forum.opennet.ru - "Скрипт для бана спаммерских сетей чер файрвол." (19)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Скрипт для бана спаммерских сетей чер файрвол."

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Скрипт для бана спаммерских сетей чер файрвол."
Сообщение от Maxim09 (ok) on 12-Апр-09, 19:58
Вот создал для себя небольшую системку может кому понадобится. сетки обновляются раз в час. #!/bin/sh wget www.uraldata.ru/spam.txt -O /tmp/spam.txt iptables -L INPUT -n \| awk '{print $4}' \| grep -Eio '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' \| sort \| uniq > /tmp/iptables.txt sort /tmp/iptables.txt /tmp/spam.txt \| uniq -u > /tmp/addiptables.txt for clon in ` awk '{ print $1 }' < /tmp/addiptables.txt` do iptables -A INPUT -s $clon/24 -p tcp -m multiport --dports 25 -j DROP echo $clon done
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Скрипт для бана спаммерских сетей чер файрвол., Pahanivo, 21:13 , 12-Апр-09, (1)

Скрипт для бана спаммерских сетей чер файрвол., Maxim09, 21:40 , 12-Апр-09, (2)

Скрипт для бана спаммерских сетей чер файрвол., shadow_alone, 00:23 , 13-Апр-09, (3)

Скрипт для бана спаммерских сетей чер файрвол., Maxim09, 00:55 , 13-Апр-09, (4)

Скрипт для бана спаммерских сетей чер файрвол., Pahanivo, 09:26 , 13-Апр-09, (5)

Скрипт для бана спаммерских сетей чер файрвол., Maxim09, 13:37 , 13-Апр-09, (6)

Скрипт для бана спаммерских сетей чер файрвол., Pahanivo, 14:37 , 13-Апр-09, (7)

Скрипт для бана спаммерских сетей чер файрвол., Maxim09, 17:04 , 13-Апр-09, (8)

Скрипт для бана спаммерских сетей чер файрвол., mikra, 17:50 , 13-Апр-09, (9)

Скрипт для бана спаммерских сетей чер файрвол., Maxim09, 18:56 , 13-Апр-09, (10)

Скрипт для бана спаммерских сетей чер файрвол., mikra, 19:40 , 13-Апр-09, (11)

Скрипт для бана спаммерских сетей чер файрвол., Maxim09, 20:14 , 13-Апр-09, (12)

Скрипт для бана спаммерских сетей чер файрвол., mikra, 21:40 , 13-Апр-09, (13)

Скрипт для бана спаммерских сетей чер файрвол., Maxim09, 22:58 , 13-Апр-09, (14)

Скрипт для бана спаммерских сетей чер файрвол., mikra, 23:32 , 13-Апр-09, (15)

Скрипт для бана спаммерских сетей чер файрвол., Medlar, 12:55 , 14-Апр-09, (16)

Скрипт для бана спаммерских сетей чер файрвол., Pahanivo, 15:40 , 14-Апр-09, (17)

Скрипт для бана спаммерских сетей чер файрвол., Medlar, 15:51 , 14-Апр-09, (18)

Скрипт для бана спаммерских сетей чер файрвол., mikra, 16:57 , 14-Апр-09, (19)

Сообщения по теме [Сортировка по времени | RSS]

1. "Скрипт для бана спаммерских сетей чер файрвол."

Сообщение от Pahanivo (??) on 12-Апр-09, 21:13

>[оверквотинг удален]
>#!/bin/sh
>wget www.uraldata.ru/spam.txt -O /tmp/spam.txt
>iptables -L INPUT -n | awk '{print $4}' | grep -Eio '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sort | uniq > /tmp/iptables.txt
>sort /tmp/iptables.txt /tmp/spam.txt | uniq -u > /tmp/addiptables.txt
>for clon in ` awk '{ print $1 }' < /tmp/addiptables.txt`
>do
>iptables -A INPUT -s $clon/24 -p tcp -m multiport --dports 25 -j
>DROP
>echo $clon
>done
а смысл? ))
про rbl smtp слышал когданибудь?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Скрипт для бана спаммерских сетей чер файрвол."

Сообщение от Maxim09 (ok) on 12-Апр-09, 21:40

>>[оверквотинг удален]
>а смысл? ))
>про rbl smtp слышал когданибудь?
-------
Слышал и даже видел,
При большем объеме очень неинтересно получается.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Скрипт для бана спаммерских сетей чер файрвол."

Сообщение от shadow_alone (??) on 13-Апр-09, 00:23

>>>[оверквотинг удален]
>>а смысл? ))
>>про rbl smtp слышал когданибудь?
>
>-------
>Слышал и даже видел,
>При большем объеме очень неинтересно получается.
а откуда берутся сети?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Скрипт для бана спаммерских сетей чер файрвол."

Сообщение от Maxim09 (ok) on 13-Апр-09, 00:55

>а откуда берутся сети?
------
из аналитики входящего спама.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Скрипт для бана спаммерских сетей чер файрвол."

Сообщение от Pahanivo (ok) on 13-Апр-09, 09:26

>>>[оверквотинг удален]
>>а смысл? ))
>>про rbl smtp слышал когданибудь?
>
>-------
>Слышал и даже видел,
>При большем объеме очень неинтересно получается.
очень даже интересно и быстро с учетом кеширования этих записей на ДНС сервере
никто не запрещае использовать оба метода параллельно - благо они работают на разных уровнях

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Скрипт для бана спаммерских сетей чер файрвол."

