forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Релиз системы фильтрации спама Rspamd 0.9, opennews (ok), 14-Май-15, (0) [смотреть все]

А поддержки OpenSMTPD нет Ненужно , Аноним (-), 00:11 , 15-Май-15, (2) //

Поддержка нужна как раз со стороны OpenSMTPD - с самим rspamd можно общаться хот, cebka (?), 00:21 , 15-Май-15, (3) //

https poolp org 0xa871 The-state-of-filters, Аноним (-), 01:58 , 15-Май-15, (5) //

Вот ровно об этом я и говорю Обещания я слышу уже долгое время и слежу за проек, cebka (?), 11:27 , 15-Май-15, (15)

124 procmail, anonymoose (?), 13:57 , 15-Май-15, (27)

посмотрел build requirements, не проникся , gred (ok), 00:47 , 15-Май-15, (4) +1
Почините action greylist , сейчас он бесполезен, т к сообщение проверяется ант, Аноним (-), 03:15 , 15-Май-15, (6) //

Не понимаю, как связаны проверки rcpt to и грейлистинг Да, rspamd выполняет про, cebka (?), 10:00 , 15-Май-15, (11) –1 //

Напрямую они связаны Грейлистинг - это собственно связка отправитель - получате, Аноним (-), 12:33 , 15-Май-15, (18) //

Вы неправы Эту информацию передает мильтр непосредственно rspamd через HTTP заг, cebka (?), 12:37 , 15-Май-15, (20)

Воот, то есть у нас будет 2 разных вызова мильтера, и из rcpt_verify 2 и из d, Аноним (-), 12:43 , 15-Май-15, (22)

Простите, я не смог понять ваш комментарий Либо вы ничего не понимаете в том, к, cebka (?), 14:54 , 15-Май-15, (28)

Ну бывает, попробую расписать на примере Первый заход приходит хост, пытается с, Аноним (-), 15:56 , 15-Май-15, (29)

Спасибо, теперь понятно К сожалению, я сам не использую связку exim rspamd, но , cebka (?), 16:06 , 15-Май-15, (31)

Есть ещё и намного больший фронт потенциальных уязвимостей в антиспаме, тем боле, Аноним (-), 16:45 , 15-Май-15, (33)

То есть, MTA на Си, да еще и с собственным тюринг-полным языком конфигурации, ва, cebka (?), 16:50 , 15-Май-15, (34) –1

Нет, не смущает exim у - 12лет, баги с парсером smtp там уже давно выловили Пе, Аноним (-), 17:06 , 15-Май-15, (35)

UPD Даже не 12, а 20, википедия говорит, что первая версия появилась в 95году , Аноним (-), 17:09 , 15-Май-15, (36)
Понятия история безопасности не существует Вот история дыр и уязвимостей да, , cebka (?), 18:50 , 15-Май-15, (38) +2

exim у нужен только внешний bayes, всё остальное он и сам умеет нативно , Alukardd (?), 07:30 , 15-Май-15, (8) //

Это так Но для этого нужны мозги и опыт, чтобы вылизать конфиг , Некто (??), 12:27 , 15-Май-15, (16) //

Учитывая, что примерно половина пользователей rspamd пользуются как раз exim, вк, cebka (?), 12:30 , 15-Май-15, (17) //

не холивара ради, поделитесь опытом , oops (ok), 15:57 , 15-Май-15, (30)

Кулстори бро, рассказывай ещё Насчёт wide mask all тоже ничего не предпринимает, Аноним (-), 12:39 , 15-Май-15, (21) //

Зачем стрелять себе в яйца Это ситуация и тупо NO_PTR - это две большие разницы, Аноним (-), 00:54 , 16-Май-15, (39) –1 //

Да-да, раз не умеет - не это нужно , проходили уже , Аноним (-), 05:50 , 16-Май-15, (41)

Кто-нибудь на код с точки зрения безопасности смотрел Производительность конечн, Аноним (-), 07:51 , 15-Май-15, (9) +1 //

