Примерно неделю не было ни одного спама, после поднятия greylist и установки некоторых других правил.
И вот спам снова стал появляться по нарастающей.
Как лучше блокировать письма такого плана, почему их пропускает greylist(см заголовок письма X-Greylist)?
_____________________________________________
X-AntiVirus: Checked by Dr.Web [version: 5.0, engine: 5.00.2.03300, virus records: 1585735, updated: 4.08.2010]
Return-Path: <dunwt@7.39.pppoe.mari-el.ru>
Received: from vibra.mydomain.ru (localhost [127.0.0.1])
by vibra.mydomain.ru (8.13.8/8.13.8) with ESMTP id o749Caem032742;
Wed, 4 Aug 2010 15:12:36 +0600
Received: (from root@localhost)
by vibra.mydomain.ru (8.13.8/8.13.3/Submit) id o749CaUb032741;
Wed, 4 Aug 2010 15:12:36 +0600
Received: from 7.39.pppoe.mari-el.ru (7.39.pppoe.mari-el.ru [77.40.39.7])
by vibra.mydomain.ru (8.13.8/8.13.8) with SMTP id o749CYH0032736
for <myuser@mydomain.ru>; Wed, 4 Aug 2010 15:12:35 +0600
Date: Wed, 4 Aug 2010 15:12:34 +0600
Received: (qmail 2483 by uid 213); Wed, 04 Aug 2010 08:54:14 +0400
Message-Id: <20100804131030.2551.qmail@7.39.pppoe.mari-el.ru>
From: © VIAGRA ® Inc <dunwt@7.39.pppoe.mari-el.ru>
To: myuser@mydomain.ru
Subject: [SPAM] myuser@mydomain.ru 03% OFF on Pfizer!
MIME-Version: 1.0
Content-Type: text/plain; charset="ISO-8859-1"
Content-Transfer-Encoding: 7bit
X-Greylist: Sender IP whitelisted, not delayed by milter-greylist-3.1.5 (myuser@mydomain.ru [0.0.0.0]); Wed, 04 Aug 2010 15:12:36 +0000 (MYTOWN)
X-Greylist: Default is to whitelist mail, not delayed by milter-greylist-3.1.5 (myuser@mydomain.ru [111.222.333.44]); Wed, 04 Aug 2010 15:12:36 +0000 (MYTOWN)
Status: O
X-DrWeb-SpamState: Yes
X-DrWeb-SpamRate: 1400
X-DrWeb-SpamVersion: Vade Retro 01.297.00 AV+AS Profile: <none>; Bailout: N/A
"Default is to whitelist"
>"Default is to whitelist"Я правильно понимаю, что greylist пропускает его, потому-что он в белом списке. Но этого не может быть, вероятно спамер подделал исходящие адреса на те, что из белого списка? Как блокировать?
>>"Default is to whitelist"
>
>Я правильно понимаю, что greylist пропускает его, потому-что он в белом списке.
>Но этого не может быть, вероятно спамер подделал исходящие адреса на
>те, что из белого списка? Как блокировать?Немного не по теме, но попробуйте rbl списки. Мне они очень помогли.
Глупостей не советуйте. То, что подходит для дома, часто оказывается чуть ли не вредным, если используется на серверах средний и крупных компаний. Уже сотни раз пережевано, что rbl - зло.
>Глупостей не советуйте. То, что подходит для дома, часто оказывается чуть ли
>не вредным, если используется на серверах средний и крупных компаний. Уже
>сотни раз пережевано, что rbl - зло.Хотелось бы что бы профессионал глянул на слабое место данного письма. Например у него отсутствует заголовок X-Mailer и пока у всех таких писем. Пробую соответствующее правило добавить, ну это то, что я вижу...есть что-то еще?
>Глупостей не советуйте. То, что подходит для дома, часто оказывается чуть ли
>не вредным, если используется на серверах средний и крупных компаний. Уже
>сотни раз пережевано, что rbl - зло.Мсье,не будьте так категоричны. Лично я использую рбл-листы как для маленьких контор так и крупных. Даже в одном министерстве в Украине. Их можно использовать, и нужно. Но без фанатизма.
>Глупостей не советуйте. То, что подходит для дома, часто оказывается чуть ли
>не вредным, если используется на серверах средний и крупных компаний. Уже
>сотни раз пережевано, что rbl - зло.Глупостей то не говорите. Сеть моя отнюдь не домашняя и не одна, я не где не сказал что rbl - панацея, не на сейчас rbl списки, в моей практике, показали себя наиболее эфективным и простым решением.
в своё время я такие хосты резал (при наличии подстрок pppoe, xxx@pptp.server.ru)помогало оч. сильно. И за пару лет проблем не было, кроме пары случаев.
Писем было много.
>Глупостей не советуйте. [..] Уже
>сотни раз пережевано, что rbl - зло.Глупость в форме гипнопедического урока не перестает оставаться глупостью.
Что русскому хорошо - немцу смерть.
RBL зло для перепродавцев трафика, а также для тех, кто заучил мантру "rbl - зло".
Для конечных потребителей RBL в высшей степени эффективная мера.
