форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"спамопочта"
Сообщение от yoprst on 01-Июн-04, 17:26  (MSK)
народ спасайте! задолбали уже! каким образом получается так, что на мои домены приходят письма со спам.содержанием, НО, поля TO: и(или) FROM: стоят настоящие (от которых и для которых я получаю\отправляю письма) меня интересует как такая подмена происходит, как оно работает
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "спамопочта"
Сообщение от temny (??) on 01-Июн-04, 17:52  (MSK)
>народ спасайте! задолбали уже! > >каким образом получается так, что на мои >домены приходят письма со спам.содержанием, НО, >поля TO: и(или) FROM: стоят настоящие (от которых >и для которых я получаю\отправляю письма) > >меня интересует как такая подмена происходит, как оно работает Здесь вопрос не в подмене - то, что отдаётся почтовику в mail from: и rcpt to: - это дело почтовика - эта информация необходима почтовому серверу для того, чтобы определить ящик, в который положить письмо. Именно в зависимости от значения "rpct to:" происходит раскладка писем по ящикам. А то, что выводится в mail-клиенте при прочтении почты - это заголовки, которые отдаются на стадии data: Т.е. диалог получается следующий: mail from: someuser@domain.com rcpt to: user1@yourdomain.com data: // Пошли заголовки Received: from... Received: from... ... From: anyuser@anydomain.com To: anyuser@anydomain.com ... // Заголовки закончились и пошел текст письма И в этом нет ничего ненормального - всё по rfc. Без данного механизма, например, небыло бы возможности использовать скрытую копию (BCC - blind carbon copy). Хотя сейчас, в то время, когда этого почтового мусора стало очень много, многое в RFC-821 было бы хорошо изменить 8) Но в далёком 1982м об этом ещё никто не задумывался 8) http://www.faqs.org/rfcs/rfc821.html
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "спамопочта"
	Сообщение от yoprst on 01-Июн-04, 18:10  (MSK)
	>>народ спасайте! задолбали уже! >> >>каким образом получается так, что на мои >>домены приходят письма со спам.содержанием, НО, >>поля TO: и(или) FROM: стоят настоящие (от которых >>и для которых я получаю\отправляю письма) >> >>меня интересует как такая подмена происходит, как оно работает > >Здесь вопрос не в подмене - то, что отдаётся почтовику в mail >from: и rcpt to: - это дело почтовика - эта информация >необходима почтовому серверу для того, чтобы определить ящик, в который положить >письмо. Именно в зависимости от значения "rpct to:" происходит раскладка писем >по ящикам. >А то, что выводится в mail-клиенте при прочтении почты - это заголовки, >которые отдаются на стадии data: >Т.е. диалог получается следующий: >mail from: someuser@domain.com >rcpt to: user1@yourdomain.com >data: >// Пошли заголовки >Received: from... >Received: from... >... >From: anyuser@anydomain.com >To: anyuser@anydomain.com >... >// Заголовки закончились и пошел текст письма > > >И в этом нет ничего ненормального - всё по rfc. >Без данного механизма, например, небыло бы возможности использовать скрытую копию (BCC - >blind carbon copy). >Хотя сейчас, в то время, когда этого почтового мусора стало очень много, >многое в RFC-821 было бы хорошо изменить 8) Но в далёком >1982м об этом ещё никто не задумывался 8) >http://www.faqs.org/rfcs/rfc821.html понял. что делать ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "спамопочта"
	Сообщение от Nickolay (??) on 01-Июн-04, 18:15  (MSK)
	прикручивать спам-фильтр
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "спамопочта"
	Сообщение от temny (ok) on 01-Июн-04, 18:20  (MSK)
	>понял. >что делать ? "Что делать и кто виноват?" 8) Если бы я знал - я бы уже сделал 8) Здесь следует определить две вещи: 1. Что вообще хочешь сделать? Возможные варианты: - давать отлуп только подобным письмам (либо отлуп на стадии приёма, либо удаление после получения) - двигаться в сторону какой-либо комплексной системы фильтрации почты (Т.е. использование систем анализа текста, анализ заголовков, поиск по RBL и т.п.) - свой вариант 2. Какой почтовый сервер используется.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "спамопочта"
