“HAO”、“金蛋”、“抱个笔记本回家”、“牛尔”之类垃圾邮件封堵方案

mynetway

我的邮件系统一直来垃圾邮件都很少，每天服务器直接拒绝的记录都达到70%左右。为了对抗垃圾邮件，我做了如下设置：
一、开启SMTP验证；
二、关闭邮件中继；
三、启用SPF，并在域名里添加相关TXT记录，这样做是方便自己也方便别人。
四、启用DNS黑名单，用3家的黑名单，分别是：
cblless.anti-spam.org.cn封挡了大部分来自国内的垃圾邮件
Bl.spamcop.net以及zen.spamhaus.org封挡大部分来自国外的垃圾邮件
五、把yahoo.com.cn丢进黑名单，因为有段时间我做了如上设置却发现总有来自yahoo.com.cn的垃圾邮件，尽管有些是伪造的，一查它的SPF记录竟然是这样：
C:\>nslookup
> set q=txt
Non-authoritative answer:
yahoo.com.cn    text =
        "Yahoo! Inc."
竟然会有这么山寨的，就别怪我直接拒绝了吧。

10月份以来，突然发现系统的application有些不寻常的POP失败记录。尔后，便有些“给HAO的礼物”、“砸金蛋”、“抱个笔记本回家”之类的垃圾邮件从我的系统发出。再查看日志，都是正常SMTP通过验证的。显然这是暴力猜测POP密码，然后用我的邮件系统发垃圾邮件的。

我打电话到上海软众，客服的MM似乎也没什么好的解决方案，只是告诉我开启动态屏蔽。其实我的动态屏蔽是开启状态的，但它只是针对SMTP。似乎10.0以上版本可以针对POP，不过我没试。我是正版用户，升级需要MONEY。

于是通过日志分析，做出如下设置：
一、启用强密码，让被猜中密码的用户更改自己的密码；
二、屏蔽主机名：
hbkj-24374
svctag-g4t6v2x
w-299955db4f804
三、屏蔽IP段：
58.40.*.*
60.190.*.*
117.81.*.*
117.131.*.*
121.240.*.*
124.42.*.*
150.101.*.*
218.249.*.*
220.181.*.*

做了如上设置后，这类邮件显然基本消失，但是我发现使用117.81.*.*这个IP段的人非常地执着和有毅力。每5分钟试3－5次的方式，基本24小时在用POP连我的服务器。估计他也是ADSL动态拔号的，每天换一个IP，但都不出这个IP段。除此外就是220和60开头的IP，也是每天都有试的。

公布这方法的原因，主要是让大家把这些做坏事的IP段列出来，如果自己的用户不在这个IP段，那别犹豫，丢进IP屏蔽里吧。欢迎各位看客提供你们日志里的黑IP，谢谢！

此后若有新增IP，会将归属地一并发布，请根据自己的邮件系统作增减以免误杀。
2010年11月4日新增IP
212.12.114.58 德国

11月19日新增IP：
186.32.189.107 拉美地区
203.144.133.38 泰国

11月21日新增IP：
148.243.170.193 墨西哥



[ 本帖最后由 mynetway 于 2010-11-21 22:59 编辑 ]

shenshui

我昨天也收到了“金蛋”

Dennis991

我们有个客户邮件系统中仅有一人成为金蛋的发送人，不知道更改密码能否达到屏蔽效果

！

钉子

好支持！

tdk

看来我们暂时还算幸运

taozifafa

顶！！！！很好的办法！

其他的类似内容的阻挡可以加入黑名单！

mynetway

更正：220.181.0.0/16这个IP段是网易的邮件IP段
所以不能屏蔽220.181.*.*，应改成220.181.17.0之后的IP

nicolaschen

非常感谢，解了我燃眉之急。

mynetway

2010年11月4日新增IP

mynetway

从今天起，我确认是MDAEMON出现漏洞，导致这类垃圾邮件的暴发了。
一、此类暴力破解POP密码的，全是真实存在用户
二、有些用户从来没往外发过一封邮件，没公布过地址，只作为转发到其他邮箱用（有一个是我作邮件归档用），却也在被破解范围内。

请各位小心应付！

[ 本帖最后由 mynetway 于 2010-11-4 21:31 编辑 ]