The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Подскажите каким способом фильтровать такой спам"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Почта / Linux)
Изначальное сообщение [ Отслеживать ]

"Подскажите каким способом фильтровать такой спам"  +/
Сообщение от HanTengry (ok) on 05-Авг-10, 06:14 
Примерно неделю не было ни одного спама, после поднятия greylist и установки некоторых других правил.
И вот спам снова стал появляться по нарастающей.
Как лучше блокировать письма такого плана, почему их пропускает greylist(см заголовок письма X-Greylist)?
_____________________________________________
X-AntiVirus: Checked by Dr.Web [version: 5.0, engine: 5.00.2.03300, virus records: 1585735, updated:  4.08.2010]
Return-Path: <dunwt@7.39.pppoe.mari-el.ru>
Received: from vibra.mydomain.ru (localhost [127.0.0.1])
    by vibra.mydomain.ru (8.13.8/8.13.8) with ESMTP id o749Caem032742;
    Wed, 4 Aug 2010 15:12:36 +0600
Received: (from root@localhost)
    by vibra.mydomain.ru (8.13.8/8.13.3/Submit) id o749CaUb032741;
    Wed, 4 Aug 2010 15:12:36 +0600
Received: from 7.39.pppoe.mari-el.ru (7.39.pppoe.mari-el.ru [77.40.39.7])
    by vibra.mydomain.ru (8.13.8/8.13.8) with SMTP id o749CYH0032736
    for <myuser@mydomain.ru>; Wed, 4 Aug 2010 15:12:35 +0600
Date: Wed, 4 Aug 2010 15:12:34 +0600
Received: (qmail 2483 by uid 213); Wed, 04 Aug 2010 08:54:14 +0400
Message-Id: <20100804131030.2551.qmail@7.39.pppoe.mari-el.ru>
From: © VIAGRA ® Inc <dunwt@7.39.pppoe.mari-el.ru>
To: myuser@mydomain.ru
Subject: [SPAM] myuser@mydomain.ru 03% OFF on Pfizer!
MIME-Version: 1.0
Content-Type: text/plain; charset="ISO-8859-1"
Content-Transfer-Encoding: 7bit
X-Greylist: Sender IP whitelisted, not delayed by milter-greylist-3.1.5 (myuser@mydomain.ru [0.0.0.0]); Wed, 04 Aug 2010 15:12:36 +0000 (MYTOWN)
X-Greylist: Default is to whitelist mail, not delayed by milter-greylist-3.1.5 (myuser@mydomain.ru [111.222.333.44]); Wed, 04 Aug 2010 15:12:36 +0000 (MYTOWN)
Status:  O
X-DrWeb-SpamState: Yes
X-DrWeb-SpamRate: 1400
X-DrWeb-SpamVersion: Vade Retro 01.297.00 AV+AS Profile: <none>; Bailout: N/A
Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от GG on 05-Авг-10, 06:34 
"Default is to whitelist"
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от HanTengry (ok) on 05-Авг-10, 09:33 
>"Default is to whitelist"

Я правильно понимаю, что greylist пропускает его, потому-что он в белом списке. Но этого не может быть, вероятно спамер подделал исходящие адреса на те, что из белого списка? Как блокировать?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от mmm (??) on 05-Авг-10, 10:06 
>>"Default is to whitelist"
>
>Я правильно понимаю, что greylist пропускает его, потому-что он в белом списке.
>Но этого не может быть, вероятно спамер подделал исходящие адреса на
>те, что из белого списка? Как блокировать?

Немного не по теме, но попробуйте rbl списки. Мне они очень помогли.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от SubGun (ok) on 05-Авг-10, 10:23 
Глупостей не советуйте. То, что подходит для дома, часто оказывается чуть ли не вредным, если используется на серверах средний и крупных компаний. Уже сотни раз пережевано, что rbl - зло.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от HanTengry (ok) on 05-Авг-10, 10:43 
>Глупостей не советуйте. То, что подходит для дома, часто оказывается чуть ли
>не вредным, если используется на серверах средний и крупных компаний. Уже
>сотни раз пережевано, что rbl - зло.

Хотелось бы что бы профессионал глянул на слабое место данного письма. Например у него отсутствует заголовок X-Mailer и пока у всех таких писем. Пробую соответствующее правило добавить, ну это то, что я вижу...есть что-то еще?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от artemrts (ok) on 05-Авг-10, 16:45 
>Глупостей не советуйте. То, что подходит для дома, часто оказывается чуть ли
>не вредным, если используется на серверах средний и крупных компаний. Уже
>сотни раз пережевано, что rbl - зло.

  Мсье,не будьте так категоричны. Лично я использую рбл-листы как для маленьких контор так и крупных. Даже в одном министерстве в Украине. Их можно использовать, и нужно. Но без фанатизма.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от mmm (??) on 06-Авг-10, 10:11 
>Глупостей не советуйте. То, что подходит для дома, часто оказывается чуть ли
>не вредным, если используется на серверах средний и крупных компаний. Уже
>сотни раз пережевано, что rbl - зло.

Глупостей то не говорите. Сеть моя отнюдь не домашняя и не одна, я не где не сказал что rbl - панацея, не на сейчас rbl списки, в моей практике,  показали себя наиболее эфективным и простым решением.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

29. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от Pulsar on 11-Авг-10, 15:14 
в своё время я такие хосты резал (при наличии подстрок pppoe, xxx@pptp.server.ru)

помогало оч. сильно. И за пару лет проблем не было, кроме пары случаев.
Писем было много.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от anonymous (??) on 09-Авг-10, 01:21 
>Глупостей не советуйте. [..] Уже
>сотни раз пережевано, что rbl - зло.

