última versión del milter-greylist.
Una vez lo tengamos abajo podemos instalarlo:
rpm -Uvh milter-greylist*.rpm
Al finalizar de instalarlo, debemos agregar la siguiente config al sendmail.mc debajo de FEATURE
access poner:
FEATURE(`milter-greylist')dnl
Después debemos recompilar el sendmail.cf:
m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf
Además debemos cambiar el dueño del directorio /var/milter-greylist (crear el directorio si no existe):
chown smmsp.smmsp /var/milter-greylist -R
Ahora sí, procedamos a editar el /etc/mail/greylist.conf
Está mayormente configurado, sólo sugiero las últimas dos líneas cambiarlas de forma que se vean
así:
acl greylist list "grey users" delay 3m autowhite 3d
acl greylist default delay 3m autowhite 5d
La última linea, por precaución viene usualmente configurada como: whitelist, en vez de greylist, lo
que hace que el greylist si es activado por error, funcione aceptando todo. Cosa que no es lo que
http://www.ecualug.org/?q=2007/02/07/comos/4_instalando_milter_greylist_en_centos(1 de 2)01/02/2008 06:35:53 p.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 22/33
4- Instalando milter-greylist en CentOS | EcuaLUG
queremos.
Arranquemos el milter:
service milter-greylist start
chkconfig milter-greylist on
y reiniciemos el sendmail:
service sendmail restart
Recuerda que si usas MailScanner no debes reiniciar sendmail. Reinicia MailScanner
Listo, en teoría todo estará funcionando, dale una miradita a /var/log/maillog y prueba enviandote
unos correos.
En este ejemplo estamos bloqueando los mails por 3 minutos y después autoblanqueándolos por 5
días, de esta forma los usuarios solo reciben el primero demorado.
Recuerda que si durante esos 5 días llega otro correo del mismo lugar, entonces el autowhitelisting
nuevamente dejará por 5 días pasar mails. De esta forma si hay un intercambio fluido de correos, los
usuarios no notarán la demora.
http://www.ecualug.org/?q=2007/02/07/comos/4_instalando_milter_greylist_en_centos(2 de 2)01/02/2008 06:35:53 p.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 23/33
5- Cómo revisar los correos contra spam, virus y contenidos maliciosos? | EcuaLUG
5- Cómo revisar los correos contra spam, virusy contenidos maliciosos?
Enviado por Epe el Vie, 2007-02-09 15:00.
Este es el objetivo, que los correos que lleguen sean revisados contra spam y contenidos maliciosos,
así como viruses.
Te explico un poco cómo funciona sendmail:
Sendmail es el MTA, el cuál se ocupa de recibir los correos que llegan a tu server o que van a salir de
tu server. El sendmail trabaja en el puerto 25.
Una vez un correo es recibido por el sendmail, éste verifica:
1- Está el dominio listado en el archivo local-host-names ? Si está listado lo entrega al procmail
(Local Delivery Agent) el cual se encarga de depositarlo ya sea en el mailbox o en el maildir del
usuario.
2- Si no está listado en local-host-names, entonces verifica si la IP que envía el correo está permitida
usarle de relay, esto es en el archivo access.
3- Si está permitido en el access procede a realizar todos los pasos necesarios para entregar el correo
al servidor de destino.
Es así como funciona el servicio de SMTP del MTA sendmail. Ahora, mejoremos las palabras: Es así como funcionaba normalmente.
Cuando se creó el protocolo smtp no se hicieron provisiones para virus o spam; males que llegaron
mucho después, años después de haberse creado. El sendmail ha evolucionado para mitigar un poco
el spam, pero el sendmail es un sistema MTA que obedece al protocolo SMTP y no hay provisiones
en ese protocolo para esos males.
Cómo podemos evitar esto? Bueno, una posible solución que plantearé aqui y consiste básicamente
en no permitir que el sendmail envíe los correos que recién acabe de recibir. Esto es, que los depositetemporalmente en una cola hasta que sean revisados.