	Сообщение от yoprst on 01-Июн-04, 18:29  (MSK)
	>>понял. >>что делать ? > >"Что делать и кто виноват?" 8) >Если бы я знал - я бы уже сделал 8) > >Здесь следует определить две вещи: >1. Что вообще хочешь сделать? >Возможные варианты: > - давать отлуп только подобным письмам (либо отлуп на стадии приёма, >либо удаление после получения) > - двигаться в сторону какой-либо комплексной системы фильтрации почты (Т.е. использование >систем анализа текста, анализ заголовков, поиск по RBL и т.п.) насколько я понимаю, мне надо фильтровать заголовок,тело . (на "что" фильтровать тоже кстати вопрос? на "виагра" :) ? > - свой вариант > >2. Какой почтовый сервер используется. постфикс. стоит амавис, но как видите не справляется.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "спамопочта"
	Сообщение от temny (ok) on 01-Июн-04, 18:57  (MSK)
	>насколько я понимаю, мне надо фильтровать заголовок,тело . >(на "что" фильтровать тоже кстати вопрос? на "виагра" :) ? >постфикс. стоит амавис, но как видите не справляется. С постфиксом я вообще не сталкивался - здесь я не советчик. Знаю, что в sendmail, если постараться, проверку соответствия rcpt to: и To: организовать можно, но это не просто. А вот проверку на слово "виагра" и подобное - думаю можно организовать лишь с использованием полноценных программных продуктов типа spamassassin (www.spamassassin.org), или чего-нибуть платного. К sendmail я прикручивал spamassassin, предварительно написав пару сотен правил для "понимания" русского языка. Я не уверен, что мои правила сохранились, но если будут нужны - поищу. Теперь по поводу spamassassin Проверка писем основана на правилах и их "весах" (т.е. если в письме встречается слово "виагра" - добавить к письму 10 очков). Если письмо набрало более 20 очков - удалять, менять тему, менять заголовки (багатство выбора). Удобным является возможность использовать regex при составлении правил т.е. одно правило может ловить и "viagra" и "v1agra" и "via9ra". Минусы - программа написана на perl, и поэтому появляются накладные расходы на запуск интерпретатора. Накладные расходы можно существенно сократить, используя демоны spamc/spamd Хотя, если задачей является проверка лишь на одно правило (виагра) - в некоторых случаях можно воспользоваться procmail - простое и лёгке решение. При помощи этого же procmail можно проверять соответствие rcpt to: и To:, но перед этим надо заставить постфикс куда-то ложить результат "rcpt to:" (by-default эта информация остайтся только в логах почтового сервера) в заголовки письма. Т.е. заставить постфикс добавлять в заголовок строчку типа: Х-Comment: здесь результат rcpt-to Мои соображения имеют полуторагодичную давность, т.е. уже полтора года я не слежу за новиками среди фильтров и их особенностями. Если где был не точен/ошибся - подправте плз.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "спамопочта"
	Сообщение от yoprst on 02-Июн-04, 12:51  (MSK)
	> >К sendmail я прикручивал spamassassin, предварительно написав пару сотен правил для "понимания" >русского языка. Я не уверен, что мои правила сохранились, но если >будут нужны - поищу. > >Теперь по поводу spamassassin >Проверка писем основана на правилах и их "весах" (т.е. если в письме >встречается слово "виагра" - добавить к письму 10 очков). Если письмо >набрало более 20 очков - удалять, менять тему, менять заголовки (багатство >выбора). >Удобным является возможность использовать regex при составлении правил >т.е. одно правило может ловить и "viagra" и "v1agra" и "via9ra". >Минусы - программа написана на perl, и поэтому появляются накладные расходы на >запуск интерпретатора. Накладные расходы можно существенно сократить, используя демоны spamc/spamd > СПАСИБО поставил spamasasin (spamd/spamc). фильтрует. пока все письма набирают 0 очков :) поищи пожалуста руские правила ,если найдутся , кинь на мыло
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "спамопочта"
	Сообщение от Magic (??) on 08-Июн-04, 05:48  (MSK)
	> >СПАСИБО >поставил spamasasin (spamd/spamc). фильтрует. пока все письма набирают >0 очков :) >поищи пожалуста руские правила ,если найдутся , кинь на мыло Spamassassin понимает русский, тебе нужно запустить в работу тест Байеса, который использует базу слов, последовательность фраз встречающихся в спаме. Имеет опцию самообучения. Спам фильтруется процентов на 90. зы Если твои письма набирают 0 очков - значит что-то у тебя не пашет ;) при работающем спамассассине 0 не может получится.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "спамопочта"
	Сообщение от KBAKEP (??) on 01-Июн-04, 20:36  (MSK)
	>>>понял. >>>что делать ? >> >>2. Какой почтовый сервер используется. >постфикс. стоит амавис, но как видите не справляется. Можно обезопасить себя от некоторого кол-ва спама таким образом: smtpd_client_restrictions =         ...         check_client_access hash:/etc/postfix/maps/access_client,         reject_rbl_client some.blacklist.server,         ... где hash:/etc/postfix/maps/access_client файл со списком спамсерверов, созданный вами вручую, а some.blacklist.server сервер со списком, сделанный кем-то другим.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "спамопочта"
Сообщение от ipmanyak (ok) on 08-Июн-04, 06:31  (MSK)
включи эти опции: smtpd_client_restrictions = reject_rbl_client t1.bl.reynolds.net.au smtpd_client_restrictions = reject_rbl_client bl.spamcop.net smtpd_client_restrictions = reject_rbl_client list.dsbl.org smtpd_client_restrictions = reject_rbl_client dnsbl.njabl.org smtpd_client_restrictions = reject_rbl_client relays.ordb.org smtpd_client_restrictions = reject_rbl_client ex.dnsbl.org smtpd_client_restrictions = reject_rbl_client dul.ru smtpd_client_restrictions = reject_rbl_client dun.dnsrbl.net smtpd_client_restrictions = reject_rbl_client spam.dnsrbl.net smtpd_client_restrictions = reject_rbl_client dnsbl.sorbs.net # Reject the request when the sender mail address has no DNS A or MX record. # The unknown_address_reject_code  parameter specifies the response code for rejected requests (default: 450). # The response is always 450 in case of a temporary DNS error. smtpd_client_restrictions = reject_unknown_recipient_domain # The smtpd_helo_required parameter determines if clients must send a HELO (or EHLO) command # at the beginning of an SMTP session.  Requiring this will stop some UCE software. smtpd_helo_required = yes # Reject the request when the hostname in the client HELO (EHLO) command is not in fully-qualified domain form, # as required by the RFC.  non_fqdn_reject_code specifies the response code to rejected requests (default: 504). smtpd_helo_restrictions = reject_non_fqdn_sender # Reject the request when the hostname in the client HELO (EHLO) command has no DNS A or MX record. # The unknown_hostname_reject_code specifies the response code to rejected requests (default: 450). # smtpd_helo_restrictions = reject_unknown_hostname #     Reject the request when the client HELO or EHLO parameter has a bad hostname syntax. #     The invalid_hostname_reject_code specifies the response code to rejected requests (default: 501). smtpd_helo_restrictions = reject_invalid_hostname спам будет резаться уже на уровне DNS и на стадии коннекта, в отличие от спамассасина, который сначала принимает пиьсмо, а потом уже режет и трафик не экономит. 90% спама режется именно так.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "спамопочта"
	Сообщение от uldus (ok) on 11-Июн-04, 23:34  (MSK)
	>smtpd_client_restrictions = reject_rbl_client t1.bl.reynolds.net.au >smtpd_client_restrictions = reject_rbl_client bl.spamcop.net >smtpd_client_restrictions = reject_rbl_client list.dsbl.org >smtpd_client_restrictions = reject_rbl_client dnsbl.njabl.org >smtpd_client_restrictions = reject_rbl_client relays.ordb.org >smtpd_client_restrictions = reject_rbl_client ex.dnsbl.org >smtpd_client_restrictions = reject_rbl_client dul.ru >smtpd_client_restrictions = reject_rbl_client dun.dnsrbl.net >smtpd_client_restrictions = reject_rbl_client spam.dnsrbl.net Засеките сколько времени потратит postfix на проверку одного IP через все эти RBL, особенно при отказе одного из DNS серверов. >smtpd_client_restrictions = reject_rbl_client dnsbl.sorbs.net Сурово. >smtpd_client_restrictions = reject_unknown_recipient_domain Жестоко. Это для себя или для клиентов ? Если для себя, то можно еже все кроме text/plain в US-ASCII и KOI8-R резать, если для клиентов, то прямо фашизм какой-то ;-)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "спамопочта"
	Сообщение от logka (??) on 13-Июн-04, 15:10  (MSK)
	>>smtpd_client_restrictions = reject_rbl_client t1.bl.reynolds.net.au >>smtpd_client_restrictions = reject_rbl_client bl.spamcop.net >>smtpd_client_restrictions = reject_rbl_client list.dsbl.org >>smtpd_client_restrictions = reject_rbl_client dnsbl.njabl.org >>smtpd_client_restrictions = reject_rbl_client relays.ordb.org >>smtpd_client_restrictions = reject_rbl_client ex.dnsbl.org >>smtpd_client_restrictions = reject_rbl_client dul.ru >>smtpd_client_restrictions = reject_rbl_client dun.dnsrbl.net >>smtpd_client_restrictions = reject_rbl_client spam.dnsrbl.net > >Засеките сколько времени потратит postfix на проверку одного IP через все эти >RBL, особенно при отказе одного из DNS серверов. > >>smtpd_client_restrictions = reject_rbl_client dnsbl.sorbs.net > ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Действительно лишнее  dnsbl.sorbs.net давно работает уже хреново и невменяемо ;) В этой базе очень много крупных провайдеров и тд.... >Сурово. > > >>smtpd_client_restrictions = reject_unknown_recipient_domain > >Жестоко. > Нормально.... если я не знаю кто ты, то какого фига буду от тя письма принимать ? :) > >Это для себя или для клиентов ? Если для себя, то можно >еже все кроме text/plain в US-ASCII и KOI8-R резать, если для >клиентов, то прямо фашизм какой-то ;-) нифига не фашизм! Это нормально! Вот новый постфикс умеет еще и проверку на обратную доставку делать - это руль.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "спамопочта"
Сообщение от Дмитрий Ю. Карпов on 13-Июн-04, 22:49  (MSK)
http://prof.pi2.ru -> "Смерть спаму!!!" 1) Попробуй собрать IP-номера, с которых приходит спам. Узнай через TraceRoute и WhoIs провайдера/хозяина сетИ. Пожалуйся ему (им). Если не поможет - заблокируй приём почты с этих IP-номеров средствами почтового сервера или FireWall. 2) Выясни, какие истинные координаты содержатся в спаме - номера телефонов, адреса E-mail, адреса сайтов. * На телефоны позвони, проверь, их ли это реклама, и объясни максимально матерно, кто они такие и в каких позициях ты хочешь иметь с ними коитус. * На E-mail пошли то же самое, что и выше, плюс сотню писем по полмегабайта каждое. * Для сайта выясни, кто владелец доменного имени и IP-номера, а также, кто провайдер; далее см.пункт первый. * Можно нанести личный визит, сопровождающийся насилием в сугубо извращённой форме, но я тебе этого не советую. PS: Я преподаю курс "Сети и архитектуры ЭВМ" в МФТИ; курс "FreeBSD как сервер Internet и LAN" в StinsComan; а при необходимости могу прочитать курс русского матерного для общения со спамерами, :-) благо сам ппрактикую это давно и довольно успешно; но не демаю, что модератор позволит публиковать последний курс здесь.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.