Глупость в форме гипнопедического урока не перестает оставаться глупостью.
Что русскому хорошо - немцу смерть.
RBL зло для перепродавцев трафика, а также для тех, кто заучил мантру "rbl - зло".
Для конечных потребителей RBL в высшей степени эффективная мера.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от zkvomsk email(ok) on 05-Авг-10, 11:59 
>>"Default is to whitelist"
>
>Я правильно понимаю, что greylist пропускает его, потому-что он в белом списке.
>Но этого не может быть, вероятно спамер подделал исходящие адреса на
>те, что из белого списка? Как блокировать?

Нет, не правильно, мысль была в том, что в дефолтном конфиге грейлиста последним правилом стоит racl whitelist default, тобишь все кто не попал в правила описанные выше, по дефолту попадают в белый список. Если это правило не убрано или просто ничего нет, то видимо надо убрать и поставить последним racl greylist default :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от HanTengry (ok) on 05-Авг-10, 12:43 
>Нет, не правильно, мысль была в том, что в дефолтном конфиге грейлиста
>последним правилом стоит racl whitelist default, тобишь все кто не попал
>в правила описанные выше, по дефолту попадают в белый список. Если
>это правило не убрано или просто ничего нет, то видимо надо
>убрать и поставить последним racl greylist default :)

Спасибо! Точно так и есть.  
Общий вопрос для понимания работы спамера: Все таки спамер анализирует мою защиту вручную и потом оптимизирует тактику программы или настолько совершенная программа в которую уже заложены наиболее уязвимые места жертв и тактика меняется автоматически? То есть настроена рассылать спам на одну лазейку две недели, потом начинает слать по другой лазейке еще две недели.
Прошу прощения за странные мысли просто спам в новинку..


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от cryo (ok) on 05-Авг-10, 15:04 
>Общий вопрос для понимания работы спамера: Все таки спамер анализирует мою защиту
>вручную и потом оптимизирует тактику программы или настолько совершенная программа в
>которую уже заложены наиболее уязвимые места жертв и тактика меняется автоматически?
>То есть настроена рассылать спам на одну лазейку две недели, потом
>начинает слать по другой лазейке еще две недели.
>Прошу прощения за странные мысли просто спам в новинку..

Пожалуй, настройки лично вашей системы спаммеров вряд ли интересуют :)

Но есть крупные анти-спам продукты, такие как Cisco IronPort (http://ironport.com), Cloudmark (http://cloudmark.com) и другие.

Первый десяток самых крупных анти-спам продуктов охватывает 95% рынка, соотв. спаммерам достаточно иметь у себя железку/продукт каждой из этих компаний и "тренировать" спам на этих "черных ящиках". Не прошел спам - меняем. Прошел -  о, теперь можно делать рассылку :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от SubGun (ok) on 05-Авг-10, 10:43 
1. Грейлист никогда не задумывался как средство блокировки. Он должен всего лишь "придержать" письмо, чтобы выяснить шлет ли его реальный сервер.
2. Попробуйте блокировать письма по всяким ppp,localhost в имени хоста отправителя.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от mmm (??) on 06-Авг-10, 10:14 
>1. Грейлист никогда не задумывался как средство блокировки. Он должен всего лишь
>"придержать" письмо, чтобы выяснить шлет ли его реальный сервер.
>2. Попробуйте блокировать письма по всяким ppp,localhost в имени хоста отправителя.

Как раз эти блокировки не в коем разе не устраивают отдел продаж, маркетинга и HR ибо им приходят письма с этих адресов.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

33. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от XoRe (ok) on 12-Авг-10, 01:44 
>1. Грейлист никогда не задумывался как средство блокировки. Он должен всего лишь
>"придержать" письмо, чтобы выяснить шлет ли его реальный сервер.
>2. Попробуйте блокировать письма по всяким ppp,localhost в имени хоста отправителя.

Утверждаете, что rbl - зло, и советуете резать по ppp?
Толсто)

Насчет серых списков - и как сервер будет выяснять, от спаммера оно или нет?

Серые списки (англ. Greylisting) — способ автоматической блокировки спама, основанный на том, что «поведение» программного обеспечения, предназначенного для рассылки спама, отличается от поведения обычных серверов электронной почты.

http://ru.wikipedia.org/wiki/%D0%A1%D0%B...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

43. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от SubGun (ok) on 12-Авг-10, 15:58 
>Серые списки (англ. Greylisting) — способ автоматической блокировки спама, основанный на том,
>что «поведение» программного обеспечения, предназначенного для рассылки спама, отличается от поведения
>обычных серверов электронной почты.
>
>http://ru.wikipedia.org/wiki/%D0%A1%D0%B...

Вы бы хоть разобрались сначала как работают грейлисты, прежде чем совать мне статьи из вики.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

44. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от artemrts (ok) on 12-Авг-10, 20:26 
>>Серые списки (англ. Greylisting) — способ автоматической блокировки спама, основанный на том,
>>что «поведение» программного обеспечения, предназначенного для рассылки спама, отличается от поведения
>>обычных серверов электронной почты.
>>
>>http://ru.wikipedia.org/wiki/%D0%A1%D0%B...
>
>Вы бы хоть разобрались сначала как работают грейлисты, прежде чем совать мне
>статьи из вики.

  Так он же тебе правильно написал. Нормальный почтовик должен придержать в очереди письмо в случае временной ошибки 450 и пытаться его отправлять через заданные промежутки времени, чего как предполагается не делает спам-бот. Вот тебе и отличие в поведении ПО.
  Чего не ясно???

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

45. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от XoRe (ok) on 13-Авг-10, 17:26 
>>Серые списки (англ. Greylisting) — способ автоматической блокировки спама, основанный на том,
>>что «поведение» программного обеспечения, предназначенного для рассылки спама, отличается от поведения
>>обычных серверов электронной почты.
>>
>>http://ru.wikipedia.org/wiki/%D0%A1%D0%B...
>
>Вы бы хоть разобрались сначала как работают грейлисты, прежде чем совать мне
>статьи из вики.

