Организация MAAWG (http://www.maawg.org/) (Messaging Anti-Abuse Working Group), в управляющий совет которой входят представители таких компаний как AOL, AT&T, Bell Canada, Comcast, OpenWave, Yahoo!, Time Warner Cable и Verizon, распространила воззвание (http://www.maawg.org/news/maawg080625) по объединению усилий операторов связи на поприще борьбы со спамом, порекомендовав ввести в практику несколько очевидных шагов, мешающих распространению спама через клиентские машины, входящие в состав ботнет сетей.
Рекомендации описаны в двух PDF документах:
- "Methods for Sharing Dynamic IP Address Space Information with Others (/about/publishedDocuments/MAAWG_Dynamic_Space_2008-06.pdf)" - методы предоставления информации о динамических IP адресах, выделяемых конечным клиентам. Самое правильное решение - заблокировать соединения на внешние адреса по 25 порту и установить адаптивную систему блокировки аномально интенсивных рассылок. Если такое сделать невозможно, рекомендуется явным образ...URL: http://www.maawg.org/news/maawg080625
Новость: http://www.opennet.me/opennews/art.shtml?num=16681
какой смысл бороться со следствие
нужно запретить выход с офтопиков в инет и всё будет прекрасно, все будут довольны
если кто-то не знает СПАМ/рассылки - это практически такой же бизнес как любой другой...это если кто-то думает, что "оно" происходит само по-себе или из-за "дырявости винды" и т.д.
...
в какой-то степени можно провести и параллель например с борьбой с наркотиками, все знают, что это плохо, все борятся, но это есть и всегда будет...
> в какой-то степени можно провести и параллель например с борьбой с наркотиками, все знают, что это плохо, все борятся, но это есть и всегда будет...Вот это правда, бороться тут надо с потребителем, пока есть потребитель спама, рассылать будут. Можно заблокировать все заражённые компы - будут рассылать сами провайдеры или почтовые сервисы а-ля gmail. Сейчас я получаю почту с нескольких ящиков через sylpheed и простейший bogofilter определяет спам на все 100%, а вот gmail и yandex со своими хвалеными технологиями не могут этого сделать и пропускают 10-20%... как это понимать? Может им перейти на bogofilter?:-)
bogofilter'ом распоряжаетесь вы лично и сами решаете, как резать спам и как рисковать порогом ложного срабатывания.
а gmail и yandex стоят перед выбором: резануть весь спам или избежать претензий за потерю деловой почты?
gmail и yandex вынуждены считаться с ожиданиями пользователей относительно надежности доставки из плохо сконфигурированного добросовестного источника.
тем более, что и тот, и другой предлагают пользователю самостоятельно воспользоваться настройками персональной спаморезки.
>bogofilter'ом распоряжаетесь вы лично и сами решаете, как резать спам и как
>рисковать порогом ложного срабатывания.
>а gmail и yandex стоят перед выбором: резануть весь спам или избежать
>претензий за потерю деловой почты?
>gmail и yandex вынуждены считаться с ожиданиями пользователей относительно надежности доставки из
>плохо сконфигурированного добросовестного источника.
>тем более, что и тот, и другой предлагают пользователю самостоятельно воспользоваться настройками
>персональной спаморезки.Абсолютно согласен с этим. и, поэтому утверждаю, что они оставляют за собой право пропускать или нет, а значит и вполне допустимо рассматривать их участие в рассылке и доставке спама конечному пользователю;-) с другой стороны всегда есть права не пользоваться ими а купить домен и почтовый хостинг где есть персональные настройки аж на каждый ящик.
И все таки вы согласны, что надо с потребителем спама?
"претензии за потрерю деловой почты" на халявном сервисе?? :)) вы EULA почитайте их хотя бы
Претензия будет не судебная, а публичная, и если Google и в меньшей степени Яндекс -- это во-первых поиск, во-вторых почта, а в-третьих всё остальное, то репутация "эти большущие конторы сделали с почтой хуже, чем Алексей дома с bogofilter" им не нужна.
> Может им перейти на bogofilter?:-)Обратите внимание и на то, что bogofilter "режет", как бы, спам, ВАМ УЖЕ ДОСТАВЛЕННЫЙ :)
Это не уровень MTA, если вы еще не догнали :)
>> Может им перейти на bogofilter?:-)
>
>Обратите внимание и на то, что bogofilter "режет", как бы, спам, ВАМ
>УЖЕ ДОСТАВЛЕННЫЙ :)
>Это не уровень MTA, если вы еще не догнали :)это была шутка...
