2011 – 2013 aralığına ait Spam E-Posta İstatistikleri
Elimde, yönettiğim bir spam gateway’e ait, yaklaşık 2 yıl öncesinden beri tutulan trafik logları mevcut. Özellikle bu tip logları uzun süre muhafaza etmek, içlerinden spam trafiğine ait bilgileri çekip istatistiki veri oluşturmak açısından faydalı oluyor. Daha önce de benzer şekilde bir istatistk yayınlamıştım.
Bugün de bahsi geçen bu log dosyalarından Temmuz 2011 – Nisan 2013 arasında gerçekleşmiş smtp aktivitesini ve spam trafiğine ait rakamları çıkardım. İlgili sununucu üzerinde spamassassin, clamav, qsheff ve (spamcop.net ve sorbs.net üzerinde sorgulama yapan) rblsmtpd çalışıyor. Spam gateway öncelikle smtp source ip için rbl’de check işlemi yapıyor ve eğer ip block listlerde bulunmuyorsa, bağlantı kabul ediliyor. Sonraki aşama olarak da gelen eposta spamassassin + clamav ve qheff’den geçiriliyor ve spam’dir ya da değildir deniyor.
Check işlemleri iki aşamalı olduğu için İstatistiği de RBL kontrolü ve Spam kontrolü olmak üzere iki ayrı başlıkta topladım.
Rblsmtpd – Custom Whitelist ve Blacklist Tanımlamaları
Qmail sistemlerde rblsmtpd ile block list kontrolü yapmak spam mailleri engellemek adına tek başına bile olukça yeterli bir yöntem olsa da bazen false positive durumlar oluşabilmekte ve aslında spam gönderim yapmayan yerlerden gelen maillerin de engellenmesine neden olabilmektedir. Örnek olarak son zamanlarda Google App Engine kullanılarak gönderilen spam mailler nedeni ile google ipleri bazen spamcop, sorbs ya da spamhaus gibi major block listlerine girebiliyorlar ve bunun sonucu olarak da gmail’den gönderilen mailler rblsmtpd’ye takılarak reddedilebiliyor.
İşte bu gibi konuların önüne geçmek için bir whitelist oluşturup bu listeye örneğin google’a ait tüm ip adreslerini eklemek ve bu iplerden gelen smtp bağlantılarını rblsmtpd kontrolünden muaf tutmak yerinde bir tutumdur. Daha önce Rblsmtpd Yapılandırması isimli bir yazı yayınlamıştım; bu yazıda ise rblsmtpd için whitelist ve custom blacklist yapılandırma işlemlerinden bahsetmek istiyorum.
Spam E-Posta’lar Üzerine Birkaç İstatistik
Son zamanlarda spam maillerde belirli bir oranda artış gözlemleniyor. Hal böyle olunca ben de, sorumlusu olduğum e-posta altyapısına ait trafiği raporlayıp durumu rakamlara dökeyim dedim. Verilerin toplandığı yapı günlük olarak ortalama 500.000 adet istenmeyen e-posta alıyor. Spam mailler ile mücadele için sorbs ve spamcop’a ait kara listeleri ve filtreleme için spamassassin ile qsheff uygulamaları kullanılıyor. İlginizi çekerse yazının devamında bahsi geçen bu sistemden derlenen, ülke bazında kimler, ne kadar spam mail gönderiyor, ne kadarı karalistelere takılıyor, ne kadarı SPAM olarak işaretlenmesine rağmen posta kutularına erişiyor, spam trafiğinin saatlere göre dağılımı gibi bir takım istatistiki veriye erişebilirsiniz. |
Yazinin devami icin tiklayin.
Cisco ASA 5505 ve Wireshark ile Network Sniffing
Geçenlerde, bir networkte meydana gelen enteresan durumları analiz etmek üzere networkü sniff etmem gerekti. Zira networkün internete çıkan ip adresi çeşitli black listlere girmişti ve içeriden spam yapıldığı düşünülüyordu. Bu nedenle network trafiğini analiz ederek, böyle bir durum olup olmadığını kontrol etmek gerekiyordu. Bildiğiniz gibi wireshark isimli güçlü sniffer ile detaylı analiz yapmak mümkün. |
Sonuç olarak ben de analiz için wireshark kullandım; bu yazıyla da, sniffer bilgisayarın networkte konuşlandırılması, trafiğin dinlenmesi ve bir spambot’ların sinsice yaptığı spam faliyetlerinin kolayca nasıl tespit edilebileceği ve Cisco Asa 5505 serisi security appliance üzerinde port mirroring yaparak işlerin nasıl kolaylaştırdığını paylaşmak istiyorum.