Я-то разобрался)
И даже настраивал его на почтовых серверах.
А вы?)

Другое дело, что некоторые современные спам боты уже могут перепосылать письмо при срабатывании грейлиста.
У меня серые списки срабатывают после черных списков и процент отсеивания не очень большой.
Большинство отсеивается черными списками)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от Hammer email(ok) on 05-Авг-10, 11:33 
>[оверквотинг удален]
> Wed, 4 Aug 2010 15:12:36 +0600
>Received: (from root@localhost)
> by vibra.mydomain.ru (8.13.8/8.13.3/Submit) id o749CaUb032741;
> Wed, 4 Aug 2010 15:12:36 +0600
>Received: from 7.39.pppoe.mari-el.ru (7.39.pppoe.mari-el.ru [77.40.39.7])
> by vibra.mydomain.ru (8.13.8/8.13.8) with SMTP id o749CYH0032736
>    for <myuser@mydomain.ru>; Wed, 4 Aug 2010 15:12:35 +0600
>Date: Wed, 4 Aug 2010 15:12:34 +0600
>Received: (qmail 2483 by uid 213); Wed, 04 Aug 2010 08:54:14 +0400
>

Меня postfix + pcre режектит письма где встречается вот такое
Received: from pppoe, ppp, adsl, vpn ну и т.д.

>Received: from 7.39.pppoe.mari-el.ru (7.39.pppoe.mari-el.ru [77.40.39.7])
> by vibra.mydomain.ru (8.13.8/8.13.8) with SMTP id o749CYH0032736

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от HanTengry (ok) on 05-Авг-10, 12:56 
Спасибо!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от tux2002 (ok) on 10-Авг-10, 12:02 
>[оверквотинг удален]
>>    for <myuser@mydomain.ru>; Wed, 4 Aug 2010 15:12:35 +0600
>>Date: Wed, 4 Aug 2010 15:12:34 +0600
>>Received: (qmail 2483 by uid 213); Wed, 04 Aug 2010 08:54:14 +0400
>>
>
>Меня postfix + pcre режектит письма где встречается вот такое
>Received: from pppoe, ppp, adsl, vpn ну и т.д.
>
>>Received: from 7.39.pppoe.mari-el.ru (7.39.pppoe.mari-el.ru [77.40.39.7])
>> by vibra.mydomain.ru (8.13.8/8.13.8) with SMTP id o749CYH0032736

У меня exim и я давно не режу по вхождению ключевых слов в helo и имени хоста. Для этого использую проверку helo  - она достаточно хорошо пока отрабатывает для спамеров с ppp подключений. И ТСу не советую придерживаться тактики отклонения соединений по словосочетаниям. Есть разрешенная проверка helo. Если клиент поздаровался с сервером нормально - надо обслуживать.

И по поводу заголовков Recived - что то у меня сомнения что у вас нормально настроен MTA. Зачем у Вас принимаемая почта для  myuser@mydomain.ru проходит через шаг root@localhost?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от DeadLoco (ok) on 10-Авг-10, 13:43 
>У меня exim и я давно не режу по вхождению ключевых слов
>в helo и имени хоста. Для этого использую проверку helo  

По хорошему, при грамотной постановке дела, провайдер, содержащий динамические сети, чтобы не сделаться рассадником спама, сам должен блокировать прямые исходящие смтп-соединения своих клиентов, принуждая их к использованию собственного смтп-релея, на котором есть возможность соотнести адрес-имя хоста отправителя с учетной записью клиента - для последующих оргвыводов. Если же этого не делается, то нет ничего плохого в блокировании таких хостов по ключевым словам в имени. Потому что провайдер сознательно создал предпосылки для рассылки спама.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от tux2002 (ok) on 10-Авг-10, 14:20 
>>У меня exim и я давно не режу по вхождению ключевых слов
>>в helo и имени хоста. Для этого использую проверку helo  
>
>По хорошему, при грамотной постановке дела, провайдер, содержащий динамические сети, чтобы не
>сделаться рассадником спама, сам должен блокировать прямые исходящие смтп-соединения своих клиентов,
>принуждая их к использованию собственного смтп-релея, на котором есть возможность соотнести
>адрес-имя хоста отправителя с учетной записью клиента - для последующих оргвыводов.
>Если же этого не делается, то нет ничего плохого в блокировании
>таких хостов по ключевым словам в имени. Потому что провайдер сознательно
>создал предпосылки для рассылки спама.

Ну я так тоже раньше думал. Но сейчас как рядовой клиент сети я рассуждаю - почему это мой провайдер должен ограничивать мою сетевую активность? Хочет логировать tcp сессии с моего хоста по 25 порту - его дело. Я думаю это может быть прописано в договоре между мной и провайдером и последствия спама с моего хоста - например отключение, если же трафик по 25 порту закрыт - пусть это прописано в договоре и клиент будет оценивать услугу предоставляемую провайдером. Но если я хочу использовать локальный smtp сервер значит хочу. Если мой IP адрес динамический, хорошо мой сервер будет здороваться литеральным форматом helo. Но доменное имя, привязанное к моему IP это что за критерий для отказа в обслуживании только на этом основании?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от DeadLoco (ok) on 10-Авг-10, 14:36 
>я рассуждаю - почему это мой провайдер должен ограничивать мою сетевую активность?

Потому что бюджетный способ подключения с динамическим адресом по определению не может быть полнофункциональным. Хотите сетевой активности без ограничений? Купите статический ИП, окучьте его доменом приемлемого вида - и приходите на мой смтп. А нет - так нет.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от tux2002 (ok) on 10-Авг-10, 15:25 
>>я рассуждаю - почему это мой провайдер должен ограничивать мою сетевую активность?
>
>Потому что бюджетный способ подключения с динамическим адресом по определению не может
>быть полнофункциональным.

