URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 77436
[ Назад ]

Исходное сообщение
"Собственный RBL и внутренний relay сервер"

Отправлено Сергей , 20-Ноя-07 15:07 
Задался целью поднять собственный RBL и внутренний relay для клиентов.

Чтобы все клиенты могли посылать почту через мой релей без авторизации (проверка по IP адресу), но в случае необходимости - я мог закрыть их адреса по причине попытки проспамить (вирусняк подцепили или утилиту хитрую запустили), само собой будут установлены ограничения (не больше 3 отправителей, размер письма 10Мб, не более 10 писем за 10 минут, или какие-то другие установить стоит?).

Дополнительно база RBL нужна для основного почтового сервака - хочу поставить на некоторых сайтах среди текста ловушки вида sendspamtome123@domain.ru, чтобы спамеры их нахватали и вся почта на эти адреса автоматически бы лилась на некий скрипт по определению IP адреса с которого пытается придти такое письмо и автоматически бы добавлялась запись в RBL. После чего на все попытки подключения с такого IP мой MTA выдавал бы сообщение типа "такого-то числа было прислано письмо счастья, поэтому вы - злостный спамер и почту от вас я получать не буду, все подробности http://domain.ru/RBL/message-id/)

Ваши соображения, ссылки на доки, названия программ - приветствуется все!


Содержание

Сообщения в этом обсуждении
"Собственный RBL и внутренний relay сервер"
Отправлено anonymous , 20-Ноя-07 17:06 
>ловушки вида sendspamtome123@domain.ru, чтобы спамеры их нахватали
>и вся почта на эти адреса автоматически бы лилась на некий
>скрипт по определению IP адреса с которого пытается придти такое письмо
>и автоматически бы добавлялась запись в RBL. После чего на все
>попытки подключения с такого IP мой MTA выдавал бы сообщение типа
>"такого-то числа было прислано письмо счастья, поэтому вы - злостный спамер

Обязательно надо послать в твою ловушку-песочницу письмо с какого-нибудь gmail.com или mail.ru

И не надо людям писать, что они злостные спамеры. Слово ранит.

>Ваши соображения, ссылки на доки, названия программ

В трёх экземплярах или в одном?


"Собственный RBL и внутренний relay сервер"
Отправлено Сергей , 21-Ноя-07 09:35 
>>ловушки вида sendspamtome123@domain.ru, чтобы спамеры их нахватали
>
>Обязательно надо послать в твою ловушку-песочницу письмо с какого-нибудь gmail.com или mail.ru
>
>И не надо людям писать, что они злостные спамеры. Слово ранит.
>

Вперед и с песней, специально будешь ползать по всем сайтам и искать скрытые емейлы? А как ты отличишь их от тех ловушек, которые spamcop использует? Он то mail.ru и gmail в черные списки не заносит. Тем более, что любой адекватный юзер может зайти по ссылке и вычеркнуть айпишник из черного списка, а т.к. почтовым сервером пользуется много народу, то время удаления того же мейл.ру из этого списка будет очень небольшим.

А чем же может ранить вполне стандартное сообщение вида:
<user@domain.ru>: host mx.domain.ru[7.8.9.10] said: 421 Too many
    errors from your IP (1.2.3.4), please visit
    http://abuse.domain.ru/reasons-id1234567/  (in reply to RCPT TO command)


>>Ваши соображения, ссылки на доки, названия программ
>
>В трёх экземплярах или в одном?

Каждого вида по одной штуке ;)


"Собственный RBL и внутренний relay сервер"
Отправлено Solo_Wolf , 20-Ноя-07 23:03 
Я уже реализовал и веб морду прикрутил к этой системе.

Вот только тупому юзверю объяснить, что посылать письма на бесплатные почтовые сервера и на домашние почтовые ящики - нельзя, поскольку - система чувствительна к блокировке.

Строить RBL - пустое дело для дураков и хорошее для понимающих.

От дураков получишь - розданные через бесплатные почтовые серверы - ящики всех сотрудников фирмы и разосланную трояном адресную книгу из дома. И за это им ничего не будет, а вам и эти идиоты выскажут "ВСЕ" и начальство.

