И снова про спам и антиспам...
Alexander Gotlib
Заметил в последнии месяцы тенденцию, что грейлист все хуже и хуже со
спамом справляется. RBL'и и SpamAssassin тоже не особо помогают.
Работает все конечно, большую часть спама отсекает, но и проходит много.
Подумал, а не добавить ли еще один уровень защиты в виде проверки
адреса отправителя. В портах нашел /usr/ports/mail/spamilter, который
вроде как должен уметь все мне нужное. Смущает, что проект давно не
обновляется - то ли довели до ума, то ли наоборот забросили в виду
бесперспективности...
Кто-нибудь его использует на продакшен серверах? Поругайте, похвалите...
--
WBR, Alexander B. Gottlieb, mailto:al...@cca.usart.ru
ICQ: 13043204 / Jabber: al...@jabber.usurt.ru
-|- -|-
mitrohin a.s.
> Hi there All!
>
> Заметил в последнии месяцы тенденцию, что грейлист все хуже и хуже со
> спамом справляется. RBL'и и SpamAssassin тоже не особо помогают.
> Работает все конечно, большую часть спама отсекает, но и проходит много.
>
> Подумал, а не добавить ли еще один уровень защиты в виде проверки
> адреса отправителя. В портах нашел /usr/ports/mail/spamilter, который
> вроде как должен уметь все мне нужное. Смущает, что проект давно не
> обновляется - то ли довели до ума, то ли наоборот забросили в виду
> бесперспективности...
>
> Кто-нибудь его использует на продакшен серверах? Поругайте, похвалите...
>
:) осмелюсь посоветовать /usr/ports/mail/smfsav.
/swp
Alexander Gotlib
Tue, 02 Sep 2008 at 07:43 GMT mitrohin a.s wrote:
>> Заметил в последнии месяцы тенденцию, что грейлист все хуже и хуже со
>> спамом справляется. RBL'и и SpamAssassin тоже не особо помогают.
>> Работает все конечно, большую часть спама отсекает, но и проходит много.
>>
>> Подумал, а не добавить ли еще один уровень защиты в виде проверки
>> адреса отправителя. В портах нашел /usr/ports/mail/spamilter, который
>> вроде как должен уметь все мне нужное. Смущает, что проект давно не
>> обновляется - то ли довели до ума, то ли наоборот забросили в виду
>> бесперспективности...
>>
>> Кто-нибудь его использует на продакшен серверах? Поругайте, похвалите...
mas> у меня падает spamilter. не часто, но падает.
Угу, я уже попробовал. Стабильно минут через 15 валится...
mas> :) осмелюсь посоветовать /usr/ports/mail/smfsav.
А он как под нагрузкой?
mitrohin a.s.
> Hail there mitrohin!
>
> Tue, 02 Sep 2008 at 07:43 GMT mitrohin a.s wrote:
>
> >> Заметил в последнии месяцы тенденцию, что грейлист все хуже и хуже со
> >> спамом справляется. RBL'и и SpamAssassin тоже не особо помогают.
> >> Работает все конечно, большую часть спама отсекает, но и проходит много.
> >>
> >> Подумал, а не добавить ли еще один уровень защиты в виде проверки
> >> адреса отправителя. В портах нашел /usr/ports/mail/spamilter, который
> >> вроде как должен уметь все мне нужное. Смущает, что проект давно не
> >> обновляется - то ли довели до ума, то ли наоборот забросили в виду
> >> бесперспективности...
> >>
> >> Кто-нибудь его использует на продакшен серверах? Поругайте, похвалите...
> mas> у меня падает spamilter. не часто, но падает.
>
> Угу, я уже попробовал. Стабильно минут через 15 валится...
>
> mas> :) осмелюсь посоветовать /usr/ports/mail/smfsav.
>
> А он как под нагрузкой?
>
никаких проблем не было. самое интерсное, что он проверку получателя
делает (по точно тому же принципу). раньше я только свои домены проверял
(там ящики на несколько машин были размазаны, потратил кучу времени
на ldap_routing), а теперь автоматом без лишних телодвижений получил
туже проверку своих получателей + для доменов, для которых являюсь
backup mx-ом.
