Задался целью поднять собственный RBL и внутренний relay для клиентов.Чтобы все клиенты могли посылать почту через мой релей без авторизации (проверка по IP адресу), но в случае необходимости - я мог закрыть их адреса по причине попытки проспамить (вирусняк подцепили или утилиту хитрую запустили), само собой будут установлены ограничения (не больше 3 отправителей, размер письма 10Мб, не более 10 писем за 10 минут, или какие-то другие установить стоит?).
Дополнительно база RBL нужна для основного почтового сервака - хочу поставить на некоторых сайтах среди текста ловушки вида sendspamtome123@domain.ru, чтобы спамеры их нахватали и вся почта на эти адреса автоматически бы лилась на некий скрипт по определению IP адреса с которого пытается придти такое письмо и автоматически бы добавлялась запись в RBL. После чего на все попытки подключения с такого IP мой MTA выдавал бы сообщение типа "такого-то числа было прислано письмо счастья, поэтому вы - злостный спамер и почту от вас я получать не буду, все подробности http://domain.ru/RBL/message-id/)
Ваши соображения, ссылки на доки, названия программ - приветствуется все!
>ловушки вида sendspamtome123@domain.ru, чтобы спамеры их нахватали
>и вся почта на эти адреса автоматически бы лилась на некий
>скрипт по определению IP адреса с которого пытается придти такое письмо
>и автоматически бы добавлялась запись в RBL. После чего на все
>попытки подключения с такого IP мой MTA выдавал бы сообщение типа
>"такого-то числа было прислано письмо счастья, поэтому вы - злостный спамерОбязательно надо послать в твою ловушку-песочницу письмо с какого-нибудь gmail.com или mail.ru
И не надо людям писать, что они злостные спамеры. Слово ранит.
>Ваши соображения, ссылки на доки, названия программ
В трёх экземплярах или в одном?
>>ловушки вида sendspamtome123@domain.ru, чтобы спамеры их нахватали
>
>Обязательно надо послать в твою ловушку-песочницу письмо с какого-нибудь gmail.com или mail.ru
>
>И не надо людям писать, что они злостные спамеры. Слово ранит.
>Вперед и с песней, специально будешь ползать по всем сайтам и искать скрытые емейлы? А как ты отличишь их от тех ловушек, которые spamcop использует? Он то mail.ru и gmail в черные списки не заносит. Тем более, что любой адекватный юзер может зайти по ссылке и вычеркнуть айпишник из черного списка, а т.к. почтовым сервером пользуется много народу, то время удаления того же мейл.ру из этого списка будет очень небольшим.
А чем же может ранить вполне стандартное сообщение вида:
<user@domain.ru>: host mx.domain.ru[7.8.9.10] said: 421 Too many
errors from your IP (1.2.3.4), please visit
http://abuse.domain.ru/reasons-id1234567/ (in reply to RCPT TO command)
>>Ваши соображения, ссылки на доки, названия программ
>
>В трёх экземплярах или в одном?Каждого вида по одной штуке ;)
Я уже реализовал и веб морду прикрутил к этой системе.Вот только тупому юзверю объяснить, что посылать письма на бесплатные почтовые сервера и на домашние почтовые ящики - нельзя, поскольку - система чувствительна к блокировке.
Строить RBL - пустое дело для дураков и хорошее для понимающих.
От дураков получишь - розданные через бесплатные почтовые серверы - ящики всех сотрудников фирмы и разосланную трояном адресную книгу из дома. И за это им ничего не будет, а вам и эти идиоты выскажут "ВСЕ" и начальство.
Я остановился на проверке на :
- время приема
- проверка на спам
- маркировка блокирующих сообщений
- удаление выявленных сообщений.Все это вынесено на веб морду. Если юзверь ничего не хочет делать, то спам идет по полной программе. А если заботиться, то все ОК.
>Я уже реализовал и веб морду прикрутил к этой системе.
>Что в основе этой системы (кроме стандартных apache, php, mysql)?
Результатами поделитесь? Как с Вами связаться?
>Я остановился на проверке на :
>- время приема
>- проверка на спам
>- маркировка блокирующих сообщений
>- удаление выявленных сообщений.
>
>Все это вынесено на веб морду. Если юзверь ничего не хочет делать,
>то спам идет по полной программе. А если заботиться, то все
>ОК.Ну про дураков - и так все понятно, а вот умный может поставить галочку "хочу проверку на спам" и понимать - что он в результате получает.
33665895.Все основано на apache, postfix, postgres, egroupware.