Сообщение от Maxim09 (ok) on 13-Апр-09, 13:37

>>>>[оверквотинг удален]
>очень даже интересно и быстро с учетом кеширования этих записей на ДНС
>сервере
>никто не запрещае использовать оба метода параллельно - благо они работают на
>разных уровнях
----------------------
Мне не хочется из за одного спамера плодить кучу процессов.
Поэтому и решил пойти таким путем.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Скрипт для бана спаммерских сетей чер файрвол."

Сообщение от Pahanivo (ok) on 13-Апр-09, 14:37

>>>>>[оверквотинг удален]
>>очень даже интересно и быстро с учетом кеширования этих записей на ДНС
>>сервере
>>никто не запрещае использовать оба метода параллельно - благо они работают на
>>разных уровнях
>
>----------------------
>Мне не хочется из за одного спамера плодить кучу процессов.
>Поэтому и решил пойти таким путем.
конечно , гораздо проще прогонять пакеты через тыщи правил фаревола ))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Скрипт для бана спаммерских сетей чер файрвол."

Сообщение от Maxim09 (ok) on 13-Апр-09, 17:04

>>>>>>[оверквотинг удален]
>конечно , гораздо проще прогонять пакеты через тыщи правил фаревола ))
------------------
Каждый день дает новые мысли для размышления )))
Я незадумывался что обьем выйдет за 20тыс записей, в свободное время подумаю над аггрегацией и приоритетом.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Скрипт для бана спаммерских сетей чер файрвол."

Сообщение от mikra on 13-Апр-09, 17:50

Обязательно к прочтению
http://www.spamtest.ru/document.html?context=15928&pubid=19240
Во-первых подсеть /24 взята с потолка. Провайдеры могут выдавать временные внешние адреса клиентам из диапазона /20 или, например, /17.
Во-вторых правила не очищаются. Если бы спам шел из одной сети или с измеряемого числа компов, то милион-другой правил давно решил бы проблему спама для всех. Но вот беда, спамеров так много повсюду, они появляются и исчезают... придется весь инет забанить чтоб защититься :) Выдерни кабель, не мучайся :)
А в-третьих, если из-за домохозяйки, которая подцепила трояна ты банишь мою подсеть, то создаешь проблемы толпе постороннего народа плюс своему юзеру, которому я хочу отправить письмо. Конечно, если ты работаешь в гмаиле, то плюс-минус толпа для тебя незаметна. Но если ты хочешь чтобы твой небольшой сервер пропускал полезные сообщения, то надо что-то менять.
И последнее. Однажды ты столкнешься с почтовым сервером другого такого же умельца и испытаешь не самые приятные ощущения :)
Самому мастерить что-то это прекрасно, но сперва нужно подготовитсья, чертежи скворечника изучить... А пока настрой spf, поставь spamassassin и настрой в MTA фильтр по оценке spamassassin. Толку-то побольше будет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Скрипт для бана спаммерских сетей чер файрвол."

Сообщение от Maxim09 (ok) on 13-Апр-09, 18:56

>Обязательно к прочтению
>http://www.spamtest.ru/document.html?context=15928&pubid=19240
Да спасибо читал давненько уже правда ))))
>
>Во-первых подсеть /24 взята с потолка. Провайдеры могут выдавать временные внешние адреса
>клиентам из диапазона /20 или, например, /17.
Спасибо что посмотрели, согласен цифра 24 взята с потолка, попозже я написал что будет свободное время я сделаю аггрегацию сетей.
>Во-вторых правила не очищаются. Если бы спам шел из одной сети или
>с измеряемого числа компов, то милион-другой правил давно решил бы проблему
>спама для всех. Но вот беда, спамеров так много повсюду, они
>появляются и исчезают... придется весь инет забанить чтоб защититься :) Выдерни
>кабель, не мучайся :)
Доработаем не волнуйтесь ))), да не мучаюсь я, все работает отлично спама минимум )
>А в-третьих, если из-за домохозяйки, которая подцепила трояна ты банишь мою подсеть,
>то создаешь проблемы толпе постороннего народа плюс своему юзеру, которому я
>хочу отправить письмо. Конечно, если ты работаешь в гмаиле, то плюс-минус
>толпа для тебя незаметна. Но если ты хочешь чтобы твой небольшой
>сервер пропускал полезные сообщения, то надо что-то менять.
Действительно меня мало волнует толпа домохозяек подключенных по адсл в китае или мексике ))
Ну как я могу создавать проблемы юзеру в китае которых хочет отпавить письмо не через свой нормальный сервер, а напрямую на мой ?
Понял намек еще на создание белого списка )))
>Самому мастерить что-то это прекрасно, но сперва нужно подготовитсья, чертежи скворечника изучить...
>А пока настрой spf, поставь spamassassin и настрой в MTA фильтр
>по оценке spamassassin. Толку-то побольше будет.
Нету у меня с этим проблем, проблема одна 50-100 коннектов в секунду непрекращающихся.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Скрипт для бана спаммерских сетей чер файрвол."