Я остановился на проверке на :
- время приема
- проверка на спам
- маркировка блокирующих сообщений
- удаление выявленных сообщений.

Все это вынесено на веб морду. Если юзверь ничего не хочет делать, то спам идет по полной программе. А если заботиться, то все ОК.


"Собственный RBL и внутренний relay сервер"
Отправлено Сергей , 21-Ноя-07 09:50 
>Я уже реализовал и веб морду прикрутил к этой системе.
>

Что в основе этой системы (кроме стандартных apache, php, mysql)?
Результатами поделитесь? Как с Вами связаться?


>Я остановился на проверке на :
>- время приема
>- проверка на спам
>- маркировка блокирующих сообщений
>- удаление выявленных сообщений.
>
>Все это вынесено на веб морду. Если юзверь ничего не хочет делать,
>то спам идет по полной программе. А если заботиться, то все
>ОК.

Ну про дураков - и так все понятно, а вот умный может поставить галочку "хочу проверку на спам" и понимать - что он в результате получает.


"Собственный RBL и внутренний relay сервер"
Отправлено Solo_Wolf , 21-Ноя-07 09:59 
33665895.

Все основано на apache, postfix, postgres, egroupware.

Тут морда для внешних -> http://virusblock.kbpriroda.ru


"Собственный RBL и внутренний relay сервер"
Отправлено uldus , 20-Ноя-07 23:23 
>Дополнительно база RBL нужна для основного почтового сервака - хочу поставить на
>некоторых сайтах среди текста ловушки вида sendspamtome123@domain.ru, чтобы спамеры их нахватали

Не вздуамйте, спамерские трояны давно научились рассылать спам через релей провайдера вбитый в настройки. Вы так все релеи крупных провайдеров заблокируйте.



"Собственный RBL и внутренний relay сервер"
Отправлено Solo_Wolf , 21-Ноя-07 00:25 
>>Дополнительно база RBL нужна для основного почтового сервака - хочу поставить на
>>некоторых сайтах среди текста ловушки вида sendspamtome123@domain.ru, чтобы спамеры их нахватали
>
>Не вздуамйте, спамерские трояны давно научились рассылать спам через релей провайдера вбитый
>в настройки. Вы так все релеи крупных провайдеров заблокируйте.

Не блокируются... Там админы аккуратные и следать за логами.


"Собственный RBL и внутренний relay сервер"
Отправлено uldus , 21-Ноя-07 10:35 
>>>Дополнительно база RBL нужна для основного почтового сервака - хочу поставить на
>>>некоторых сайтах среди текста ловушки вида sendspamtome123@domain.ru, чтобы спамеры их нахватали
>>
>>Не вздуамйте, спамерские трояны давно научились рассылать спам через релей провайдера вбитый
>>в настройки. Вы так все релеи крупных провайдеров заблокируйте.
>
>Не блокируются... Там админы аккуратные и следать за логами.

Пока клиента заблокируют, пару тысяч писем со спамом уже уйдет, где гарантия, что среди них не будет того "honeypot" адреса ? Такие ловушки можно использовать только для повышения веса блокировки для spamassassin и подобных, но не более. Иначе вы попытайтесь на собственном лбу проверить верность совета об опасности наступания на грабли.


"Собственный RBL и внутренний relay сервер"
Отправлено Solo_Wolf , 21-Ноя-07 10:55 
>[оверквотинг удален]
>>>Не вздуамйте, спамерские трояны давно научились рассылать спам через релей провайдера вбитый
>>>в настройки. Вы так все релеи крупных провайдеров заблокируйте.
>>
>>Не блокируются... Там админы аккуратные и следать за логами.
>
>Пока клиента заблокируют, пару тысяч писем со спамом уже уйдет, где гарантия,
>что среди них не будет того "honeypot" адреса ? Такие ловушки
>можно использовать только для повышения веса блокировки для spamassassin и подобных,
>но не более. Иначе вы попытайтесь на собственном лбу проверить верность
>совета об опасности наступания на грабли.

