Здравствуйте.Вот сколько не ищу в гугле, все попадаются спамфильры под эксчендж.
Ничего патного под Юникс у меня почему-то не ищется.
Сейчас стоит почтовый сервер exim. В идеале хотелось бы что-то под этот сервер.
Когда-то на этом форуме была тема где обсуждали какую-то платную системы но не могу найти.Может кто-то подскажет платные системы что бы поддерживали обновения ну и вообще был суппорт?
> Здравствуйте.
> Вот сколько не ищу в гугле, все попадаются спамфильры под эксчендж.
> Ничего патного под Юникс у меня почему-то не ищется.
> Сейчас стоит почтовый сервер exim. В идеале хотелось бы что-то под этот
> сервер.
> Когда-то на этом форуме была тема где обсуждали какую-то платную системы но
> не могу найти.
> Может кто-то подскажет платные системы что бы поддерживали обновения ну и вообще
> был суппорт?яндекс-спамоборона
>> Здравствуйте.
>> Вот сколько не ищу в гугле, все попадаются спамфильры под эксчендж.
>> Ничего патного под Юникс у меня почему-то не ищется.
>> Сейчас стоит почтовый сервер exim. В идеале хотелось бы что-то под этот
>> сервер.
>> Когда-то на этом форуме была тема где обсуждали какую-то платную системы но
>> не могу найти.
>> Может кто-то подскажет платные системы что бы поддерживали обновения ну и вообще
>> был суппорт?
> яндекс-спамоборонаБыло бы отлично если бы эта система была не единственная на рынке.
>[оверквотинг удален]
>>> Вот сколько не ищу в гугле, все попадаются спамфильры под эксчендж.
>>> Ничего патного под Юникс у меня почему-то не ищется.
>>> Сейчас стоит почтовый сервер exim. В идеале хотелось бы что-то под этот
>>> сервер.
>>> Когда-то на этом форуме была тема где обсуждали какую-то платную системы но
>>> не могу найти.
>>> Может кто-то подскажет платные системы что бы поддерживали обновения ну и вообще
>>> был суппорт?
>> яндекс-спамоборона
> Было бы отлично если бы эта система была не единственная на рынке.Наверное нет, мне досталась такая, её работой доволен.
>[оверквотинг удален]
>>>> Вот сколько не ищу в гугле, все попадаются спамфильры под эксчендж.
>>>> Ничего патного под Юникс у меня почему-то не ищется.
>>>> Сейчас стоит почтовый сервер exim. В идеале хотелось бы что-то под этот
>>>> сервер.
>>>> Когда-то на этом форуме была тема где обсуждали какую-то платную системы но
>>>> не могу найти.
>>>> Может кто-то подскажет платные системы что бы поддерживали обновения ну и вообще
>>>> был суппорт?
>>> яндекс-спамоборона
>> Было бы отлично если бы эта система была не единственная на рынке.почти все антивирусники предлагают ещё и фильтрацию спама, но цены выше, а результат того что пробовали был хуже.
>[оверквотинг удален]
>>> Вот сколько не ищу в гугле, все попадаются спамфильры под эксчендж.
>>> Ничего патного под Юникс у меня почему-то не ищется.
>>> Сейчас стоит почтовый сервер exim. В идеале хотелось бы что-то под этот
>>> сервер.
>>> Когда-то на этом форуме была тема где обсуждали какую-то платную системы но
>>> не могу найти.
>>> Может кто-то подскажет платные системы что бы поддерживали обновения ну и вообще
>>> был суппорт?
>> яндекс-спамоборона
> Было бы отлично если бы эта система была не единственная на рынке.
drweb
> Может кто-то подскажет платные системы что бы поддерживали обновения ну и вообще
> был суппорт?А зачем вам платное решение?
Обычный спамассассин, который висит демоном и рейтингует из ацл-дата экзима, может давать превосходные результаты. Эффект максимален, если ящики отдаются пользователям по имапу, и ведется автоматическое отслеживание реакции пользователей на фальш-позитивы и фальш-негативы. После двух-трех недель дообучения спама приходит 1-2 письма в неделю на ящик, который в открытых источниках с 2000 года.