Сообщение от mikra on 13-Апр-09, 19:40

>Спасибо что посмотрели, согласен цифра 24 взята с потолка, попозже я написал
>что будет свободное время я сделаю аггрегацию сетей.
Нутк а исходными данными для аггрегации будут адреса спамеров /32? /24? Просто /32 можно собирать бесконечно долго, а любая другая маска будет взятой с потолка.
>Действительно меня мало волнует толпа домохозяек подключенных по адсл в китае или
>мексике ))
>Ну как я могу создавать проблемы юзеру в китае которых хочет отпавить
>письмо не через свой нормальный сервер, а напрямую на мой ?
>
>Понял намек еще на создание белого списка )))
Неет погоди, давай по очереди. Если ты вводишь новый критерий "страна отправителя", то почему не подумать о geoip с белым списком?
А с толпой нельзя так. Смотри последний пункт - сам наткнешься на такого же умельца неприятно будет, поймешь. Если у меня дома стоит линуксовый сервер со своим почтовиком, а провайдер не дает на мой ип A или PTR запись, да еще и сосед в ботнет вступил, то твои фильтры я никогда не пройду. Ты считаешь, что я не могу пользоваться почтой или обязан пользоваться смартхостом провайдерским? Задаешь новые стандарты почтовой связи? :) Конечно, какой-ньть там маилру тоже так делает. Но их целевая аудитория никогда о линуксе не слышала. А у тебя пока не те масштабы. Да и перенимать нужно доброе и вечное, а не все подряд :)
>Нету у меня с этим проблем, проблема одна 50-100 коннектов в секунду
>непрекращающихся.
Ну чтож, бывает и такое. Но банить весь мир это не решение.
Может дело в спамтрапе, который привлекает полчища спамеров из-за удачного приема всей подряд почты? Или в настройках почтового сервера, который любит все отдавать spamassassin'у, не удосуживаясь элементарными проверками отправителя? Удачная отправка почты повышает рейтинг адреса у спамеров, так что спама начинает сыпаться еще больше. А может это ддос с повторяющихся адресов? Неужели всех порубить - последний шанс?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Скрипт для бана спаммерских сетей чер файрвол."

Сообщение от Maxim09 (ok) on 13-Апр-09, 20:14

>Нутк а исходными данными для аггрегации будут адреса спамеров /32? /24? Просто
>/32 можно собирать бесконечно долго, а любая другая маска будет взятой
>с потолка.
Будет /24 с Критерием 1, если отуда было хоть одно письмо спама. в данном случае будет ограничение но не блокирование, на основании того что спамер долго с одного ip не живет.
Это пока вопрос будующего, система должна быть простой и эффективной.
>Неет погоди, давай по очереди. Если ты вводишь новый критерий "страна отправителя",
>то почему не подумать о geoip с белым списком?
Потому что приведении geoip с белым списком мы как раз попадаем в неприятную ситуацию.
А вот в случае страна+наличие дсл или впн и всякой фигни то нормально.
>А с толпой нельзя так. Смотри последний пункт - сам наткнешься на
>такого же умельца неприятно будет, поймешь. Если у меня дома стоит
>линуксовый сервер со своим почтовиком, а провайдер не дает на мой
>ип A или PTR запись, да еще и сосед в ботнет
>вступил, то твои фильтры я никогда не пройду. Ты считаешь, что
>я не могу пользоваться почтой или обязан пользоваться смартхостом провайдерским? Задаешь
>новые стандарты почтовой связи? :) Конечно, какой-ньть там маилру тоже так
>делает. Но их целевая аудитория никогда о линуксе не слышала. А
>у тебя пока не те масштабы. Да и перенимать нужно доброе
>и вечное, а не все подряд :)
Если ip чистый и несостоит в никаких списках то почему бы и не принять от него почту, а вот если список в черных списках то зачем от него принимать почту? что бы делать трап?
>Ну чтож, бывает и такое. Но банить весь мир это не решение.
На самом деле дело не в бане всего мира а снижении точно ненужной нагрузки на сервер и сети.
>Может дело в спамтрапе, который привлекает полчища спамеров из-за удачного приема всей
>подряд почты? Или в настройках почтового сервера, который любит все отдавать
>spamassassin'у, не удосуживаясь элементарными проверками отправителя? Удачная отправка почты повышает рейтинг
>адреса у спамеров, так что спама начинает сыпаться еще больше. А
>может это ддос с повторяющихся адресов? Неужели всех порубить - последний
>шанс?
Я же сказал уже все нормально )))), вопрос в 50-100 ненужных коннектов в секунду.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Скрипт для бана спаммерских сетей чер файрвол."