Ловушки эффективно работают. При получении первого сообщения в базу заносится ip и далее - пшел... с сообщением вас заблокировали. Да и скрипт фильтрации не так прост, как вы предполагаете. Есть статические сети, которые провайдеры отводят для клиентов, которые заносятся в базу закрытых от релеев, чтобы невозможно было от них получать. Да и база подвергается анализу и выясняются новые подсети адресов для блокировки. Кому надо, то он не поленится и свяжется для разблокировки. Совместно с всякими стандартными rbl - получается эффективный способ борьбы, который заставляет окружающих приводить в порядок компы пользователей.

P.S. Одно нестандартное действие в фильтрации/анализе сообщений создает серьезный барьер для спамера.


"Собственный RBL и внутренний relay сервер"
Отправлено uldus , 21-Ноя-07 23:18 
К сожалению вы мыслите масштабами домашней сети и о промышленных решениях, судя по всему, имейте весьма отдаленные представления :-(

"Собственный RBL и внутренний relay сервер"
Отправлено Solo_Wolf , 22-Ноя-07 00:06 
>К сожалению вы мыслите масштабами домашней сети и о промышленных решениях, судя
>по всему, имейте весьма отдаленные представления :-(

К вам претензий нет. Вы не можете понять, что последовательность сходящаяся при борьбе и расходящаяся при ничегонеделании.

P.S. "Выход всегда есть" - сказала Красная Шапочка вылазия из под хвоста волка.


"Собственный RBL и внутренний relay сервер"
Отправлено Сергей , 22-Ноя-07 15:15 
>К сожалению вы мыслите масштабами домашней сети и о промышленных решениях, судя
>по всему, имейте весьма отдаленные представления :-(

Ну так поведайте о промышленных решениях...
Как построить, какое ПО применить, какую вообще схему стоит реализовать?


"Собственный RBL и внутренний relay сервер"
Отправлено Сергей , 21-Ноя-07 09:47 
>>Дополнительно база RBL нужна для основного почтового сервака - хочу поставить на
>>некоторых сайтах среди текста ловушки вида sendspamtome123@domain.ru, чтобы спамеры их нахватали
>
>Не вздуамйте, спамерские трояны давно научились рассылать спам через релей провайдера вбитый
>в настройки. Вы так все релеи крупных провайдеров заблокируйте.

Ну собственно вот мои соображения:
1) не так и много сейчас таких троянов, хотя их количество растет, но на этот счет - есть счетчик количества сообщений, если клиент пытается разослать очень много писем, то отследить это можно быстро, а если троян шлет медленно, то при получении жалобы на этого клиента у него закрывается 25 порт и пользователь уведомляется о том, что у него вирусы и в результате  работа трояна почти бесполезна.
2) с тем же успехом могут заблокировать и мой релей
3) за логами надо следить - если наш релей попал в черный список, то разбираемся по какой причине, блокируем клиента который напакостил и шлем сообщение админу RBL системы, что все в порядке и наш адрес нужно удалить из черных списков.
4) собственно если в моем RBL заблокирован чей-то релей, то при отказе принять почту будет писаться и причина, а уж админ крупного провайдера не поленится зайти по ссылке и разблокировать свой IP адрес, а уж я получу уведомление и могу поставить в пожизненный белый лист (или в список релеев, когда проверять нужно не последний IP адрес MTA, а предыдущий - клиентский)


"Собственный RBL и внутренний relay сервер"
Отправлено uldus , 21-Ноя-07 10:43 
>Ну собственно вот мои соображения:
>1) не так и много сейчас таких троянов, хотя их количество растет,

На каждую тысячу пользователей случаев 5 в неделю всплывает. Последнее время намечена тенденция к отправке по 100 писем в 10 минут, автоматом такое сложно заблокировать.

>4) собственно если в моем RBL заблокирован чей-то релей, то при отказе
>принять почту будет писаться и причина, а уж админ крупного провайдера
>не поленится зайти по ссылке и разблокировать свой IP адрес,

Это если есть отдельная abuse служба (таких провайдеров по пальцам пересчитать можно), в остальных случаях клиенту придётся порядком достать службу поддержки, в которой первым делом станут доказывать клиенту, что виновата другая сторона блокирующая все подряд.