> Обычный спамассассин, который висит демоном и рейтингует из ацл-дата экзима, может даватьпотому что он не приспособлен к большим нагрузкам.
>> Обычный спамассассин, который висит демоном и рейтингует из ацл-дата экзима, может давать
> потому что он не приспособлен к большим нагрузкам.А насколько велика нагрузка у вас? Вот статистика за сентябрь с одного из моих клиентов:
124866 - incoming:
93752 - rejected
31114 - proceeded:
16874 - discarded
12043/4 - spam/false
2197/41 - clean/falseproceeded - это, как раз, и есть пропущенное через СА. Машинка - семпрон 1.8 с гигом ОЗУ. На которой еще крутятся сквид, апач и так далее.
>[оверквотинг удален]
> из моих клиентов:
> 124866 - incoming:
> 93752 - rejected
> 31114 - proceeded:
> 16874 - discarded
> 12043/4 - spam/false
> 2197/41 - clean/false
> proceeded - это, как раз, и есть пропущенное через СА. Машинка -
> семпрон 1.8 с гигом ОЗУ. На которой еще крутятся сквид, апач
> и так далее.ну так нагрузка детская выходит - меньше письма в минуту.
> ну так нагрузка детская выходит - меньше письма в минуту.Правильно. Потому что три четверти спама режется на стадии RCPT. В СА так-сяк настроил shortcircuits и awl. Паттерны прекомпилированы в re2c.
Когда просыпаются кетайцы, пиковая нагрузка достигает 30-40 входящих/сек. Без особых проблем.
>> ну так нагрузка детская выходит - меньше письма в минуту.
> Правильно. Потому что три четверти спама режется на стадии RCPT. В СА
> так-сяк настроил shortcircuits и awl. Паттерны прекомпилированы в re2c.
> Когда просыпаются кетайцы, пиковая нагрузка достигает 30-40 входящих/сек. Без особых проблем.вы вот это счас мне рассказываете? я прекрасно представляю как это делается.
>>> ну так нагрузка детская выходит - меньше письма в минуту.
>> Правильно. Потому что три четверти спама режется на стадии RCPT. В СА
>> так-сяк настроил shortcircuits и awl. Паттерны прекомпилированы в re2c.
>> Когда просыпаются кетайцы, пиковая нагрузка достигает 30-40 входящих/сек. Без особых проблем.
> вы вот это счас мне рассказываете? я прекрасно представляю как это делается.P.S. За день отношение reject/completed
31888/1621, и это тоже тащемто детский трафик
> 31888/1621, и это тоже тащемто детский трафикЯ знаю, что детский :) Я не понимаю, какой у человека траффик, что он гневно отметает фриверные решения, и, самое главное, не понимаю, чего он ждет от проприетарщины.
> Я знаю, что детский :) Я не понимаю, какой у человека траффик,У человека задание от руководства найти платные спамфильтры :)
Платный вариант не требует обучения системы, плюс должна быть какая-то гарантия качества.
> Платный вариант не требует обучения системыВы не поверите, бесплатный СА _тоже_ работает из коробки, только просит перед первым запуском выполнить синхронизацию с централизованой базой фильтров (sa-update). Обучение же системы на локальном материале, через bayes и awl, позволяет адаптировать фильтрацию к специфике конкретного почтового домена. Ну, представьте себе, как будет фильтроваться общевойсковым фильтром почта конторы, которая САМА занимается организацией семинаров. Хе-хе...
> плюс должна быть какая-то гарантия качества.
У фильтра есть лишь один критерий качества: процент ложных срабатываний - позитивных и негативных - к объему нормальной почты. Очень хочется увидеть гарантируемые производителями уровни ложных срабатываний и, особенно, оговоренные санкции за несоблюдение заявленных параметров :) Я не шучу, мне действительно интересно - дает ли проприетарное решение хотя бы 2% фальш-негативов.
