Spam aus China

chinesischSeit einigen Wochen erhalte ich tonnenweise Spam aus China. Das Meiste sind Unzustellbarkeitsbenachrichtigungen, weil der Versender erfundene Adressen meiner Domains in seinen SMTP-Headers verwendet. Grundsätzlich kann man den Krempel ja einfach wegklicken, aber bei mittlerweile bis zu 50 dieser Mails pro Tag musste ich mir eine Lösung einfallen lassen.

Die Lösung heißt PCRE (Perl Compatible Regular Expressions), welche der Postfix in seiner Rolle als MTA unterstützt. Wenn man jetzt diese Funktionalität zwecks Headerprüfung verwendet, lassen sich anhand des verwendeten Zeichensatzes z.B. chinesische Zeichen identifizieren. Superverdächtige Kandidaten sind hier Big5 und GB2312.

Dazu geht man wie folgt vor:

  1. eine Datei für unsere Regulären Ausdrücke erzeugen (/etc/postfix/header_checks)
  2. mittels „postfix -e“ den Konfigurationseintrag in der master.cf erzeugen
  3. die entsprechenden Einträge in der Datei ‚header_checks‘ vornehmen (one per row)
  4. postfix-service durchstarten

Beispiel:

  • zum SED: postfix -e legt den Konfiugrationseintrag standardmäßig mit ‚regexp:‘ an. Daher ist zur Verwendung von PCRE das Präfix entsprechend anzupassen.
  • Echo & Cat dienen hier nur demonstrativen Zwecken – natürlich ist ein VI hier handlicher.

Was soll ich sagen…? Seither ist Schluss mit dem Chinesisch. Der ganze Müll geht jetzt zurück ins Land des Lächelns.

Übrigens kann man die header_checks-Datei jetzt für alles Mögliche verwenden: Blockiert man z.B. die Zeichensätze Windows-1251 oder KOI8-R obstruiert man den ganzen kyrillischen Krempel. Neben dem Subject kann man natürlich auch die From-Zeile nach Absendern matchen oder bestimmte XMailer sperren.

Weitere Anregungen dazu gibt es hier: http://www.sweetnam.eu/index.php/Postfix_Header_Checks

Einen Kommentar schreiben

du musst angemeldet sein, um kommentieren zu können.