URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 89520
[ Назад ]

Исходное сообщение
"Подскажите каким способом фильтровать такой спам"

Отправлено HanTengry , 05-Авг-10 06:14 
Примерно неделю не было ни одного спама, после поднятия greylist и установки некоторых других правил.
И вот спам снова стал появляться по нарастающей.
Как лучше блокировать письма такого плана, почему их пропускает greylist(см заголовок письма X-Greylist)?
_____________________________________________
X-AntiVirus: Checked by Dr.Web [version: 5.0, engine: 5.00.2.03300, virus records: 1585735, updated:  4.08.2010]
Return-Path: <dunwt@7.39.pppoe.mari-el.ru>
Received: from vibra.mydomain.ru (localhost [127.0.0.1])
    by vibra.mydomain.ru (8.13.8/8.13.8) with ESMTP id o749Caem032742;
    Wed, 4 Aug 2010 15:12:36 +0600
Received: (from root@localhost)
    by vibra.mydomain.ru (8.13.8/8.13.3/Submit) id o749CaUb032741;
    Wed, 4 Aug 2010 15:12:36 +0600
Received: from 7.39.pppoe.mari-el.ru (7.39.pppoe.mari-el.ru [77.40.39.7])
    by vibra.mydomain.ru (8.13.8/8.13.8) with SMTP id o749CYH0032736
    for <myuser@mydomain.ru>; Wed, 4 Aug 2010 15:12:35 +0600
Date: Wed, 4 Aug 2010 15:12:34 +0600
Received: (qmail 2483 by uid 213); Wed, 04 Aug 2010 08:54:14 +0400
Message-Id: <20100804131030.2551.qmail@7.39.pppoe.mari-el.ru>
From: © VIAGRA ® Inc <dunwt@7.39.pppoe.mari-el.ru>
To: myuser@mydomain.ru
Subject: [SPAM] myuser@mydomain.ru 03% OFF on Pfizer!
MIME-Version: 1.0
Content-Type: text/plain; charset="ISO-8859-1"
Content-Transfer-Encoding: 7bit
X-Greylist: Sender IP whitelisted, not delayed by milter-greylist-3.1.5 (myuser@mydomain.ru [0.0.0.0]); Wed, 04 Aug 2010 15:12:36 +0000 (MYTOWN)
X-Greylist: Default is to whitelist mail, not delayed by milter-greylist-3.1.5 (myuser@mydomain.ru [111.222.333.44]); Wed, 04 Aug 2010 15:12:36 +0000 (MYTOWN)
Status:  O
X-DrWeb-SpamState: Yes
X-DrWeb-SpamRate: 1400
X-DrWeb-SpamVersion: Vade Retro 01.297.00 AV+AS Profile: <none>; Bailout: N/A

Содержание

Сообщения в этом обсуждении
"Подскажите каким способом фильтровать такой спам"
Отправлено GG , 05-Авг-10 06:34 
"Default is to whitelist"

"Подскажите каким способом фильтровать такой спам"
Отправлено HanTengry , 05-Авг-10 09:33 
>"Default is to whitelist"

Я правильно понимаю, что greylist пропускает его, потому-что он в белом списке. Но этого не может быть, вероятно спамер подделал исходящие адреса на те, что из белого списка? Как блокировать?


"Подскажите каким способом фильтровать такой спам"
Отправлено mmm , 05-Авг-10 10:06 
>>"Default is to whitelist"
>
>Я правильно понимаю, что greylist пропускает его, потому-что он в белом списке.
>Но этого не может быть, вероятно спамер подделал исходящие адреса на
>те, что из белого списка? Как блокировать?

Немного не по теме, но попробуйте rbl списки. Мне они очень помогли.


"Подскажите каким способом фильтровать такой спам"
Отправлено SubGun , 05-Авг-10 10:23 
Глупостей не советуйте. То, что подходит для дома, часто оказывается чуть ли не вредным, если используется на серверах средний и крупных компаний. Уже сотни раз пережевано, что rbl - зло.

"Подскажите каким способом фильтровать такой спам"
Отправлено HanTengry , 05-Авг-10 10:43 
>Глупостей не советуйте. То, что подходит для дома, часто оказывается чуть ли
>не вредным, если используется на серверах средний и крупных компаний. Уже
>сотни раз пережевано, что rbl - зло.

Хотелось бы что бы профессионал глянул на слабое место данного письма. Например у него отсутствует заголовок X-Mailer и пока у всех таких писем. Пробую соответствующее правило добавить, ну это то, что я вижу...есть что-то еще?


"Подскажите каким способом фильтровать такой спам"
Отправлено artemrts , 05-Авг-10 16:45 
>Глупостей не советуйте. То, что подходит для дома, часто оказывается чуть ли
>не вредным, если используется на серверах средний и крупных компаний. Уже
>сотни раз пережевано, что rbl - зло.

  Мсье,не будьте так категоричны. Лично я использую рбл-листы как для маленьких контор так и крупных. Даже в одном министерстве в Украине. Их можно использовать, и нужно. Но без фанатизма.


"Подскажите каким способом фильтровать такой спам"
Отправлено mmm , 06-Авг-10 10:11 
>Глупостей не советуйте. То, что подходит для дома, часто оказывается чуть ли
>не вредным, если используется на серверах средний и крупных компаний. Уже
>сотни раз пережевано, что rbl - зло.

Глупостей то не говорите. Сеть моя отнюдь не домашняя и не одна, я не где не сказал что rbl - панацея, не на сейчас rbl списки, в моей практике,  показали себя наиболее эфективным и простым решением.


"Подскажите каким способом фильтровать такой спам"
Отправлено Pulsar , 11-Авг-10 15:14 
в своё время я такие хосты резал (при наличии подстрок pppoe, xxx@pptp.server.ru)

помогало оч. сильно. И за пару лет проблем не было, кроме пары случаев.
Писем было много.


"Подскажите каким способом фильтровать такой спам"
Отправлено anonymous , 09-Авг-10 01:21 
>Глупостей не советуйте. [..] Уже
>сотни раз пережевано, что rbl - зло.