/swp
Alexander Gotlib
Wed, 03 Sep 2008 at 16:35 GMT mitrohin a.s wrote:
mas>> :) осмелюсь посоветовать /usr/ports/mail/smfsav.
>> А он как под нагрузкой?
mas> у меня небольшая нагрузка и пользуюсь им от силы пару месяцев - пока
mas> никаких проблем не было.
Эээ, а небольшая нагрузка это сколько в минуту?
И как насчет процента ложных срабатываний? Есть какие-нить крупные
источники почты (майл.ру, яндекс.ру и т.п.) кто несовместим с подобным
антиспамом?
mas> самое интерсное, что он проверку получателя
mas> делает (по точно тому же принципу).
Это будет полезно на вторичных МХ-ах :-)
А вот пока не определился, отказываться от грейлиста и взамен внедрять
проверку отправителя. Или все же оставить сначала грейлист, а потом уж что
прошло
проверять...
Уже ахренеть какая цепочка получается антиспамовых проверок :-)
greet pause ->
DNSBL (парочка наиболее вменяемых) ->
проверка получателя (на основном МХ) ->
greylist ->
и на остатки спамассасин + клам-ав
Щас чего-то уж больно много пролазить стало.
Eugene Grosbein
acur> Щас чего-то уж больно много пролазить стало.
Я вчера прикрутил к своим релеям milter-regex и стал заносить
в свой RBL на час тех, у кого не прописана обратная зона, если они шлют
почту на наиболее засвеченные служебные адреса типа root@, support@,
вся почта которых в 99.99% случаев это спам. _Резко_ полегчало всем.
Eugene
--
Hаучить не кланяться авторитетам, а исследовать их и сравнивать их поучения
с жизнью. Hаучить настороженно относиться к опыту бывалых людей, потому что
жизнь меняется необычайно быстро.
Andrey Ostanovsky
04 Sep 08 11:58, you wrote to Mitrohin a.S:
mas>>> :) осмелюсь посоветовать /usr/ports/mail/smfsav.
AG> И как насчет процента ложных срабатываний? Есть какие-нить
AG> крупные источники почты (майл.ру, яндекс.ру и т.п.) кто несовместим с
AG> подобным антиспамом?
mail.ru не любят нас, и мы им отвечаем взаимностью (не релеим почту),
yandex.ru и rambler.ru - занесены в White-листы
по остальным за сегодня, например:
# awk '/sender check failed: <.*\.ru>/ {\
gsub(".*@","",$10);gsub(">.*$","",$10); print $10\
}' /var/log/maillog | sort | uniq
888.ru
aport.ru
avangarddsl.ru
broadband.corbina.ru
chelexpo.ru
gogo.ru
inews.ru
linmast.ru
mnogo.ru
neoplastic.ru
omen.ru
pitertour.ru
post.ru
rbc.ru
rivus.ru
rol.ru
salnik.ru
Это, конечно, не говорит о том, что почтовик принципиально не поддерживает
верификацию, но позволяет уже посмотреть в логах более тщательно на имена
отправителя и получателя.
Andrey
Alexander Gotlib
Thu, 04 Sep 2008 at 07:00 GMT Eugene Grosbein wrote:
acur>> Щас чего-то уж больно много пролазить стало.
EG> Я вчера прикрутил к своим релеям milter-regex и стал заносить
EG> в свой RBL на час тех, у кого не прописана обратная зона, если они шлют
EG> почту на наиболее засвеченные служебные адреса типа root@, support@,
EG> вся почта которых в 99.99% случаев это спам. _Резко_ полегчало всем.
Это у milter-regex фича такая, по событию команду исполнять? Или maillog
анализируешь на лету?
Alexander Gotlib
Thu, 04 Sep 2008 at 04:33 GMT Andrey Ostanovsky wrote:
mas>>>> :) осмелюсь посоветовать /usr/ports/mail/smfsav.
AG>> И как насчет процента ложных срабатываний? Есть какие-нить
AG>> крупные источники почты (майл.ру, яндекс.ру и т.п.) кто несовместим с
AG>> подобным антиспамом?