Тут морда для внешних -> http://virusblock.kbpriroda.ru
>Дополнительно база RBL нужна для основного почтового сервака - хочу поставить на
>некоторых сайтах среди текста ловушки вида sendspamtome123@domain.ru, чтобы спамеры их нахваталиНе вздуамйте, спамерские трояны давно научились рассылать спам через релей провайдера вбитый в настройки. Вы так все релеи крупных провайдеров заблокируйте.
>>Дополнительно база RBL нужна для основного почтового сервака - хочу поставить на
>>некоторых сайтах среди текста ловушки вида sendspamtome123@domain.ru, чтобы спамеры их нахватали
>
>Не вздуамйте, спамерские трояны давно научились рассылать спам через релей провайдера вбитый
>в настройки. Вы так все релеи крупных провайдеров заблокируйте.Не блокируются... Там админы аккуратные и следать за логами.
>>>Дополнительно база RBL нужна для основного почтового сервака - хочу поставить на
>>>некоторых сайтах среди текста ловушки вида sendspamtome123@domain.ru, чтобы спамеры их нахватали
>>
>>Не вздуамйте, спамерские трояны давно научились рассылать спам через релей провайдера вбитый
>>в настройки. Вы так все релеи крупных провайдеров заблокируйте.
>
>Не блокируются... Там админы аккуратные и следать за логами.Пока клиента заблокируют, пару тысяч писем со спамом уже уйдет, где гарантия, что среди них не будет того "honeypot" адреса ? Такие ловушки можно использовать только для повышения веса блокировки для spamassassin и подобных, но не более. Иначе вы попытайтесь на собственном лбу проверить верность совета об опасности наступания на грабли.
>[оверквотинг удален]
>>>Не вздуамйте, спамерские трояны давно научились рассылать спам через релей провайдера вбитый
>>>в настройки. Вы так все релеи крупных провайдеров заблокируйте.
>>
>>Не блокируются... Там админы аккуратные и следать за логами.
>
>Пока клиента заблокируют, пару тысяч писем со спамом уже уйдет, где гарантия,
>что среди них не будет того "honeypot" адреса ? Такие ловушки
>можно использовать только для повышения веса блокировки для spamassassin и подобных,
>но не более. Иначе вы попытайтесь на собственном лбу проверить верность
>совета об опасности наступания на грабли.Ловушки эффективно работают. При получении первого сообщения в базу заносится ip и далее - пшел... с сообщением вас заблокировали. Да и скрипт фильтрации не так прост, как вы предполагаете. Есть статические сети, которые провайдеры отводят для клиентов, которые заносятся в базу закрытых от релеев, чтобы невозможно было от них получать. Да и база подвергается анализу и выясняются новые подсети адресов для блокировки. Кому надо, то он не поленится и свяжется для разблокировки. Совместно с всякими стандартными rbl - получается эффективный способ борьбы, который заставляет окружающих приводить в порядок компы пользователей.
P.S. Одно нестандартное действие в фильтрации/анализе сообщений создает серьезный барьер для спамера.
К сожалению вы мыслите масштабами домашней сети и о промышленных решениях, судя по всему, имейте весьма отдаленные представления :-(
>К сожалению вы мыслите масштабами домашней сети и о промышленных решениях, судя
>по всему, имейте весьма отдаленные представления :-(К вам претензий нет. Вы не можете понять, что последовательность сходящаяся при борьбе и расходящаяся при ничегонеделании.
P.S. "Выход всегда есть" - сказала Красная Шапочка вылазия из под хвоста волка.
>К сожалению вы мыслите масштабами домашней сети и о промышленных решениях, судя
>по всему, имейте весьма отдаленные представления :-(Ну так поведайте о промышленных решениях...
Как построить, какое ПО применить, какую вообще схему стоит реализовать?
>>Дополнительно база RBL нужна для основного почтового сервака - хочу поставить на
>>некоторых сайтах среди текста ловушки вида sendspamtome123@domain.ru, чтобы спамеры их нахватали
>
>Не вздуамйте, спамерские трояны давно научились рассылать спам через релей провайдера вбитый
>в настройки. Вы так все релеи крупных провайдеров заблокируйте.Ну собственно вот мои соображения:
1) не так и много сейчас таких троянов, хотя их количество растет, но на этот счет - есть счетчик количества сообщений, если клиент пытается разослать очень много писем, то отследить это можно быстро, а если троян шлет медленно, то при получении жалобы на этого клиента у него закрывается 25 порт и пользователь уведомляется о том, что у него вирусы и в результате работа трояна почти бесполезна.
2) с тем же успехом могут заблокировать и мой релей
3) за логами надо следить - если наш релей попал в черный список, то разбираемся по какой причине, блокируем клиента который напакостил и шлем сообщение админу RBL системы, что все в порядке и наш адрес нужно удалить из черных списков.