Глупость в форме гипнопедического урока не перестает оставаться глупостью.
Что русскому хорошо - немцу смерть.
RBL зло для перепродавцев трафика, а также для тех, кто заучил мантру "rbl - зло".
Для конечных потребителей RBL в высшей степени эффективная мера.


"Подскажите каким способом фильтровать такой спам"
Отправлено zkvomsk , 05-Авг-10 11:59 
>>"Default is to whitelist"
>
>Я правильно понимаю, что greylist пропускает его, потому-что он в белом списке.
>Но этого не может быть, вероятно спамер подделал исходящие адреса на
>те, что из белого списка? Как блокировать?

Нет, не правильно, мысль была в том, что в дефолтном конфиге грейлиста последним правилом стоит racl whitelist default, тобишь все кто не попал в правила описанные выше, по дефолту попадают в белый список. Если это правило не убрано или просто ничего нет, то видимо надо убрать и поставить последним racl greylist default :)


"Подскажите каким способом фильтровать такой спам"
Отправлено HanTengry , 05-Авг-10 12:43 
>Нет, не правильно, мысль была в том, что в дефолтном конфиге грейлиста
>последним правилом стоит racl whitelist default, тобишь все кто не попал
>в правила описанные выше, по дефолту попадают в белый список. Если
>это правило не убрано или просто ничего нет, то видимо надо
>убрать и поставить последним racl greylist default :)

Спасибо! Точно так и есть.  
Общий вопрос для понимания работы спамера: Все таки спамер анализирует мою защиту вручную и потом оптимизирует тактику программы или настолько совершенная программа в которую уже заложены наиболее уязвимые места жертв и тактика меняется автоматически? То есть настроена рассылать спам на одну лазейку две недели, потом начинает слать по другой лазейке еще две недели.
Прошу прощения за странные мысли просто спам в новинку..



"Подскажите каким способом фильтровать такой спам"
Отправлено cryo , 05-Авг-10 15:04 
>Общий вопрос для понимания работы спамера: Все таки спамер анализирует мою защиту
>вручную и потом оптимизирует тактику программы или настолько совершенная программа в
>которую уже заложены наиболее уязвимые места жертв и тактика меняется автоматически?
>То есть настроена рассылать спам на одну лазейку две недели, потом
>начинает слать по другой лазейке еще две недели.
>Прошу прощения за странные мысли просто спам в новинку..

Пожалуй, настройки лично вашей системы спаммеров вряд ли интересуют :)

Но есть крупные анти-спам продукты, такие как Cisco IronPort (http://ironport.com), Cloudmark (http://cloudmark.com) и другие.

Первый десяток самых крупных анти-спам продуктов охватывает 95% рынка, соотв. спаммерам достаточно иметь у себя железку/продукт каждой из этих компаний и "тренировать" спам на этих "черных ящиках". Не прошел спам - меняем. Прошел -  о, теперь можно делать рассылку :)


"Подскажите каким способом фильтровать такой спам"
Отправлено SubGun , 05-Авг-10 10:43 
1. Грейлист никогда не задумывался как средство блокировки. Он должен всего лишь "придержать" письмо, чтобы выяснить шлет ли его реальный сервер.
2. Попробуйте блокировать письма по всяким ppp,localhost в имени хоста отправителя.

"Подскажите каким способом фильтровать такой спам"
Отправлено mmm , 06-Авг-10 10:14 
>1. Грейлист никогда не задумывался как средство блокировки. Он должен всего лишь
>"придержать" письмо, чтобы выяснить шлет ли его реальный сервер.
>2. Попробуйте блокировать письма по всяким ppp,localhost в имени хоста отправителя.

Как раз эти блокировки не в коем разе не устраивают отдел продаж, маркетинга и HR ибо им приходят письма с этих адресов.


"Подскажите каким способом фильтровать такой спам"
Отправлено XoRe , 12-Авг-10 01:44 
>1. Грейлист никогда не задумывался как средство блокировки. Он должен всего лишь
>"придержать" письмо, чтобы выяснить шлет ли его реальный сервер.
>2. Попробуйте блокировать письма по всяким ppp,localhost в имени хоста отправителя.

Утверждаете, что rbl - зло, и советуете резать по ppp?
Толсто)

Насчет серых списков - и как сервер будет выяснять, от спаммера оно или нет?

Серые списки (англ. Greylisting) — способ автоматической блокировки спама, основанный на том, что «поведение» программного обеспечения, предназначенного для рассылки спама, отличается от поведения обычных серверов электронной почты.

http://ru.wikipedia.org/wiki/%D0%A1%D0%B...


"Подскажите каким способом фильтровать такой спам"
Отправлено SubGun , 12-Авг-10 15:58 
>Серые списки (англ. Greylisting) — способ автоматической блокировки спама, основанный на том,
>что «поведение» программного обеспечения, предназначенного для рассылки спама, отличается от поведения
>обычных серверов электронной почты.
>
>http://ru.wikipedia.org/wiki/%D0%A1%D0%B...

Вы бы хоть разобрались сначала как работают грейлисты, прежде чем совать мне статьи из вики.


"Подскажите каким способом фильтровать такой спам"
Отправлено artemrts , 12-Авг-10 20:26 
>>Серые списки (англ. Greylisting) — способ автоматической блокировки спама, основанный на том,
>>что «поведение» программного обеспечения, предназначенного для рассылки спама, отличается от поведения
>>обычных серверов электронной почты.
>>
>>http://ru.wikipedia.org/wiki/%D0%A1%D0%B...
>
>Вы бы хоть разобрались сначала как работают грейлисты, прежде чем совать мне
>статьи из вики.

  Так он же тебе правильно написал. Нормальный почтовик должен придержать в очереди письмо в случае временной ошибки 450 и пытаться его отправлять через заданные промежутки времени, чего как предполагается не делает спам-бот. Вот тебе и отличие в поведении ПО.
  Чего не ясно???


"Подскажите каким способом фильтровать такой спам"
Отправлено XoRe , 13-Авг-10 17:26 
>>Серые списки (англ. Greylisting) — способ автоматической блокировки спама, основанный на том,
>>что «поведение» программного обеспечения, предназначенного для рассылки спама, отличается от поведения
>>обычных серверов электронной почты.
>>
>>http://ru.wikipedia.org/wiki/%D0%A1%D0%B...
>
>Вы бы хоть разобрались сначала как работают грейлисты, прежде чем совать мне
>статьи из вики.