> У фильтра есть лишь один критерий качества: процент ложных срабатываний - позитивных
> и негативных - к объему нормальной почты. Очень хочется увидеть гарантируемые
> производителями уровни ложных срабатываний и, особенно, оговоренные санкции за несоблюдение
> заявленных параметров :) Я не шучу, мне действительно интересно - дает
> ли проприетарное решение хотя бы 2% фальш-негативов."В настоящее время сервер фильтрации позволяет отсеивать до 95-98% спамерских писем, при уровне ложных обнаружений в 0,001% (1 письмо на 100 000). Увеличение процента распознавания спамерских писем относительно указанного нежелательно именно в связи с недопустимостью ложных обнаружений." (c) - http://www.kaspersky.ru/downloads/pdf/whitepaper_kas_3_ru.pdf
Про санкции, читайте там же, ссылка выше.
[зарезано]
> "В настоящее время сервер фильтрации позволяет отсеивать до 95-98% спамерских писем, при
> уровне ложных обнаружений в 0,001% (1 письмо на 100 000). Увеличение
> процента распознавания спамерских писем относительно указанного нежелательно именно
> в связи с недопустимостью ложных обнаружений."Это фальш-позитивы, когда нормальное письмо попадает в спам. Это неинтересно, без второго сопряженного показателя - процента фальш-негативов, спама, который не распознался, красивая цифирка "0.001%" остается маркетоидной наживкой.
Чтобы было понятней: я могу гарантировать строго тождественно равное нулю количество ложных обнаружений. Тоже при отсеивании _ДО_ 98% спама. Просто выключив спам-фильтр. Ложного распознания писем, как спам, разумеется, не будет, А 0% отсеянного спама подпадает под формулировку "до 95-98%".
Качество фильтра описывается двумя величинами - долей фальш-негативов и долей фальш-позитивов. Если гарантируется только одна величина, значит не гарантируется вообще ничего.
> "В настоящее время сервер фильтрации позволяет отсеивать до 95-98% спамерских писемЭто очень мало!
Вот смотрите: у меня за месяц поток составил 124866 писем. Из них хэм = 2197 - 41 + 4 = 2160 штук. Соответственно, спама в потоке = 124866 - 2160 = 122706 штук. Из этого потока СА пропустил только 41 письмо в инбокс. Что составляет 0.003%.
Т.е. СА позволяет отсеивать не 95-98%, а 99.997% спамерских писем. Если бы мою почту фильтровал каспер, мне бы в инбокс упало 2-5% фальш-негативов, т.е. примерно 2500-6000 писем.
Каждое второе письмо в инбоксе - спам, и это в лучшем случае. За шо денюжка плочена?
:)
>[оверквотинг удален]
> Обучение же системы на локальном материале, через bayes и awl, позволяет
> адаптировать фильтрацию к специфике конкретного почтового домена. Ну, представьте себе,
> как будет фильтроваться общевойсковым фильтром почта конторы, которая САМА занимается
> организацией семинаров. Хе-хе...
>> плюс должна быть какая-то гарантия качества.
> У фильтра есть лишь один критерий качества: процент ложных срабатываний - позитивных
> и негативных - к объему нормальной почты. Очень хочется увидеть гарантируемые
> производителями уровни ложных срабатываний и, особенно, оговоренные санкции за несоблюдение
> заявленных параметров :) Я не шучу, мне действительно интересно - дает
> ли проприетарное решение хотя бы 2% фальш-негативов.Для серьезных контор гораздо важнее показатель FP ("хорошее" письмо, ложно маркированное как спам), а не FN (спам, ложно пропущенный как "хорошее" письмо). Т.к. нормальное письмо, попавшее по ошибке в спам, может нанести гораздо больше вреда, чем пропущенных 100 писем спама.