Какой есть такой и есть. И в rfc2822, во всяком случае в том неофициальном переводе что я читал, предусмотрена возможность работы с почтой через такое подключение.
> Хотите сетевой активности без ограничений? Купите статический ИП, окучьте
>его доменом приемлемого вида - и приходите на мой смтп. А
>нет - так нет.

Хм... Ваше дело.
PS у меня есть статичекий IP без поддержки DNS.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от DeadLoco (ok) on 10-Авг-10, 16:05 
>Какой есть такой и есть.

Ну вот, какой есть - так и обслуживаем...

Поймите, сам факт какого-то инет-коннективити еще не означает, что автоматом будут предоставлены все возможные возможности. Ну, простейшая аналогия: вы купили билет на поезд Москва-Владивосток, но только до первой остановки. Это существенно дешевле, чем билет до конечной станции, и дает возможность как-то приобщиться к железнодорожному транспорту, но ваш билет не дает права проехать по всему маршруту. Ровно столько, сколько заплачено.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

27. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от tux2002 (ok) on 11-Авг-10, 11:51 

>Поймите, сам факт какого-то инет-коннективити еще не означает, что автоматом будут предоставлены
>все возможные возможности. Ну, простейшая аналогия: вы купили билет на поезд
>Москва-Владивосток, но только до первой остановки. Это существенно дешевле, чем билет
>до конечной станции, и дает возможность как-то приобщиться к железнодорожному транспорту,
>но ваш билет не дает права проехать по всему маршруту. Ровно
>столько, сколько заплачено.

Ну я совсем не хочу с Вами спорить, вприципе согласен что ограничения могут быть, НО считаю что провайдер при заключении договора должен довести до сведения клиента эти тонкости включая вопросы возможного мониторинга сетевой активности клиента. А если это не оговорено а запрещают втихую или снифят втихую - то это не дело. А по вопросу обязательств пользования релем провайдера - тут тоже есть тонкость. Например я доверяю своему smtp и smtp получателя основываясь на своем выборе и выборе того, кому пишу, возникает вопрос - почему я должен доверять дополнительным smtp? И вообще smtp протокол задумывался с возможностью доставки писем с компьютера отправителя на компьютер получателя минуя промежуточные релеи.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

28. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от DeadLoco (ok) on 11-Авг-10, 14:32 
>НО считаю что провайдер при заключении договора должен довести
>до сведения клиента эти тонкости включая вопросы возможного мониторинга сетевой активности

При заключении любого клиентского договора оговаривается ответственность клиента и право провайдера принять меры в случае нарушения клиентом своих обязанностей. Все это, как нетрудно догадаться, предполагает мониторинг провайдером активности клиента на предмет нарушений.

>Например я доверяю своему smtp и smtp получателя основываясь на
>своем выборе и выборе того, кому пишу

Уж извините за прямоту, но никого не интересует, кому _вы_ доверяете. Или _я_, или _они_.
Доверяй, но проверяй. Проверки показывают, что открытые наружу динсети - рассадники ботнетов. Причем настолько зараженные, что выделять из них единичных добросовестных клиентов просто нерентабельно.

>возникает вопрос - почему я должен доверять дополнительным smtp?

А почему вы вообще доверяете своему провайдеру?


>И вообще smtp протокол задумывался с возможностью доставки писем с компьютера
>отправителя на компьютер получателя минуя промежуточные релеи.

Смтп задумывался с массой разных возможностей. С возможностью отправки напрямую в случае статического ИП с правильной реверсной записью. А в других случаях - с возможностью отправки через релей. В чем проблема?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

30. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от tux2002 (ok) on 11-Авг-10, 17:30 
>С возможностью отправки напрямую в случае статического ИП с правильной реверсной записью

Необязательно, повторюсь - если helo [a.b.c.d] - никого не интересуют реверсные зоны DNS. И проверка PTR по шаблонам в этом случае на совести postmaster, RFC в этом случае не даёт рекомендаций.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

31. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от DeadLoco (ok) on 11-Авг-10, 18:58 
>RFC в этом случае не даёт рекомендаций.

Смтп - очень старый протокол, рфц на него писались тогда, когда еще не подозревали, что over 95% почтового потока может оказаться спамовым. Главная причина существования спама - невозможность идентификации истинного отправителя письма средствами самого смтп. Поэтому в дело вступают довольно далекие от смтп технологии, как-то проверка реверса, спф, контент-анализ, грейлистинг и блеклистинг. Но все это - ВНЕ смтп. Потому что смтп в самом деле не дает рекомендаций. По причине примитивности и незащищенности протокола. И если невозможность идентификации в смтп помножить на невозможность идентификации хоста в _некоторых_ динсетях - получим рассадник ботнетов.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

37. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от tux2002 (ok) on 12-Авг-10, 12:53 
>[оверквотинг удален]
>
>Смтп - очень старый протокол, рфц на него писались тогда, когда еще
>не подозревали, что over 95% почтового потока может оказаться спамовым. Главная
>причина существования спама - невозможность идентификации истинного отправителя письма средствами самого
>смтп. Поэтому в дело вступают довольно далекие от смтп технологии, как-то
>проверка реверса, спф, контент-анализ, грейлистинг и блеклистинг. Но все это -
>ВНЕ смтп. Потому что смтп в самом деле не дает рекомендаций.
>По причине примитивности и незащищенности протокола. И если невозможность идентификации в
>смтп помножить на невозможность идентификации хоста в _некоторых_ динсетях - получим
>рассадник ботнетов.