Я-то разобрался)
И даже настраивал его на почтовых серверах.
А вы?)

Другое дело, что некоторые современные спам боты уже могут перепосылать письмо при срабатывании грейлиста.
У меня серые списки срабатывают после черных списков и процент отсеивания не очень большой.
Большинство отсеивается черными списками)


"Подскажите каким способом фильтровать такой спам"
Отправлено Hammer , 05-Авг-10 11:33 
>[оверквотинг удален]
> Wed, 4 Aug 2010 15:12:36 +0600
>Received: (from root@localhost)
> by vibra.mydomain.ru (8.13.8/8.13.3/Submit) id o749CaUb032741;
> Wed, 4 Aug 2010 15:12:36 +0600
>Received: from 7.39.pppoe.mari-el.ru (7.39.pppoe.mari-el.ru [77.40.39.7])
> by vibra.mydomain.ru (8.13.8/8.13.8) with SMTP id o749CYH0032736
>    for <myuser@mydomain.ru>; Wed, 4 Aug 2010 15:12:35 +0600
>Date: Wed, 4 Aug 2010 15:12:34 +0600
>Received: (qmail 2483 by uid 213); Wed, 04 Aug 2010 08:54:14 +0400
>

Меня postfix + pcre режектит письма где встречается вот такое
Received: from pppoe, ppp, adsl, vpn ну и т.д.

>Received: from 7.39.pppoe.mari-el.ru (7.39.pppoe.mari-el.ru [77.40.39.7])
> by vibra.mydomain.ru (8.13.8/8.13.8) with SMTP id o749CYH0032736


"Подскажите каким способом фильтровать такой спам"
Отправлено HanTengry , 05-Авг-10 12:56 
Спасибо!


"Подскажите каким способом фильтровать такой спам"
Отправлено tux2002 , 10-Авг-10 12:02 
>[оверквотинг удален]
>>    for <myuser@mydomain.ru>; Wed, 4 Aug 2010 15:12:35 +0600
>>Date: Wed, 4 Aug 2010 15:12:34 +0600
>>Received: (qmail 2483 by uid 213); Wed, 04 Aug 2010 08:54:14 +0400
>>
>
>Меня postfix + pcre режектит письма где встречается вот такое
>Received: from pppoe, ppp, adsl, vpn ну и т.д.
>
>>Received: from 7.39.pppoe.mari-el.ru (7.39.pppoe.mari-el.ru [77.40.39.7])
>> by vibra.mydomain.ru (8.13.8/8.13.8) with SMTP id o749CYH0032736

У меня exim и я давно не режу по вхождению ключевых слов в helo и имени хоста. Для этого использую проверку helo  - она достаточно хорошо пока отрабатывает для спамеров с ppp подключений. И ТСу не советую придерживаться тактики отклонения соединений по словосочетаниям. Есть разрешенная проверка helo. Если клиент поздаровался с сервером нормально - надо обслуживать.

И по поводу заголовков Recived - что то у меня сомнения что у вас нормально настроен MTA. Зачем у Вас принимаемая почта для  myuser@mydomain.ru проходит через шаг root@localhost?


"Подскажите каким способом фильтровать такой спам"
Отправлено DeadLoco , 10-Авг-10 13:43 
>У меня exim и я давно не режу по вхождению ключевых слов
>в helo и имени хоста. Для этого использую проверку helo  

По хорошему, при грамотной постановке дела, провайдер, содержащий динамические сети, чтобы не сделаться рассадником спама, сам должен блокировать прямые исходящие смтп-соединения своих клиентов, принуждая их к использованию собственного смтп-релея, на котором есть возможность соотнести адрес-имя хоста отправителя с учетной записью клиента - для последующих оргвыводов. Если же этого не делается, то нет ничего плохого в блокировании таких хостов по ключевым словам в имени. Потому что провайдер сознательно создал предпосылки для рассылки спама.


"Подскажите каким способом фильтровать такой спам"
Отправлено tux2002 , 10-Авг-10 14:20 
>>У меня exim и я давно не режу по вхождению ключевых слов
>>в helo и имени хоста. Для этого использую проверку helo  
>
>По хорошему, при грамотной постановке дела, провайдер, содержащий динамические сети, чтобы не
>сделаться рассадником спама, сам должен блокировать прямые исходящие смтп-соединения своих клиентов,
>принуждая их к использованию собственного смтп-релея, на котором есть возможность соотнести
>адрес-имя хоста отправителя с учетной записью клиента - для последующих оргвыводов.
>Если же этого не делается, то нет ничего плохого в блокировании
>таких хостов по ключевым словам в имени. Потому что провайдер сознательно
>создал предпосылки для рассылки спама.

Ну я так тоже раньше думал. Но сейчас как рядовой клиент сети я рассуждаю - почему это мой провайдер должен ограничивать мою сетевую активность? Хочет логировать tcp сессии с моего хоста по 25 порту - его дело. Я думаю это может быть прописано в договоре между мной и провайдером и последствия спама с моего хоста - например отключение, если же трафик по 25 порту закрыт - пусть это прописано в договоре и клиент будет оценивать услугу предоставляемую провайдером. Но если я хочу использовать локальный smtp сервер значит хочу. Если мой IP адрес динамический, хорошо мой сервер будет здороваться литеральным форматом helo. Но доменное имя, привязанное к моему IP это что за критерий для отказа в обслуживании только на этом основании?


"Подскажите каким способом фильтровать такой спам"
Отправлено DeadLoco , 10-Авг-10 14:36 
>я рассуждаю - почему это мой провайдер должен ограничивать мою сетевую активность?

Потому что бюджетный способ подключения с динамическим адресом по определению не может быть полнофункциональным. Хотите сетевой активности без ограничений? Купите статический ИП, окучьте его доменом приемлемого вида - и приходите на мой смтп. А нет - так нет.