>>"Default is to whitelist"
>
>Я правильно понимаю, что greylist пропускает его, потому-что он в белом списке.
>Но этого не может быть, вероятно спамер подделал исходящие адреса на
>те, что из белого списка? Как блокировать?Нет, не правильно, мысль была в том, что в дефолтном конфиге грейлиста последним правилом стоит racl whitelist default, тобишь все кто не попал в правила описанные выше, по дефолту попадают в белый список. Если это правило не убрано или просто ничего нет, то видимо надо убрать и поставить последним racl greylist default :)
>Нет, не правильно, мысль была в том, что в дефолтном конфиге грейлиста
>последним правилом стоит racl whitelist default, тобишь все кто не попал
>в правила описанные выше, по дефолту попадают в белый список. Если
>это правило не убрано или просто ничего нет, то видимо надо
>убрать и поставить последним racl greylist default :)Спасибо! Точно так и есть.
Общий вопрос для понимания работы спамера: Все таки спамер анализирует мою защиту вручную и потом оптимизирует тактику программы или настолько совершенная программа в которую уже заложены наиболее уязвимые места жертв и тактика меняется автоматически? То есть настроена рассылать спам на одну лазейку две недели, потом начинает слать по другой лазейке еще две недели.
Прошу прощения за странные мысли просто спам в новинку..
>Общий вопрос для понимания работы спамера: Все таки спамер анализирует мою защиту
>вручную и потом оптимизирует тактику программы или настолько совершенная программа в
>которую уже заложены наиболее уязвимые места жертв и тактика меняется автоматически?
>То есть настроена рассылать спам на одну лазейку две недели, потом
>начинает слать по другой лазейке еще две недели.
>Прошу прощения за странные мысли просто спам в новинку..Пожалуй, настройки лично вашей системы спаммеров вряд ли интересуют :)
Но есть крупные анти-спам продукты, такие как Cisco IronPort (http://ironport.com), Cloudmark (http://cloudmark.com) и другие.
Первый десяток самых крупных анти-спам продуктов охватывает 95% рынка, соотв. спаммерам достаточно иметь у себя железку/продукт каждой из этих компаний и "тренировать" спам на этих "черных ящиках". Не прошел спам - меняем. Прошел - о, теперь можно делать рассылку :)
1. Грейлист никогда не задумывался как средство блокировки. Он должен всего лишь "придержать" письмо, чтобы выяснить шлет ли его реальный сервер.
2. Попробуйте блокировать письма по всяким ppp,localhost в имени хоста отправителя.
>1. Грейлист никогда не задумывался как средство блокировки. Он должен всего лишь
>"придержать" письмо, чтобы выяснить шлет ли его реальный сервер.
>2. Попробуйте блокировать письма по всяким ppp,localhost в имени хоста отправителя.Как раз эти блокировки не в коем разе не устраивают отдел продаж, маркетинга и HR ибо им приходят письма с этих адресов.
>1. Грейлист никогда не задумывался как средство блокировки. Он должен всего лишь
>"придержать" письмо, чтобы выяснить шлет ли его реальный сервер.
>2. Попробуйте блокировать письма по всяким ppp,localhost в имени хоста отправителя.Утверждаете, что rbl - зло, и советуете резать по ppp?
Толсто)Насчет серых списков - и как сервер будет выяснять, от спаммера оно или нет?
Серые списки (англ. Greylisting) — способ автоматической блокировки спама, основанный на том, что «поведение» программного обеспечения, предназначенного для рассылки спама, отличается от поведения обычных серверов электронной почты.
>Серые списки (англ. Greylisting) — способ автоматической блокировки спама, основанный на том,
>что «поведение» программного обеспечения, предназначенного для рассылки спама, отличается от поведения
>обычных серверов электронной почты.
>
>http://ru.wikipedia.org/wiki/%D0%A1%D0%B...Вы бы хоть разобрались сначала как работают грейлисты, прежде чем совать мне статьи из вики.
>>Серые списки (англ. Greylisting) — способ автоматической блокировки спама, основанный на том,
>>что «поведение» программного обеспечения, предназначенного для рассылки спама, отличается от поведения
>>обычных серверов электронной почты.
>>
>>http://ru.wikipedia.org/wiki/%D0%A1%D0%B...
>
>Вы бы хоть разобрались сначала как работают грейлисты, прежде чем совать мне
>статьи из вики.Так он же тебе правильно написал. Нормальный почтовик должен придержать в очереди письмо в случае временной ошибки 450 и пытаться его отправлять через заданные промежутки времени, чего как предполагается не делает спам-бот. Вот тебе и отличие в поведении ПО.
Чего не ясно???
>>Серые списки (англ. Greylisting) — способ автоматической блокировки спама, основанный на том,
>>что «поведение» программного обеспечения, предназначенного для рассылки спама, отличается от поведения
>>обычных серверов электронной почты.
>>
>>http://ru.wikipedia.org/wiki/%D0%A1%D0%B...
>
>Вы бы хоть разобрались сначала как работают грейлисты, прежде чем совать мне
>статьи из вики.Я-то разобрался)
И даже настраивал его на почтовых серверах.