Вы правильно об этом пишете. Есть даже некоторое решение этой проблемы немного другим способом - допустим все договорились, что первым хостом в заголовках recieved может быть лишь хост, обслуживающий почтовый ящик отправителя. Хосту получателю несложно это проверить. Тогда подмена отправителя становится затруднительной. А авторизация отправителя в ведении хоста, отправляющего от него почту. Если в письме подделаны заголовки, то и это принципиально может быть отслежено.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

38. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от DeadLoco (ok) on 12-Авг-10, 13:11 
>допустим все договорились, что первым хостом в заголовках
>recieved может быть лишь хост, обслуживающий почтовый ящик
>отправителя. Хосту получателю несложно это проверить.
>Тогда подмена отправителя становится затруднительной.

Это предложение _возможно_ и сработает - в сферически вакуумированном случае. Все равно как бороться с преступностью: пусть все договорятся быть честными и законопослушными...
На деле спам - это деньги плюс отсутствие всяких социальных тормозов у некоторых личностей. И если возможность срубить бабла существует - они ею воспользуются непременно. Все договорятся, а они будут рубить бабло, наплевав на всех. И единственный способ их одолеть - убрать возможность.

Динсети без принудительного заворота на провайдерский релей - возможность, ее надо убирать. Хотя бы блокированием приема с них почты. И тут уже не нужно ВСЕМ включаться в процесс, достаточно только добросовестным админам. Тогда неконтролируемый ботнетовый спам окажется ограничен вот этими самыми рассадниками ботов. Я думаю, что экономический эффект рассылки ботами спама таким же ботам - крайне невелик.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

39. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от tux2002 (ok) on 12-Авг-10, 13:44 
>>допустим все договорились, что первым хостом в заголовках
>>recieved может быть лишь хост, обслуживающий почтовый ящик

Я понимаю Ваши предложения. Суть их сводится к большей централизации почтовых систем. Мои предложения можно выразить подругому - я за прозрачность маршрута передачи почтового сообщения, чтобы при необходимости можно было размотать цепочку штампов в обратную сторону для проверки небыло ли подлога сообщения. В этом случае также присутствует договоренность о соблюдении правил между людьми, обслуживающими почтовые системы и возможно существует ответственность за прием и передачу письма.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

40. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от DeadLoco (ok) on 12-Авг-10, 14:05 
>Я понимаю Ваши предложения. Суть их сводится к большей централизации почтовых систем.

Откуда вы взяли про централизацию?

Мои предложения другие: пользователи бюджетного подключения без прописи хоста в днс не должны иметь права прямого доступа в почтовые сети общего пользования. Все. Есть два решения - переход на статик-ип и собственные а/птр, либо заворот в зону ответственности провайдера, с которого можно спросить. Выбирайте, какое больше нравится.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

32. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от DeadLoco (ok) on 11-Авг-10, 19:02 
>Необязательно, повторюсь - если helo [a.b.c.d] - никого не интересуют реверсные зоны

Насчет "никого" - это вы погорячились. Давайте тут спросим у общественности, многие ли принимают почты с хостов без реверса - будете удивлены.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

34. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от XoRe (ok) on 12-Авг-10, 02:00 
>И вообще smtp протокол задумывался с возможностью доставки писем с компьютера
>отправителя на компьютер получателя минуя промежуточные релеи.

Если быть точным, то "с почтового сервера отправителя на почтовый сервер получателя".
Когда вы отправляете письмо, вы же не сами засылаете его на сервер получателя, верно?)
Вы шлете его своему почтовому серверу.
А для отправки письма своему почтовому серверу есть специальный порт - 587, называемый submission.

$ grep 587 /etc/services
submission    587/tcp                # mail message submission
submission    587/udp

Протокол там такой же - smtp.
Но (по идее) при подключении на 587 порт отправитель считается проверенным (своим), и к нему применяются льготные правила.
Т.е. можно не проверять на спам, вирусы, спф, rbl и т.д.

Т.е. в SMTP уже давно предусмотрено разграничение "отправляют мои клиенты" "отправляют моим клиентам".

А вот то, что все дружно забили на этот функционал, и предлагают подключаться к своему почтовому серверу по 25 порту - это уже другой вопрос.
Отчасти поэтому мы сейчас имеем столько спама - лень матушка, да неученье батюшка.

Но, слава богу, мир не сошелся на 25 и 587 порту.
Есть ещё отправка через ssl, на 465 порт.
Настраивайте ваш почтовый клиент на работу с почтовым сервером по ssl, указывайте 465 порт и вперед.
Его никто не закрывает.
Могу сразу посоветовать настроить прием почты по ssl, по 995 порту.

И ни вам ограничений, ни вам подслушки трафика.

P.S.
А требовать чего-то эдакого от провайдера неэффективно.
Даже если дело дойдет до суда, провайдер сошлется на общую практику и все (а пункт о чем-то подобном, скорее всего, есть в вашем договоре).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

41. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от tux2002 (ok) on 12-Авг-10, 14:06 
>[оверквотинг удален]
>Его никто не закрывает.
>Могу сразу посоветовать настроить прием почты по ssl, по 995 порту.
>
>И ни вам ограничений, ни вам подслушки трафика.
>
>P.S.
>А требовать чего-то эдакого от провайдера неэффективно.
>Даже если дело дойдет до суда, провайдер сошлется на общую практику и
>все (а пункт о чем-то подобном, скорее всего, есть в вашем
>договоре).

Спасибо, нашел RFC по submission, почитаю.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

42. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от DeadLoco (ok) on 12-Авг-10, 14:11 
>Т.е. можно не проверять на спам, вирусы, спф, rbl и т.д.

Спф и рбл, действительно, можно не проверять. А вот проверку на спам и на вирусы не повредит делать и для исходящих почт. Во избежание.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

46. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от XoRe (ok) on 13-Авг-10, 17:36 
>>Т.е. можно не проверять на спам, вирусы, спф, rbl и т.д.
>
>Спф и рбл, действительно, можно не проверять. А вот проверку на спам
>и на вирусы не повредит делать и для исходящих почт. Во
>избежание.