немного не согласен с предыдущим оратороммоя практика показывает, что 90% спама идет с зараженных виндовс машин.
А одна из главных проблем винды заключается в том, что там каждая сука работает из под админа -> вирусы и антивирусы -> куча спама...
>немного не согласен с предыдущим оратором
>
>моя практика показывает, что 90% спама идет с зараженных виндовс машин.
>
>А одна из главных проблем винды заключается в том, что там каждая сука работает из под админа -> вирусы и антивирусы -> куча спама...в этом есть доля правды, но нельзя не согласится еще и с тем, что виндус сам по себе винове больше в том, что он популярен...
а как мы боремся со СПАМ ?! да практически не как, если не считать обшественные оранизации типа sorbs,spamcop и тд, ведь по большой сути магистральному оператору - главное пропустить больше клиентского трафика, соответвенно локальные операторы пытаются частично както бороться, но одно дело вы работаете с корпоративным клиентом пусть даже тот же оператор связи, а другое дело вы предоставляете услугу обычным пользователся или end-users ("детям"), которые в большой своей степини как Вы хорошо заметили очень низко квалифицированны и хорошо способствуют разможнию и распространению вреданосного ПО...
Конечно, если Вы осмелились сразу установить deny tcp any any eq smtp, то это здорово, но как быть если такого нет ?!Взаимодействовать с каждым "ребенком", ведь по-нормальному мы обязанны при получении той же abuse передать копию пользователю и только если в случае игнорирования пользователям abuse уже устанавливать фильтр...
>а как мы боремся со СПАМ ?! да практически не как, если не ...не "не как", а "никак". (не как - это совсем уже пошло!)
и не "мы", а "Вы".
>в этом есть доля правды, но нельзя не согласится еще и с тем, что виндус сам по себе винове больше в том, что он популярен...если конопля популярна, то она лично в этом не виновата.
Дда-а. Этто так-к.
>главное пропустить больше клиентского трафика, соответвенно локальные операторы пытаются частично както бороться,Если трафик мой, то он мой. И мне очень не понравится, если его будут "резать" БЕЗ моего согласия.
>Конечно, если Вы осмелились сразу установить ... .бла-бла-бла!
это если Вы уже на "конопле" и не смотрите шире.
>немного не согласен с предыдущим оратором
>
>моя практика показывает, что 90% спама идет с зараженных виндовс машин.
>
>А одна из главных проблем винды заключается в том, что там каждая сука работает из под админа -> вирусы и антивирусы -> куча спама...А как быть с "честными спамерами", которые не ботнеты используют, а дедикейдид сервера? :))
Вирусы, спам-боты и т.п. это все скорее следствие, а причина в том, что это бизнес с хорошим доходом. Есть спрос -- есть предложение, а то, что это предложение реализовано в виде вируса дело десятое. Сам когда-то писал "enterprise mail sender" -- очень кушать хотелось :)Блокирование 25го порта от клиента во внешний мир палюбому полезно, но, к сожалению, в последнее время уже плохо работает. Раньше такая блокировка 100% пресекала рассылку спама, а при настроенном логировании фаервола, еще и показывала к кому из юзеров должен сходить эникейщик. Сейчас все больше случаев, когда боты начинают рассылать спам через мейл-сервер организации, и вот это уже пакетным фильтром не прикроешь :( Меня лично пока спасает самопальный спам-фильтр, но если боты научатся рассылать спам нетолько через правильный сервер, но и указывая правильное поле фром, то тогда ваабще вилы будут :(((
PS. Все выше сказанное является ИМХО, которое основнано на моем личном опыте и статистике организации, в которой я работаю :)
> Сейчас все больше случаев,
>когда боты начинают рассылать спам через мейл-сервер организации, и вот это
>уже пакетным фильтром не прикроешь :( Меня лично пока спасает самопальный
>спам-фильтр, но если боты научатся рассылать спам нетолько через правильный сервер,
>но и указывая правильное поле фром, то тогда ваабще вилы будут
>:(((SMTP AUTH спасет отца русской демократии
Временно. найдутся и против этого боты.
но спам рассылаемый через сервер провайдера может быть этим провайдером отфильтрован, а виновник блокирован до устранения.... теоретически. былобы желание.
Недавно почтовый сервер моего прова автоматом забанил IP-адреса собственных пользователей по списку из загруженного внешнего спам-листа.