4) собственно если в моем RBL заблокирован чей-то релей, то при отказе принять почту будет писаться и причина, а уж админ крупного провайдера не поленится зайти по ссылке и разблокировать свой IP адрес, а уж я получу уведомление и могу поставить в пожизненный белый лист (или в список релеев, когда проверять нужно не последний IP адрес MTA, а предыдущий - клиентский)
>Ну собственно вот мои соображения:
>1) не так и много сейчас таких троянов, хотя их количество растет,На каждую тысячу пользователей случаев 5 в неделю всплывает. Последнее время намечена тенденция к отправке по 100 писем в 10 минут, автоматом такое сложно заблокировать.
>4) собственно если в моем RBL заблокирован чей-то релей, то при отказе
>принять почту будет писаться и причина, а уж админ крупного провайдера
>не поленится зайти по ссылке и разблокировать свой IP адрес,Это если есть отдельная abuse служба (таких провайдеров по пальцам пересчитать можно), в остальных случаях клиенту придётся порядком достать службу поддержки, в которой первым делом станут доказывать клиенту, что виновата другая сторона блокирующая все подряд.
>>Ну собственно вот мои соображения:
>>1) не так и много сейчас таких троянов, хотя их количество растет,
>
>На каждую тысячу пользователей случаев 5 в неделю всплывает. Последнее время намечена
>тенденция к отправке по 100 писем в 10 минут, автоматом такое
>сложно заблокировать.
>Грамотно напишите скрипт.
>>4) собственно если в моем RBL заблокирован чей-то релей, то при отказе
>>принять почту будет писаться и причина, а уж админ крупного провайдера
>>не поленится зайти по ссылке и разблокировать свой IP адрес,
>
>Это если есть отдельная abuse служба (таких провайдеров по пальцам пересчитать можно),
>в остальных случаях клиенту придётся порядком достать службу поддержки, в которой
>первым делом станут доказывать клиенту, что виновата другая сторона блокирующая все
>подряд.В этом вина клиента и получателя или провайдера, который продает услугу спамеру? Провайдер имеет право не заключать договор.
>>Ну собственно вот мои соображения:
>>1) не так и много сейчас таких троянов, хотя их количество растет,
>
>На каждую тысячу пользователей случаев 5 в неделю всплывает. Последнее время намечена
>тенденция к отправке по 100 писем в 10 минут, автоматом такое
>сложно заблокировать.
>За 10 минут 100 писем - это не нормально, предположим что нормально - это 50 писем за 10 минут, тогда на релее настраиваем (вариант для постфикса):
anvil_rate_time_unit = 600s
smtpd_client_message_rate_limit = 50
smtpd_client_event_limit_exceptions =А дальше анализируем лог на предмет превышения лимита сообщений и отсылаем сообщение админу/техподдержке о неприятной активности с одного из айпи. После чего звонок клиенту и блокировка 25 порта (или наоборот, в зависимости от того, что написано в договоре).
Что сложного???
>>4) собственно если в моем RBL заблокирован чей-то релей, то при отказе
>>принять почту будет писаться и причина, а уж админ крупного провайдера
>>не поленится зайти по ссылке и разблокировать свой IP адрес,
>
>Это если есть отдельная abuse служба (таких провайдеров по пальцам пересчитать можно),
>в остальных случаях клиенту придётся порядком достать службу поддержки, в которой
>первым делом станут доказывать клиенту, что виновата другая сторона блокирующая все
>подряд.Клиент может и сам сходить по ссылке. А доставать техподдержку, если они не могут выцепить айпи клиента из блоклиста - некоторые клиенты не будут долго это делать, они будут менять провайдеров, а потом будут слать через мейл.ру и все...
Простой диалог с клиентом:
"проблема с почтой? какое у вас сообщение об ошибке? мессаге блокед бай спам, хттп слеш слеш абуза точка ру слеш одиндватри? зайдите по этой ссылке и вас расфильтруют"И вообще - это уже проблема не на моей стороне, а на стороне других провайдеров - и если там нет адекватной техподдержки, которая зайдет по ссылке и расфильтрует, то это ИХ проблема.
А еще достали некоторые клиенты, у которых не отправляется почта до адресатов, а в сообщениях об ошибке кратко "Message blocked. Connection refused"... и ни одного слова, а в какой же блок лист айпишник нашего сервера попал??
Здраствуйте помогите пожалуйста мне зайти в почтовый ящик или в список я знаю что мне каждый день отправляет письма galit60 , я их не вижу ,а значить не читаю и не удаляю я больной человек инвалид и что я не пробую делать у меня не получается заранее благодарна РАИСА