Сообщение от mikra on 13-Апр-09, 21:40

>Будет /24 с Критерием 1, если отуда было хоть одно письмо спама.
>в данном случае будет ограничение но не блокирование, на основании того
>что спамер долго с одного ip не живет.
>
>На самом деле дело не в бане всего мира а снижении точно
>ненужной нагрузки на сервер и сети.
С весовым коэффициентом 1.
Ага, значит берем маску с потолка, и все кто в нее попал это точно ненужная нагрузка. Железная логика :)
>>Неет погоди, давай по очереди. Если ты вводишь новый критерий "страна отправителя",
>>то почему не подумать о geoip с белым списком?
>Потому что приведении geoip с белым списком мы как раз попадаем в
>неприятную ситуацию.
>А вот в случае страна+наличие дсл или впн и всякой фигни то
>нормально.
Таксм, система развивается на глазах. Значит китайцев с адсл будем банить не глядя. А наших? А как насчет ближнего зарубежья? А если там партнеры по бизнесу? Для конторы сервак-то или домашний? А если рассылочку подписал себе полезную? Думаешь все сервера в инете в датацентрах крутятся?
Да и белые списки... А вдруг с гмайла почта придет? С маилкома, хотмайла, яху? Всех почтовых хостеров заморских переберешь? Спам ведь и оттуда ходит, плюс твой геоип их забракует. Да и потом, почта отправляется через MTA почтового хостера только если ты пользуешься им как релеем. Это ни капли не обязательное условие и почту ты можешь отправлять напрямую на смтп сервер получателя например из своего дома, с работы, через релей/смартхост своего провайдера или например с линуксового ноута через жпрс. Помешать может только spf, но у массовых почтовых сервисов spf разрешает отправлять почту откуда угодно.
>>Если у меня дома стоит
>>линуксовый сервер со своим почтовиком, а провайдер не дает на мой
>>ип A или PTR запись, да еще и сосед в ботнет
>>вступил, то твои фильтры я никогда не пройду. Ты считаешь, что
>>я не могу пользоваться почтой или обязан пользоваться смартхостом провайдерским? Задаешь
>
>Если ip чистый и несостоит в никаких списках то почему бы и
>не принять от него почту, а вот если список в черных
>списках то зачем от него принимать почту?
Как "почему бы и не принять"? Мой-то ип чистый, это сосед в ботнет вступил, а я рядом в /24 оказался. Ты нас первым пунктом и забраковал. Правда сосед внешний ип не покупал и у него после ребута он изменится в пределах /17, а я покупал и буду обламываться с клеймом "сосед спамера". Затрояненых компов по статистике немало, так что с большой вероятностью рядом со мной в /24 всегда будет какой-ньть сосед-спамер и я буду вечно в бане. Да и не только я, а /24 минус один сосед, которому этот бан и предназначен.
Скворечник-то сферический получается, осталось вакуум создать :) Может еще разок ссылочку перечитаешь? Там вообще-то все серьезно пишут, не юмор это.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Скрипт для бана спаммерских сетей чер файрвол."

Сообщение от Maxim09 (ok) on 13-Апр-09, 22:58

Поскипано за придумывание автора поста своей версии работы программы.

Я конечно понимаю что наступаю комуто на больную мозоль, но тем неменее буду развивать дальше это направление, за пару новых идей огромное спасибо.

>Скворечник-то сферический получается, осталось вакуум создать :) Может еще разок ссылочку перечитаешь?
>Там вообще-то все серьезно пишут, не юмор это.
Скворечник хороший будет ))), я никому ведь ненавязываю его использование. А аналитику я всетаки у себя оставлю что считать спамом а что нет. На первый раз получилось громозко и неуклюже, я себе это как то подругому представлял, но тем неменее очень эффективно и без бед, еще раз спасибо за идеи ушел придумывать более модифицированный вариант. с учетом наработанного )

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Скрипт для бана спаммерских сетей чер файрвол."

Сообщение от mikra on 13-Апр-09, 23:32

Вот и вакуум образовался.
>еще раз спасибо за идеи ушел придумывать более модифицированный вариант. с
>учетом наработанного )
Ох уж эти сочинители...
Лучше бы ты с учетом rfc свои алгоритмы сочинял. А еще бы мировой опыт борьбы со спамом учел вместо того чтоб по граблям прыгать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Скрипт для бана спаммерских сетей чер файрвол."

Сообщение от Medlar (ok) on 14-Апр-09, 12:55

>Ох уж эти сочинители...
>Лучше бы ты с учетом rfc свои алгоритмы сочинял. А еще бы
>мировой опыт борьбы со спамом учел вместо того чтоб по граблям
>прыгать.
ИМХО, человек так устроен, что те грабли, на которые он наступил ЛИЧНО, и, как следствие, приобретенный опыт гораздо ценнее/дороже/доходчивее/понятнее/убедительнее (нужное подчеркнуть) нежели ЧУЖАЯ шишка на лбу, благоприобретенная в результате сотрудничества с теми же граблями ...
Может, автору и нужно пройти этот путь с тем, чтобы в результате родилось что-то по-настоящему ценное, но абс-но другое.
А от себя совет автору: при построении собсвенной антиспам-системы собирать такие IP можно, и может даже нужно (ес-но с регулярным обновлением и удалением "исправившихся").
Только меры желательно применять другие: добавлять баллы к спам-весу и на основе конечного спам-веса
откладывать письма в карантин/помечать письмо спам-меткой/что_то еще.
Естественно, вся прелесть вашего подхода (спама нет в принципе) при этом испаряется.
Но единственное по ошибке отвергнутое письмо может так испортить вам биографию, что вы 1000 раз пожалеете, что были так категоричны. Нет, не с нами, а с отказами в соединениях через iptables.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Скрипт для бана спаммерских сетей чер файрвол."

