EnderUNIX Team.


EnderUNIX İpucu

Arkadaşıma gönder , Ana Sayfa

[ qmail ]

"Qmail'de tcpblocker Spam engelleme" - Gökhan ALKAN - (2006-04-17 10:56:35)   [4941]

Tcpblocker qmail-smtp log dosyasını analiz ederek belirlenen zamanda belirlenen sayıdan fazla smtp bağlantısı yapan ip adreslerini bulan bir yazılım.Bu şekilde spam yapmaya çalışan kişiler engellenmiş olur.Aynı şekilde qmail-send log dosyasını analiz eden yazılım ise spamguard'a http://www.enderunix.org/spamguard adresinden erişim yapılabilir.

Öncelikle tcpblocker temin edilmelidir. http://www.inter7.com/tcpblocker/tcpblocker-1.0.tar.gz adresinden temin edilebilir.

# tar -zxvf tcpblocker-1.0.tar.gz
# cd tcpblocker-1.0
# make tcpblock
# make install

Bu şekilde tcpblocker /usr/local/bin altına tcpblocker olarak kopyalanır.

-----------------
Genel kullanımı:
-----------------
# tcpblock -d /qmail-smtp-log-dizini

# /usr/local/bin/tcpblock -d /var/log/qmail/qmail-smtpd

------------------------------
Kullanılabilecek Paremetreler:
------------------------------

-d : qmail-smtp log dosyası yolu
-c : İzin verilen maksimum smtp bağlantı sayısı
-t : Smtp bağlantı sayısını
-e : hariç tutulacak ip adreslerinin belirtilmesi için kullanılan seçenek
-D : Hata ayıklama için kullanılan seçenek

----------------
Örnek Kullanımı:
----------------

# /usr/local/bin/tcpblock -D -d /var/log/qmail/qmail-smtpd/
10.0.0.5:deny
10.0.0.5 50
127.0.0.1 5
#
-D seçeneği ile hangi ip'den ne kadar smtp bağlantısı yapıldığı gösteriyor. -d seçeneği ile de qmail-smtp log dizini belirtiliyor

# /usr/local/bin/tcpblock -d /var/log/qmail/qmail-smtpd/ -c30 -t20
10.0.0.5:deny
#

Bu şekilde 20 dakika içerisinde 30'dan fazla smtp bağlantısı yapan ip adresleri belirleniyor.

Belli ip adresleri hariç tutulmak isteniyorsa eğer
-e seçeneği kullanılabilir.

# /usr/local/bin/tcpblock -d /var/log/qmail/qmail-smtpd -c20 -t30 -e /etc/tcp.smtp.exception

-------------------------------------------
/etc/tcp.smtp.exception dosyasının içeriği:
-------------------------------------------
-------------------------------------------
10.0.0.5
192.168.
127.0.0.1
-------------------------------------------

Bu şekilde 10.0.0.5 ve 127.0.0.1 ip adresleri hariç tutularak istenilen ip adresleri engellenmemiş olur.
Bu dosyada tam ip adresleri belirtilebileceği gibi
10. gibi bir tanımlada 10. bloğundaki ip adresleri de hariç tutulur

Bu işleri otomatik olarak yaptırıp belirlenen ip adreslerinden gelecek smtp bağlantılarını yasaklamak içinse kurulum esnasından gelen "build_tcpblocks.sh" betiği kullanılabilir.

---------------------------------
Örnek build_tcpblocks.sh betiği :
---------------------------------
--------------------------------------------------
#!/bin/sh
/usr/local/bin/tcpblock -d /var/log/qmail-smtpd -e /etc/tcp.smtp.exception -c20 -t30 > /etc/tcp.smtp.block

cat /etc/tcp.smtp.block /etc/tcp.smtp \
| /usr/local/bin/tcprules /etc/tcp.smtp.cdb /etc/tcp.smtp.cdb.$$

--------------------------------------------------

Bu şekilde belirlenen ip adresleri "/etc/tcp.smtp.block" dosyasına yazılacak ve tcprules ile de değişiklikler etkin hale getirilecektir

Kullanım belirlendikten sonra yine kurulum esnasında gelen cron işi girilebilir:

# crontab -e
1,31 * * * * /usr/local/bin/build_tcpblocks.sh
#Arkadaşıma gönder , Ana Sayfa