RBL SMTP фильтр

Previous pageReturn to chapter overviewNext page

 

Для понимания работы этого модуля и его настроек предварительно следует ознакомиться с принципом работы SMTP служб программы.

 

Этот модуль расширяет функциональные возможности SMTP шлюза программы Traffic Inspector и предназначен для фильтрации нежелательной почты - спама. Принцип его работы основан на проверке IP адресов принимаемого сообщения в RBL службах путем отправки на них DNS запросов. Если проверяемый IP адрес в этих службах зарегистрирован, то с сообщением можно произвести различные действия, например, отфильтровать.

 

RBL службы - это, как правило, бесплатные публичные службы, которые представляют собой каталоги IP адресов (или целых сетей), публикуемых в сети Интернет своим DNS сервером. Эти каталоги могут содержать -

 

1.IP адреса SMTP серверов с Open Relay. Их могут использовать спамеры для рассылки своей почты.
2.IP адреса анонимных HTTP прокси серверов и SOCKS. Они также могут использоваться спамерами.
3.Списки адресов, с которых идет массовая рассылка спама.
4.IP сети, администраторы которых не пресекают рассылку из них спама.
5.DUL (Dial-Up User List) - списки IP сетей провайдеров, откуда динамически выдаются IP адреса конечным пользователям интернет.

 

Служба RBL SMTP фильтр может анализировать как IP адрес отправителя (того, кто непосредственно отправляет почту на SMTP шлюз), так и IP адреса всей цепочки отправителей, которые берутся из заголовков сообщения. Это позволяет с большей эффективностью выявлять нежелательную почту.

 

По смыслу эти службы можно разделить на следующие группы, в зависимости от этого подход к их использованию должен быть разный.

 

"Черные списки". Это одиночные адреса, с которых была зарегистрирована массовая рассылка спама, или которые потенциально могут быть использованы для этого. Это вышеперечисленные типы п.1-3. Сообщения этими IP адресами могут фильтроваться.
"Серые списки". Это вышеперечисленный тип п.3. Сообщения с этими IP адресами фильтровать нельзя, их можно пометить, или добавить  весовой коэффициент сообщения, увеличив вероятность фильтрации по весу.
DUL. Фильтрация сообщений этими службами - очень эффективный метод, позволяющий пресечь прямую рассылку сообщений непосредственно с рабочих компьютеров, напрямую подключенных к Интернет, или из небольших сетей. Такие пользователи, имея динамический IP адрес, как правило, своего почтового сервера не имеют и легальную почту отправляют через SMTP сервер провайдера. Прямая же отправка с такого IP адреса говорит о том, что используется какая-то программа массовой рассылки писем, или этот компьютер заражен троянской спамерской программой. Особенностью использования таких RBL DUL служб является то, что ими надо проверять только IP адрес отправителя, и ни в коем случае не IP адреса из заголовков.

 

Следует отметить, что реально у некоторых служб четкой границы между "черными" и "серыми" списками нет. Поэтому надо очень аккуратно подходить к использованию каждой конкретной службы - изучить материалы в Интернет, отзывы и т.л., иначе это приведет к потере большого количества писем. В программе имеется достаточно функциональных возможностей для гибкой настройки правил фильтрации и обработки почты.

 

После установки эта служба появляется соотв. списке модулей расширения консоли. Также в списке статистики блокировок SMTP шлюза появляется 2 дополнительных счетчика -

 

RBL - счетчик отфильтрованных сообщений по IP адресу отправителя.
RBL/Header - счетчик отфильтрованных сообщений по IP адресам в заголовках.

 

Анализ IP адреса отправителя этой службой производится по событиям CONNECT или HEADERS (SMTP шлюз - описание работы), в зависимости от настройки. Анализ по соединению позволяет экономить трафик, анализ по приему заголовков позволяет получить более детальные отчеты по отфильтрованным сообщениям - с темой, адресами отправителя и получателя. Анализ IP адресов из заголовков производится по событию HEADERS. Т.е. если сообщение фильтруется, то шлюзом принимаются только его заголовки.

 

DNS запросы на все RBL службы для всех IP адресов отправляются одновременно, т.е. увеличение количества RBL служб не приводит к дополнительным задержкам. Время ожидания (таймаут) едино для всех запросов.

 

Для экономии DNS трафика имеется собственный кэш. В нем запоминаются результаты последних запросов для каждой службы, что потом может повторно использоваться в течение некоторого времени. Это время задается, как время жизни данных в кэше, отдельно для запросов о блокировке, так и успешных ("нет блокировки"). Тут может возникнуть вопрос - зачем это надо, так как DNS запросы сами по себе кэшируются, как в DNS клиенте, так и в сервере. Но TTL (время жизни) таких данных задается в DNS сервере RBL службы и поменять ее не получится. Кроме того, "успешные" запросы тут не кэшируются.

 

 

 


Текущая страница справки: help.smart-soft.ru/index.html?rbl.htm

Сайт разработчиков Traffic Inspector