Сообщение от Pahanivo (ok) on 14-Апр-09, 15:40

>[оверквотинг удален]
>"исправившихся").
>Только меры желательно применять другие: добавлять баллы к спам-весу и на основе
>конечного спам-веса
>откладывать письма в карантин/помечать письмо спам-меткой/что_то еще.
>
>Естественно, вся прелесть вашего подхода (спама нет в принципе) при этом испаряется.
>
>Но единственное по ошибке отвергнутое письмо может так испортить вам биографию, что
>вы 1000 раз пожалеете, что были так категоричны. Нет, не с
>нами, а с отказами в соединениях через iptables.
ага это все учитывая что автор совершенно ен владеет теорией спамборьбы ))
иначе бы он такое и не придумал делать ))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Скрипт для бана спаммерских сетей чер файрвол."

Сообщение от Medlar (??) on 14-Апр-09, 15:51

>ага это все учитывая что автор совершенно ен владеет теорией спамборьбы ))
да научится, какие его годы ...
Кстати, автор, какой у вас MTA?
>иначе бы он такое и не придумал делать ))
Ну IP проверять - тоже дело полезное.
Например, Спамооборона не гнушается вести свои собственные dnsbl.
Только ответное действие должно быть адекватным, а не из пушки по воробьям:
раз в BL попал - значит, однозначный отлуп.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Скрипт для бана спаммерских сетей чер файрвол."

Сообщение от mikra on 14-Апр-09, 16:57

>>ага это все учитывая что автор совершенно ен владеет теорией спамборьбы ))
>
>да научится, какие его годы ...
Хорошо если это собственный почтовый сервер на один аккаунт и автор на своей шкуре прочувствует все прелести такой настройки. Это была бы отличная практика и бесценный опыт. В противном случае такая борьба со спамом создаст проблемы кому угодно, только не спамерам и не автору/админу. А все из-за того, что начинающий админ просто не понимает работу почты и вовремя его не потыкали носом в результат его потуг.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Скрипт для бана спаммерских сетей чер файрвол."
Сообщение от Pahanivo (??) on 12-Апр-09, 21:13
>[оверквотинг удален] >#!/bin/sh >wget www.uraldata.ru/spam.txt -O /tmp/spam.txt >iptables -L INPUT -n \| awk '{print $4}' \| grep -Eio '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' \| sort \| uniq > /tmp/iptables.txt >sort /tmp/iptables.txt /tmp/spam.txt \| uniq -u > /tmp/addiptables.txt >for clon in ` awk '{ print $1 }' < /tmp/addiptables.txt` >do >iptables -A INPUT -s $clon/24 -p tcp -m multiport --dports 25 -j >DROP >echo $clon >done а смысл? )) про rbl smtp слышал когданибудь?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Скрипт для бана спаммерских сетей чер файрвол."
	Сообщение от Maxim09 (ok) on 12-Апр-09, 21:40
	>>[оверквотинг удален] >а смысл? )) >про rbl smtp слышал когданибудь? ------- Слышал и даже видел, При большем объеме очень неинтересно получается.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Скрипт для бана спаммерских сетей чер файрвол."
	Сообщение от shadow_alone (??) on 13-Апр-09, 00:23
	>>>[оверквотинг удален] >>а смысл? )) >>про rbl smtp слышал когданибудь? > >------- >Слышал и даже видел, >При большем объеме очень неинтересно получается. а откуда берутся сети?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Скрипт для бана спаммерских сетей чер файрвол."
	Сообщение от Maxim09 (ok) on 13-Апр-09, 00:55
	>а откуда берутся сети? ------ из аналитики входящего спама.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Скрипт для бана спаммерских сетей чер файрвол."
	Сообщение от Pahanivo (ok) on 13-Апр-09, 09:26
	>>>[оверквотинг удален] >>а смысл? )) >>про rbl smtp слышал когданибудь? > >------- >Слышал и даже видел, >При большем объеме очень неинтересно получается. очень даже интересно и быстро с учетом кеширования этих записей на ДНС сервере никто не запрещае использовать оба метода параллельно - благо они работают на разных уровнях
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Скрипт для бана спаммерских сетей чер файрвол."
	Сообщение от Maxim09 (ok) on 13-Апр-09, 13:37
	>>>>[оверквотинг удален] >очень даже интересно и быстро с учетом кеширования этих записей на ДНС >сервере >никто не запрещае использовать оба метода параллельно - благо они работают на >разных уровнях ---------------------- Мне не хочется из за одного спамера плодить кучу процессов. Поэтому и решил пойти таким путем.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Скрипт для бана спаммерских сетей чер файрвол."
	Сообщение от Pahanivo (ok) on 13-Апр-09, 14:37
	>>>>>[оверквотинг удален] >>очень даже интересно и быстро с учетом кеширования этих записей на ДНС >>сервере >>никто не запрещае использовать оба метода параллельно - благо они работают на >>разных уровнях > >---------------------- >Мне не хочется из за одного спамера плодить кучу процессов. >Поэтому и решил пойти таким путем. конечно , гораздо проще прогонять пакеты через тыщи правил фаревола ))
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Скрипт для бана спаммерских сетей чер файрвол."
	Сообщение от Maxim09 (ok) on 13-Апр-09, 17:04
	>>>>>>[оверквотинг удален] >конечно , гораздо проще прогонять пакеты через тыщи правил фаревола )) ------------------ Каждый день дает новые мысли для размышления ))) Я незадумывался что обьем выйдет за 20тыс записей, в свободное время подумаю над аггрегацией и приоритетом.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