TTNet’in SMTP Port Engelleme Uygulamasının Sonuçları
Bildiğiniz gibi TTNet 15 Nisanda, spam ile mücadele adına, seçilen pilot şehirlerdeki dinamik IP adresine sahip ADSL abonelerinin 25. (smtp) porta erişimlerini kapatma uygulamasına başlamıştı. |
İnsanların gereksiz tepkileri üzerine ben de, uygulamanın ne kadar yerinde olduğunu belirtme ihtiyacı duymuş ve buradan erişebileceğiniz bir yazı yazmıştım.
Artık, pilot uygulama sonlandı ve çalışmanın sonuçları bir raporla birlikte duyuruldu. İlgili duyuruya buradan erişebilirsiniz. Raporda belirtilen sonuç verilerine göre ise, çalışma ciddi bir başarıya sahip olmuş durumda. 10 ili kapsayan bu pilot uygulama sonucunda, aylık 6 milyon spam e-postanın önüne geçilmiş bulunuyor. Sadece 10 il’de rakamın günlük 200bin, aylık 6 milyon olması uygulamanın ne kadar yerinde olduğunu çok net ortaya koyuyor. Üstelik çalışma tüm Türkiye’de uygulandığı zaman ortaya çıkacak rakamlar üzerine söyleyecek pek bir şey kalmıyor.
Yayınlanan rapora http://www.ttnet.com.tr/i/assets/docs/spam_pilot_calisma_sunumu_27mayis.pdf adresinden ulaşabilirsiniz. (pdf)
Ayrıca faydanın büyüklüğünün daha iyi görülmesi için bende, raporda belirtilen spamcop verilerini paylaşmak istiyorum.
Spamdyke ile Qmail’de 587 Submission Yapılandırması
Bir önceki yazımda, qmail sunucularda submission portunun nasıl devreye alınabileceği ve qmail’e bir patch geçerek bu port üzerinde kimlik denetiminin nasıl zorunlu hale getirilebileceğini içeren bir yazı yayınlamıştım. Bu yazıda ise, aynı işin spamdyke ile sunucuya herhangi bir patch geçmeye gerek kalmaksızın nasıl yapılabileceğini paylaşmak istiyorum. |
Qmail posta sunucunuzda, submission (MSA – Message Submission Agent) portunu patchlerle uğraşmadan devreye almak istiyorsanız, aşağıdaki yönergeleri izleyerek yapılandırmayı tamamlayabilirsiniz.
Qmail’de 587 Submission Portunu Devreye Almak
Bildiğiniz gibi bir müddet önce TTNET bazı illerden başlamak üzere dinamik ip sahibi ADSL abonelerinin 25. portlarını kapayacağını ve bu kullanıcıların mail gönderimi için 587. (submission) portunu kullanmaları gerekeceğini duyurmuştu. Bu yerinde uygulama için insanlardan gelen anlaşılmaz eleştriler nedeni ile de buradan erişebileceğiniz naçizane bir yazı hazırlamıştım. Eleştriler devam ede dursun, TTNet uygulamayı devreye almaya başladı ve çeşitli mecralarda smtp portunun bloklandığını duyar olduk. |
Sonuç olarak, bir posta sunucusu yönetiyor ve adsl üzerinde posta hizmeti alan kullanıcılarınız varsa, kullanıcılarınıza submission portu üzerinden de hizmet vermeniz gerekir. Bu yazıda, üzerinde qmail ve vpopmail çalışan bir FreeBSD posta sunucusunda, submission portunun nasıl devreye alınabileceğini anlatan kurulum notlarını paylaşmak istiyorum.
qmail Validrcptto patch’i ile Backscatter Önlemi
Bir önceki yazımda, backscatter mail’in ne olduğu ve nasıl önlenebileceği ile ilgili genel geçer bilgiler vermeye çalışmıştım. Bu yazıda ise, qmail sunucularda, validrctpto patch’inden yararlanarak backscatter faliyetlerinin nasıl engellenebileceğini anlatan bir döküman paylaşmak istiyorum. Backscatter’ın ne olduğu konusunda detaylı bilgi arıyorsanız buradan bir önceki yazıya göz atmanızı öneririm. |
Bu yazıda, bir qmail sunucuya, geçersiz kullanıcılara gönderilen postaları smtp seviyesinde reddedebilmesi için validrcptto.cdb patch’ini uygulayıp yapılandırma işleminin nasıl yapıldığını anlatan kurulum notlarını bulabilirsiniz.