Ещё один с фобией , Ivan_83 (?), 11:00 , 15-Май-15, (12) –1 //

Нет, разумное обоснование в этом есть, хотя, конечно, считать, что SA, использую, cebka (?), 11:25 , 15-Май-15, (14) //

А что нем известно о безопасности rust А ничего не известно Так что всё прав, Аноним (-), 00:57 , 16-Май-15, (40)

Как в Iredmail засунуть , Dkg (?), 08:15 , 15-Май-15, (10) //

Становишься раком и вставляешь его себе в Iredmail P S Гугл твой друг , Аноним (-), 12:59 , 15-Май-15, (23) –1

Не нужен Постфикс грейлист сапассассин вполне справляются, проходят только , count0krsk (ok), 11:02 , 15-Май-15, (13) //

Справляется, конечно, но SA проц грузит не по-детски под нагрузкой Может у эт, Stax (ok), 17:54 , 18-Май-15, (42) //

Вот отчет одного из разработчиков haraka https github com baudehlo Haraka pull, cebka (?), 18:02 , 18-Май-15, (43)

Да ладно вам, нинужники - вон в соседнем треде во всю МС-поделки рекламируют, , Аноним (-), 12:37 , 15-Май-15, (19) //

Чем бы дитя не тешилось, лишь бы на java не писало , count0krsk (ok), 13:32 , 15-Май-15, (25) +3

А нельзя ли без патчей экзима Сделать, как у СА - висеть себе тихо на сокете, н, DeadLoco (ok), 13:25 , 15-Май-15, (24) //

В будущую версию exim патч уже включен , Аноним (-), 13:40 , 15-Май-15, (26)
Rspamd обратно совместим с протоколом SA Он не умеет только генерировать отчеты, cebka (?), 16:18 , 15-Май-15, (32) //

Оно не только с производительностью несовместимо Результатом работы анализато, DeadLoco (ok), 18:11 , 15-Май-15, (37)

Сообщения [Сортировка по времени | RSS]

18. "Релиз системы фильтрации спама Rspamd 0.9" +/–

Сообщение от Аноним (-), 15-Май-15, 12:33

Напрямую они связаны. Грейлистинг - это собственно связка отправитель - получатель - ip отправителя. На этапе end-of-data уже нет возможности получить отдельного получателя, только всё скопом с копиями, скрытой копией и т.д. Это раз.
Второе - даже если ты ответил 471 после end-of-data по указке rspamd - как ты узнаешь, что это письмо тебе уже приходило? Контент при retry будет тот же самый, rspamd опять ответит 471 и так далее до протухания письма в очереди на отправителе. Сам же rspamd такую статистику не ведёт, я смотрел исходники.

Ответить | Правка | Наверх | Cообщить модератору

20. "Релиз системы фильтрации спама Rspamd 0.9" +/–

Сообщение от cebka (?), 15-Май-15, 12:37

> Напрямую они связаны. Грейлистинг - это собственно связка отправитель - получатель -
> ip отправителя. На этапе end-of-data уже нет возможности получить отдельного получателя,
> только всё скопом с копиями, скрытой копией и т.д. Это раз.
Вы неправы. Эту информацию передает мильтр непосредственно rspamd через HTTP заголовки. Включая также IP, envelope информацию, helo и многое другое.
> Второе - даже если ты ответил 471 после end-of-data по указке rspamd
> - как ты узнаешь, что это письмо тебе уже приходило? Контент
> при retry будет тот же самый, rspamd опять ответит 471 и
> так далее до протухания письма в очереди на отправителе. Сам же
> rspamd такую статистику не ведёт, я смотрел исходники.
Вы не учли, что грейлистинг делает не rspamd, а milter. Rspamd лишь говорит: вот это письмо мне не очень нравится, давай попробуй его погрейлистить. Следовательно, если клиент приходит до истечения таймаута грейлистинга, то фильтруется он уже самим мильтром на стадии rcpt to.