Para esto, usaremos dos procesos de sendmail.
http://www.ecualug.org/?q=2007/02/09/comos/5_c_mo_r..._correos_contra_spam_virus_y_contenidos_maliciosos(1 de 3)01/02/2008 06:36:13 p.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 24/33
5- Cómo revisar los correos contra spam, virus y contenidos maliciosos? | EcuaLUG
El proceso 1 escuchará en el puerto 25, todo lo que llegue a este proceso será depositado en una cola
(directorio) llamada: /var/spool/mqueue.in sin hacer nada más, sólo los irá depositando ahi.
El proceso 2 estará vigilando otro directorio, llamado /var/spool/mqueue en cuanto él vea que hay
algún correo esperando en este directorio (cola) lo tomará y lo despachará hacia su destino, ya sea un
destino local o remoto.
He de hacer notar la diferencia. El proceso 1 escribe hacia /var/spool/mqueue.in y el 2 lee desde
OTRO directorio llamado /var/spool/mqueue
A los correos hay que hacerle una operación muy sencilla y es: tomarlos de mqueue.in, revisarlos
contra virus, spam y contenidos maliciosos y, sí están limpios, moverlos hacia mqueue
Para este proceso de chequeo, usaremos un programma, llamado MailScanner el cuál se ocupa de
hacer precisamente esto. Tomar de la cola mqueue.in, revisar los correos y moverlos a la cola mqueue
Tan simple como esto.
El MailScanner se caracteriza por ser un sistema que se apoya en otros para poder realizar todo el
proceso de verificación de los correos.
Contenido Malicioso: Lo revisa directamente él con técnicas propias de los autores. Este contenido
puede ser phishing, web bugs, iframes en correos, formularios, y algún que otro contenido dañino.
Por esta razón es bueno usar el mailscanner porque detecta implícidamente contenido malicioso.
Virus: Para esto el MailScanner se apoyará en algún sistema antivirus que podamos tener. Realmente
los virus no son el mayor problema en estos momentos, pero siempre hay algún que otro que los
envía así que es bueno verificarlos. El MailScanner es capaz de utilizar una veintena de diferentes
antivirus comerciales o no. Pero específicamente uso uno, el clamav desde hace unos 4 años y jamás
he tenido un problema con él del que me tenga que quejar.
Spam: Este es su fuerte, el MailScanner aplica diversas técnicas para detección del spam, perofundamentalmente se basa en revisar los correos con el spamassassin, al spamassassin le corresponde
determinar mediante un puntaje si el correo es spam o no. El MailScanner toma ese puntaje y puede
tomar diversas medidas.
MailScanner tiene dos limites o cotas para determinar si un correo es spam. La cota inferior por
defecto es de un valor de 6 y la cota superior (alta) es de un valor de 10.
Todo correo que no llegue a la cota inferior, no es clasificado como spam
Todo correo que supere la cota inferior, es marcado con la palabra {spam?} y es entregado a su
destino. Es como una luz de alerta, amarilla, para advertir de que puede que sea spam.
http://www.ecualug.org/?q=2007/02/09/comos/5_c_mo_r..._correos_contra_spam_virus_y_contenidos_maliciosos(2 de 3)01/02/2008 06:36:13 p.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 25/33
5- Cómo revisar los correos contra spam, virus y contenidos maliciosos? | EcuaLUG
Todo correo que supere la cota superior, por defecto es tratado como los correos de la cota inferior
(marcado y entregado) sin embargo les indicaré en el proceso de configuración cómo hacer para
borrarlo. Yo sugiero que todo correo que haya superado la cota superior sea borrado pues es casi
100% spam.
El spamassassin hace uso de las listas negras, por lo que es muy efectivo, además de otras técnicas
que aqui explicaré.