>Если такое сделать невозможно, рекомендуется явным образом указывать о динамической природе адресов через имена хостов в обратной DNS зоне (например, используя слова dynamic, dhcp и т.д.)Неужели допёрло. Несколько лет назад, когда каналы были тощими, а сервера слабыми я так и блокировал трафик по 25 порту от таких вот "клиентов". Именно из этих логов, я узнал, что существует такой пров Comcast, ну и хорошо о себе AOL напоминал (можно сказать именно от них валилось более половины спама).
Я более скажу - переведя одну немаленькую конторку с RBL на вот такую фильтрацию я сильно уменьшил поток спама. Так что по мне - это ОСНОВНОЙ инструмент, эдакий экскаватор. Конечно так вычищается далеко не все и для хорошего результата надо лопатой довести полученное, но первым эшелоном именно фильтр по реверсу.
>первым эшелоном именно фильтр по реверсу.BTW никто часом не знает, почему киевский провайдер "воля-кабель" явно отдельно потрудился с генерацией имён для реверса из wordlist'ов, а не выставил нечто, напоминающее cable-\d+-\d+-\d+-\d+?
почему они такие интересные имена в реверсные DNS записали - это мне и самому интересно.а проблему спама от их пользователей можно решить очень просто, все их юзеры
внесены ими же в список http://dul.ru/ вот, для примера, первый попавшийся адрес:$ nslookup 77.122.122.122
──────────────────────────────────────
Name: certaintiless-pinch.volia.net
Address: 77.122.122.122$ 122.122.122.77.dul.ru.
──────────────────────────────
Name: 122.122.122.77.dul.ru
Address: 127.0.0.3
Лучше бы они заставили приостановить деятельность таких ISP, как wanadoo.fr, france.fr, orange.fr, через которых проходит неимоверное кол-во спама, а админы даже не отвечают на письма.
> Лучше бы они заставили приостановить деятельность таких ISP,
> как wanadoo.fr, france.fr, orange.fr, через которых проходит
> неимоверное кол-во спама, а админы даже не отвечают на письма.разве кто-то запрещает на своем сервере приостановить их деятельность?
$ cat /etc/posrtfix/check_client_access.pcre
/\d+(-|\.)\d+(-|\.)\d+(-|\.)\d+.../i REJECT we aren't accept direct connection from users, please use your internet provider smtp server
/(^|-|\.)dsl(\d.*|-.*|)\..+\..+/i REJECT we aren't accept direct connection from users, please use your internet provider smtp server
/(^|-|\.)adsl(\d.*|-.*|)\..+\..+/i REJECT we aren't accept direct connection from users, please use your internet provider smtp server
/(^|-|\.)pppoe(\d.*|-.*|)\..+\..+/i REJECT we aren't accept direct connection from users, please use your internet provider smtp server
/(^|-|\.)cable(\d.*|-.*|)\..+\..+/i REJECT we aren't accept direct connection from users, please use your internet provider smtp server
/(^|-|\.)client(\d.*|-.*|)\..+\..+/i REJECT we aren't accept direct connection from users, please use your internet provider smtp server
/(^|-|\.)dialup(\d.*|-.*|)\..+\..+/i REJECT we aren't accept direct connection from users, please use your internet provider smtp server
/(^|-|\.)dhcp(\d.*|-.*|)\..+\..+/i REJECT we aren't accept direct connection from users, please use your internet provider smtp server
/(^|-|\.)dslam(\d.*|-.*|)\..+\..+/i REJECT we aren't accept direct connection from users, please use your internet provider smtp server
/(^|-|\.)dynamic(\d.*|-.*|)\..+\..+/i REJECT we aren't accept direct connection from users, please use your internet provider smtp server
/(^|-|\.)node(\d.*|-.*|)\..+\..+/i REJECT we aren't accept direct connection from users, please use your internet provider smtp server
/(^|-|\.)host(\d.*|-.*|)\..+\..+/i REJECT we aren't accept direct connection from users, please use your internet provider smtp server
/(^|-|\.)user(\d.*|-.*|)\..+\..+/i REJECT we aren't accept direct connection from users, please use your internet provider smtp server
/(^|-|\.)pool(\d.*|-.*|)\..+\..+/i REJECT we aren't accept direct connection from users, please use your internet provider smtp server
/(^|-|\.)ppp(\d.*|-.*|)\..+\..+/i REJECT we aren't accept direct connection from users, please use your internet provider smtp server/(orange.fr)$/i REJECT $1 blocked as mass spam sender. please use other email provider, for example mail.google.com
/(wanadoo.fr)$/i REJECT $1 blocked as mass spam sender. please use other email provider, for example mail.google.com
На мой взгляд, было бы хорошо выделить отдельную IP-сеть для динамических адресов. Как есть подсети A,B,C для "серых" адресов, пусть будет еще одна для динамических. И пинать провайдеров, чтоб они придерживались этого правила, IMHO на провайдера воздействовать гораздо проще. Конечно в рамках IP-4 это сделать нереально, но для IP-6 еще можно.Или, учитывая последнюю инициативу ICANN (http://www.opennet.me/opennews/art.shtml?num=16683), выделить отдельный TLD для динамических адресов. Но здесь свои проблемы возникают, должна быть сверх упрощенная система регистрации.