Ответить | Правка | Наверх | Cообщить модератору

22. "Релиз системы фильтрации спама Rspamd 0.9" +/–

Сообщение от Аноним (-), 15-Май-15, 12:43

> то фильтруется он уже самим мильтром на стадии rcpt to.
Воот, то есть у нас будет 2 разных вызова мильтера, и из rcpt_verify (2+) и из data_verify (1). Не находите, что это несколько кривая и, мягко скажем, нетривиальная в поддержке конфигурация?

Ответить | Правка | Наверх | Cообщить модератору

28. "Релиз системы фильтрации спама Rspamd 0.9" +/–

Сообщение от cebka (?), 15-Май-15, 14:54

>> то фильтруется он уже самим мильтром на стадии rcpt to.
> Воот, то есть у нас будет 2 разных вызова мильтера, и из
> rcpt_verify (2+) и из data_verify (1). Не находите, что это несколько
> кривая и, мягко скажем, нетривиальная в поддержке конфигурация?
Простите, я не смог понять ваш комментарий. Либо вы ничего не понимаете в том, как работает milter, либо не можете описать проблему.

Ответить | Правка | Наверх | Cообщить модератору

29. "Релиз системы фильтрации спама Rspamd 0.9" +/–

Сообщение от Аноним (-), 15-Май-15, 15:56

Ну бывает, попробую расписать на примере.
Первый заход: приходит хост, пытается слать письмо. rcpt_verify его пропускает, доходит до data_verify, там rspamd говорит - "данные левые, а сделай-ка ты greylist". Теперь у нас есть ip-отправителя, адрес отправителя из конверта, и получатели все скопом. Последнее плохо ложится в базу, а ещё в exim'е нет лёгкого способа разлепить обратно получателей на этом этапе. Ну хорошо, допустим отправили 4XX, хост ушёл, письмо не принято.
Второй заход: приходит хост, пытается слать письмо. rcpt_verify опять его пропускает, потому что "почему бы и нет, мне никто не сказал что его надо грейлистить". Доходит до rspamd, тот опять говорит - "данные левые, а сделай-ка ты greylist". Теперь нам опять нужно разлепить получателей, угадать с тем, что мы выбрали в прошлый раз, и пнуть milter с greylisting'ом, чтоб тот проверил, пускать ли его дальше.
Недостатки такого костыля:
* письмо при каждой попытке доставки проходит через антиспам, хотя могло быть остановлено раньше и значительно дешевле по ресурсам. А раньше остановить его при данной схеме не получится, потому что почтовик не может на этапе rcpt_verify магическим образом угадать, что на data_verify его загрейлистят. Ни при первой, ни при последующих попытках доставки.
* кастомный механизм "разлепить получателей" на эксимовском конфиге - это практически write-only. В результате образуется "незаменимый гуру", который после получасовой медитации возможно сможет вспомнить как оно работает.
* как альтернатива предыдущему пункту - брать получателя "как есть", мириться с медленной работой базы грейлистинга, т.к. юзеры любят ставить в копию по 5-10-15 человек.
* необходимость во внешнем мильтере грейлистинга и настройка их связки со rspamd. Конфиг становится "хрупким", и см выше про "гуру".
Если уж мы всё равно каждый раз доводим почту до антиспама, так пусть тот сам и ведёт учёт попыток доставки, раз такой умный. По крайней мере это позволит избавиться от внешнего грейлистинга.
// надеюсь понятно расписал

Ответить | Правка | Наверх | Cообщить модератору

31. "Релиз системы фильтрации спама Rspamd 0.9" +/–

Сообщение от cebka (?), 15-Май-15, 16:06

Спасибо, теперь понятно. К сожалению, я сам не использую связку exim+rspamd, но то, что вы описали действительно может быть проблемой, которая решается на уровне rspamd. В следующей версии я планирую сделать несколько уровней фильтрации письма: fast path - на этапе helo .. data и slow path - на этапе end of data. Тогда единственной проблемой будет сохранение состояния между двумя этими фазами, но тут надо смотреть, как это смогут делать MTA. Связка rmilter+postfix+rspamd умеет делать грейлистинг без лишних затрат (кроме самого первого раза).
В любом случае, прохождение письма через rspamd зачастую бывает дешевле по ресурсам, чем оптимизация на уровне MTA (в отличие от того же SA).