С одной стороны - да.
Может быть ситуация, когда боты используют информацию об SMTP сервере с компа жертвы.
С другой стороны - из всех инструментов против левых писем, контекстная проверка на спам (каким-нибудь spamassassin) и на вирусы (каким-нибудь clamd) - это самые ресурсожрущие инструменты.
До контекстной проверки письма извне должны доходить в самую последнюю очередь, когда пройдут остальные проверки (rbl, graylist, ...).

И проверка почты на спам и на вирусы от моих же пользователей - слишком большая трата ресурсов при слишком маленькой полезности.
У меня именно ip адрес почтовика никогда не попадал в черные списки изза слишком умного спам-бота.
Поэтому я не проверяю - слишком уж много ресурсов уходит на контекстный анализ.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от DeadLoco (ok) on 10-Авг-10, 14:48 
>Но если я хочу использовать локальный smtp сервер значит хочу.

Хотите на здоровье, никто вам не запрещает.
Но вот я не хочу принимать почты из динамических сетей, и мне тоже никто не запретит. Потому что 95% всего спама имеет источником именно динамические сети. Угадайте, почему.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от tux2002 (ok) on 10-Авг-10, 15:28 
>>Но если я хочу использовать локальный smtp сервер значит хочу.
>
>Хотите на здоровье, никто вам не запрещает.
>Но вот я не хочу принимать почты из динамических сетей, и мне
>тоже никто не запретит. Потому что 95% всего спама имеет источником
>именно динамические сети. Угадайте, почему.

Угадаю - это ботнеты. Скажу по секрету - они нифига не умеют здороваться.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от DeadLoco (ok) on 10-Авг-10, 16:08 
>Угадаю - это ботнеты. Скажу по секрету - они нифига не умеют здороваться.

Что это ботнеты - самоочевидно. Вопрос в другом - почему ботнеты тяготеют к дин-сетям?

Ответ прост: они тяготеют не ко всем дин-сетям, а только к тем, в которых провайдеры не обязуют клиента использовать провайдерский релей, и где факт заражения ботнет-клиентом может оставаться незамеченным долгое время.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

26. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от artemrts (ok) on 10-Авг-10, 23:14 
>>>Но если я хочу использовать локальный smtp сервер значит хочу.
>>
>>Хотите на здоровье, никто вам не запрещает.
>>Но вот я не хочу принимать почты из динамических сетей, и мне
>>тоже никто не запретит. Потому что 95% всего спама имеет источником
>>именно динамические сети. Угадайте, почему.
>
>Угадаю - это ботнеты. Скажу по секрету - они нифига не умеют
>здороваться.

  Эээ... А тут Вы по-моему не правы. Возможность рассылки спама через такие сети - это одна из основных фич.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

35. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от XoRe (ok) on 12-Авг-10, 02:03 
>Угадаю - это ботнеты. Скажу по секрету - они нифига не умеют
>здороваться.

Они не умели здороваться 10 лет назад =)
А сейчас ботов пишут так, что они все RFC проходят, да ещё и SPF понимают.
Ну, конечно не все)
Но, и эти "не все" спама могут навалить прилично.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

47. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от Глеб on 15-Авг-10, 22:29 
>>Угадаю - это ботнеты. Скажу по секрету - они нифига не умеют
>>здороваться.
>
>Они не умели здороваться 10 лет назад =)
>А сейчас ботов пишут так, что они все RFC проходят, да ещё
>и SPF понимают.
>Ну, конечно не все)
>Но, и эти "не все" спама могут навалить прилично.

Или ко мне только старые бот-неты стучатся, или они фсетаке здороваться не научились..
Да и поучите матчасть по SPF, он не зависит от бота никак...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

48. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от DeadLoco (ok) on 16-Авг-10, 02:24 
>Или ко мне только старые бот-неты стучатся, или они фсетаке здороваться не
>научились..

У меня 90% входящих смтп-сессий режутся исключительно по причине кривого хело. Так что - не научились

Мое сугубое имхо таково: засилие спама есть следствие массовой криворукости почтмастеров. Минимальные настройки штатных механизмов МТА снижают поток спама вдесятеро.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

49. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от Gbyte email(ok) on 16-Авг-10, 07:10 
>>Или ко мне только старые бот-неты стучатся, или они фсетаке здороваться не
>>научились..
>
>У меня 90% входящих смтп-сессий режутся исключительно по причине кривого хело. Так
>что - не научились
>
>Мое сугубое имхо таково: засилие спама есть следствие массовой криворукости почтмастеров. Минимальные
>настройки штатных механизмов МТА снижают поток спама вдесятеро.

Полностью согласен! Недавно на дне сисадмина видал таких около 50 челов, накупили себе всяких дорогих фенек от которых проку нет и восклицают "Почему провайдер ХХХ не принимает от меня почту и еще говорит что у меня в обратной зоне имя сервера не прописано".... печально...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

52. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от XoRe (ok) on 17-Авг-10, 18:02 
>[оверквотинг удален]
>>>здороваться.
>>
>>Они не умели здороваться 10 лет назад =)
>>А сейчас ботов пишут так, что они все RFC проходят, да ещё
>>и SPF понимают.
>>Ну, конечно не все)
>>Но, и эти "не все" спама могут навалить прилично.
>
>Или ко мне только старые бот-неты стучатся, или они фсетаке здороваться не
>научились..

Возможно.
У меня черные списки режут около 80% спама.
Видать, там как раз и режутся тупые боты)

>Да и поучите матчасть по SPF, он не зависит от бота никак...