Молодцы :)
У меня работает фильтрация по SPF прекрастно. Ни каких тормозов.
А сброс в начале соединения т.е. только заголовок проехал и усе :)
А на предмет иннициатив yahoo я вообще молчу, сами(клиенты) спам рассылают но эти даже не удосужились прописать для своих серверов SPF записи и их приходиться отдельно подгружать.
И вот еще, что интересно: а google в этой компании нет а spf они на свои сервера прописали........Одним словом: "рекламная компания".
SPF решил бы все проблемы на раз, а форвардинг почты - костыль. И то он легко исправляется - достаточно чтоб пересылающий сервер пересылал с адреса, на который шло письмо изначально, всё равно адрес который покажется человеку в поле От: берётся из отдельных заголовков. Aliases:
pupkin: "|/usr/sbin/sendmail -oi -f pupkin@vasya.com pupkin@kolya.com"
Достаточно этим мегапровайдерам сказать что через скажем 6 месяцев они прописывают у себя SPF записи в рабочем (а не тестовом ~all режиме), и настраивают у себя фильтры SPF на приём - все последуют их примеру (конечно те, которые в танке и китайцы одуплятся только через год) и проблема была бы решена раз и навсегда. Останется только проблема локальная - но это уже проблема прова кто через него шлёт спам.Чёрт, ведь решение проблемы просто и очевидно, и не стоит никаких денег - только одно решение и кол-во спама уменьшится на порядки.
Есть подозрение что мегапровайдеры не просто так ищут нелёгкие пути :)
> установить адаптивную систему блокировки аномально интенсивных рассылокАга.В итоге народ заодно не получит и ЛЕГИТИМНЫХ рассылок.Короче, RIP.Нах нужен такой дефективный протокол который ничерта не сможет?А вот спам он наверняка и тогда будет исправно доставлять.Благо не вижу проблем с точки зрения троянов.Ну, влился трой к юзеру, выдрал настройки из почтовика и сри себе сколько влезет спамом прям как родной почтовик.Достаточно десятка писем в день а вот если миллион ламеров словило троян это уже приличный поток спама.Итого бравые перцы как всегда отгазифицируют лужи, создатут вагон геморроя легитимным юзерам и ... спам по прежнему будет валиться крупным оптом.Это то же самое как если лечить аппендицит треская болеутоляющие.
Мы знаем, что провайдеры уже освоили две разные услуги: предоставление доступа с "прямым/белым" IP-номером и предоставление доступа из-под NAT. Теперь вводится ещё бОльшая дифференциация: жоступ с открытым TCP:25 (под обещание не спамить самомУ и не допускать вирусов) и с закрытым. Очень рулезно. Можно добавить функционал "чёрной дыры", при котором вирус будет думать, что весь спам отправлен, и отрапортует об успешном выполнении задачи хозяину.Алексей:
> бороться тут надо с потребителем, пока есть потребитель спама, рассылать будут.Бороться со спамом надо комплексно - надо давить и заказчиков спама (акция "позвони спамеру" за'DoS'ит любую организацию), и затрояненные машины (это увеличивает себестоимость спама).
Аноним:
> Лучше бы они заставили приостановить деятельность таких ISP, как wanadoo.fr, france.fr, orange.fr, через которых проходит неимоверное кол-во спамаСоздай свой DNSBL-список и включи в него этих провайдеров.
sokoloff:
> Как есть подсети A,B,C для "серых" адресов, пусть будет еще одна для динамических.Это нереально: каждый провайдер получает свой пул адресов.