"Подскажите каким способом фильтровать такой спам"
Отправлено tux2002 , 10-Авг-10 15:25 
>>я рассуждаю - почему это мой провайдер должен ограничивать мою сетевую активность?
>
>Потому что бюджетный способ подключения с динамическим адресом по определению не может
>быть полнофункциональным.

Какой есть такой и есть. И в rfc2822, во всяком случае в том неофициальном переводе что я читал, предусмотрена возможность работы с почтой через такое подключение.
> Хотите сетевой активности без ограничений? Купите статический ИП, окучьте
>его доменом приемлемого вида - и приходите на мой смтп. А
>нет - так нет.

Хм... Ваше дело.
PS у меня есть статичекий IP без поддержки DNS.



"Подскажите каким способом фильтровать такой спам"
Отправлено DeadLoco , 10-Авг-10 16:05 
>Какой есть такой и есть.

Ну вот, какой есть - так и обслуживаем...

Поймите, сам факт какого-то инет-коннективити еще не означает, что автоматом будут предоставлены все возможные возможности. Ну, простейшая аналогия: вы купили билет на поезд Москва-Владивосток, но только до первой остановки. Это существенно дешевле, чем билет до конечной станции, и дает возможность как-то приобщиться к железнодорожному транспорту, но ваш билет не дает права проехать по всему маршруту. Ровно столько, сколько заплачено.


"Подскажите каким способом фильтровать такой спам"
Отправлено tux2002 , 11-Авг-10 11:51 

>Поймите, сам факт какого-то инет-коннективити еще не означает, что автоматом будут предоставлены
>все возможные возможности. Ну, простейшая аналогия: вы купили билет на поезд
>Москва-Владивосток, но только до первой остановки. Это существенно дешевле, чем билет
>до конечной станции, и дает возможность как-то приобщиться к железнодорожному транспорту,
>но ваш билет не дает права проехать по всему маршруту. Ровно
>столько, сколько заплачено.

Ну я совсем не хочу с Вами спорить, вприципе согласен что ограничения могут быть, НО считаю что провайдер при заключении договора должен довести до сведения клиента эти тонкости включая вопросы возможного мониторинга сетевой активности клиента. А если это не оговорено а запрещают втихую или снифят втихую - то это не дело. А по вопросу обязательств пользования релем провайдера - тут тоже есть тонкость. Например я доверяю своему smtp и smtp получателя основываясь на своем выборе и выборе того, кому пишу, возникает вопрос - почему я должен доверять дополнительным smtp? И вообще smtp протокол задумывался с возможностью доставки писем с компьютера отправителя на компьютер получателя минуя промежуточные релеи.



"Подскажите каким способом фильтровать такой спам"
Отправлено DeadLoco , 11-Авг-10 14:32 
>НО считаю что провайдер при заключении договора должен довести
>до сведения клиента эти тонкости включая вопросы возможного мониторинга сетевой активности

При заключении любого клиентского договора оговаривается ответственность клиента и право провайдера принять меры в случае нарушения клиентом своих обязанностей. Все это, как нетрудно догадаться, предполагает мониторинг провайдером активности клиента на предмет нарушений.

>Например я доверяю своему smtp и smtp получателя основываясь на
>своем выборе и выборе того, кому пишу

Уж извините за прямоту, но никого не интересует, кому _вы_ доверяете. Или _я_, или _они_.
Доверяй, но проверяй. Проверки показывают, что открытые наружу динсети - рассадники ботнетов. Причем настолько зараженные, что выделять из них единичных добросовестных клиентов просто нерентабельно.

>возникает вопрос - почему я должен доверять дополнительным smtp?

А почему вы вообще доверяете своему провайдеру?


>И вообще smtp протокол задумывался с возможностью доставки писем с компьютера
>отправителя на компьютер получателя минуя промежуточные релеи.

Смтп задумывался с массой разных возможностей. С возможностью отправки напрямую в случае статического ИП с правильной реверсной записью. А в других случаях - с возможностью отправки через релей. В чем проблема?


"Подскажите каким способом фильтровать такой спам"
Отправлено tux2002 , 11-Авг-10 17:30 
>С возможностью отправки напрямую в случае статического ИП с правильной реверсной записью

Необязательно, повторюсь - если helo [a.b.c.d] - никого не интересуют реверсные зоны DNS. И проверка PTR по шаблонам в этом случае на совести postmaster, RFC в этом случае не даёт рекомендаций.


"Подскажите каким способом фильтровать такой спам"
Отправлено DeadLoco , 11-Авг-10 18:58 
>RFC в этом случае не даёт рекомендаций.

Смтп - очень старый протокол, рфц на него писались тогда, когда еще не подозревали, что over 95% почтового потока может оказаться спамовым. Главная причина существования спама - невозможность идентификации истинного отправителя письма средствами самого смтп. Поэтому в дело вступают довольно далекие от смтп технологии, как-то проверка реверса, спф, контент-анализ, грейлистинг и блеклистинг. Но все это - ВНЕ смтп. Потому что смтп в самом деле не дает рекомендаций. По причине примитивности и незащищенности протокола. И если невозможность идентификации в смтп помножить на невозможность идентификации хоста в _некоторых_ динсетях - получим рассадник ботнетов.


"Подскажите каким способом фильтровать такой спам"
Отправлено tux2002 , 12-Авг-10 12:53 
>[оверквотинг удален]
>
>Смтп - очень старый протокол, рфц на него писались тогда, когда еще
>не подозревали, что over 95% почтового потока может оказаться спамовым. Главная
>причина существования спама - невозможность идентификации истинного отправителя письма средствами самого
>смтп. Поэтому в дело вступают довольно далекие от смтп технологии, как-то
>проверка реверса, спф, контент-анализ, грейлистинг и блеклистинг. Но все это -
>ВНЕ смтп. Потому что смтп в самом деле не дает рекомендаций.
>По причине примитивности и незащищенности протокола. И если невозможность идентификации в
>смтп помножить на невозможность идентификации хоста в _некоторых_ динсетях - получим
>рассадник ботнетов.

Вы правильно об этом пишете. Есть даже некоторое решение этой проблемы немного другим способом - допустим все договорились, что первым хостом в заголовках recieved может быть лишь хост, обслуживающий почтовый ящик отправителя. Хосту получателю несложно это проверить. Тогда подмена отправителя становится затруднительной. А авторизация отправителя в ведении хоста, отправляющего от него почту. Если в письме подделаны заголовки, то и это принципиально может быть отслежено.


"Подскажите каким способом фильтровать такой спам"
Отправлено DeadLoco , 12-Авг-10 13:11 
>допустим все договорились, что первым хостом в заголовках
>recieved может быть лишь хост, обслуживающий почтовый ящик
>отправителя. Хосту получателю несложно это проверить.
>Тогда подмена отправителя становится затруднительной.

Это предложение _возможно_ и сработает - в сферически вакуумированном случае. Все равно как бороться с преступностью: пусть все договорятся быть честными и законопослушными...
На деле спам - это деньги плюс отсутствие всяких социальных тормозов у некоторых личностей. И если возможность срубить бабла существует - они ею воспользуются непременно. Все договорятся, а они будут рубить бабло, наплевав на всех. И единственный способ их одолеть - убрать возможность.

Динсети без принудительного заворота на провайдерский релей - возможность, ее надо убирать. Хотя бы блокированием приема с них почты. И тут уже не нужно ВСЕМ включаться в процесс, достаточно только добросовестным админам. Тогда неконтролируемый ботнетовый спам окажется ограничен вот этими самыми рассадниками ботов. Я думаю, что экономический эффект рассылки ботами спама таким же ботам - крайне невелик.


"Подскажите каким способом фильтровать такой спам"
Отправлено tux2002 , 12-Авг-10 13:44 
>>допустим все договорились, что первым хостом в заголовках
>>recieved может быть лишь хост, обслуживающий почтовый ящик

Я понимаю Ваши предложения. Суть их сводится к большей централизации почтовых систем. Мои предложения можно выразить подругому - я за прозрачность маршрута передачи почтового сообщения, чтобы при необходимости можно было размотать цепочку штампов в обратную сторону для проверки небыло ли подлога сообщения. В этом случае также присутствует договоренность о соблюдении правил между людьми, обслуживающими почтовые системы и возможно существует ответственность за прием и передачу письма.



"Подскажите каким способом фильтровать такой спам"
Отправлено DeadLoco , 12-Авг-10 14:05 
>Я понимаю Ваши предложения. Суть их сводится к большей централизации почтовых систем.

Откуда вы взяли про централизацию?

Мои предложения другие: пользователи бюджетного подключения без прописи хоста в днс не должны иметь права прямого доступа в почтовые сети общего пользования. Все. Есть два решения - переход на статик-ип и собственные а/птр, либо заворот в зону ответственности провайдера, с которого можно спросить. Выбирайте, какое больше нравится.


"Подскажите каким способом фильтровать такой спам"
Отправлено DeadLoco , 11-Авг-10 19:02 
>Необязательно, повторюсь - если helo [a.b.c.d] - никого не интересуют реверсные зоны

Насчет "никого" - это вы погорячились. Давайте тут спросим у общественности, многие ли принимают почты с хостов без реверса - будете удивлены.


"Подскажите каким способом фильтровать такой спам"
Отправлено XoRe , 12-Авг-10 02:00 
>И вообще smtp протокол задумывался с возможностью доставки писем с компьютера
>отправителя на компьютер получателя минуя промежуточные релеи.

Если быть точным, то "с почтового сервера отправителя на почтовый сервер получателя".
Когда вы отправляете письмо, вы же не сами засылаете его на сервер получателя, верно?)
Вы шлете его своему почтовому серверу.
А для отправки письма своему почтовому серверу есть специальный порт - 587, называемый submission.

$ grep 587 /etc/services
submission    587/tcp                # mail message submission
submission    587/udp

Протокол там такой же - smtp.
Но (по идее) при подключении на 587 порт отправитель считается проверенным (своим), и к нему применяются льготные правила.
Т.е. можно не проверять на спам, вирусы, спф, rbl и т.д.

Т.е. в SMTP уже давно предусмотрено разграничение "отправляют мои клиенты" "отправляют моим клиентам".

А вот то, что все дружно забили на этот функционал, и предлагают подключаться к своему почтовому серверу по 25 порту - это уже другой вопрос.
Отчасти поэтому мы сейчас имеем столько спама - лень матушка, да неученье батюшка.

Но, слава богу, мир не сошелся на 25 и 587 порту.
Есть ещё отправка через ssl, на 465 порт.
Настраивайте ваш почтовый клиент на работу с почтовым сервером по ssl, указывайте 465 порт и вперед.
Его никто не закрывает.
Могу сразу посоветовать настроить прием почты по ssl, по 995 порту.

И ни вам ограничений, ни вам подслушки трафика.

P.S.
А требовать чего-то эдакого от провайдера неэффективно.
Даже если дело дойдет до суда, провайдер сошлется на общую практику и все (а пункт о чем-то подобном, скорее всего, есть в вашем договоре).


"Подскажите каким способом фильтровать такой спам"
Отправлено tux2002 , 12-Авг-10 14:06 
>[оверквотинг удален]
>Его никто не закрывает.
>Могу сразу посоветовать настроить прием почты по ssl, по 995 порту.
>
>И ни вам ограничений, ни вам подслушки трафика.
>
>P.S.
>А требовать чего-то эдакого от провайдера неэффективно.
>Даже если дело дойдет до суда, провайдер сошлется на общую практику и
>все (а пункт о чем-то подобном, скорее всего, есть в вашем
>договоре).

Спасибо, нашел RFC по submission, почитаю.


"Подскажите каким способом фильтровать такой спам"
Отправлено DeadLoco , 12-Авг-10 14:11 
>Т.е. можно не проверять на спам, вирусы, спф, rbl и т.д.

Спф и рбл, действительно, можно не проверять. А вот проверку на спам и на вирусы не повредит делать и для исходящих почт. Во избежание.


"Подскажите каким способом фильтровать такой спам"
Отправлено XoRe , 13-Авг-10 17:36 
>>Т.е. можно не проверять на спам, вирусы, спф, rbl и т.д.
>
>Спф и рбл, действительно, можно не проверять. А вот проверку на спам
>и на вирусы не повредит делать и для исходящих почт. Во
>избежание.

С одной стороны - да.
Может быть ситуация, когда боты используют информацию об SMTP сервере с компа жертвы.
С другой стороны - из всех инструментов против левых писем, контекстная проверка на спам (каким-нибудь spamassassin) и на вирусы (каким-нибудь clamd) - это самые ресурсожрущие инструменты.
До контекстной проверки письма извне должны доходить в самую последнюю очередь, когда пройдут остальные проверки (rbl, graylist, ...).

И проверка почты на спам и на вирусы от моих же пользователей - слишком большая трата ресурсов при слишком маленькой полезности.
У меня именно ip адрес почтовика никогда не попадал в черные списки изза слишком умного спам-бота.
Поэтому я не проверяю - слишком уж много ресурсов уходит на контекстный анализ.


"Подскажите каким способом фильтровать такой спам"
Отправлено DeadLoco , 10-Авг-10 14:48 
>Но если я хочу использовать локальный smtp сервер значит хочу.

Хотите на здоровье, никто вам не запрещает.
Но вот я не хочу принимать почты из динамических сетей, и мне тоже никто не запретит. Потому что 95% всего спама имеет источником именно динамические сети. Угадайте, почему.


"Подскажите каким способом фильтровать такой спам"
Отправлено tux2002 , 10-Авг-10 15:28 
>>Но если я хочу использовать локальный smtp сервер значит хочу.
>
>Хотите на здоровье, никто вам не запрещает.
>Но вот я не хочу принимать почты из динамических сетей, и мне
>тоже никто не запретит. Потому что 95% всего спама имеет источником
>именно динамические сети. Угадайте, почему.

Угадаю - это ботнеты. Скажу по секрету - они нифига не умеют здороваться.


"Подскажите каким способом фильтровать такой спам"
Отправлено DeadLoco , 10-Авг-10 16:08 
>Угадаю - это ботнеты. Скажу по секрету - они нифига не умеют здороваться.

Что это ботнеты - самоочевидно. Вопрос в другом - почему ботнеты тяготеют к дин-сетям?

Ответ прост: они тяготеют не ко всем дин-сетям, а только к тем, в которых провайдеры не обязуют клиента использовать провайдерский релей, и где факт заражения ботнет-клиентом может оставаться незамеченным долгое время.


"Подскажите каким способом фильтровать такой спам"
Отправлено artemrts , 10-Авг-10 23:14 
>>>Но если я хочу использовать локальный smtp сервер значит хочу.
>>
>>Хотите на здоровье, никто вам не запрещает.
>>Но вот я не хочу принимать почты из динамических сетей, и мне
>>тоже никто не запретит. Потому что 95% всего спама имеет источником
>>именно динамические сети. Угадайте, почему.
>
>Угадаю - это ботнеты. Скажу по секрету - они нифига не умеют
>здороваться.

  Эээ... А тут Вы по-моему не правы. Возможность рассылки спама через такие сети - это одна из основных фич.


"Подскажите каким способом фильтровать такой спам"
Отправлено XoRe , 12-Авг-10 02:03 
>Угадаю - это ботнеты. Скажу по секрету - они нифига не умеют
>здороваться.

Они не умели здороваться 10 лет назад =)
А сейчас ботов пишут так, что они все RFC проходят, да ещё и SPF понимают.
Ну, конечно не все)
Но, и эти "не все" спама могут навалить прилично.


"Подскажите каким способом фильтровать такой спам"
Отправлено Глеб , 15-Авг-10 22:29 
>>Угадаю - это ботнеты. Скажу по секрету - они нифига не умеют
>>здороваться.
>
>Они не умели здороваться 10 лет назад =)
>А сейчас ботов пишут так, что они все RFC проходят, да ещё
>и SPF понимают.
>Ну, конечно не все)
>Но, и эти "не все" спама могут навалить прилично.

Или ко мне только старые бот-неты стучатся, или они фсетаке здороваться не научились..
Да и поучите матчасть по SPF, он не зависит от бота никак...


"Подскажите каким способом фильтровать такой спам"
Отправлено DeadLoco , 16-Авг-10 02:24 
>Или ко мне только старые бот-неты стучатся, или они фсетаке здороваться не
>научились..

У меня 90% входящих смтп-сессий режутся исключительно по причине кривого хело. Так что - не научились

Мое сугубое имхо таково: засилие спама есть следствие массовой криворукости почтмастеров. Минимальные настройки штатных механизмов МТА снижают поток спама вдесятеро.


"Подскажите каким способом фильтровать такой спам"
Отправлено Gbyte , 16-Авг-10 07:10 
>>Или ко мне только старые бот-неты стучатся, или они фсетаке здороваться не
>>научились..
>
>У меня 90% входящих смтп-сессий режутся исключительно по причине кривого хело. Так
>что - не научились
>
>Мое сугубое имхо таково: засилие спама есть следствие массовой криворукости почтмастеров. Минимальные
>настройки штатных механизмов МТА снижают поток спама вдесятеро.

Полностью согласен! Недавно на дне сисадмина видал таких около 50 челов, накупили себе всяких дорогих фенек от которых проку нет и восклицают "Почему провайдер ХХХ не принимает от меня почту и еще говорит что у меня в обратной зоне имя сервера не прописано".... печально...


"Подскажите каким способом фильтровать такой спам"
Отправлено XoRe , 17-Авг-10 18:02 
>[оверквотинг удален]
>>>здороваться.
>>
>>Они не умели здороваться 10 лет назад =)
>>А сейчас ботов пишут так, что они все RFC проходят, да ещё
>>и SPF понимают.
>>Ну, конечно не все)
>>Но, и эти "не все" спама могут навалить прилично.
>
>Или ко мне только старые бот-неты стучатся, или они фсетаке здороваться не
>научились..

Возможно.
У меня черные списки режут около 80% спама.
Видать, там как раз и режутся тупые боты)

>Да и поучите матчасть по SPF, он не зависит от бота никак...

