URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 2275
[ Назад ]
Исходное сообщение
"OpenNews: Немного о блокировке DSL сетей, через которые шлют спам."
Отправлено opennews , 18-Июл-03 06:22 
Dmitry Provodnikov, в рассылке antispam (http://www.ofisp.org/antispam.html) заметил, что на
blackholes.us (http://www.blackholes.us/) появился десяток новых списков блокировки с адресами xDSL сетей, через которые пересылается огромный объем спама:

- wanadoo-fr.blackholes.us
- swbell.blackholes.us
- rogers.blackholes.us
- interbusiness.blackholes.us
- comcast.blackholes.us
- broadwing.blackholes.us
- bellsouth.blackholes.us
- att.blackholes.us
- affinity.blackholes.us
- qwest.blackholes.us


Почти тот же результат, у меня реализован в postfix через блокировку по маске в имени хоста отправителя. Список блокировки можно скачать здесь (http://www.opennet.me/dev/spam_check/dsl_stoplist.txt).

Кстати, сегодня спамеры отблагодарили меня за утилиту spam_check (http://www.opennet.me/dev/spam_check/), разослав спам с рекламой продажи сотовых телефонов с моим email во "From:" и "MAIL FROM". Чувствую, устану проводить ликбез по поводу легкости подделки email отправителя :-(


URL: http://www.blackholes.us/
Новость: http://www.opennet.me/opennews/art.shtml?num=2693

Содержание
Сообщения в этом обсуждении
"Немного о блокировке DSL сетей, через которые шлют спам."
Отправлено poige , 18-Июл-03 06:22 
NULL post
"OpenNews: Немного о блокировке DSL сетей, через которые шлют..."
Отправлено poige , 18-Июл-03 06:26 
[...]

>Кстати, сегодня спамеры отблагодарили меня за утилиту spam_check (http://www.opennet.me/dev/spam_check/), разослав спам с
>рекламой продажи сотовых телефонов с моим email во "From:" и "MAIL
>FROM". Чувствую, устану проводить ликбез по поводу легкости подделки email отправителя
>:-(

Очевиден факт злоумышленных действий. Суд?

[...]

/poige
--
http://www.i.morning.ru/~poige/

"Интернет беззащитен"
Отправлено Maxim Chirkov , 18-Июл-03 11:49 
>Очевиден факт злоумышленных действий. Суд?

Не стоит жертвовать нервными клетками из-за ограниченных людей, плохих людей не так много, но зла от них мало не покажется.

Вообще, всерьез начинает беспокоить беззащитность Интернета против необремененных задатками нравственности людей. Если раньше, морально-этический уровень пользователей сети был гораздо выше среднего (как правило это были взрослые люди с высшим образованием и сформировавшимся мировозрением), то теперь сеть наводнена злобными созданиями, необремененными нравственными самоограничениями.
Интернет для них - место где можно выплеснуть негатив, где свобода воспринимается как безнаказанность.

Если в реальном мире закон строго следит за границами дозволенного, то в сети, мало того, что нет законов регулирующих дозволенные действия (очень трудно сформировать, что можно, а что нет, и очень легко подставить невинного), но самое печальное, при наличии минимальных знаний (которые сейчас можно найти в популярной литературе), элементарно замести следы так, что и следа не останется.

С подобным приходится сталкиваться ежедневно, флудят, постят ругань в форумы, пытаются блокировать сервисы устраивая DoS'ы.... :-(

Сегодня в сети миллионы зараженных троянскими программами ПК, еще больше систем которые содержат уязвимости, т.е. всего один злодей может нанести невообразимый ущерб сети.

"Интернет беззащитен"
Отправлено poige , 19-Июл-03 09:18 
>>Очевиден факт злоумышленных действий. Суд?
>
>Не стоит жертвовать нервными клетками из-за ограниченных людей, плохих людей не так
>много, но зла от них мало не покажется.