Ответить | Правка | Наверх | Cообщить модератору

33. "Релиз системы фильтрации спама Rspamd 0.9" +/–

Сообщение от Аноним (-), 15-Май-15, 16:45

> прохождение письма через rspamd зачастую бывает дешевле по ресурсам
Есть ещё и намного больший фронт потенциальных уязвимостей в антиспаме, тем более на си.

Ответить | Правка | Наверх | Cообщить модератору

34. "Релиз системы фильтрации спама Rspamd 0.9" –1 +/–

Сообщение от cebka (?), 15-Май-15, 16:50

>> прохождение письма через rspamd зачастую бывает дешевле по ресурсам
> Есть ещё и намного больший фронт потенциальных уязвимостей в антиспаме, тем более
> на си.
То есть, MTA на Си, да еще и с собственным тюринг-полным языком конфигурации, вас не смущает, не так ли?

Ответить | Правка | Наверх | Cообщить модератору

35. "Релиз системы фильтрации спама Rspamd 0.9" +/–

Сообщение от Аноним (-), 15-Май-15, 17:06

Нет, не смущает. exim'у - 12лет, баги с парсером smtp там уже давно выловили. Передача данных smtp-сессии в обработку без фильтрации - ССЗБизм и не лечится.
А вы предлагаете выставить много свеженького, необкатанного и сложного сишного кода прямо к обработке потенциально ненадёжных данных, без особой на то необходимости. Причём не "вместо", а "в дополнение" к exim'у. Простите, но у вас пока нет истории безопасности.

Ответить | Правка | Наверх | Cообщить модератору

36. "Релиз системы фильтрации спама Rspamd 0.9" +/–

Сообщение от Аноним (-), 15-Май-15, 17:09

UPD: Даже не 12, а 20, википедия говорит, что первая версия появилась в 95году.

