Barrapunto

A ver, no voy a dar clases a nadie, quizá sea el que más la necesite pero yo no recibo apenas SPAM, eso si, en el log de mi MTA tengo montón de líneas de correo no entregado. Dominios inexistentes, etc etc etc.

No, no uso ninguna aplicación extra aparte de amavisd con spamassasin. Pero los tiros no van por ahí, yo me refiero a las restricciones de Postfix. Solamente con el smtpd_helo_restrictions nos cargaríamos más de la mitad del SPAM, pues si el helo es inválido, no existe o similar lo rechace.

Si ya entramos en restricciones como smtpd_sender_restrictions, podemos comprobar que el @dominio.com del MAIl FROM exista y montón de comprobaciones más.

Yo a esto le llamo cumplir los estándares, que para algo están. otros jilipollas dirán que "no puedes rechazar un correo porque el helo esté mal". Pues SI que puedes, DEBERÍAS. Telefónica no puede enviarme correos porque me saluda mal. Porque me doy cuenta que la mayoría de MTA están mal configurados... porque dan pena. Y como son tantos, los demás admins os limitáis a dejarles enviaros correos... MAL HECHO.
No os quejéis del SPAM entonces...


smtpd_sender_restrictions:
reject_unknown_sender_domain --> Hace una resolución de @dominio.com y si no existe FUERA

reject_non_fqdn_sender --> Exige que sea FQDN


smtpd_helo_restrictions:
reject_invalid_hostname --> Ha de ser válido

reject_unknown_hostname --> Ese helo ha de existir

reject_non_fqdn_hostname --> Ha de ser FQDN

Porque postfix por ejemplo saluda con $myhostname que puede ser localhost.localdomain (OLEE) o mail.elgura.com, por ejemplo. mail.elgura.com existirá y será un HOST A que apunta a una IP (Por poner un ejemplo)

No quiero ya ni hablar de los Open Relay... que me estoy enrrollando, pero os animo a betarles... ya que usando listas negras lo que betas es a direcciones la mayoría de las veces (Direcciones que a veces se renuevan y usa otra persona, que por lo tanto estará en esa lista negra).

El dia que los estandares sean estandares [buscon.rae.es] ... ... mientras tanto, cada uno seguira yendo a su bola, haciendose las cosas sin orden ni concierto y dando pie a que se generen este tipo de situaciones.

Solamente con el smtpd_helo_restrictions nos cargaríamos más de la mitad del SPAM, pues si el helo es inválido, no existe o similar lo rechace. [...]
Si ya entramos en restricciones como smtpd_sender_restrictions, podemos comprobar que el @dominio.com del MAIl FROM exista y montón de comprobaciones más.

Este tipo de comprobaciones puede serte util por ahora, aunque no en todos los casos puesto que la mayoría de spammers utilizan "froms" con dominios reales.
El problema con todas ellas es que son fáciles de evitar, de modo que si las restricciones se implementasen en la mayoría de servidores, los spammers se adaptarían fácilmente y todo seguiría igual, solo que nos habríamos cargado el soporte a clientes "viejos" :P

Por otra parte, este tipo de comprobaciones tiene también como contrapartida que exige realizar resoluciones DNS para las conexiones SMTP, lo que significa aumento de tráfico y tiempo de espera por parte del cliente. Por ejemplo, si tienes algun usuario legítimo para el que su ISP no establece fqdn qué pasa? Pues, como mínimo, que cada vez que intente enviar un correo se tendrá que esperar los 20-30s de timeout de la petición DNS de tu server....

En fin, que la cosa no es tan sencilla como la pintas si piensas en adopción global, aunque puede salvarte la papeleta a ti y a algunos barrapunteros hasta nuevos tiempos ;)

Vale, vale... muy constructivo xD