Твое дело, конечно. Только, по сути, ты отказываешься от
законного претворения справедливости. В нашей стране это
традиция...

И еще, вопрос -- в чем, по-твоему, трата нервных клеток?
В том, что ты доводишь дело до суда и с большой вероятностью
выиграываешь процесс, или в том, что получаешь "тонны" писем?...

>Вообще, всерьез начинает беспокоить беззащитность Интернета против необремененных задатками нравственности людей. Если

Вот для этого и нужно пытаться применять суды.

>раньше, морально-этический уровень пользователей сети был гораздо выше среднего (как правило

Знаем, плавали. Раньше оно было раньше. Теперь по-иному. Се ля ви.

>это были взрослые люди с высшим образованием и сформировавшимся мировозрением), то
>теперь сеть наводнена злобными созданиями, необремененными нравственными самоограничениями.
>Интернет для них - место где можно выплеснуть негатив, где свобода воспринимается
>как безнаказанность.
>
>Если в реальном мире закон строго следит за границами дозволенного, то в
>сети, мало того, что нет законов регулирующих дозволенные действия (очень трудно
>сформировать, что можно, а что нет, и очень легко подставить невинного),
>но самое печальное, при наличии минимальных знаний (которые сейчас можно найти
>в популярной литературе), элементарно замести следы так, что и следа не
>останется.

По почтовым заголовкам можно пробовать. Не каждое SPAM-письмо
такое уже "хитрое".

>С подобным приходится сталкиваться ежедневно, флудят, постят ругань в форумы, пытаются блокировать
>сервисы устраивая DoS'ы.... :-(
>
>Сегодня в сети миллионы зараженных троянскими программами ПК, еще больше систем которые
>содержат уязвимости, т.е. всего один злодей может нанести невообразимый ущерб сети.

Конечно. Поэтому нужны судебные преценденты. Пока в них не
обращаемся, для законодателей нет реальных проблем, они
мифические...

/poige
--
http://www.i.morning.ru/~poige/

"Немного о блокировке DSL сетей..."
Отправлено Аноним , 18-Июл-03 12:45 
Верной дорогой идете товарищи!

А вот мои эксерсизы для sendmail.
Это лишь фрагменты, но может, полезны будут любознательным

D{Rdots}([^.]*[.])

# suspicious relay names elements #
D{RnameIPlike}([0-9]{1,}[\-\.]){3,}
D{RnamesW}((dsl|dial(up)*|dhcp|modem|cable|ppp|node|pool|host|user|[^a-z]*ip[\-0-9]{1,}|isdn)[\-\.0-9]${Rdots}{2,})
D{RnameTooMuchDigits}([0-9][^.0-9]*){5,}${Rdots}{2,}|([0-9][^.0-9]*){3,}${Rdots}{3,}|([0-9][^.0-9]*){2,}${Rdots}{4,}
D{RnameAlphaDigitMix}([A-Za-z][0-9]{1,}[\-]*){2,}${Rdots}{3,}|([0-9][A-Za-z]{1,}[\-]*){2,}${Rdots}{3,}

# What we decide suspicious mail relay #
D{Rnotsmtpserver}${RnameIPlike}|${RnamesW}|${RnameTooMuchDigits}|${RnameAlphaDigitMix}

# What we decide exceptions #
D{Rrealsmtpserver}(mail)|(^web)|(^www)|(correo)|(relay)|(smtp)|(^mx[0-9]{0,2}\.)|([^a-z0-9]*mta[\-0-9]{0,3})

# macros
KNotRealSmtpServer regex -a@MATCH  ${Rrealsmtpserver}
KRealSmtpServer regex -a@MATCH ${Rrealsmtpserver}

### Local_check_relay
SLocal_check_relay

### NoStrongCheck = OK
R$*    $: $(storage {NoStrongCheck} $@ OK $) $1

### Is there client in access.db?
R$+ $| $+        $: $>D < $1 > <?> <! Connect> < $2 >
R   $| $+        $: $>A < $1 > <?> <! Connect> <>    
R<?> <$+>        $: $>A < $1 > <?> <! Connect> <>
R<?> <$*>        $: OK                