Recuerden que en todo caso, la lucha antispam es dura y tenemos que estar todos los días alertas para
ver nuevas técnicas a alicar.
http://www.ecualug.org/?q=2007/02/09/comos/5_c_mo_r..._correos_contra_spam_virus_y_contenidos_maliciosos(3 de 3)01/02/2008 06:36:13 p.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 26/33
Cómo instalar el clamav? | EcuaLUG
Cómo instalar el clamav?
Enviado por Epe el Vie, 2007-02-09 15:13.
Suponiendo que ya has instalado el repositorio de DAG podemos proceder a instalar el clamav
mediante el comando:
yum install clamav
Una vez instalado nunca está de más actualizarlo: freshclam
Como propaganda: ayudo a las personas de clamav a distribuir las actualizaciones para América así
que cuando hagas un freshclam acuérdate que estamos ayudándote y ayudando a clamav como
agradecimiento por tan buen servicio de parte de ellos.
El clamav está lamentablemente disponible en dos repositorios al momento, uno es en DAG y otro es
en el de karan, así que si tienes ambos repositorios, seguramente el sistema yum te dirá que ha
ocurrido un conflicto. Te sugiero que si esto te pasa, edites /etc/yum.repos.d/kbs*.repo y agregues a
cada repo de karan la siguiente línea:
exclude=clamav*
Esto es para que el yum no use el clamav de karan. Así usará solamente el de dag.
Cada archivo kbs* puede consistir de varios repos, es a cada repo al que hay que agregarle. Puedes
determinar un repo de otro pues cada repo comienza con la palabra [nombredelrepo] entre corchetes.
Por ejemplo:
[kbs-CentOS-Extras]
Clamav es muy fáci de instalar y de actualizar, pues con:
yum update
Tendremos siempre la última versión de clamav actualizadita, por varios años más.
http://www.ecualug.org/?q=2007/02/09/comos/c_mo_instalar_el_clamav(1 de 2)01/02/2008 06:36:33 p.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 27/33
Cómo instalar el clamav? | EcuaLUG
MailScanner se ocupará de invocar cada una hora al comando freshclam, así que no te preocupes,
mailscanner actualiza la BD de clamav mediante esta invocación cada hora.
http://www.ecualug.org/?q=2007/02/09/comos/c_mo_instalar_el_clamav(2 de 2)01/02/2008 06:36:33 p.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 28/33
Cómo instalar el MailScanner | EcuaLUG
Cómo instalar el MailScanner
Enviado por Epe el Vie, 2007-02-09 15:51.
Primero que todo, por favor, antes de instalar el mailscanner asegúrate de que tengas
correctamente instalado y configurado y funcionando el sendmail.
Repito de otra forma: no instales el mailscanner sin antes haber usado al menos unos minutos el
sendmail solo, instalado y usado el sendmail.
Por qué? porque ya sé que vendrán con las típicas preguntas y comentarios de "no funciona" el
mailscanner no es el que funciona o no, cuando tengas un problema en tu correo casi siempre será
culpa del sendmail que no está bien instalado. Es por eso que es lo ultimo que hay que hacer.. instalar
el mailscanner.. sólo se hace después de haber tenido funcionando el sendmail para que no tengas
dudas del mailscanner y para que sepas que el sendmail te funciona.
Ahora sí, cómo instalamos el mailscanner?
Nos llegamos por mailscanner.info, en la sección de downloads veremos varios archivos para bajar.
El primer TGZ que aparece dice:
for RedHat, Fedora and Mandrake Linux (and other RPM-based Linux distributions)
Esta es la versión que bajamos.
Es un tgz que cuando lo tengamos abajo tenemos que abrirlo, entrar al directorio y proceder aejecutar la instalación:
tar -zxf MailScanner*.tar.gz
cd MailScanner*
./install.sh
El autor del mailscanner no distribuye los rpm, sino el código fuente en formato src.rpm por lo que el
script ./install.sh lo que hará será crear los rpm para tu centos basándose en estos src.rpm.