"Собственный RBL и внутренний relay сервер"
Отправлено Solo_Wolf , 21-Ноя-07 11:00 
>>Ну собственно вот мои соображения:
>>1) не так и много сейчас таких троянов, хотя их количество растет,
>
>На каждую тысячу пользователей случаев 5 в неделю всплывает. Последнее время намечена
>тенденция к отправке по 100 писем в 10 минут, автоматом такое
>сложно заблокировать.
>

Грамотно напишите скрипт.


>>4) собственно если в моем RBL заблокирован чей-то релей, то при отказе
>>принять почту будет писаться и причина, а уж админ крупного провайдера
>>не поленится зайти по ссылке и разблокировать свой IP адрес,
>
>Это если есть отдельная abuse служба (таких провайдеров по пальцам пересчитать можно),
>в остальных случаях клиенту придётся порядком достать службу поддержки, в которой
>первым делом станут доказывать клиенту, что виновата другая сторона блокирующая все
>подряд.

В этом вина клиента и получателя или провайдера, который продает услугу спамеру? Провайдер имеет право не заключать договор.


"Собственный RBL и внутренний relay сервер"
Отправлено Сергей , 22-Ноя-07 15:13 
>>Ну собственно вот мои соображения:
>>1) не так и много сейчас таких троянов, хотя их количество растет,
>
>На каждую тысячу пользователей случаев 5 в неделю всплывает. Последнее время намечена
>тенденция к отправке по 100 писем в 10 минут, автоматом такое
>сложно заблокировать.
>

За 10 минут 100 писем - это не нормально, предположим что нормально - это 50 писем за 10 минут, тогда на релее настраиваем (вариант для постфикса):
anvil_rate_time_unit = 600s
smtpd_client_message_rate_limit = 50
smtpd_client_event_limit_exceptions =

А дальше анализируем лог на предмет превышения лимита сообщений и отсылаем сообщение админу/техподдержке о неприятной активности с одного из айпи. После чего звонок клиенту и блокировка 25 порта (или наоборот, в зависимости от того, что написано в договоре).

Что сложного???


>>4) собственно если в моем RBL заблокирован чей-то релей, то при отказе
>>принять почту будет писаться и причина, а уж админ крупного провайдера
>>не поленится зайти по ссылке и разблокировать свой IP адрес,
>
>Это если есть отдельная abuse служба (таких провайдеров по пальцам пересчитать можно),
>в остальных случаях клиенту придётся порядком достать службу поддержки, в которой
>первым делом станут доказывать клиенту, что виновата другая сторона блокирующая все
>подряд.

Клиент может и сам сходить по ссылке. А доставать техподдержку, если они не могут выцепить айпи клиента из блоклиста - некоторые клиенты не будут долго это делать, они будут менять провайдеров, а потом будут слать через мейл.ру и все...

Простой диалог с клиентом:
"проблема с почтой? какое у вас сообщение об ошибке? мессаге блокед бай спам, хттп слеш слеш абуза точка ру слеш одиндватри? зайдите по этой ссылке и вас расфильтруют"

И вообще - это уже проблема не на моей стороне, а на стороне других провайдеров - и если там нет адекватной техподдержки, которая зайдет по ссылке и расфильтрует, то это ИХ проблема.
А еще достали некоторые клиенты, у которых не отправляется почта до адресатов, а в сообщениях об ошибке кратко "Message blocked. Connection refused"... и ни одного слова, а в какой же блок лист айпишник нашего сервера попал??


"Собственный RBL и внутренний relay сервер"
Отправлено raisaujakova , 11-Мрт-11 05:59 
Здраствуйте помогите пожалуйста мне зайти в почтовый ящик или в список я знаю что мне каждый день отправляет письма galit60 , я их не вижу ,а значить не читаю и не удаляю я больной человек инвалид и что я не пробую делать у меня не получается заранее благодарна РАИСА