Если ткнете, где я писал, что SPF зависит от бота, то поучу.
А иначе вам самому лучше его поучить.
Бот тупо может увидеть ответ Deffered, сохранить параметры отправки, и ткнуться через 30 минут с теми же данными.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

53. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от DeadLoco (ok) on 18-Авг-10, 15:28 
>Бот тупо может увидеть ответ Deffered, сохранить параметры отправки, и ткнуться через
>30 минут с теми же данными.

При настроеном СПФ это ничего не даст.

СПФ разрешает слать письма с энвелоп-фром = blabla@domain.tld только с определенных хостов - обычно с foo.domain.tld или mx.isp.tld.

Поэтому, когда бот с хоста 12-34-56-78-dynamic-adsl-free-net.com.br попытается отослать письмо с энвелоп-фром blabla@domain.tld, его безусловно факнет. Бот, конечно, может выждать полчаса, или час, или сутки, но это ему ничего не даст. Его будет факать по причине нарушения условий СПФ.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

54. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от XoRe (ok) on 21-Авг-10, 01:38 
>[оверквотинг удален]
>
>При настроеном СПФ это ничего не даст.
>
>СПФ разрешает слать письма с энвелоп-фром = blabla@domain.tld только с определенных хостов
>- обычно с foo.domain.tld или mx.isp.tld.
>
>Поэтому, когда бот с хоста 12-34-56-78-dynamic-adsl-free-net.com.br попытается отослать письмо с энвелоп-фром blabla@domain.tld,
>его безусловно факнет. Бот, конечно, может выждать полчаса, или час, или
>сутки, но это ему ничего не даст. Его будет факать по
>причине нарушения условий СПФ.

Прошу прощения, мозг имел в виду Graylist, а руки почему-то все это время писали SPF =)
Боты вполне могут понимать грейлист.
"Deffered" - это же куда лучше, чем вообще не достучаться до 25 порта.

А СПФ - да, типа защита.
Хотя, насколько я понимаю, "-all" делать решаются далеко не все.
Плюс, далеко не все серверы получателя решаются жестко рубить письмо при несовпадении с SPF (опять-таки, сфига ли рубить, если не указано "-all").
Добавят баллов спамности - и то хорошо.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

57. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от DeadLoco (ok) on 21-Авг-10, 02:01 
>Боты вполне могут понимать грейлист.

Боты настолько хорошо понимают грейлист, что получасовая задержка уже не отсекает почти 20% спама. С другой стороны, полчаса задержки, когда маркетинг бегает кругами и рвет волосы на ж*** с криками "где же это письмо?!!" - это полный пц и "Эпик Фейл Текнолоджи лтд".

От грейлистинга отказался два года назад окончательно, ни разу не пожалел.
Сейчас выполняю серию проверок на стадии CONN и RCPT с начислением штрафных баллов. После начисления выставляю задержку в секундах, равную числу баллов. По окончании задержки, если баллов меньше порогового значения, и отправитель не отвалился - принимаю письмо. Если баллов больше порога - даю длинную задержку и потом отлуп с tempfail, пусть снова придет - мы снова посмеемся. То, что дошло до DATA, прогоняется через СА. Что набрало больше 8.0 по совокупности - улетает в blackhole. На 1000 входящего спама до инбоксов доходит 3-4 штуки. Без грейлистов, без днсбл.

>А СПФ - да, типа защита.

СПФ - мой жест доброй воли в адрес других админов. Своей настройкой СПФ я поток спама к себе не уменьшу, но помогу другим убить спам, который боты шлют от имени моих аккаунтов другим хостам.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

58. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от artemrts (ok) on 21-Авг-10, 14:04 
>>Боты вполне могут понимать грейлист.
>
>Боты настолько хорошо понимают грейлист, что получасовая задержка уже не отсекает почти
>20% спама. С другой стороны, полчаса задержки, когда маркетинг бегает кругами
>и рвет волосы на ж*** с криками "где же это письмо?!!"
>- это полный пц и "Эпик Фейл Текнолоджи лтд".
>
>От грейлистинга отказался два года назад окончательно, ни разу не пожалел.
>Сейчас выполняю серию проверок на стадии CONN и RCPT с начислением штрафных
>баллов.

  А не подскажите каким ПО Вы это делаете? Просто мне понравилась идея. Хочу и себе попробовать.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

59. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от DeadLoco (ok) on 21-Авг-10, 14:53 
>А не подскажите каким ПО Вы это делаете?

Штатные АЦЛ экзима

warn    set acl_mCNT    = 0
warn    condition       = ${if eq{$sender_helo_name}{}{yes}{no}}
        set acl_mCNT    = ${eval:$acl_mCNT+25}
warn    condition       = ${if eq{$sender_address}{}{yes}{no}}
        set acl_mCNT    = ${eval:$acl_mCNT+10}
warn    condition       = ${if !eq{$sender_helo_name}{$sender_host_name}{yes}{no}}
        set acl_mCNT    = ${eval:$acl_mCNT+10}
warn    condition       = ${if >{${strlen:$sender_address}}{30}{yes}{no}}
        set acl_mCNT    = ${eval:$acl_mCNT+15}
.....
.....
.....
warn    set acl_mSEC    = ${eval:$acl_mCNT}s
        delay           = $acl_mSEC

defer   delay           = 60s
        message         = 450 TEMPFAIL : System overload
        condition       = ${if ge{$acl_mCNT}{120}{yes}{no}}


Первый варн обуляет переменную. Каждый последующий увеличивает ее на несколько очков, если соответствующее условие выполняется. Последний варн переводит очки в секунды и делает соответствующую паузу. Если очков набежало больше 120 - ждем еще минуту и выдаем темпфейл.