Если ткнете, где я писал, что SPF зависит от бота, то поучу.
А иначе вам самому лучше его поучить.
Бот тупо может увидеть ответ Deffered, сохранить параметры отправки, и ткнуться через 30 минут с теми же данными.


"Подскажите каким способом фильтровать такой спам"
Отправлено DeadLoco , 18-Авг-10 15:28 
>Бот тупо может увидеть ответ Deffered, сохранить параметры отправки, и ткнуться через
>30 минут с теми же данными.

При настроеном СПФ это ничего не даст.

СПФ разрешает слать письма с энвелоп-фром = blabla@domain.tld только с определенных хостов - обычно с foo.domain.tld или mx.isp.tld.

Поэтому, когда бот с хоста 12-34-56-78-dynamic-adsl-free-net.com.br попытается отослать письмо с энвелоп-фром blabla@domain.tld, его безусловно факнет. Бот, конечно, может выждать полчаса, или час, или сутки, но это ему ничего не даст. Его будет факать по причине нарушения условий СПФ.


"Подскажите каким способом фильтровать такой спам"
Отправлено XoRe , 21-Авг-10 01:38 
>[оверквотинг удален]
>
>При настроеном СПФ это ничего не даст.
>
>СПФ разрешает слать письма с энвелоп-фром = blabla@domain.tld только с определенных хостов
>- обычно с foo.domain.tld или mx.isp.tld.
>
>Поэтому, когда бот с хоста 12-34-56-78-dynamic-adsl-free-net.com.br попытается отослать письмо с энвелоп-фром blabla@domain.tld,
>его безусловно факнет. Бот, конечно, может выждать полчаса, или час, или
>сутки, но это ему ничего не даст. Его будет факать по
>причине нарушения условий СПФ.

Прошу прощения, мозг имел в виду Graylist, а руки почему-то все это время писали SPF =)
Боты вполне могут понимать грейлист.
"Deffered" - это же куда лучше, чем вообще не достучаться до 25 порта.

А СПФ - да, типа защита.
Хотя, насколько я понимаю, "-all" делать решаются далеко не все.
Плюс, далеко не все серверы получателя решаются жестко рубить письмо при несовпадении с SPF (опять-таки, сфига ли рубить, если не указано "-all").
Добавят баллов спамности - и то хорошо.


"Подскажите каким способом фильтровать такой спам"
Отправлено DeadLoco , 21-Авг-10 02:01 
>Боты вполне могут понимать грейлист.

Боты настолько хорошо понимают грейлист, что получасовая задержка уже не отсекает почти 20% спама. С другой стороны, полчаса задержки, когда маркетинг бегает кругами и рвет волосы на ж*** с криками "где же это письмо?!!" - это полный пц и "Эпик Фейл Текнолоджи лтд".

От грейлистинга отказался два года назад окончательно, ни разу не пожалел.
Сейчас выполняю серию проверок на стадии CONN и RCPT с начислением штрафных баллов. После начисления выставляю задержку в секундах, равную числу баллов. По окончании задержки, если баллов меньше порогового значения, и отправитель не отвалился - принимаю письмо. Если баллов больше порога - даю длинную задержку и потом отлуп с tempfail, пусть снова придет - мы снова посмеемся. То, что дошло до DATA, прогоняется через СА. Что набрало больше 8.0 по совокупности - улетает в blackhole. На 1000 входящего спама до инбоксов доходит 3-4 штуки. Без грейлистов, без днсбл.

>А СПФ - да, типа защита.

СПФ - мой жест доброй воли в адрес других админов. Своей настройкой СПФ я поток спама к себе не уменьшу, но помогу другим убить спам, который боты шлют от имени моих аккаунтов другим хостам.


"Подскажите каким способом фильтровать такой спам"
Отправлено artemrts , 21-Авг-10 14:04 
>>Боты вполне могут понимать грейлист.
>
>Боты настолько хорошо понимают грейлист, что получасовая задержка уже не отсекает почти
>20% спама. С другой стороны, полчаса задержки, когда маркетинг бегает кругами
>и рвет волосы на ж*** с криками "где же это письмо?!!"
>- это полный пц и "Эпик Фейл Текнолоджи лтд".
>
>От грейлистинга отказался два года назад окончательно, ни разу не пожалел.
>Сейчас выполняю серию проверок на стадии CONN и RCPT с начислением штрафных
>баллов.

  А не подскажите каким ПО Вы это делаете? Просто мне понравилась идея. Хочу и себе попробовать.



"Подскажите каким способом фильтровать такой спам"
Отправлено DeadLoco , 21-Авг-10 14:53 
>А не подскажите каким ПО Вы это делаете?

Штатные АЦЛ экзима

warn    set acl_mCNT    = 0
warn    condition       = ${if eq{$sender_helo_name}{}{yes}{no}}
        set acl_mCNT    = ${eval:$acl_mCNT+25}
warn    condition       = ${if eq{$sender_address}{}{yes}{no}}
        set acl_mCNT    = ${eval:$acl_mCNT+10}
warn    condition       = ${if !eq{$sender_helo_name}{$sender_host_name}{yes}{no}}
        set acl_mCNT    = ${eval:$acl_mCNT+10}
warn    condition       = ${if >{${strlen:$sender_address}}{30}{yes}{no}}
        set acl_mCNT    = ${eval:$acl_mCNT+15}
.....
.....
.....
warn    set acl_mSEC    = ${eval:$acl_mCNT}s
        delay           = $acl_mSEC

defer   delay           = 60s
        message         = 450 TEMPFAIL : System overload
        condition       = ${if ge{$acl_mCNT}{120}{yes}{no}}


Первый варн обуляет переменную. Каждый последующий увеличивает ее на несколько очков, если соответствующее условие выполняется. Последний варн переводит очки в секунды и делает соответствующую паузу. Если очков набежало больше 120 - ждем еще минуту и выдаем темпфейл.

Список проверяемых условий можно как угодно расширять, можно играться с количеством очков за каждое условие, можно делать несколько групп условий с отдельными паузами между ними. Самое главное - как можно дольше удержать на коннекте отправителя, чтобы он не сорвался. Если удастся поводить бота на поводке три минуты, он три минуты не будет отправлять спам другим хостам. Это очень много. Обычно, почувствовав поводок, боты сами разрывают соединение через 30-40 секунд.