Ответить | Правка | Наверх | Cообщить модератору

38. "Релиз системы фильтрации спама Rspamd 0.9" +2 +/–

Сообщение от cebka (?), 15-Май-15, 18:50

Понятия "история безопасности" не существует. Вот история дыр и уязвимостей да, существует, и она у exim'а довольно богатая. Контент сканнер может запросто работать в отдельной песочнице, и даже при нахождении критических дыр он не взаимодействует с внешним миром никак, кроме DNS запросов и запросов к хранилищу нечетких хешей (что тоже отключается). В этом я вижу существенную разницу с MTA, который вынужден постоянно общаться с внешним миром. Я никак не могу прокомментировать все заявления касательно безопасности кода rspamd, потому как у всех комментаторов заведомо непробиваемая позиция: "наверняка в коде на си есть уязвимости" (причем, я с ней в какой-то мере согласен, но не видеть разницы между ошибкой и *эксплуатируемой* уязвимостью - это характерная черта подобных критиков). Конечно, с такой точки зрения не стоит вообще приближаться к компьютеру ни при каких обстоятельствах.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	18. "Релиз системы фильтрации спама Rspamd 0.9"	+/–
	Сообщение от Аноним (-), 15-Май-15, 12:33
	Напрямую они связаны. Грейлистинг - это собственно связка отправитель - получатель - ip отправителя. На этапе end-of-data уже нет возможности получить отдельного получателя, только всё скопом с копиями, скрытой копией и т.д. Это раз. Второе - даже если ты ответил 471 после end-of-data по указке rspamd - как ты узнаешь, что это письмо тебе уже приходило? Контент при retry будет тот же самый, rspamd опять ответит 471 и так далее до протухания письма в очереди на отправителе. Сам же rspamd такую статистику не ведёт, я смотрел исходники.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Релиз системы фильтрации спама Rspamd 0.9"	+/–
	Сообщение от cebka (?), 15-Май-15, 12:37
	> Напрямую они связаны. Грейлистинг - это собственно связка отправитель - получатель - > ip отправителя. На этапе end-of-data уже нет возможности получить отдельного получателя, > только всё скопом с копиями, скрытой копией и т.д. Это раз. Вы неправы. Эту информацию передает мильтр непосредственно rspamd через HTTP заголовки. Включая также IP, envelope информацию, helo и многое другое. > Второе - даже если ты ответил 471 после end-of-data по указке rspamd > - как ты узнаешь, что это письмо тебе уже приходило? Контент > при retry будет тот же самый, rspamd опять ответит 471 и > так далее до протухания письма в очереди на отправителе. Сам же > rspamd такую статистику не ведёт, я смотрел исходники. Вы не учли, что грейлистинг делает не rspamd, а milter. Rspamd лишь говорит: вот это письмо мне не очень нравится, давай попробуй его погрейлистить. Следовательно, если клиент приходит до истечения таймаута грейлистинга, то фильтруется он уже самим мильтром на стадии rcpt to.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Релиз системы фильтрации спама Rspamd 0.9"	+/–
	Сообщение от Аноним (-), 15-Май-15, 12:43
	> то фильтруется он уже самим мильтром на стадии rcpt to. Воот, то есть у нас будет 2 разных вызова мильтера, и из rcpt_verify (2+) и из data_verify (1). Не находите, что это несколько кривая и, мягко скажем, нетривиальная в поддержке конфигурация?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Релиз системы фильтрации спама Rspamd 0.9"	+/–
	Сообщение от cebka (?), 15-Май-15, 14:54
	>> то фильтруется он уже самим мильтром на стадии rcpt to. > Воот, то есть у нас будет 2 разных вызова мильтера, и из > rcpt_verify (2+) и из data_verify (1). Не находите, что это несколько > кривая и, мягко скажем, нетривиальная в поддержке конфигурация? Простите, я не смог понять ваш комментарий. Либо вы ничего не понимаете в том, как работает milter, либо не можете описать проблему.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Релиз системы фильтрации спама Rspamd 0.9"	+/–
	Сообщение от Аноним (-), 15-Май-15, 15:56
	Ну бывает, попробую расписать на примере. Первый заход: приходит хост, пытается слать письмо. rcpt_verify его пропускает, доходит до data_verify, там rspamd говорит - "данные левые, а сделай-ка ты greylist". Теперь у нас есть ip-отправителя, адрес отправителя из конверта, и получатели все скопом. Последнее плохо ложится в базу, а ещё в exim'е нет лёгкого способа разлепить обратно получателей на этом этапе. Ну хорошо, допустим отправили 4XX, хост ушёл, письмо не принято. Второй заход: приходит хост, пытается слать письмо. rcpt_verify опять его пропускает, потому что "почему бы и нет, мне никто не сказал что его надо грейлистить". Доходит до rspamd, тот опять говорит - "данные левые, а сделай-ка ты greylist". Теперь нам опять нужно разлепить получателей, угадать с тем, что мы выбрали в прошлый раз, и пнуть milter с greylisting'ом, чтоб тот проверил, пускать ли его дальше. Недостатки такого костыля: * письмо при каждой попытке доставки проходит через антиспам, хотя могло быть остановлено раньше и значительно дешевле по ресурсам. А раньше остановить его при данной схеме не получится, потому что почтовик не может на этапе rcpt_verify магическим образом угадать, что на data_verify его загрейлистят. Ни при первой, ни при последующих попытках доставки. * кастомный механизм "разлепить получателей" на эксимовском конфиге - это практически write-only. В результате образуется "незаменимый гуру", который после получасовой медитации возможно сможет вспомнить как оно работает. * как альтернатива предыдущему пункту - брать получателя "как есть", мириться с медленной работой базы грейлистинга, т.к. юзеры любят ставить в копию по 5-10-15 человек. * необходимость во внешнем мильтере грейлистинга и настройка их связки со rspamd. Конфиг становится "хрупким", и см выше про "гуру". Если уж мы всё равно каждый раз доводим почту до антиспама, так пусть тот сам и ведёт учёт попыток доставки, раз такой умный. По крайней мере это позволит избавиться от внешнего грейлистинга. // надеюсь понятно расписал
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Релиз системы фильтрации спама Rspamd 0.9"	+/–
	Сообщение от cebka (?), 15-Май-15, 16:06
	Спасибо, теперь понятно. К сожалению, я сам не использую связку exim+rspamd, но то, что вы описали действительно может быть проблемой, которая решается на уровне rspamd. В следующей версии я планирую сделать несколько уровней фильтрации письма: fast path - на этапе helo .. data и slow path - на этапе end of data. Тогда единственной проблемой будет сохранение состояния между двумя этими фазами, но тут надо смотреть, как это смогут делать MTA. Связка rmilter+postfix+rspamd умеет делать грейлистинг без лишних затрат (кроме самого первого раза). В любом случае, прохождение письма через rspamd зачастую бывает дешевле по ресурсам, чем оптимизация на уровне MTA (в отличие от того же SA).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Релиз системы фильтрации спама Rspamd 0.9"	+/–
	Сообщение от Аноним (-), 15-Май-15, 16:45
	> прохождение письма через rspamd зачастую бывает дешевле по ресурсам Есть ещё и намного больший фронт потенциальных уязвимостей в антиспаме, тем более на си.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Релиз системы фильтрации спама Rspamd 0.9"	–1 +/–
	Сообщение от cebka (?), 15-Май-15, 16:50
	>> прохождение письма через rspamd зачастую бывает дешевле по ресурсам > Есть ещё и намного больший фронт потенциальных уязвимостей в антиспаме, тем более > на си. То есть, MTA на Си, да еще и с собственным тюринг-полным языком конфигурации, вас не смущает, не так ли?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Релиз системы фильтрации спама Rspamd 0.9"	+/–
	Сообщение от Аноним (-), 15-Май-15, 17:06
	Нет, не смущает. exim'у - 12лет, баги с парсером smtp там уже давно выловили. Передача данных smtp-сессии в обработку без фильтрации - ССЗБизм и не лечится. А вы предлагаете выставить много свеженького, необкатанного и сложного сишного кода прямо к обработке потенциально ненадёжных данных, без особой на то необходимости. Причём не "вместо", а "в дополнение" к exim'у. Простите, но у вас пока нет истории безопасности.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Релиз системы фильтрации спама Rspamd 0.9"	+/–
	Сообщение от Аноним (-), 15-Май-15, 17:09
	UPD: Даже не 12, а 20, википедия говорит, что первая версия появилась в 95году.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Релиз системы фильтрации спама Rspamd 0.9"	+2 +/–
	Сообщение от cebka (?), 15-Май-15, 18:50
	Понятия "история безопасности" не существует. Вот история дыр и уязвимостей да, существует, и она у exim'а довольно богатая. Контент сканнер может запросто работать в отдельной песочнице, и даже при нахождении критических дыр он не взаимодействует с внешним миром никак, кроме DNS запросов и запросов к хранилищу нечетких хешей (что тоже отключается). В этом я вижу существенную разницу с MTA, который вынужден постоянно общаться с внешним миром. Я никак не могу прокомментировать все заявления касательно безопасности кода rspamd, потому как у всех комментаторов заведомо непробиваемая позиция: "наверняка в коде на си есть уязвимости" (причем, я с ней в какой-то мере согласен, но не видеть разницы между ошибкой и эксплуатируемой уязвимостью - это характерная черта подобных критиков). Конечно, с такой точки зрения не стоит вообще приближаться к компьютеру ни при каких обстоятельствах.
	Ответить \| Правка \| К родителю #35 \| Наверх \| Cообщить модератору