Вот тут-то бесплатные/дешевые способы и дают сбой. Минимальный заявляемый уровень FP - 1-0,5%. В то время, как лучшие и дорогие решения на рынке заявляют FP на уровне не выше 0,001%. Под лучшими я не имею в виду касперского и спамоборону :)
По FN же все лидеры рынка держат планку на уровне 96-98% и разброс результата очень маленький. Поэтому как показатель качества здесь больше подойдет скорость реакции на вирус/спам/фишинг-атаки (время от начала атаки до загрузки обновления на бокс клиента). И на этот показатель _очень_ сильно влияет размер конторы, а, соответственно, возможность содержать большую команду спецов, работающую в режиме 24/7/365 и моментально реагирующую на любые новые атаки. Больших и богатых анти-спам контор - не много и выбор, грубо говоря, небогат. Из серьезных контор, что я знаю - cisco ironport (http://ironport.com), symantec, McAfee, CloudMark, Barracuda Networks. Ну и наши Касперский с Спамоборона.
> Вот тут-то бесплатные/дешевые способы и дают сбой. Минимальный заявляемый уровень FP -
> 1-0,5%. В то время, как лучшие и дорогие решения на рынке заявляют FP на уровне не выше 0,001%.Неужто вот так сразу и дают сбой? Давайте считать.
Каспер заявляет ФП=0.001% (1 письмо на 100000 входящих).
У меня ФП=0.003% (4 письма на 124866).
Как это соотносится с 0.5-1.0%, которые, якобы, заявляют разработчики бесплатных решений?И это... как разработчики фривера/опенсорса вообще что-то могут заявлять, если качество фильтрации зависит, главным образом, от квалификации админа? Проприетарщики - да, они устраняют админа, как класс, и тем получают возможность делать заявки. В опенсорсе это бессмысленно.
КПД не может быть 100%. Меньше 1% - уже из области фантастики.
> КПД не может быть 100%. Меньше 1% - уже из области фантастики.Га-га-га!
>> Может кто-то подскажет платные системы что бы поддерживали обновения ну и вообще
>> был суппорт?
> А зачем вам платное решение?Вот это действительно умная мысль.
Помницо, привезли к нам в контору на тестовую эксплуатацию айронпорт. Да штука потрясная, спама нет вообще (за редким исключением). Потом юзали не помню как называется продукт от GFI. Да спама тоже мало, но цена - 100 тыщ грн. за год на антиспам - это слишком. Ну а потом сообразили антиспам сами - все на опенсоур.Постфих+СА+Полицай+.... Результат после месяца эксплуатации был практически на уровне GFI но в 20 раз дешевле...
Мораль такова: при наличии правильно растущих рук можно самому построить хороший антиспам, а красивые готовые решения - это все для лентяев и любителей настроек через ГУИ или вэбморду.
у нас была barracuda в связке с communigate pro
http://ironport.comВ сущности, IMHO на сегодня - лучшее решение для крупных компаний. Саппорт, обновления каждые 5 минут и прочее. Исполнено в качестве отдельных железок разной мощности, т.ч. встраивается в любую инфраструктуру.
вот так можно нарисовать свободное решение
http://www.ourorbits.org/itview/articles/mailsystem.shtml
заявленная нагрузка - ни разу не предел. если вы не провайдер - выше крыши мощи и функционала, если провайдер уровня регионального центра в Центральной Руси - тоже проканает вполне
.
суппорт и обновления - в вашей голове, в понимании деталей и возможностей, если вы профессионал. вам за это и платят. если не профессионал (это как раз поправимо) и нет желания учиться - говорить не о чем
.
удачи
> вот так можно нарисовать свободное решение
> http://www.ourorbits.org/itview/articles/mailsystem.shtmlСтатья очень правильная уже тем, что не используется DNSBL, а вот грейлистинг на сегодня уже малоэффективен, боты значительно поумнели. И совершенно зря не используется ханипоттинг.
Создается сотня-другая правдоподобно выглядящих алиасов на ящик honeypot@domain.tld, после чего эти алиасы выкладываются "в свободный доступ", скажем, на главную страницу корпоративного сайта шрифтом нулевого размера. Спамерские боты их обнаруживают и включают в списки рассылок, а при приеме вся почта на адрес honeypot@domain.tld прямиком отправляется на обучение СА.
> Статья очень правильная уже тем, что не используется DNSBLмммм малоэффективно?