El proceso tomará un tiempo. Si el proceso fallare es casi seguramente porque te falta alguna
herramienta (paquete) de compilación. Típicamente el patch, make, gcc o similares.
http://www.ecualug.org/?q=2007/02/09/comos/c_mo_instalar_el_mailscanner(1 de 2)01/02/2008 06:36:58 p.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 29/33
Cómo instalar el MailScanner | EcuaLUG
Lo bueno es que el MailScanner te informará qué paquete debes instalar, si falla, lee el mensaje y ahi
te dirá precisamente qué hay que instalar. Por supuesto una vez lo instales, no te olvides de volver a
ejecutar ./install.sh para reintentar la intalación del mailscanner.
Con esto basta, al finalizar de instalar tenemos que ejecutar los siguientes comandos:
chkconfig sendmail offservice sendmail stop
chkconfig MailScanner on
service MailScanner start
No se te olvide ninguno de esos 4. Lo que hacemos es apagar y desactivar el sendmail. Porque el
mailscanner ahora se ocupa de encenderlo y apagarlo. Y en las dos ultimas lineas encendemos y
activamos el mailscanner para que siempre arranque.
No hay que volver a hacer uso del servicio sendmail, puesto que el mailscanner lo hace.
A partir de ahora si queremos apagar la mensajería ponemos: service MailScanner stop
el mailscanner apagará al sendmail. Si queremos reiniciar el sendmail lo hacemos desde el
mailscanner: service MailScanner restart
En fin, donde antes poníamos sendmail, ahora ponemos MailScanner
Si se te ocurriera arrancar independientemente el sendmail a través del servicio sendmail
ocurrirá que el sistema no procesará los correos puesto que estará actuando a la antigua. Es el
error más común que cometen las personas.
http://www.ecualug.org/?q=2007/02/09/comos/c_mo_instalar_el_mailscanner(2 de 2)01/02/2008 06:36:58 p.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 30/33
Cómo instalar el spamassassin? | EcuaLUG
Cómo instalar el spamassassin?
Enviado por Epe el Vie, 2007-02-09 15:29.
Tan fácil o mejor que el clamav. Igualmente hay que tener el repositorio de DAG previamente
configurado. Emitimos el comando:
yum install spamassassin
Lo cual bajará el spamassassin de DAG.
RedHat distribuye un paquete de spamassassin pero es un poquito viejo, versión 3.0.x sin embargo
DAG se preocupa de mantener un paquete rpm con la última versión de spamassassin siempre.
Como el spam está continuamente haciendo esfuerzos por derrotar a los sistemas antispam, siempre..
así que es recomendable tener la última versión del spamassassin para mitigar este mal.
El spamassassin desde las últimas versiones es autoactualizable, esto es: permite que con un comando
podamos actualizar las reglas de detección de spam.
Para poder usar la autoactualización debemos primero instalar una serie de paquetes:
yum install perl-Archive-Tar perl-IO-Zlib perl-libwww-perl
Una vez instalados ellos 3 podemos invocar frecuentemente (yo lo hago una vez a la semana o cada
vez que me acuerdo) el comando:
sa-update
Con esto habremos actualizado los sistemas de detección de spam del spamassassin (Viene siendo
algo así como la BD de virus de los antivirus)
http://www.ecualug.org/?q=2007/02/09/comos/c_mo_instalar_el_spamassassin01/02/2008 06:37:44 p.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 31/33
Cómo mejorar la detección del spamassassin? | EcuaLUG
Cómo mejorar la detección del spamassassin?
Enviado por Epe el Vie, 2007-02-09 15:38.
El sistema spamassassin previamente instalado podemos mejorarlo mediante una técnica de detección
de correos spam conocida como Razor.
Razor es un sistema de BD en internet al que podemos consultar con el fin de que nos informe si un
determinado correo tiene signos de ser spam o no. Es lo que llaman fingerprints de los correos,determinan por diversos parámetros si es o no spam.
