Primeiros Passos Comando: Analise - leonamp/SPFBL GitHub Wiki

O SPFBL possui uma ferramenta que analisa IPs e domínios e automaticamente os classificam para BLOQUEIO ou não.

Sempre que você possuir uma dúvida sobre um domínio ou IP, você poderá adiciona-lo para analise.

As opções de analise são:

  • IP: IPs e blocos de IPs. Exemplo1: 192.168.0.1 Exemplo2: 192.168.0.0/24
  • Domínio: utilize o @DOMAIN. Exemplo: @github.com
Para adicionar uma analise:
user:~# spfbl.sh analise add <remetente>
Exemplo 1:
spfbl.sh analise add @spfbl.net
Exemplo 2:
spfbl.sh analise add 192.168.0.0/20
Para visualizar a lista em analise:
user:~# spfbl.sh analise show
Exemplo de saída:
212.237.0.0-16 48863 10 16663

A saída do comando será: "tag espera processando processados"

  • Tag: Rotulo dado para o processamento
  • Espera: Quantidade de itens aguardando para serem processados
  • Processando: Quantidade de itens sendo processados no momento
  • Processados: Quantidade de itens já verificados
Para visualizar os resultados da analise:
user:~# spfbl.sh analise dump <tag>

A saída do comando será uma lista com informações de cada item adicionado para analise, podendo ainda estar sendo processado, aguardando ou já ter terminado.

Exemplo 1:
212.237.12.99 GREEN .host99-12-237-212.serverdedicati.aruba.it GENERIC 0 UNDEFINED .it.aruba.serverdedicati.host99-12-237-212 .host#-#-#-#.serverdedicati.aruba.it
Exemplo 2:
212.237.122.28 PROCESSING
Exemplo 3:
212.237.124.242 BLOCK 212.237.124.242 NONE 0 UNDEFINED 212.237.124.242
Exemplo 4:
212.237.99.87 WAITING
Para remover um item da analise:
user:~# spfbl.sh analise drop <tag>
Auto analise

Também é possível deixar a ferramenta analisando tudo em BACKGROUND, assim toda vez que uma consulta SPFBL ou DNSBL ocorrer o SPFBL irá colocar o item em analise e adiciona-lo na LISTA com nome "YYYY-MM-DD", para isso ative a ANALISE no arquivo de configuração /opt/spfbl/spfbl.conf.

spfbl.conf

### Analise tool settings.
### analise_expires: days to keep analise lists.
### analise_ip: automatic analise IPs.
### analise_mx: automatic analise MXs.
### Warning! Keep port 25 open for output in
### firewall when using this tool.
analise_expires=7
analise_ip=true
analise_mx=true

ah, não esqueça de deixar a porta 25 TCP aberta para saída.

Como a ferramenta opera?

O que o ANALISE faz é, digamos, xeretar as origens para descobrir informações que possam levar a bloqueios automáticos ou desbloqueios automáticos.

Por exemplo, se [email protected] te envia e-mail, quando @dominio.tld entrar na lista de processamento do ANALISE, ele vai tentar encontrar o MX dele e tentar se conectar para ver se tem MX mesmo ou é fake. Se ele não conseguir entrar, ai esse @dominio.tld fake entra em BLOCK.

Outro exemplo. Se um IP é processado, o ANALISE vai xeretar lá no SMTP para saber se tem servidor de e-mail e puxar o HELO. Se o HELO ou reverso estiverem bloqueados, ele bloqueia o IP automaticamente. Se a porta 25 estiver fechada e a pontuação do domínio do reverso estiver vermelha, ele também bloqueia automático. Alta incidência de ser um robô ou ser um spammer com MTA fechado na saída.

Tem vários pontos de bloqueios automáticos que implementamos e com baixíssima incidência de falso positivo.

Em caso de dúvidas, acesse a thread sobre este assunto em nosso fórum: https://groups.google.com/forum/#!searchin/spfbl/analise%7Csort:relevance/spfbl/zjuLWZA7Qj0/XHtQ6M6aBgAJ

Add a custom footer
⚠️ **GitHub.com Fallback** ⚠️