Список проверяемых условий можно как угодно расширять, можно играться с количеством очков за каждое условие, можно делать несколько групп условий с отдельными паузами между ними. Самое главное - как можно дольше удержать на коннекте отправителя, чтобы он не сорвался. Если удастся поводить бота на поводке три минуты, он три минуты не будет отправлять спам другим хостам. Это очень много. Обычно, почувствовав поводок, боты сами разрывают соединение через 30-40 секунд.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

60. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от artemrts (ok) on 21-Авг-10, 16:27 
>[оверквотинг удален]
>warn    condition       =
>${if !eq{$sender_helo_name}{$sender_host_name}{yes}{no}}
>        set acl_mCNT  
> = ${eval:$acl_mCNT+10}
>warn    condition       = ${if >{${strlen:$sender_address}}{30}{yes}{no}}
>        set acl_mCNT  
> = ${eval:$acl_mCNT+15}
>.....
>.....
>.....

     Эхх.. Вот они плюсы Эксима по сравнению с постфиксом... :-)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

62. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от XoRe (ok) on 21-Авг-10, 23:21 
Exim - сила)
Как люди на postfix'е почтовую систему под себя конфигурируют?

>Если удастся поводить бота на поводке
>три минуты, он три минуты не будет отправлять спам другим хостам.
>Это очень много. Обычно, почувствовав поводок, боты сами разрывают соединение через
>30-40 секунд.

Очень интересная мысль насчет поводка.
Особенно насчет "не будет отправлять спам другим хостам".
Новый способ борьбы со спамом сообща =)
Если ещё буду делать почтовую систему заново, то учту этот момент.
Но вообще у вас очень специфичное решение - у нас приходят тонны спама, которые прошли бы через ваши условия.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

64. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от DeadLoco (ok) on 21-Авг-10, 23:36 
>Очень интересная мысль насчет поводка.

Зачем отказывать себе в удовольствии попортить жизнь тем, кто портит жизнь нам?

>Новый способ борьбы со спамом сообща =)

Это не новый способ, ему миллионы лет. Чтобы одолеть сильного врага надо действовать сообща.


>Но вообще у вас очень специфичное решение - у нас приходят тонны
>спама, которые прошли бы через ваши условия.

Например?

Один из моих доменов содержит 600+ ящиков, из которых 2/3 зарегистрированы более 10 лет назад. В частности, мой собственный, засвеченый во всевозможных спамерских базах. Спам в инбокс попадает 2-3 раза в месяц.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

65. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от XoRe (ok) on 22-Авг-10, 00:51 
>Например?
>
>Один из моих доменов содержит 600+ ящиков, из которых 2/3 зарегистрированы более
>10 лет назад. В частности, мой собственный, засвеченый во всевозможных спамерских
>базах. Спам в инбокс попадает 2-3 раза в месяц.

На работе в логах попробую поискать примеры.

Ещё меня заинтересовала пара правил:

>warn    condition       = ${if eq{$sender_address}{}{yes}{no}}
>        set acl_mCNT    = ${eval:$acl_mCNT+10}

Т.е. вы не принимаете письма с "mailfrom: <>"
А вы в курсе, что RFC говорят по этому поводу?

>warn    condition       = ${if !eq{$sender_helo_name}{$sender_host_name}{yes}{no}}
>        set acl_mCNT    = ${eval:$acl_mCNT+10}

У вас не бывает такого, что вам почта не доходит?)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

66. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от DeadLoco (ok) on 22-Авг-10, 01:08 
>Т.е. вы не принимаете письма с "mailfrom: <>"
>А вы в курсе, что RFC говорят по этому поводу?

Кто сказал - не принимаю? Начисляю очки - и только. Баунсы, которые с пустым отправителем, никогда не наберут 120 очков для полного отлупа, максимум - секунд 15-25 постоят в очереди, и все.

>У вас не бывает такого, что вам почта не доходит?)

Эти правила (у меня их больше четырех десятков) не означают отказа в приеме. Чтобы получить отказ в приеме, нужно подпасть под минимум десяток проверок, с легальными письмами такого не бывает никогда. Было - пока я не отстроил начисление очков.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

61. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от XoRe (ok) on 21-Авг-10, 23:16 
>То, что дошло до DATA, прогоняется через СА.

Что есть "CA"?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

63. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от DeadLoco (ok) on 21-Авг-10, 23:35 
>>То, что дошло до DATA, прогоняется через СА.
>
>Что есть "CA"?

СА = СпамАссассин

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

56. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от XoRe (ok) on 21-Авг-10, 01:40 
>Да и поучите матчасть по SPF, он не зависит от бота никак...

Мне лучше русский подучить)
Я имел в виду Graylist.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

55. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от XoRe (ok) on 21-Авг-10, 01:39 
Не SPF, а Greylist =)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от zerot email(??) on 05-Авг-10, 18:40 
Посмотрите ещё сюда http://www.ourorbits.org/itview/articles/mailsystem.shtml
.
Удачи
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

36. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от XoRe (ok) on 12-Авг-10, 02:05 
>Как лучше блокировать письма такого плана

Хотелось бы расшифровки "такого")
Какого такого?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

50. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от HanTengry (ok) on 16-Авг-10, 09:09 
>>Как лучше блокировать письма такого плана
>
>Хотелось бы расшифровки "такого")
>Какого такого?

Хотя проблема уже решена, недели две, milter-грейлист справляется нормально..отвечаю - я показал ниже заголовок письма, по каким пунктам его можно блокировать мне уже ответили, можно конечно дополнить.  


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

51. "Подскажите каким способом фильтровать такой спам"  +/
Сообщение от HanTengry (ok) on 16-Авг-10, 09:11 
>>>Как лучше блокировать письма такого плана
>>
>>Хотелось бы расшифровки "такого")
>>Какого такого?
>
>Хотя проблема уже решена, несколько недель, milter-грейлист справляется нормально..отвечаю - я показал
>ниже заголовок письма, по каким пунктам его можно блокировать мне уже
>ответили, можно конечно дополнить.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру