В статье "Greylisting with PF (http://www.onlamp.com/pub/a/bsd/2007/01/18/greylisting-with-...)" описано MTA-независимое решение по реализации блокирования спама методом серых списков.
Используя PF в кооперации со spamd, через функции динамического формирования правил для пакетного фильтра, организуется блокирование IP спамеров, переброс первых запросов на стадию дополнительной проверки и пропускание повторных попыток отправки к реальному почтовому серверу.
URL: http://www.onlamp.com/pub/a/bsd/2007/01/18/greylisting-with-...
Новость: http://www.opennet.me/opennews/art.shtml?num=9571
Не понимаю, зачем нужен PF - все эти вещи решаемы на уровне приложения.Кстати, спамерские машины можно не блокировать, а "изматывать" - согласиться открыть TCP-сессию, но сделать буфер в ноль байт и тянуть сколько можно. Если спам-программа некорректно работает с протоколами (а у многих из них это есть), она просто зависнет.
>Не понимаю, зачем нужен PF - все эти вещи решаемы на уровне
>приложения.Затем, что когда спамеры начинают лить спам в 150 потоков с разных IP, MTA захлебывается. На моем опыте в такие пики на сколько лимит не поднимай - все равно забъет и нормальные коннекты не пробъются. В ботнет сетях миллионы машин, когда тысячу их них нацеливают на вашу систему - мало не покажется. В случае PF, все спокойно и без лишней нагрузки прибъется фаерволом.
не дороговато ли открывать сессию?
Если не трудно, напишите пожалуйста пример реализации, или url где почитать.
Спасибо.
в linux этот модуль называется TARPIT
Очень хорошая связка spamd+pf до нее Clamav ловил по 100-200 вирусов в сутки, после нее уже как год максимум 2-3 в день прорывается. и спама, конечно, существенно меньше стало
> 2-3 в день прорываетсяПовтори-ка, на какой адрес не пробивается? ]:->
>> 2-3 в день прорывается
>
>Повтори-ка, на какой адрес не пробивается? ]:->А за тестирование денег не возьмешь? =)
тогда скажу
вирусы очень часто в HELO подставляют имя/IP сервера получателя. Достаточно режектить по такому HELO, чтобы антивирус бездельничал.
достаточно для такой проверки в helo разместить запись вида `localhost.localdomain` и письмо пройдет. :)
а во фрю они так и не сунули еще?
"а под фрей порт уже есть?"Будет через три дня. Не мучь себя.
http://linuxi.ru/index.php?option=com_content&task=view&id=3...“Spamd является детищем команды разработчиков OpenBSD и впервые появился в версии 3.3 этой системы. По преданию, главный девелопер и идейный вдохновитель проекта OpenBSD, Тео де Раадт, не на шутку переволновался, получив по почте пятнадцатый раз за день предложение увеличить свой детородный орган. В тот же вечер он созвал свою команду и бросил клич: «Делайте что хотите, но чтобы к утру у нас была своя, надежная защита от спама!». Всю ночь разработчики непрерывно писали код, и к вечеру следующего дня первая бета-версия spamd уже обороняла рубежи @openbsd.org”
Вы бы попробывали почитать статью сначала, а? Оно там именно под FreeBSD и работает.
>а во фрю они так и не сунули еще?
Специально для альтернативно одарённых цитата из статьи
>My gateway was running FreeBSD 6.2 PRELREASE. PF is also available on DragonflyBSD, NetBSD,
>and OpenBSD (of course!). The FreeBSD Handbook has a good introduction to PF.
Если вопрос сунули ли во фрю PF и spamd, то уже хм... давно сунули
или не о том вопрос? ;)
смотри /usr/ports/mail/spamd
причем версия в портах адаптирована и под IPFW
>Мне вот интересно почему людям хочется ждать появление портов под фрей, может >стоит перейти на линукс ? Я сам фрю не пользую, но на этом форуме периодически >встречаются каменты "а под фрей порт уже есть?" или "а когда сделают порт ксен >под фрю?". Интересно с обновлением критический уязвимостей тоже нужно ждать >пока порт сделают ?А вот проверют и сделают. Чтоб без глюков (счастьев) левых. И чтоб компилялось без проблем.
МяФ!:) писал про этой статью на русском, правда давно, если кому-то интересно можно прочесть тут, http://myforum.net.ua/index.php?showtopic=5843З.Ы. Статья не претендует на самую лучьшую, критика и замечания буду рад услышать...:)
эта тенденция была всегда.
В freebsd активно портирую вещи из других bsd и совместимых по лицензии(opensolaris).
Портируются вещи серьёзные, но сама фря не избавилась от детских болезней и 7-ка, скорее всего, будет иметь большие проблемы с релизом, чем 6.2(отсюда и замашки "а мы круче").Кроме того, получается масса дублирующегося кода/функционала:
1)ipfw/pf/ipf+ipnat
2)есть gvinum, выполняющий функции lvm + software raid. Теперь портанули zfs, который тоже умеет эти функции.список можно продолжать :)
Дублирующего, но не совсем :) Есть различия. И каждый волен себе выбирать то, что ему больше подходит.
ФяМ!
кошек ф топпку, а интересующихся вопросом - сюда http://spamlinks.net/filter-server-greylist.htm
>ФяМ!
>кошек ф топпку, а интересующихся вопросом - сюда http://spamlinks.net/filter-server-greylist.htmЭто аццкая сцылка про Windows Server Antispam ........ Фтопку romst-ексов
после настройки фильтра на сервере, отправляю тестовое письмо извне..
оно пытается пройти, но после того как фильтр сказал "заходите позже" ушло на релей провайдерский..
естественно, провайдерский релей пришлось сразу внести в spam-mywhite
ну и в результате спам спокойно приходит от провайдера...
как быть в таком случае?
Убрать чужой релей
А если сервак почтовый стоит в ДМЗ?
На нём тоже тогда поднимать pf? или можно шлюза pf использовать?
>А если сервак почтовый стоит в ДМЗ?
>На нём тоже тогда поднимать pf? или можно шлюза pf использовать?Вот про тоже но на русском и с коментариями
Поставил под FreeBSD 6.1 из портов.
Чтобы работало с IPFW сделал make -DWITH_IPFW
Теперь вопрос, что нужно сделать чтобы оно не валило в лог
spamd[1851]: IPFW socket unavailable (Operation not permitted), а могло нормально добавлять в таблицу адреса?