Автор Тема: Борба със spam  (Прочетена 3037 пъти)

laskov

  • Участник
  • *****
  • Публикации: 2854
    • Профил
Борба със spam
« -: Feb 16, 2007, 10:38 »
Един от критериите за вземане на решение SPAM/Not SPAM е съответствието прав/обратен резолв. За съжаление, по този критерий
Цитат
pool-71-163-200-162.washdc.east.verizon.net
не може да бъде определен като спамър и трябва да бъде филтриран по друг начин. В този случай е сравнително лесно - започва с "pool" и завършва с "verizon.net", следователно - SPAM. Представете си колко щеше да е лесно, ако всички, които НЕ трябва да пращат поща, имат за начало на записа "pool" ?

Въпросът ми към по-професионалистите от мен е: Възможно ли е да се въведе някакво такова стандартизиране и дали ползата ще заслужава усилията?

Извън темата: Моля, не се заяждайте заради непрофесионалните "термини", които съм ползвал.
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

neter

  • Global Moderator
  • Участник
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Борба със spam
« Отговор #1 -: Feb 16, 2007, 11:09 »
В предложението ти има смисъл, но е неефективно. Хубаво, ще се въведе стандарт за всички, които не са пощенски сървъри, IP-то им да се резолва със съдържание на думата pool. Но! Спам се изпраща чрез пощенски сървъри, на които според този стандарт, резолва няма да съдържа pool и по този начин буквално това Anti-Spam правило все едно не съществува. Друг въпрос, че каквото и да се стандартизира, на спамерите хич не им пречи да си сложат в собствения DNS сървър каквото си пожелаят за обратен резолв (т.е. така, че да отговаря на правия). Моето лично мнение е, че като цяло пощенския протокол трябва да бъде закрит и заменен от нещо друго (не ме питайте какво, ако знаех - да съм го предложил), защото ефекта от пощите започва да става все по-отрицателен както за потребителите, така и за администраторите. Говоря от позицията и на двете страни. Но... каквото време покаже...
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Борба със spam
« Отговор #2 -: Feb 16, 2007, 11:10 »
Не мисля че файдата ще е огромна.

Иначе, коя е тази спамерска организация дето разполага със собствен authoritive DNS сървър за reverse зоната си? Мисля че няма такива мазохисти, на никой не му се занимава да се размотава из съдилища..



Активен

"Knowledge is power" - France is Bacon

laskov

  • Участник
  • *****
  • Публикации: 2854
    • Профил
Борба със spam
« Отговор #3 -: Feb 16, 2007, 11:31 »
Цитат (neter @ Фев. 16 2007,12:09)
Спам се изпраща чрез пощенски сървъри, на които според този стандарт, резолва няма да съдържа pool и по този начин буквално това Anti-Spam правило все едно не съществува. Друг въпрос, че каквото и да се стандартизира, на спамерите хич не им пречи да си сложат в собствения DNS сървър каквото си пожелаят за обратен резолв (т.е. така, че да отговаря на правия).

Според моите скромни наблюдения, голяма част от SPAM писмата се изпращат от зомбирани виндоуси на неподозиращи за това домашни и недомашни потребители. Те нямат възможността
Цитат (neter @ Фев. 16 2007,12:09)
...да си сложат в собствения DNS сървър каквото си пожелаят за обратен резолв...
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Борба със spam
« Отговор #4 -: Feb 16, 2007, 11:42 »
На предишната ми работа, предлагахме хостинг. От време на време някой наш клиент прихващаше някой worm и почваше да бълва спам през нашия smtp сървър, използван от техния outlook. Писмата излизат от машина със съвсем коректни A/PTR/MX записи, така че издържат на каквито си решиш там dns проверки. Беше ебахти кошмара, обикновено циклеха един dictionary с домейни и потребители, половината естествено не съществуваха и опашката на postfix-a ставаше огроооооомна, докато не се вземат мерки. Много дразнеща ситуация, и после бяха разправии по телефона докато обясня защо не могат да пращат повече мейли и да си чистят машините..
Активен

"Knowledge is power" - France is Bacon

growchie

  • Участник
  • *****
  • Публикации: 623
    • Профил
Борба със spam
« Отговор #5 -: Feb 16, 2007, 11:45 »
Добре е като за начало да кажеш какъв ти е мейл сървъра или говориш по принцип?