>> Статья очень правильная уже тем, что не используется DNSBL
> мммм малоэффективно?Неадекватно. Несколько раз приходилось вычищать клиентов из списков, куда они попадали только потому, что некоторые админы не понимают разницы между "Return-Path:" и "From:".
Да и насчет эффективности - тоже вопрос. У меня фильтры работают неплохо и без днсбл.
я юзаю пару smtprbl - узаю только те, что позволяют пользователю сделать самому делист при устранении проблем
в принципе - пару тысяц конектов в день режет - само главное что не грузится сервак лишним анализом
> я юзаю пару smtprbl - узаю только те, что позволяют пользователю сделать
> самому делист при устранении проблем
> в принципе - пару тысяц конектов в день режет - само главное
> что не грузится сервак лишним анализомЧтобы не перегружать сервак, можно режектить соединения на ранних стадиях. Одна только проверка бэкрезолва на наличие dsl-dynamic-pool-ppp позволяет отсечь больше половины спама. А еще СПФ, кривое хело и тому подобное. У меня так режется три четверти входящих.
>> я юзаю пару smtprbl - узаю только те, что позволяют пользователю сделать
>> самому делист при устранении проблем
>> в принципе - пару тысяц конектов в день режет - само главное
>> что не грузится сервак лишним анализом
> Чтобы не перегружать сервак, можно режектить соединения на ранних стадиях. Одна только
> проверка бэкрезолва на наличие dsl-dynamic-pool-ppp позволяет отсечь больше половины
> спама. А еще СПФ, кривое хело и тому подобное. У меня
> так режется три четверти входящих.MTA ? exim?
> MTA ? exim?Да
Свежачок-с...http://community.livejournal.com/ru_root/2111677.html?format...
> вот так можно нарисовать свободное решение
> http://www.ourorbits.org/itview/articles/mailsystem.shtmlфеерический бред по ссылке. мне даже лень это комментировать, но дабы не быть голословным скажу пару слов
1) "некорректная SMTP сессия абонента" - бред. я могу сходу назвать 5 признаков smtp сессии спамбота. какой из имеется в виду?
2) "Второй рекомндуемой технологией стала простое выставление greeting pause" - бред собачий, таким образом афтор только сам себе устроит DDOS наспавнив в wait процессов.
3) "Основной эффект антиспам защиты сыграл фильтр проверки существования корректного отправителя почты. Суть метода, позволивщего отсекать до двух третей входящих в банк писем в том, что при поступлении письма оно притормаживается, и почтовый сервис тут же отправляет описанное в стандартах небольшое тест-сообщение на адрес отправителя. Если сервер отправителя принимает тест-письмо, то отправитель считается честным, его "приторможенное" письмо принимается полностью и передаётся последующим фильтрам. Нужно отметить, что тест-письма не доставляются отправителю и для него как бы не существуют, а объём тест траффика можно считать ничтожным" - поток сознания, даже комментировать нечего.и решение ни разу несвободное, там как минимум 2 платных, закрытых продукта упомянуты.
товарищ xz, очевидно пальцы и желание квакнуть ? отвечу - критерием является практика
.
- решение прекрасно себя зарекомендовало в одном из банков ТОП-30 с приличным для непровайдера объёмом почты, в том числе забугорной. В отличие от небольших контор оценка и принятие решения о внедрении в боевую эксплуатацию подготовленного решения принималась коллегиально несколькими специалистами - юниксоидами с приличным стажем работы (5-10 лет)
- в основу решения были положены открытые части моих наработок, входящих в систему КоСиКУЛС БЕССТ (если интересно - в гугл), и решение было предварительно отработано мной у нескольких десятков клиентов моей компании, тоже народ как то не жаловался ...
- решение было скопировано коллегами другого не менее крупного банка, причем действительно, на момент копирования milter-sender и milter-spamc от компании SNORT были уже платными, и коллеги воспользовались бесплатными аналогами - smfsav и чем то там от того же производителя. Greeting pause они почему то хвалили особенно, хотя статистика отбоев кажет, что его доля является небольшой. Это удобная первая линия обороны ...