9. "Скрипт для бана спаммерских сетей чер файрвол."
Сообщение от mikra on 13-Апр-09, 17:50
Обязательно к прочтению http://www.spamtest.ru/document.html?context=15928&pubid=19240 Во-первых подсеть /24 взята с потолка. Провайдеры могут выдавать временные внешние адреса клиентам из диапазона /20 или, например, /17. Во-вторых правила не очищаются. Если бы спам шел из одной сети или с измеряемого числа компов, то милион-другой правил давно решил бы проблему спама для всех. Но вот беда, спамеров так много повсюду, они появляются и исчезают... придется весь инет забанить чтоб защититься :) Выдерни кабель, не мучайся :) А в-третьих, если из-за домохозяйки, которая подцепила трояна ты банишь мою подсеть, то создаешь проблемы толпе постороннего народа плюс своему юзеру, которому я хочу отправить письмо. Конечно, если ты работаешь в гмаиле, то плюс-минус толпа для тебя незаметна. Но если ты хочешь чтобы твой небольшой сервер пропускал полезные сообщения, то надо что-то менять. И последнее. Однажды ты столкнешься с почтовым сервером другого такого же умельца и испытаешь не самые приятные ощущения :) Самому мастерить что-то это прекрасно, но сперва нужно подготовитсья, чертежи скворечника изучить... А пока настрой spf, поставь spamassassin и настрой в MTA фильтр по оценке spamassassin. Толку-то побольше будет.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Скрипт для бана спаммерских сетей чер файрвол."
	Сообщение от Maxim09 (ok) on 13-Апр-09, 18:56
	>Обязательно к прочтению >http://www.spamtest.ru/document.html?context=15928&pubid=19240 Да спасибо читал давненько уже правда )))) > >Во-первых подсеть /24 взята с потолка. Провайдеры могут выдавать временные внешние адреса >клиентам из диапазона /20 или, например, /17. Спасибо что посмотрели, согласен цифра 24 взята с потолка, попозже я написал что будет свободное время я сделаю аггрегацию сетей. >Во-вторых правила не очищаются. Если бы спам шел из одной сети или >с измеряемого числа компов, то милион-другой правил давно решил бы проблему >спама для всех. Но вот беда, спамеров так много повсюду, они >появляются и исчезают... придется весь инет забанить чтоб защититься :) Выдерни >кабель, не мучайся :) Доработаем не волнуйтесь ))), да не мучаюсь я, все работает отлично спама минимум ) >А в-третьих, если из-за домохозяйки, которая подцепила трояна ты банишь мою подсеть, >то создаешь проблемы толпе постороннего народа плюс своему юзеру, которому я >хочу отправить письмо. Конечно, если ты работаешь в гмаиле, то плюс-минус >толпа для тебя незаметна. Но если ты хочешь чтобы твой небольшой >сервер пропускал полезные сообщения, то надо что-то менять. Действительно меня мало волнует толпа домохозяек подключенных по адсл в китае или мексике )) Ну как я могу создавать проблемы юзеру в китае которых хочет отпавить письмо не через свой нормальный сервер, а напрямую на мой ? Понял намек еще на создание белого списка ))) >Самому мастерить что-то это прекрасно, но сперва нужно подготовитсья, чертежи скворечника изучить... >А пока настрой spf, поставь spamassassin и настрой в MTA фильтр >по оценке spamassassin. Толку-то побольше будет. Нету у меня с этим проблем, проблема одна 50-100 коннектов в секунду непрекращающихся.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Скрипт для бана спаммерских сетей чер файрвол."
	Сообщение от mikra on 13-Апр-09, 19:40
	>Спасибо что посмотрели, согласен цифра 24 взята с потолка, попозже я написал >что будет свободное время я сделаю аггрегацию сетей. Нутк а исходными данными для аггрегации будут адреса спамеров /32? /24? Просто /32 можно собирать бесконечно долго, а любая другая маска будет взятой с потолка. >Действительно меня мало волнует толпа домохозяек подключенных по адсл в китае или >мексике )) >Ну как я могу создавать проблемы юзеру в китае которых хочет отпавить >письмо не через свой нормальный сервер, а напрямую на мой ? > >Понял намек еще на создание белого списка ))) Неет погоди, давай по очереди. Если ты вводишь новый критерий "страна отправителя", то почему не подумать о geoip с белым списком? А с толпой нельзя так. Смотри последний пункт - сам наткнешься на такого же умельца неприятно будет, поймешь. Если у меня дома стоит линуксовый сервер со своим почтовиком, а провайдер не дает на мой ип A или PTR запись, да еще и сосед в ботнет вступил, то твои фильтры я никогда не пройду. Ты считаешь, что я не могу пользоваться почтой или обязан пользоваться смартхостом провайдерским? Задаешь новые стандарты почтовой связи? :) Конечно, какой-ньть там маилру тоже так делает. Но их целевая аудитория никогда о линуксе не слышала. А у тебя пока не те масштабы. Да и перенимать нужно доброе и вечное, а не все подряд :) >Нету у меня с этим проблем, проблема одна 50-100 коннектов в секунду >непрекращающихся. Ну чтож, бывает и такое. Но банить весь мир это не решение. Может дело в спамтрапе, который привлекает полчища спамеров из-за удачного приема всей подряд почты? Или в настройках почтового сервера, который любит все отдавать spamassassin'у, не удосуживаясь элементарными проверками отправителя? Удачная отправка почты повышает рейтинг адреса у спамеров, так что спама начинает сыпаться еще больше. А может это ддос с повторяющихся адресов? Неужели всех порубить - последний шанс?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Скрипт для бана спаммерских сетей чер файрвол."
