https://www.opennet.ru/openforum/vsluhforumID1/91068.html Здравствуйте.<br><br>Тут поковырял инет по поводу средств борьбы со спамом. Среди всяких антиспамеров и настроек самих почтовых серверов нашел упоминание об утилите p0f - http://lcamtuf.coredump.cx/p0f.shtml<br>Как я понял, из встречившихся в инете упоминаний, эта утилита перехватывает пакеты в момент соединения удаленной машинки и определяет тип операционной системы, причем ее можно интегрировать с тем же амавистом. Соответственно, результаты ее работы можно прицепить к спамассасину и амависту для начисления дополнительных баллов к письмам, которые были отправлены, например, с виндовой операционки (которые чаще всего и используются как спам-боты). <br>В общем узнав о ней я уже готов был ее прикрутить к серверу и попробовать, но у меня возникло 2 вопроса:<br>1. Как я понял, win xp эта приблуда точно определяет. А вот определяет ли она win vista, win 7 и серверные операицонки виндюков?<br>2. Может кто-нибудь ее уже пробовал юзать и сложилось какое-нибудь мнение об ее работе?<br> https://www.opennet.ru/openforum/vsluhforumID1/91068.html#10 Fri, 04 Mar 2011 06:21:22 GMT &gt; не подскажите каким почтовиком пользуетесь?<br><br>Так там написано было...<br><br>&gt;&gt;Сначала экзим выполняет серию проверок на стадиях CONN и RCPT. https://www.opennet.ru/openforum/vsluhforumID1/91068.html#9 Fri, 04 Mar 2011 06:03:31 GMT &gt; имени хоста, наличие в имени хоста нехороших слов, структура имени (цифры-точки-тире), <br>&gt; количество получателей, принадлежность энвелоп-ту моему домену и так далее. За каждую <br>&gt; проваленную проверку начисляются штрафные баллы.<br><br>не подскажите каким почтовиком пользуетесь?<br>мне в CGP надоели точки тире, он регулярки не умеет, да много чего не умеет проверять как следует. <br>Поэтому сделал проще, написал скрипт реализующий RBL и в нём проверяю наличие октетов IP адреса в обратной зоне, если более 2 встречается, баню без задней мысли. Остаются редкие провайдеры с левыми зонами, их в чёрный список по зонам.<br>Вот думаю как бы добавить ещё один механизм в проверку, и стоит ли это делать. Соединятся навстречу но не по адресу отправителя, а к хосту который почту желает отправить, проверять вообще у него 25 порт принимает соединения, если нет, то смело в бан.<br>В результате в сутки из 100 попыток 1 бывает иногда удачной у спамеров, это если они какой-то сайт или почтовик ломанут, но тогда письмо на abuse пишу.<br> https://www.opennet.ru/openforum/vsluhforumID1/91068.html#8 Thu, 03 Mar 2011 10:12:08 GMT &gt; Я могу ошибаться, так что извиняйте, если я не прав. Я так <br>&gt; понимаю, что ваш метод - исключительно байсовский анализ (ес-но правильная настройка <br>&gt; сервера прежде всего)? Т.е. предлагаете обучать, обучать и еще раз обучать? <br><br>Нет, конечно. Сначала экзим выполняет серию проверок на стадиях CONN и RCPT. Здесь проверяется невовремя поданное хело, корректность этого хело, корректность резолвинга имени хоста, наличие в имени хоста нехороших слов, структура имени (цифры-точки-тире), количество получателей, принадлежность энвелоп-ту моему домену и так далее. За каждую проваленную проверку начисляются штрафные баллы. <br><br>Если баллов набирается больше нуля, за каждый балл отправитель будет ждать одну секунду перед переходом к фазе DATA. Редкий спамбот способен прождать более минуты на этом этапе. Отстреляв все хедеры, он начинает без команды лить тело письма - и на этом палится. Или просто сбрасывает соединение, не выдержав ожидания.<br><br>Если баллов набирается более максимума, отправитель прождет положенное врем https://www.opennet.ru/openforum/vsluhforumID1/91068.html#7 Thu, 03 Mar 2011 09:10:59 GMT &gt; Я не спорю, инструмент отличный. Но это микроскоп, а мы тут все <br>&gt; больше гвозди забиваем.