Друго за което си мисля аз е, че ако за домейна от който се изпраща пощата да речем example.com в MX записа няма опоменат сървър pool*verizon.net то сигурно е спам но може да е и тъпо конфигуриран мейл сървър. С две думи dig mx за example.com и ако сървъра от който се праща не е описан го режеш.
Активен

laskov

  • Участник
  • *****
  • Публикации: 2854
    • Профил
Борба със spam
« Отговор #6 -: Feb 16, 2007, 12:08 »
Цитат (gat3way @ Фев. 16 2007,12:42)
Писмата излизат от машина със съвсем коректни A/PTR/MX записи, така че издържат на каквито си решиш там dns проверки.

Излизат, ама ако излязат от mail сървъра на ISP-то, тогава стават коректни. А преди това са излезли от къде? От IP адрес, чийто PTR запис е в ръцете на същото това ISP.
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3

gat3way

  • Участник
  • *****
  • Публикации: 6050
  • Relentless troll
    • Профил
    • WWW
Борба със spam
« Отговор #7 -: Feb 16, 2007, 12:23 »
laskov и какво предлагаш в този случай, да взема да си режа клиентите защото PTR записите им не отговаряли на някакъв критерии?

За такива неща си има pop-before-smtp, разни схеми за SMTP автентикация, но да ги режа на база какъв PTR запис стоял за w.x.y.z.in-addr.arpa е меко казано глупаво.

И не е казано, че трябва да ползват някакъв SMTP сървър на тяхното ISP, в конкретният случай не е така и определено не е моя работа да знам откъде ще ползват услугата, стига да я ползват коректно.
Активен

"Knowledge is power" - France is Bacon

growchie

  • Участник
  • *****
  • Публикации: 623
    • Профил
Борба със spam
« Отговор #8 -: Feb 16, 2007, 13:47 »
Вежте какво ми попадна преди малко http://www.openspf.org/
някакви коментари?
Активен

coldy

  • Участник
  • *****
  • Публикации: 142
    • Профил
Борба със spam
« Отговор #9 -: Feb 16, 2007, 18:29 »
openspf е повече от желателно за ползване, в раздел "Статии" имаше изпратени теми точно по този повод, а на http://www.openspf.org/ има удобен помощник за конфигуриране на spf записите към name зоната ( http://old.openspf.org/wizard.html )

Успех!



Активен

Как правилно да задаваме въпроси:
http://linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=356333931
~
Името със сигурност е ГНУ/Линукс, а не Линукс.
Обяснено е тук: http://www.gnu.org/gnu/why-gnu-linux.html

Ali Nebi

  • Участник
  • *****
  • Публикации: 394
  • Distribution: Centos, Debian, Fedora, Ubuntu
  • Window Manager: Gnome
    • Профил
Борба със spam
« Отговор #10 -: Feb 23, 2007, 14:41 »
OpenSPF върши доста добра работа, но не съм сигурен, че много фирми го ползват масово все още.

За целта повечето фирми правят други нещо, ползват Spamassassin, който в себе си включва SPF проверки и т.н. Има доста много други възможности за борба срещу спама, но каквото и да се прави, спамерите винаги ще бъдат с няколко години напред от хората, които се опитват да ги блокират. Защо ? Защото имам много повече средства и начини да го правят, както това, че за тях закони няма. А ние трябва да използваме налични средства за блокиране на такива като тях, както и да спазваме някои важни правила (клиенти и т.н.). Винаги админите ще са ограничени по това отношение.
Активен

Не се задоволявай да бъдеш дим, когато можеш да бъдеш огън!

growchie

  • Участник
  • *****
  • Публикации: 623
    • Профил
Борба със spam
« Отговор #11 -: Feb 23, 2007, 14:57 »
По настоящем spamassassina дава много малък приоритет на SPF, а гугъл дори ги игнорират въпреки че ги оценяват.
Активен

laskov

  • Участник
  • *****
  • Публикации: 2854
    • Профил
Борба със spam
« Отговор #12 -: Feb 26, 2007, 16:36 »
Ако позволите да се върна на темата ...
Конфигурирах sendmail така, че да отказва писма от клиенти, в чийто обратен DNS запис се съдържа някое от следните: (pool|dsl|ppp|dhcp), както и ако в записа има три или повече тирета. Ако е интересно за някого, описанието е тук.
Активен

Не си мислете, че понеже Вие мислите правилно, всички мислят като Вас! Затова, когато има избори, идете и гласувайте, за да не сте изненадани после от резултата, и за да не твърди всяка партия, че тя е спечелила, а Б.Б. (С.С., ...) е загубил, а трети да управлява.  Наздраве!  [_]3