SPAM ve Snort

May 9th, 2008

Pekçok yöntem ile SPAM bulunabilir. Bunlara güzel bir örnek snort ile yapılan bir çalışmadır. Çalışması çok basit olsa da sonuç gayet tatmin edicidir. Snort’u genel trafiğinizi gözlemleyecek şekilde konuşlandırırsanız size pekçok bilginin yanında SPAM atanları da gösterir. Eğer devamlı kontrol ediyor iseniz bu kişileri engelleyebilirsiniz.

 alert tcp $EXTERNAL_NET 25 -> $HOME_NET any (msg:”POLICY LOCAL SMTP relaying denied OUTGOING”; flow:established,from_server; content:”550 5.7.1″; depth:70; reference:arachnids,249; reference:url,mail-abuse.org/tsi/ar-fix.html; classtype:misc-activity; rev:11;)

Bu kural ile  dışarıdan size gelen engelleme mesajları sayesinde birilerinin SPAM attığını fark edebilirsiniz. Burada dikkat edilmesi gereken şey her sunucunun mesajları SPAM gibi algılanabilir. Bu yüzden bu imzaya takılan makinaları dikkatli incelemenizi öneririm. Kendi e-posta sunucularınızı bu listeden çıkartabilirsiniz.  Bu imza dışarıdaki e-posta sunucularının relay kabul etmiyoruz mesajları sayesinde çalışır.

hdemir.

Tags:
No comments yet.