R<$={Accept}> <$*>    $@ $1    ### exit rule. NoStrongCheck remains OK    

R<REJECT> <$*>        $#error $@ 5.7.1 $: "550 Access denied"
R<DISCARD> <$*>        $#discard $: discard
R<ERROR:$-.$-.$-:$+> <$*>    $#error $@ $1.$2.$3 $: $4
R<ERROR:$+> <$*>        $#error $: $1

### NoStrongCheck now empty.
R$*    $: $(storage {NoStrongCheck} $) $1

### reverse DNS Lookup
R$*            $: < $&{client_resolve} >
R<FAIL>            $#error $@ 5.7.1 $: "550 Relaying denied. IP name lookup failed " $&{client_name}

#### Complex client host name ####
R$*            $: < $&{client_name} >
R$*    $: $(RealSmtpServer $1 $)    # exceptions
R@MATCH    $@ OK                # like mail-(complex.client.name) etc.
# others
R$*            $: < $&{client_name} >
R$*    $: $(NotRealSmtpServer $1 $)    
R@MATCH    $#error $@ 5.7.1 $: "550 ${SspamComplexName}"

### EOLocal_check_relay

"Немного о блокировке DSL сетей..."
Отправлено Sergey , 01-Ноя-03 21:13 
>эксерсизы для sendmail

Здорово! Уже 2 года ищу подобные правила!
(Сам написать не созрел :-(  )
А можно как-то поподробнее для неспеца в sendmail пояснить
немного что, куда итд...
Сразу могу сказать, что подобные правила дают эффект в 2-3 раза больше как минимум, против простого набора онлайн списков  типа
dnsbl.njabl.org relays.ordb.org dul.ru  итп ...

"Немного о блокировке DSL сетей, через которые шлют спам."
Отправлено Jury Danilov , 15-Ноя-04 19:48 
Поставил скрипт, с 9 числа block_list.txt вырос до 280 кб. Можно анализировать.
отсортировал... и задумался...
12.203.142.207...Host = 12-203-142-207.client.insightBB.com
12.203.159.131...Host = 12-203-159-131.client.insightBB.com
12.203.185.208...Host = 12-203-185-208.client.insightBB.com

Может быть немного дописать скрипт, чтобы можно было определить эти самые границы, ну например, у client.insightBB.com, коих записей уже около 20 и заменить одной, двумя, вырезающими всю часть сети под корень...

А еще лучше, мне кажется, для почтового сервера такие записи делать не для sendmail, а для ipfw,
тогда и от еще не взломанных, но "перспективных" узлов данного провайдера, не то что писем, вообще траффика не будет. Или я не прав?...

"Немного о блокировке DSL сетей, через которые шлют спам."
Отправлено Maxim Chirkov , 17-Ноя-04 09:31 
>Может быть немного дописать скрипт, чтобы можно было определить эти самые границы,
>ну например, у client.insightBB.com, коих записей уже около 20 и заменить
>одной, двумя, вырезающими всю часть сети под корень...

У меня где-то валялся скрипт для агрегирования блокировок по сетям, как-нибудь найду, приведу к должному виду и включу в поставку spam_check.

Советую также посмотреть скрипты архивирования блэклистов на http://www.opennet.me/dev/spam_check/scripts/ рекомендую использовать arc_bl.sh ежедневно.

>А еще лучше, мне кажется, для почтового сервера такие записи делать не
>для sendmail, а для ipfw,

Тогда нужно использовать пакетный фильтр с возможностью хэширвоания, который не просматривает правила блокировки линейно, т.е. для просмотра миллиона записей не будет осуществлен перебор списка до первого срабатывания.