	Сообщение от Maxim09 (ok) on 13-Апр-09, 20:14
	>Нутк а исходными данными для аггрегации будут адреса спамеров /32? /24? Просто >/32 можно собирать бесконечно долго, а любая другая маска будет взятой >с потолка. Будет /24 с Критерием 1, если отуда было хоть одно письмо спама. в данном случае будет ограничение но не блокирование, на основании того что спамер долго с одного ip не живет. Это пока вопрос будующего, система должна быть простой и эффективной. >Неет погоди, давай по очереди. Если ты вводишь новый критерий "страна отправителя", >то почему не подумать о geoip с белым списком? Потому что приведении geoip с белым списком мы как раз попадаем в неприятную ситуацию. А вот в случае страна+наличие дсл или впн и всякой фигни то нормально. >А с толпой нельзя так. Смотри последний пункт - сам наткнешься на >такого же умельца неприятно будет, поймешь. Если у меня дома стоит >линуксовый сервер со своим почтовиком, а провайдер не дает на мой >ип A или PTR запись, да еще и сосед в ботнет >вступил, то твои фильтры я никогда не пройду. Ты считаешь, что >я не могу пользоваться почтой или обязан пользоваться смартхостом провайдерским? Задаешь >новые стандарты почтовой связи? :) Конечно, какой-ньть там маилру тоже так >делает. Но их целевая аудитория никогда о линуксе не слышала. А >у тебя пока не те масштабы. Да и перенимать нужно доброе >и вечное, а не все подряд :) Если ip чистый и несостоит в никаких списках то почему бы и не принять от него почту, а вот если список в черных списках то зачем от него принимать почту? что бы делать трап? >Ну чтож, бывает и такое. Но банить весь мир это не решение. На самом деле дело не в бане всего мира а снижении точно ненужной нагрузки на сервер и сети. >Может дело в спамтрапе, который привлекает полчища спамеров из-за удачного приема всей >подряд почты? Или в настройках почтового сервера, который любит все отдавать >spamassassin'у, не удосуживаясь элементарными проверками отправителя? Удачная отправка почты повышает рейтинг >адреса у спамеров, так что спама начинает сыпаться еще больше. А >может это ддос с повторяющихся адресов? Неужели всех порубить - последний >шанс? Я же сказал уже все нормально )))), вопрос в 50-100 ненужных коннектов в секунду.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Скрипт для бана спаммерских сетей чер файрвол."
	Сообщение от mikra on 13-Апр-09, 21:40
	>Будет /24 с Критерием 1, если отуда было хоть одно письмо спама. >в данном случае будет ограничение но не блокирование, на основании того >что спамер долго с одного ip не живет. > >На самом деле дело не в бане всего мира а снижении точно >ненужной нагрузки на сервер и сети. С весовым коэффициентом 1. Ага, значит берем маску с потолка, и все кто в нее попал это точно ненужная нагрузка. Железная логика :) >>Неет погоди, давай по очереди. Если ты вводишь новый критерий "страна отправителя", >>то почему не подумать о geoip с белым списком? >Потому что приведении geoip с белым списком мы как раз попадаем в >неприятную ситуацию. >А вот в случае страна+наличие дсл или впн и всякой фигни то >нормально. Таксм, система развивается на глазах. Значит китайцев с адсл будем банить не глядя. А наших? А как насчет ближнего зарубежья? А если там партнеры по бизнесу? Для конторы сервак-то или домашний? А если рассылочку подписал себе полезную? Думаешь все сервера в инете в датацентрах крутятся? Да и белые списки... А вдруг с гмайла почта придет? С маилкома, хотмайла, яху? Всех почтовых хостеров заморских переберешь? Спам ведь и оттуда ходит, плюс твой геоип их забракует. Да и потом, почта отправляется через MTA почтового хостера только если ты пользуешься им как релеем. Это ни капли не обязательное условие и почту ты можешь отправлять напрямую на смтп сервер получателя например из своего дома, с работы, через релей/смартхост своего провайдера или например с линуксового ноута через жпрс. Помешать может только spf, но у массовых почтовых сервисов spf разрешает отправлять почту откуда угодно. >>Если у меня дома стоит >>линуксовый сервер со своим почтовиком, а провайдер не дает на мой >>ип A или PTR запись, да еще и сосед в ботнет >>вступил, то твои фильтры я никогда не пройду. Ты считаешь, что >>я не могу пользоваться почтой или обязан пользоваться смартхостом провайдерским? Задаешь > >Если ip чистый и несостоит в никаких списках то почему бы и >не принять от него почту, а вот если список в черных >списках то зачем от него принимать почту? Как "почему бы и не принять"? Мой-то ип чистый, это сосед в ботнет вступил, а я рядом в /24 оказался. Ты нас первым пунктом и забраковал. Правда сосед внешний ип не покупал и у него после ребута он изменится в пределах /17, а я покупал и буду обламываться с клеймом "сосед спамера". Затрояненых компов по статистике немало, так что с большой вероятностью рядом со мной в /24 всегда будет какой-ньть сосед-спамер и я буду вечно в бане. Да и не только я, а /24 минус один сосед, которому этот бан и предназначен. Скворечник-то сферический получается, осталось вакуум создать :) Может еще разок ссылочку перечитаешь? Там вообще-то все серьезно пишут, не юмор это.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Скрипт для бана спаммерских сетей чер файрвол."
