On May 13, 2008, at 2:37 PM, Gelpi Andrea wrote:
Dalle statistiche di alcuni mail server che gestisco vedo che a
fronte di migliaia di mail fermate dalle liste RBL ogni giorno gli
IP da cui queste provengono sono solo qualche decina.
Avrei qualche dubbio su questa stima, ma indubbiamente dipende dallo
"spettro" di spam che bersaglia il tuo dominio/server, quindi può
darsi anche che per te sia vero...
Mi è quindi venuta l'idea di implementare (o se c'è già utilizzare)
un filtro ulteriore che più o meno funziona così:
Quando una mail viene respinta tramite una RBL l'IP di provenienza
lo immette in una lista nera sul firewall e per un certo tempo (il
resto della giornata o qualche giorno) da quell IP non accetto più
mail.
[...]
Lo scopo di tale filtro ulteriore è prprio quello di liberare il
log da informazioni tutto sommato inutili.
Che ne pensate?
Vedete aspetti negativi in un tal filtro?
Eviterei: son proprio quellc cose destinate a dare problemi.
Se il blocco è a livello SMTP, puoi applicare un whitelisting basato
su dati della transazione SMTP (es: l'indirizzo email del mittente).
Se il blocco è a livello di firewall, ti scordi il whitelisting. E la
notifica al mittente sulla natura del problema.
Di implementazioni di questo tipo, anche da parte di ISP, ne ho viste
parecchie. Tutte foriere più di problemi che di altro.
Può darsi che i problemi in questione, nella tua realtà, sian gestibili.
Dubito che creino meno problemi di quanti ne causi qualche riga di
log di troppo.________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