"Подскажите каким способом фильтровать такой спам"
Отправлено artemrts , 21-Авг-10 16:27 
>[оверквотинг удален]
>warn    condition       =
>${if !eq{$sender_helo_name}{$sender_host_name}{yes}{no}}
>        set acl_mCNT  
> = ${eval:$acl_mCNT+10}
>warn    condition       = ${if >{${strlen:$sender_address}}{30}{yes}{no}}
>        set acl_mCNT  
> = ${eval:$acl_mCNT+15}
>.....
>.....
>.....

     Эхх.. Вот они плюсы Эксима по сравнению с постфиксом... :-)


"Подскажите каким способом фильтровать такой спам"
Отправлено XoRe , 21-Авг-10 23:21 
Exim - сила)
Как люди на postfix'е почтовую систему под себя конфигурируют?

>Если удастся поводить бота на поводке
>три минуты, он три минуты не будет отправлять спам другим хостам.
>Это очень много. Обычно, почувствовав поводок, боты сами разрывают соединение через
>30-40 секунд.

Очень интересная мысль насчет поводка.
Особенно насчет "не будет отправлять спам другим хостам".
Новый способ борьбы со спамом сообща =)
Если ещё буду делать почтовую систему заново, то учту этот момент.
Но вообще у вас очень специфичное решение - у нас приходят тонны спама, которые прошли бы через ваши условия.


"Подскажите каким способом фильтровать такой спам"
Отправлено DeadLoco , 21-Авг-10 23:36 
>Очень интересная мысль насчет поводка.

Зачем отказывать себе в удовольствии попортить жизнь тем, кто портит жизнь нам?

>Новый способ борьбы со спамом сообща =)

Это не новый способ, ему миллионы лет. Чтобы одолеть сильного врага надо действовать сообща.


>Но вообще у вас очень специфичное решение - у нас приходят тонны
>спама, которые прошли бы через ваши условия.

Например?

Один из моих доменов содержит 600+ ящиков, из которых 2/3 зарегистрированы более 10 лет назад. В частности, мой собственный, засвеченый во всевозможных спамерских базах. Спам в инбокс попадает 2-3 раза в месяц.


"Подскажите каким способом фильтровать такой спам"
Отправлено XoRe , 22-Авг-10 00:51 
>Например?
>
>Один из моих доменов содержит 600+ ящиков, из которых 2/3 зарегистрированы более
>10 лет назад. В частности, мой собственный, засвеченый во всевозможных спамерских
>базах. Спам в инбокс попадает 2-3 раза в месяц.

На работе в логах попробую поискать примеры.

Ещё меня заинтересовала пара правил:

>warn    condition       = ${if eq{$sender_address}{}{yes}{no}}
>        set acl_mCNT    = ${eval:$acl_mCNT+10}

Т.е. вы не принимаете письма с "mailfrom: <>"
А вы в курсе, что RFC говорят по этому поводу?

>warn    condition       = ${if !eq{$sender_helo_name}{$sender_host_name}{yes}{no}}
>        set acl_mCNT    = ${eval:$acl_mCNT+10}

У вас не бывает такого, что вам почта не доходит?)


"Подскажите каким способом фильтровать такой спам"
Отправлено DeadLoco , 22-Авг-10 01:08 
>Т.е. вы не принимаете письма с "mailfrom: <>"
>А вы в курсе, что RFC говорят по этому поводу?

Кто сказал - не принимаю? Начисляю очки - и только. Баунсы, которые с пустым отправителем, никогда не наберут 120 очков для полного отлупа, максимум - секунд 15-25 постоят в очереди, и все.

>У вас не бывает такого, что вам почта не доходит?)

Эти правила (у меня их больше четырех десятков) не означают отказа в приеме. Чтобы получить отказ в приеме, нужно подпасть под минимум десяток проверок, с легальными письмами такого не бывает никогда. Было - пока я не отстроил начисление очков.



"Подскажите каким способом фильтровать такой спам"
Отправлено XoRe , 21-Авг-10 23:16 
>То, что дошло до DATA, прогоняется через СА.

Что есть "CA"?


"Подскажите каким способом фильтровать такой спам"
Отправлено DeadLoco , 21-Авг-10 23:35 
>>То, что дошло до DATA, прогоняется через СА.
>
>Что есть "CA"?

СА = СпамАссассин


"Подскажите каким способом фильтровать такой спам"
Отправлено XoRe , 21-Авг-10 01:40 
>Да и поучите матчасть по SPF, он не зависит от бота никак...

Мне лучше русский подучить)
Я имел в виду Graylist.


"Подскажите каким способом фильтровать такой спам"
Отправлено XoRe , 21-Авг-10 01:39 
Не SPF, а Greylist =)

"Подскажите каким способом фильтровать такой спам"
Отправлено zerot , 05-Авг-10 18:40 
Посмотрите ещё сюда http://www.ourorbits.org/itview/articles/mailsystem.shtml
.
Удачи

"Подскажите каким способом фильтровать такой спам"
Отправлено XoRe , 12-Авг-10 02:05 
>Как лучше блокировать письма такого плана

Хотелось бы расшифровки "такого")
Какого такого?


"Подскажите каким способом фильтровать такой спам"
Отправлено HanTengry , 16-Авг-10 09:09 
>>Как лучше блокировать письма такого плана
>
>Хотелось бы расшифровки "такого")
>Какого такого?

Хотя проблема уже решена, недели две, milter-грейлист справляется нормально..отвечаю - я показал ниже заголовок письма, по каким пунктам его можно блокировать мне уже ответили, можно конечно дополнить.  



"Подскажите каким способом фильтровать такой спам"
Отправлено HanTengry , 16-Авг-10 09:11 
>>>Как лучше блокировать письма такого плана
>>
>>Хотелось бы расшифровки "такого")
>>Какого такого?
>
>Хотя проблема уже решена, несколько недель, milter-грейлист справляется нормально..отвечаю - я показал
>ниже заголовок письма, по каким пунктам его можно блокировать мне уже
>ответили, можно конечно дополнить.