- некорректная сессия для целей повествования - отработка greeting pause, несоблюдение последовательности команд в сессии и т.п.
.
в процессе разработки решения производилось сводное двухнедельное тестирование, в том числе spamAssassin делал коммерческий KAS в два раза по маркировке спама. Жалею, что не сохранил статистику. От KAS в результате отказались напрочь. Замечаний о недоставленных за счёт контент фильтрации корректных письмах в том числе в процессе последующей эксплуатации не поступало
.
А критерием, как известно, является практика. На будущее, кабальеро (или вы не кабальеро ?), прошу не пальцевать без оснований
> товарищ xz, очевидно пальцы и желание квакнуть ? отвечу - критерием является
> практика
> .
>что батхерт настал и правда глаза жжет, раз сообщения удаляем?
дублировать не буду, бо образованием "it-специалистов" уже явно лень.
> что батхерт настал и правда глаза жжет, раз сообщения удаляем?
> дублировать не буду, бо образованием "it-специалистов" уже явно лень.тут модераторы сработали самостоятельно. не знаю, видели ли вы мой последний пост, - после него явно надо было удалять ... по зрелому размышлению ... весь этот взаимный поток сознания, как вы написали. Ибо наряду с фиксацией некоторого хамства и незнания предмета с вашей стороны я показал вам ваши иудейские методы ведения беседы, а на эту тему модераторы на опеннете возбуждаются сами - не первый раз удаляют, даже странно как то для сайта нашей земли и нашего языка. ну это внимание заинтересованных лиц обратим. похоже на будущее нужно фиксить всю переписку с модификациями самому
если интересно продолжать дальше - в электронную почту, неча на публику выносить, форум не по теме
Использую "Kaspersky Antispam for Linux Mail Servers" в связке с Exim. Очень доволен, спама почти нет, ложных срабатываний почти нет, в настройке через web-интерфейс очень удобен. При средней нагрузке в 33617/39891 нагрузка на систему стремиться к нулю.
http://www.ourorbits.org/itview/articles/mailsystem.shtml
просто куча слов.вот удивляет, когда рассказывают, как spamassassin отсеивает 95-98 процентов спама. но при этом вы нигде и никогда не увидите "секретные" настройки local.cf.
не верю.
а кругом дураки выпускают "дурацкие" антивирус касперского, ironport какой-то, зачем?
в банке spamassassin! ребята, взрослеть пора.
> ребята, взрослеть пора.Взрослейте:
# /usr/local/etc/mail/spamassassin/local.cf
#
trusted_networks 10. 192.168.
dns_available test: 10.0.0.1
ok_locales ru uk en
report_charset UTF-8
report_safe 0
use_auto_whitelist 1
auto_whitelist_path /usr/local/etc/mail/bases/awl
use_bayes 1
use_bayes_rules 1
bayes_path /usr/local/etc/mail/bases/bayes
bayes_auto_learn 1
bayes_learn_during_report 1
bayes_auto_learn_threshold_nonspam 0.3
bayes_auto_learn_threshold_spam 6.0
required_score 4.90
score FH_DATE_PAST_20XX 0.0
score BAYES_95 3.5
score BAYES_99 5.0
shortcircuit BAYES_99 spam
#Все...
и все? не верю!
либо с тех пор как применяла spamassassin, он очень далеко продвинулся.
> и все? не верю!
> либо с тех пор как применяла spamassassin, он очень далеко продвинулся.Да, все. Раз в сутки выполняется sa-update. То, что попадает в ханипот, немедленно скармливается sa-learn. Вдобавок, пользователи обучены не удалять фальш-негативы, а помечать их, как спам, что, опять-таки, запускает sa-learn. То же с фальш-позитивами. Вдобавок я по своим серверам собираю общую коллекцию вручную опознанных фальш-негативов, на которой дообучаются все фильтры. Плюс, сплайн байеса доработан напильником по месту.
Этого достаточно, чтобы СА фильтровал 99.9% спама.
Все это доступно очень-очень давно, фактически, от рождения СА.