	Сообщение от Maxim09 (ok) on 13-Апр-09, 22:58
	Поскипано за придумывание автора поста своей версии работы программы. Я конечно понимаю что наступаю комуто на больную мозоль, но тем неменее буду развивать дальше это направление, за пару новых идей огромное спасибо. >Скворечник-то сферический получается, осталось вакуум создать :) Может еще разок ссылочку перечитаешь? >Там вообще-то все серьезно пишут, не юмор это. Скворечник хороший будет ))), я никому ведь ненавязываю его использование. А аналитику я всетаки у себя оставлю что считать спамом а что нет. На первый раз получилось громозко и неуклюже, я себе это как то подругому представлял, но тем неменее очень эффективно и без бед, еще раз спасибо за идеи ушел придумывать более модифицированный вариант. с учетом наработанного )
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Скрипт для бана спаммерских сетей чер файрвол."
	Сообщение от mikra on 13-Апр-09, 23:32
	Вот и вакуум образовался. >еще раз спасибо за идеи ушел придумывать более модифицированный вариант. с >учетом наработанного ) Ох уж эти сочинители... Лучше бы ты с учетом rfc свои алгоритмы сочинял. А еще бы мировой опыт борьбы со спамом учел вместо того чтоб по граблям прыгать.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Скрипт для бана спаммерских сетей чер файрвол."
	Сообщение от Medlar (ok) on 14-Апр-09, 12:55
	>Ох уж эти сочинители... >Лучше бы ты с учетом rfc свои алгоритмы сочинял. А еще бы >мировой опыт борьбы со спамом учел вместо того чтоб по граблям >прыгать. ИМХО, человек так устроен, что те грабли, на которые он наступил ЛИЧНО, и, как следствие, приобретенный опыт гораздо ценнее/дороже/доходчивее/понятнее/убедительнее (нужное подчеркнуть) нежели ЧУЖАЯ шишка на лбу, благоприобретенная в результате сотрудничества с теми же граблями ... Может, автору и нужно пройти этот путь с тем, чтобы в результате родилось что-то по-настоящему ценное, но абс-но другое. А от себя совет автору: при построении собсвенной антиспам-системы собирать такие IP можно, и может даже нужно (ес-но с регулярным обновлением и удалением "исправившихся"). Только меры желательно применять другие: добавлять баллы к спам-весу и на основе конечного спам-веса откладывать письма в карантин/помечать письмо спам-меткой/что_то еще. Естественно, вся прелесть вашего подхода (спама нет в принципе) при этом испаряется. Но единственное по ошибке отвергнутое письмо может так испортить вам биографию, что вы 1000 раз пожалеете, что были так категоричны. Нет, не с нами, а с отказами в соединениях через iptables.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Скрипт для бана спаммерских сетей чер файрвол."
	Сообщение от Pahanivo (ok) on 14-Апр-09, 15:40
	>[оверквотинг удален] >"исправившихся"). >Только меры желательно применять другие: добавлять баллы к спам-весу и на основе >конечного спам-веса >откладывать письма в карантин/помечать письмо спам-меткой/что_то еще. > >Естественно, вся прелесть вашего подхода (спама нет в принципе) при этом испаряется. > >Но единственное по ошибке отвергнутое письмо может так испортить вам биографию, что >вы 1000 раз пожалеете, что были так категоричны. Нет, не с >нами, а с отказами в соединениях через iptables. ага это все учитывая что автор совершенно ен владеет теорией спамборьбы )) иначе бы он такое и не придумал делать ))
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Скрипт для бана спаммерских сетей чер файрвол."
	Сообщение от Medlar (??) on 14-Апр-09, 15:51
	>ага это все учитывая что автор совершенно ен владеет теорией спамборьбы )) да научится, какие его годы ... Кстати, автор, какой у вас MTA? >иначе бы он такое и не придумал делать )) Ну IP проверять - тоже дело полезное. Например, Спамооборона не гнушается вести свои собственные dnsbl. Только ответное действие должно быть адекватным, а не из пушки по воробьям: раз в BL попал - значит, однозначный отлуп.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Скрипт для бана спаммерских сетей чер файрвол."
	Сообщение от mikra on 14-Апр-09, 16:57
	>>ага это все учитывая что автор совершенно ен владеет теорией спамборьбы )) > >да научится, какие его годы ... Хорошо если это собственный почтовый сервер на один аккаунт и автор на своей шкуре прочувствует все прелести такой настройки. Это была бы отличная практика и бесценный опыт. В противном случае такая борьба со спамом создаст проблемы кому угодно, только не спамерам и не автору/админу. А все из-за того, что начинающий админ просто не понимает работу почты и вовремя его не потыкали носом в результат его потуг.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]