А вы?)Другое дело, что некоторые современные спам боты уже могут перепосылать письмо при срабатывании грейлиста.
У меня серые списки срабатывают после черных списков и процент отсеивания не очень большой.
Большинство отсеивается черными списками)
>[оверквотинг удален]
> Wed, 4 Aug 2010 15:12:36 +0600
>Received: (from root@localhost)
> by vibra.mydomain.ru (8.13.8/8.13.3/Submit) id o749CaUb032741;
> Wed, 4 Aug 2010 15:12:36 +0600
>Received: from 7.39.pppoe.mari-el.ru (7.39.pppoe.mari-el.ru [77.40.39.7])
> by vibra.mydomain.ru (8.13.8/8.13.8) with SMTP id o749CYH0032736
> for <myuser@mydomain.ru>; Wed, 4 Aug 2010 15:12:35 +0600
>Date: Wed, 4 Aug 2010 15:12:34 +0600
>Received: (qmail 2483 by uid 213); Wed, 04 Aug 2010 08:54:14 +0400
>Меня postfix + pcre режектит письма где встречается вот такое
Received: from pppoe, ppp, adsl, vpn ну и т.д.>Received: from 7.39.pppoe.mari-el.ru (7.39.pppoe.mari-el.ru [77.40.39.7])
> by vibra.mydomain.ru (8.13.8/8.13.8) with SMTP id o749CYH0032736
Спасибо!
>[оверквотинг удален]
>> for <myuser@mydomain.ru>; Wed, 4 Aug 2010 15:12:35 +0600
>>Date: Wed, 4 Aug 2010 15:12:34 +0600
>>Received: (qmail 2483 by uid 213); Wed, 04 Aug 2010 08:54:14 +0400
>>
>
>Меня postfix + pcre режектит письма где встречается вот такое
>Received: from pppoe, ppp, adsl, vpn ну и т.д.
>
>>Received: from 7.39.pppoe.mari-el.ru (7.39.pppoe.mari-el.ru [77.40.39.7])
>> by vibra.mydomain.ru (8.13.8/8.13.8) with SMTP id o749CYH0032736У меня exim и я давно не режу по вхождению ключевых слов в helo и имени хоста. Для этого использую проверку helo - она достаточно хорошо пока отрабатывает для спамеров с ppp подключений. И ТСу не советую придерживаться тактики отклонения соединений по словосочетаниям. Есть разрешенная проверка helo. Если клиент поздаровался с сервером нормально - надо обслуживать.
И по поводу заголовков Recived - что то у меня сомнения что у вас нормально настроен MTA. Зачем у Вас принимаемая почта для myuser@mydomain.ru проходит через шаг root@localhost?
>У меня exim и я давно не режу по вхождению ключевых слов
>в helo и имени хоста. Для этого использую проверку heloПо хорошему, при грамотной постановке дела, провайдер, содержащий динамические сети, чтобы не сделаться рассадником спама, сам должен блокировать прямые исходящие смтп-соединения своих клиентов, принуждая их к использованию собственного смтп-релея, на котором есть возможность соотнести адрес-имя хоста отправителя с учетной записью клиента - для последующих оргвыводов. Если же этого не делается, то нет ничего плохого в блокировании таких хостов по ключевым словам в имени. Потому что провайдер сознательно создал предпосылки для рассылки спама.
>>У меня exim и я давно не режу по вхождению ключевых слов
>>в helo и имени хоста. Для этого использую проверку helo
>
>По хорошему, при грамотной постановке дела, провайдер, содержащий динамические сети, чтобы не
>сделаться рассадником спама, сам должен блокировать прямые исходящие смтп-соединения своих клиентов,
>принуждая их к использованию собственного смтп-релея, на котором есть возможность соотнести
>адрес-имя хоста отправителя с учетной записью клиента - для последующих оргвыводов.
>Если же этого не делается, то нет ничего плохого в блокировании
>таких хостов по ключевым словам в имени. Потому что провайдер сознательно
>создал предпосылки для рассылки спама.Ну я так тоже раньше думал. Но сейчас как рядовой клиент сети я рассуждаю - почему это мой провайдер должен ограничивать мою сетевую активность? Хочет логировать tcp сессии с моего хоста по 25 порту - его дело. Я думаю это может быть прописано в договоре между мной и провайдером и последствия спама с моего хоста - например отключение, если же трафик по 25 порту закрыт - пусть это прописано в договоре и клиент будет оценивать услугу предоставляемую провайдером. Но если я хочу использовать локальный smtp сервер значит хочу. Если мой IP адрес динамический, хорошо мой сервер будет здороваться литеральным форматом helo. Но доменное имя, привязанное к моему IP это что за критерий для отказа в обслуживании только на этом основании?
>я рассуждаю - почему это мой провайдер должен ограничивать мою сетевую активность?Потому что бюджетный способ подключения с динамическим адресом по определению не может быть полнофункциональным. Хотите сетевой активности без ограничений? Купите статический ИП, окучьте его доменом приемлемого вида - и приходите на мой смтп. А нет - так нет.
>>я рассуждаю - почему это мой провайдер должен ограничивать мою сетевую активность?
>
>Потому что бюджетный способ подключения с динамическим адресом по определению не может
>быть полнофункциональным.Какой есть такой и есть. И в rfc2822, во всяком случае в том неофициальном переводе что я читал, предусмотрена возможность работы с почтой через такое подключение.
> Хотите сетевой активности без ограничений? Купите статический ИП, окучьте
>его доменом приемлемого вида - и приходите на мой смтп. А
>нет - так нет.Хм... Ваше дело.
PS у меня есть статичекий IP без поддержки DNS.
>Какой есть такой и есть.Ну вот, какой есть - так и обслуживаем...
Поймите, сам факт какого-то инет-коннективити еще не означает, что автоматом будут предоставлены все возможные возможности. Ну, простейшая аналогия: вы купили билет на поезд Москва-Владивосток, но только до первой остановки. Это существенно дешевле, чем билет до конечной станции, и дает возможность как-то приобщиться к железнодорожному транспорту, но ваш билет не дает права проехать по всему маршруту. Ровно столько, сколько заплачено.
>Поймите, сам факт какого-то инет-коннективити еще не означает, что автоматом будут предоставлены
>все возможные возможности. Ну, простейшая аналогия: вы купили билет на поезд
>Москва-Владивосток, но только до первой остановки. Это существенно дешевле, чем билет
>до конечной станции, и дает возможность как-то приобщиться к железнодорожному транспорту,
>но ваш билет не дает права проехать по всему маршруту. Ровно
>столько, сколько заплачено.Ну я совсем не хочу с Вами спорить, вприципе согласен что ограничения могут быть, НО считаю что провайдер при заключении договора должен довести до сведения клиента эти тонкости включая вопросы возможного мониторинга сетевой активности клиента. А если это не оговорено а запрещают втихую или снифят втихую - то это не дело. А по вопросу обязательств пользования релем провайдера - тут тоже есть тонкость. Например я доверяю своему smtp и smtp получателя основываясь на своем выборе и выборе того, кому пишу, возникает вопрос - почему я должен доверять дополнительным smtp? И вообще smtp протокол задумывался с возможностью доставки писем с компьютера отправителя на компьютер получателя минуя промежуточные релеи.
>НО считаю что провайдер при заключении договора должен довести
>до сведения клиента эти тонкости включая вопросы возможного мониторинга сетевой активностиПри заключении любого клиентского договора оговаривается ответственность клиента и право провайдера принять меры в случае нарушения клиентом своих обязанностей. Все это, как нетрудно догадаться, предполагает мониторинг провайдером активности клиента на предмет нарушений.
>Например я доверяю своему smtp и smtp получателя основываясь на
>своем выборе и выборе того, кому пишуУж извините за прямоту, но никого не интересует, кому _вы_ доверяете. Или _я_, или _они_.
Доверяй, но проверяй. Проверки показывают, что открытые наружу динсети - рассадники ботнетов. Причем настолько зараженные, что выделять из них единичных добросовестных клиентов просто нерентабельно.>возникает вопрос - почему я должен доверять дополнительным smtp?
А почему вы вообще доверяете своему провайдеру?
>И вообще smtp протокол задумывался с возможностью доставки писем с компьютера
>отправителя на компьютер получателя минуя промежуточные релеи.Смтп задумывался с массой разных возможностей. С возможностью отправки напрямую в случае статического ИП с правильной реверсной записью. А в других случаях - с возможностью отправки через релей. В чем проблема?
>С возможностью отправки напрямую в случае статического ИП с правильной реверсной записьюНеобязательно, повторюсь - если helo [a.b.c.d] - никого не интересуют реверсные зоны DNS. И проверка PTR по шаблонам в этом случае на совести postmaster, RFC в этом случае не даёт рекомендаций.
>RFC в этом случае не даёт рекомендаций.Смтп - очень старый протокол, рфц на него писались тогда, когда еще не подозревали, что over 95% почтового потока может оказаться спамовым. Главная причина существования спама - невозможность идентификации истинного отправителя письма средствами самого смтп. Поэтому в дело вступают довольно далекие от смтп технологии, как-то проверка реверса, спф, контент-анализ, грейлистинг и блеклистинг. Но все это - ВНЕ смтп. Потому что смтп в самом деле не дает рекомендаций. По причине примитивности и незащищенности протокола. И если невозможность идентификации в смтп помножить на невозможность идентификации хоста в _некоторых_ динсетях - получим рассадник ботнетов.
>[оверквотинг удален]
>
>Смтп - очень старый протокол, рфц на него писались тогда, когда еще
>не подозревали, что over 95% почтового потока может оказаться спамовым. Главная
>причина существования спама - невозможность идентификации истинного отправителя письма средствами самого
>смтп. Поэтому в дело вступают довольно далекие от смтп технологии, как-то
>проверка реверса, спф, контент-анализ, грейлистинг и блеклистинг. Но все это -
>ВНЕ смтп. Потому что смтп в самом деле не дает рекомендаций.
>По причине примитивности и незащищенности протокола. И если невозможность идентификации в
>смтп помножить на невозможность идентификации хоста в _некоторых_ динсетях - получим
>рассадник ботнетов.Вы правильно об этом пишете. Есть даже некоторое решение этой проблемы немного другим способом - допустим все договорились, что первым хостом в заголовках recieved может быть лишь хост, обслуживающий почтовый ящик отправителя. Хосту получателю несложно это проверить. Тогда подмена отправителя становится затруднительной. А авторизация отправителя в ведении хоста, отправляющего от него почту. Если в письме подделаны заголовки, то и это принципиально может быть отслежено.
>допустим все договорились, что первым хостом в заголовках
>recieved может быть лишь хост, обслуживающий почтовый ящик
>отправителя. Хосту получателю несложно это проверить.
>Тогда подмена отправителя становится затруднительной.Это предложение _возможно_ и сработает - в сферически вакуумированном случае. Все равно как бороться с преступностью: пусть все договорятся быть честными и законопослушными...
На деле спам - это деньги плюс отсутствие всяких социальных тормозов у некоторых личностей. И если возможность срубить бабла существует - они ею воспользуются непременно. Все договорятся, а они будут рубить бабло, наплевав на всех. И единственный способ их одолеть - убрать возможность.Динсети без принудительного заворота на провайдерский релей - возможность, ее надо убирать. Хотя бы блокированием приема с них почты. И тут уже не нужно ВСЕМ включаться в процесс, достаточно только добросовестным админам. Тогда неконтролируемый ботнетовый спам окажется ограничен вот этими самыми рассадниками ботов. Я думаю, что экономический эффект рассылки ботами спама таким же ботам - крайне невелик.
>>допустим все договорились, что первым хостом в заголовках
>>recieved может быть лишь хост, обслуживающий почтовый ящикЯ понимаю Ваши предложения. Суть их сводится к большей централизации почтовых систем. Мои предложения можно выразить подругому - я за прозрачность маршрута передачи почтового сообщения, чтобы при необходимости можно было размотать цепочку штампов в обратную сторону для проверки небыло ли подлога сообщения. В этом случае также присутствует договоренность о соблюдении правил между людьми, обслуживающими почтовые системы и возможно существует ответственность за прием и передачу письма.
>Я понимаю Ваши предложения. Суть их сводится к большей централизации почтовых систем.Откуда вы взяли про централизацию?
Мои предложения другие: пользователи бюджетного подключения без прописи хоста в днс не должны иметь права прямого доступа в почтовые сети общего пользования. Все. Есть два решения - переход на статик-ип и собственные а/птр, либо заворот в зону ответственности провайдера, с которого можно спросить. Выбирайте, какое больше нравится.
>Необязательно, повторюсь - если helo [a.b.c.d] - никого не интересуют реверсные зоныНасчет "никого" - это вы погорячились. Давайте тут спросим у общественности, многие ли принимают почты с хостов без реверса - будете удивлены.
>И вообще smtp протокол задумывался с возможностью доставки писем с компьютера
>отправителя на компьютер получателя минуя промежуточные релеи.Если быть точным, то "с почтового сервера отправителя на почтовый сервер получателя".
Когда вы отправляете письмо, вы же не сами засылаете его на сервер получателя, верно?)
Вы шлете его своему почтовому серверу.
А для отправки письма своему почтовому серверу есть специальный порт - 587, называемый submission.$ grep 587 /etc/services
submission 587/tcp # mail message submission
submission 587/udpПротокол там такой же - smtp.
Но (по идее) при подключении на 587 порт отправитель считается проверенным (своим), и к нему применяются льготные правила.
Т.е. можно не проверять на спам, вирусы, спф, rbl и т.д.Т.е. в SMTP уже давно предусмотрено разграничение "отправляют мои клиенты" "отправляют моим клиентам".
А вот то, что все дружно забили на этот функционал, и предлагают подключаться к своему почтовому серверу по 25 порту - это уже другой вопрос.
Отчасти поэтому мы сейчас имеем столько спама - лень матушка, да неученье батюшка.Но, слава богу, мир не сошелся на 25 и 587 порту.
Есть ещё отправка через ssl, на 465 порт.
Настраивайте ваш почтовый клиент на работу с почтовым сервером по ssl, указывайте 465 порт и вперед.
Его никто не закрывает.
Могу сразу посоветовать настроить прием почты по ssl, по 995 порту.И ни вам ограничений, ни вам подслушки трафика.
P.S.
А требовать чего-то эдакого от провайдера неэффективно.
Даже если дело дойдет до суда, провайдер сошлется на общую практику и все (а пункт о чем-то подобном, скорее всего, есть в вашем договоре).
>[оверквотинг удален]
>Его никто не закрывает.
>Могу сразу посоветовать настроить прием почты по ssl, по 995 порту.
>
>И ни вам ограничений, ни вам подслушки трафика.
>
>P.S.
>А требовать чего-то эдакого от провайдера неэффективно.
>Даже если дело дойдет до суда, провайдер сошлется на общую практику и
>все (а пункт о чем-то подобном, скорее всего, есть в вашем
>договоре).Спасибо, нашел RFC по submission, почитаю.
>Т.е. можно не проверять на спам, вирусы, спф, rbl и т.д.Спф и рбл, действительно, можно не проверять. А вот проверку на спам и на вирусы не повредит делать и для исходящих почт. Во избежание.
>>Т.е. можно не проверять на спам, вирусы, спф, rbl и т.д.
>
>Спф и рбл, действительно, можно не проверять. А вот проверку на спам
>и на вирусы не повредит делать и для исходящих почт. Во
>избежание.С одной стороны - да.
Может быть ситуация, когда боты используют информацию об SMTP сервере с компа жертвы.
С другой стороны - из всех инструментов против левых писем, контекстная проверка на спам (каким-нибудь spamassassin) и на вирусы (каким-нибудь clamd) - это самые ресурсожрущие инструменты.
До контекстной проверки письма извне должны доходить в самую последнюю очередь, когда пройдут остальные проверки (rbl, graylist, ...).И проверка почты на спам и на вирусы от моих же пользователей - слишком большая трата ресурсов при слишком маленькой полезности.
У меня именно ip адрес почтовика никогда не попадал в черные списки изза слишком умного спам-бота.
Поэтому я не проверяю - слишком уж много ресурсов уходит на контекстный анализ.
>Но если я хочу использовать локальный smtp сервер значит хочу.Хотите на здоровье, никто вам не запрещает.
Но вот я не хочу принимать почты из динамических сетей, и мне тоже никто не запретит. Потому что 95% всего спама имеет источником именно динамические сети. Угадайте, почему.
>>Но если я хочу использовать локальный smtp сервер значит хочу.
>
>Хотите на здоровье, никто вам не запрещает.
>Но вот я не хочу принимать почты из динамических сетей, и мне
>тоже никто не запретит. Потому что 95% всего спама имеет источником
>именно динамические сети. Угадайте, почему.Угадаю - это ботнеты. Скажу по секрету - они нифига не умеют здороваться.
>Угадаю - это ботнеты. Скажу по секрету - они нифига не умеют здороваться.Что это ботнеты - самоочевидно. Вопрос в другом - почему ботнеты тяготеют к дин-сетям?
Ответ прост: они тяготеют не ко всем дин-сетям, а только к тем, в которых провайдеры не обязуют клиента использовать провайдерский релей, и где факт заражения ботнет-клиентом может оставаться незамеченным долгое время.
>>>Но если я хочу использовать локальный smtp сервер значит хочу.
>>
>>Хотите на здоровье, никто вам не запрещает.
>>Но вот я не хочу принимать почты из динамических сетей, и мне
>>тоже никто не запретит. Потому что 95% всего спама имеет источником
>>именно динамические сети. Угадайте, почему.
>
>Угадаю - это ботнеты. Скажу по секрету - они нифига не умеют
>здороваться.Эээ... А тут Вы по-моему не правы. Возможность рассылки спама через такие сети - это одна из основных фич.
>Угадаю - это ботнеты. Скажу по секрету - они нифига не умеют
>здороваться.Они не умели здороваться 10 лет назад =)
А сейчас ботов пишут так, что они все RFC проходят, да ещё и SPF понимают.
Ну, конечно не все)
Но, и эти "не все" спама могут навалить прилично.
>>Угадаю - это ботнеты. Скажу по секрету - они нифига не умеют
>>здороваться.
>
>Они не умели здороваться 10 лет назад =)
>А сейчас ботов пишут так, что они все RFC проходят, да ещё
>и SPF понимают.
>Ну, конечно не все)
>Но, и эти "не все" спама могут навалить прилично.Или ко мне только старые бот-неты стучатся, или они фсетаке здороваться не научились..
Да и поучите матчасть по SPF, он не зависит от бота никак...
>Или ко мне только старые бот-неты стучатся, или они фсетаке здороваться не
>научились..У меня 90% входящих смтп-сессий режутся исключительно по причине кривого хело. Так что - не научились
Мое сугубое имхо таково: засилие спама есть следствие массовой криворукости почтмастеров. Минимальные настройки штатных механизмов МТА снижают поток спама вдесятеро.
>>Или ко мне только старые бот-неты стучатся, или они фсетаке здороваться не
>>научились..
>
>У меня 90% входящих смтп-сессий режутся исключительно по причине кривого хело. Так
>что - не научились
>
>Мое сугубое имхо таково: засилие спама есть следствие массовой криворукости почтмастеров. Минимальные
>настройки штатных механизмов МТА снижают поток спама вдесятеро.Полностью согласен! Недавно на дне сисадмина видал таких около 50 челов, накупили себе всяких дорогих фенек от которых проку нет и восклицают "Почему провайдер ХХХ не принимает от меня почту и еще говорит что у меня в обратной зоне имя сервера не прописано".... печально...
>[оверквотинг удален]
>>>здороваться.
>>
>>Они не умели здороваться 10 лет назад =)
>>А сейчас ботов пишут так, что они все RFC проходят, да ещё
>>и SPF понимают.
>>Ну, конечно не все)
>>Но, и эти "не все" спама могут навалить прилично.
>
>Или ко мне только старые бот-неты стучатся, или они фсетаке здороваться не
>научились..Возможно.
У меня черные списки режут около 80% спама.
Видать, там как раз и режутся тупые боты)>Да и поучите матчасть по SPF, он не зависит от бота никак...
Если ткнете, где я писал, что SPF зависит от бота, то поучу.
А иначе вам самому лучше его поучить.
Бот тупо может увидеть ответ Deffered, сохранить параметры отправки, и ткнуться через 30 минут с теми же данными.
>Бот тупо может увидеть ответ Deffered, сохранить параметры отправки, и ткнуться через
>30 минут с теми же данными.При настроеном СПФ это ничего не даст.
СПФ разрешает слать письма с энвелоп-фром = blabla@domain.tld только с определенных хостов - обычно с foo.domain.tld или mx.isp.tld.
Поэтому, когда бот с хоста 12-34-56-78-dynamic-adsl-free-net.com.br попытается отослать письмо с энвелоп-фром blabla@domain.tld, его безусловно факнет. Бот, конечно, может выждать полчаса, или час, или сутки, но это ему ничего не даст. Его будет факать по причине нарушения условий СПФ.
>[оверквотинг удален]
>
>При настроеном СПФ это ничего не даст.
>
>СПФ разрешает слать письма с энвелоп-фром = blabla@domain.tld только с определенных хостов
>- обычно с foo.domain.tld или mx.isp.tld.
>
>Поэтому, когда бот с хоста 12-34-56-78-dynamic-adsl-free-net.com.br попытается отослать письмо с энвелоп-фром blabla@domain.tld,
>его безусловно факнет. Бот, конечно, может выждать полчаса, или час, или
>сутки, но это ему ничего не даст. Его будет факать по
>причине нарушения условий СПФ.Прошу прощения, мозг имел в виду Graylist, а руки почему-то все это время писали SPF =)
Боты вполне могут понимать грейлист.
"Deffered" - это же куда лучше, чем вообще не достучаться до 25 порта.А СПФ - да, типа защита.
Хотя, насколько я понимаю, "-all" делать решаются далеко не все.
Плюс, далеко не все серверы получателя решаются жестко рубить письмо при несовпадении с SPF (опять-таки, сфига ли рубить, если не указано "-all").
Добавят баллов спамности - и то хорошо.
>Боты вполне могут понимать грейлист.Боты настолько хорошо понимают грейлист, что получасовая задержка уже не отсекает почти 20% спама. С другой стороны, полчаса задержки, когда маркетинг бегает кругами и рвет волосы на ж*** с криками "где же это письмо?!!" - это полный пц и "Эпик Фейл Текнолоджи лтд".
От грейлистинга отказался два года назад окончательно, ни разу не пожалел.
Сейчас выполняю серию проверок на стадии CONN и RCPT с начислением штрафных баллов. После начисления выставляю задержку в секундах, равную числу баллов. По окончании задержки, если баллов меньше порогового значения, и отправитель не отвалился - принимаю письмо. Если баллов больше порога - даю длинную задержку и потом отлуп с tempfail, пусть снова придет - мы снова посмеемся. То, что дошло до DATA, прогоняется через СА. Что набрало больше 8.0 по совокупности - улетает в blackhole. На 1000 входящего спама до инбоксов доходит 3-4 штуки. Без грейлистов, без днсбл.>А СПФ - да, типа защита.
СПФ - мой жест доброй воли в адрес других админов. Своей настройкой СПФ я поток спама к себе не уменьшу, но помогу другим убить спам, который боты шлют от имени моих аккаунтов другим хостам.
>>Боты вполне могут понимать грейлист.
>
>Боты настолько хорошо понимают грейлист, что получасовая задержка уже не отсекает почти
>20% спама. С другой стороны, полчаса задержки, когда маркетинг бегает кругами
>и рвет волосы на ж*** с криками "где же это письмо?!!"
>- это полный пц и "Эпик Фейл Текнолоджи лтд".
>
>От грейлистинга отказался два года назад окончательно, ни разу не пожалел.
>Сейчас выполняю серию проверок на стадии CONN и RCPT с начислением штрафных
>баллов.А не подскажите каким ПО Вы это делаете? Просто мне понравилась идея. Хочу и себе попробовать.
>А не подскажите каким ПО Вы это делаете?Штатные АЦЛ экзима
warn set acl_mCNT = 0
warn condition = ${if eq{$sender_helo_name}{}{yes}{no}}
set acl_mCNT = ${eval:$acl_mCNT+25}
warn condition = ${if eq{$sender_address}{}{yes}{no}}
set acl_mCNT = ${eval:$acl_mCNT+10}
warn condition = ${if !eq{$sender_helo_name}{$sender_host_name}{yes}{no}}
set acl_mCNT = ${eval:$acl_mCNT+10}
warn condition = ${if >{${strlen:$sender_address}}{30}{yes}{no}}
set acl_mCNT = ${eval:$acl_mCNT+15}
.....
.....
.....
warn set acl_mSEC = ${eval:$acl_mCNT}s
delay = $acl_mSECdefer delay = 60s
message = 450 TEMPFAIL : System overload
condition = ${if ge{$acl_mCNT}{120}{yes}{no}}
Первый варн обуляет переменную. Каждый последующий увеличивает ее на несколько очков, если соответствующее условие выполняется. Последний варн переводит очки в секунды и делает соответствующую паузу. Если очков набежало больше 120 - ждем еще минуту и выдаем темпфейл.Список проверяемых условий можно как угодно расширять, можно играться с количеством очков за каждое условие, можно делать несколько групп условий с отдельными паузами между ними. Самое главное - как можно дольше удержать на коннекте отправителя, чтобы он не сорвался. Если удастся поводить бота на поводке три минуты, он три минуты не будет отправлять спам другим хостам. Это очень много. Обычно, почувствовав поводок, боты сами разрывают соединение через 30-40 секунд.
>[оверквотинг удален]
>warn condition =
>${if !eq{$sender_helo_name}{$sender_host_name}{yes}{no}}
> set acl_mCNT
> = ${eval:$acl_mCNT+10}
>warn condition = ${if >{${strlen:$sender_address}}{30}{yes}{no}}
> set acl_mCNT
> = ${eval:$acl_mCNT+15}
>.....
>.....
>.....Эхх.. Вот они плюсы Эксима по сравнению с постфиксом... :-)
Exim - сила)
Как люди на postfix'е почтовую систему под себя конфигурируют?>Если удастся поводить бота на поводке
>три минуты, он три минуты не будет отправлять спам другим хостам.
>Это очень много. Обычно, почувствовав поводок, боты сами разрывают соединение через
>30-40 секунд.Очень интересная мысль насчет поводка.
Особенно насчет "не будет отправлять спам другим хостам".
Новый способ борьбы со спамом сообща =)
Если ещё буду делать почтовую систему заново, то учту этот момент.
Но вообще у вас очень специфичное решение - у нас приходят тонны спама, которые прошли бы через ваши условия.
>Очень интересная мысль насчет поводка.Зачем отказывать себе в удовольствии попортить жизнь тем, кто портит жизнь нам?
>Новый способ борьбы со спамом сообща =)
Это не новый способ, ему миллионы лет. Чтобы одолеть сильного врага надо действовать сообща.
>Но вообще у вас очень специфичное решение - у нас приходят тонны
>спама, которые прошли бы через ваши условия.Например?
Один из моих доменов содержит 600+ ящиков, из которых 2/3 зарегистрированы более 10 лет назад. В частности, мой собственный, засвеченый во всевозможных спамерских базах. Спам в инбокс попадает 2-3 раза в месяц.
>Например?
>
>Один из моих доменов содержит 600+ ящиков, из которых 2/3 зарегистрированы более
>10 лет назад. В частности, мой собственный, засвеченый во всевозможных спамерских
>базах. Спам в инбокс попадает 2-3 раза в месяц.На работе в логах попробую поискать примеры.
Ещё меня заинтересовала пара правил:
>warn condition = ${if eq{$sender_address}{}{yes}{no}}
> set acl_mCNT = ${eval:$acl_mCNT+10}Т.е. вы не принимаете письма с "mailfrom: <>"
А вы в курсе, что RFC говорят по этому поводу?>warn condition = ${if !eq{$sender_helo_name}{$sender_host_name}{yes}{no}}
> set acl_mCNT = ${eval:$acl_mCNT+10}У вас не бывает такого, что вам почта не доходит?)
>Т.е. вы не принимаете письма с "mailfrom: <>"
>А вы в курсе, что RFC говорят по этому поводу?Кто сказал - не принимаю? Начисляю очки - и только. Баунсы, которые с пустым отправителем, никогда не наберут 120 очков для полного отлупа, максимум - секунд 15-25 постоят в очереди, и все.
>У вас не бывает такого, что вам почта не доходит?)
Эти правила (у меня их больше четырех десятков) не означают отказа в приеме. Чтобы получить отказ в приеме, нужно подпасть под минимум десяток проверок, с легальными письмами такого не бывает никогда. Было - пока я не отстроил начисление очков.
>То, что дошло до DATA, прогоняется через СА.Что есть "CA"?
>>То, что дошло до DATA, прогоняется через СА.
>
>Что есть "CA"?СА = СпамАссассин
>Да и поучите матчасть по SPF, он не зависит от бота никак...Мне лучше русский подучить)
Я имел в виду Graylist.
Не SPF, а Greylist =)
Посмотрите ещё сюда http://www.ourorbits.org/itview/articles/mailsystem.shtml
.
Удачи
>Как лучше блокировать письма такого планаХотелось бы расшифровки "такого")
Какого такого?
>>Как лучше блокировать письма такого плана
>
>Хотелось бы расшифровки "такого")
>Какого такого?Хотя проблема уже решена, недели две, milter-грейлист справляется нормально..отвечаю - я показал ниже заголовок письма, по каким пунктам его можно блокировать мне уже ответили, можно конечно дополнить.
>>>Как лучше блокировать письма такого плана
>>
>>Хотелось бы расшифровки "такого")
>>Какого такого?
>
>Хотя проблема уже решена, несколько недель, milter-грейлист справляется нормально..отвечаю - я показал
>ниже заголовок письма, по каким пунктам его можно блокировать мне уже
>ответили, можно конечно дополнить.