Este sistema ayuda grandemente al spamassassin a mejorar la detección contra spam.
Instalación:
yum install perl-Razor-Agent razor-agents
Una vez instalado estos dos paquetes, que están en el repositorio de DAG, procedemos a registrarnos:
razor-admin -register
a veces el registro falla, no te preocupes, vuelvelo a intentar hasta que no falle.
No hay que hacer nada más, el spamassassin usará automáticamente al razor cuando lo encuentre.
http://www.ecualug.org/?q=2007/02/09/comos/c_mo_mejorar_la_detecci_n_del_spamassassin01/02/2008 06:38:03 p.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 32/33
6- Hay que reconfigurar al MailScanner para que trabaje? | EcuaLUG
6- Hay que reconfigurar al MailScanner paraque trabaje?
Enviado por Epe el Sáb, 2007-02-10 10:00.
En verdad el mailscanner viene muy bien configurado por defecto, sin embargo con el tiempo y las
aguas hemos detectado que mejor sería si le reconfiguráramos algunas cositas.
El archivo principal de configuración es en el que me voy a centrar, editemos este archivo:
/etc/MailScanner/MailScanner.conf
veremos que está en el formato:
PARAMETRO=VALOR
El valor a veces puede ser un archivo, o ser true/false, yes/no, o simplemente estár vacío.
Está todo muy bien explicado, léelo de principio a fin y aprenderás muchas cosas.
yo me referiré sólo a algunos parámetros que considero necesarios, los expondré con el valor que a
mi me gusta poner:
Max Children = 2
A MailScanner le gusta poner 5 por defecto, me parece exagerado aún en un servidor con mediana
carga. Cada hijo consume 20MB de memoria y 5 hijos te comerán 100MB aprox.
Allow Password-Protected Archives = no
Para bloquear virus que envían zip encriptados.
Quarantine Infections = no
En realidad nunca en ya casi 5 años he tenido que mirar dentro del directorio de cuarentena.
http://www.ecualug.org/?q=2007/02/10/comos/6_hay_que_reconfigurar_al_mailscanner_para_que_trabaje(1 de 2)01/02/2008 06:38:23 p.m.
5/11/2018 36776309 Prevenir El Spam Ecualog - slidepdf.com
http://slidepdf.com/reader/full/36776309-prevenir-el-spam-ecualog 33/33
6- Hay que reconfigurar al MailScanner para que trabaje? | EcuaLUG
Deliver Cleaned Messages = no
Al momento los virus vienen sin contenido, pueden no enviarse y evitas trabajo por gusto.
Send Notices = no
Estas noticias son al postmaster, te llenarán el buzón de avisos que no te dejarán hacer nada más,cientos quizá miles de avisos de virus que estaban entrando.
Required SpamAssassin Score = 3.9
High SpamAssassin Score = 6
Spam Actions = deliver header "X-Spam-Status: Yes"
High Scoring Spam Actions = delete
Con estas 4 opciones le decimos al MailScanner que correos con puntaje superior a 3.9 seráncatalogados como spam y serán enviados al destinatario con un encabezado (X-Spam-Status: yes)
para que pueda ser detectado por el thunderbird. Además que irá con la marca {spam?}.
Todo correo que supere el valor de 6, será marcado como Alto riesgo, y será borrado.
De esta forma nos dejarán de llegar decenas, quizá cientos de correos de spam enseguida.
Log Spam = yes
Si no tienes un servidor muy cargado, puedes poner esta opción en yes, de esta forma guardará
estadísticas de por qué catalogó a cada correo como spam. Es bonito saber el por qué.
Con estas sencillas opciones mejoramos bastante el comportamiento de mailscanner.
Recuerda que cada vez que realices cambios en el MailScanner o en el sendmail tienes que reiniciar
el servicio de MailScanner y sólo el de MailScanner:
service MailScanner restart
h l 6 h fi l il b j d 6