<br><br>Я могу ошибаться, так что извиняйте, если я не прав. Я так понимаю, что ваш метод - исключительно байсовский анализ (ес-но правильная настройка сервера прежде всего)? Т.е. предлагаете обучать, обучать и еще раз обучать? Но ведь спам очень разнообразен, кому-то из пользователей идут письма по одной тематике, кому-то по другой, кому-то по третей и т.д. В итоге это приводит к тому, что в байесовской базе, как мне кажется, творится полный бардак и со времен кол-во спама только увеличивается, приходится грохать базу и начинать заново.<br> https://www.opennet.ru/openforum/vsluhforumID1/91068.html#6 Thu, 03 Mar 2011 09:07:00 GMT &gt; Опять же не блокировать письма, а просто маркировать как СПАМ, а дальше <br>&gt; уже пусть пользователь разбирается.<br><br>У меня все, что помечается, как "Спам", автоматически падает юзеру в "Junk". Рыться в помойке клиент начинает только тогда, когда отправитель звонит и скандалит: я отправил, а вы не отвечаете! Поскольку каждый такой инцидент это нервы, время и, как ни странно - бабки, над задачей отсеять спам стоит сверхзадача - не отсеять легальную почту.<br><br>Как по мне, то уж пусть во входящие валится спам, лишь бы фальш-позитивов не было. Заодно юзеры байес-фильтр потренируют :)<br> https://www.opennet.ru/openforum/vsluhforumID1/91068.html#5 Thu, 03 Mar 2011 08:49:55 GMT &gt; Ну собственно зависит от веса оценки. Никто не заставляет ставить запредельные баллы. <br><br>Попробую объяснить на примере. Предположим, вы обеспечиваете секурность банка, и заметили, что многие грабители попадают в банк через главные двери. И теперь каждого, кто входит через главные двери, кладут мордой вниз на пол и подвергают тщательному обыску. И грабителей, и законопослушных граждан.<br><br>Да, критерий "тот, кто прошел через главные двери" включает в себя и грабителей тоже. Но он же создаст массу неудобств добропорядочным клиентам. Да, это поможет скрутить грабителя до того, как он вытащит волыну и потребует кассу, но еще раньше в ваш банк просто перестанут ходить клиенты.<br><br>Критерий проверки должен иметь сильную корреляцию со спамовостью. Чем сильнее корреляция - тем лучше. На тысячу клиентов, пихающих свое хело раньше приветствия СМТП сервера, легальных будет один-два. На ту же тысячу будет 1-2 легальных клиента с кривым хело или ненастроеным резолвом - из-за криворукости админов. Но вот легально пришедших https://www.opennet.ru/openforum/vsluhforumID1/91068.html#4 Thu, 03 Mar 2011 06:21:50 GMT Опять же не блокировать письма, а просто маркировать как СПАМ, а дальше уже пусть пользователь разбирается.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/91068.html#3 Thu, 03 Mar 2011 06:20:44 GMT Ну собственно зависит от веса оценки. Никто не заставляет ставить запредельные баллы. Я использую в качестве параметра meta правил. Т.е. это просто хороший инструмент для определения откуда пришло письмо, а как вы его будете использовать - это уже другое дело.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/91068.html#2 Thu, 03 Mar 2011 01:40:13 GMT &gt; Может кто-нибудь ее уже пробовал юзать и сложилось какое-нибудь мнение об ее работе?<br><br>Начислять за использование винды доп.баллы при детекции спама - плохая идея. Слишком слаба корреляция. У нас пока не только подавляющее большинство ботов, но и значительная доля легальных клиентов находится на винде. Все еще. Пока. <br><br>Использование p0f потенциально ведет к увеличению количества фальш-позитивов, которые юзеры переносят существенно хуже, чем фальш-негативы. Не советую, съедят. <br>