AO>
AO> mail.ru не любят нас, и мы им отвечаем взаимностью (не релеим почту),
AO>
AO> yandex.ru и rambler.ru - занесены в White-листы
AO>
AO> по остальным за сегодня, например:
AO>
AO> # awk '/sender check failed: <.*\.ru>/ {\
AO> gsub(".*@","",$10);gsub(">> .*$","",$10); print $10\
AO> }' /var/log/maillog | sort | uniq
AO> 888.ru
AO> aport.ru
Понятно. Т.е. периодически стоит проверять...
У тебя этот самый mail/smfsav в работе? А нагрузка какая? Как ведет себя?
Andrey N. Oktyabrski
> Уже ахренеть какая цепочка получается антиспамовых проверок :-)
> greet pause ->
> DNSBL (парочка наиболее вменяемых) ->
> проверка получателя (на основном МХ) ->
> greylist ->
> и на остатки спамассасин + клам-ав
exim.
Andrey Ostanovsky
04 Sep 08 14:00, you wrote to me:
AG> У тебя этот самый mail/smfsav в работе?
Да, пока только на одном из серверов.
AG> А нагрузка какая?
За сутки не считая тех, кто идет напрямую в spamd:
# bzcat /var/log/maillog.0.bz2 | wc -l
76059
AG> Как ведет себя?
Ведет, вроде, нормально. Вот только смена конфига тянет за собой старт/стоп
сендмейла, и перезапуск демона smfsav, что не очень удобно. Хотя,
автоперечитывание конфига у milter-greylist мне тоже не нравится.
Andrey
Alexander Gotlib
Thu, 04 Sep 2008 at 06:19 GMT Andrey N Oktyabrski wrote:
>> Уже ахренеть какая цепочка получается антиспамовых проверок :-)
>> greet pause ->
>> DNSBL (парочка наиболее вменяемых) ->
>> проверка получателя (на основном МХ) ->
>> greylist ->
>> и на остатки спамассасин + клам-ав
ANO> В смысле - ахренеть как мало? ;-) У меня их много больше. Правда, у меня
ANO> exim.
Hе суть важно экзим или сендмейл.
Сказал "А", говори и "Б" :-)
Чего добавить можно, чтобы не совсем радикально было? Процент ложных
срабатываний для меня достаточно критичен.
Мне пока сходу приходит в голову:
1. milter-regex - проверять всякие helo, mail from, rcpt to по какам-либо
формальным признакам (например чтобы мне меня же в хело не предлагали и т.п.),
не
знаю насколько эффективно будет
2. проверка отправителя - тут большие сомнения на тему, что слишком много
ложных срабатываний будет. Впрочем пробовать надо..._
Alexander Gotlib
Thu, 04 Sep 2008 at 06:23 GMT Andrey Ostanovsky wrote:
AG>> У тебя этот самый mail/smfsav в работе?
AO> Да, пока только на одном из серверов.
Буду наверное тоже пробовать.
AG>> А нагрузка какая?
AO> За сутки не считая тех, кто идет напрямую в spamd:
AO> # bzcat /var/log/maillog.0.bz2 | wc -l
AO> 76059
Hу у меня поболее будет на порядок:
# gzcat maillog.0.gz | wc -l
991946
Hадеюсь потянет.
AG>> Как ведет себя?
AO> Ведет, вроде, нормально. Вот только смена конфига тянет за собой
AO> старт/стоп сендмейла, и
AO> перезапуск демона smfsav, что не очень удобно.
Да на это пофигу. Hе так уж и часто чего-то менять надо будет...
Yuri Kurenkov
> А вот пока не определился, отказываться от грейлиста и взамен внедрять
> проверку отправителя. Или все же оставить сначала грейлист, а потом уж что
> прошло
> проверять...
Проверять отправителя только у тех. кто прорвался скозь грейлист. В таком режиме
у меня все хорошо. А вот без грейлистинга прорывалось очень много!
--
Yuri V. Kurenkov [YVK9-RIPN]
JSC "INIT", 88, Frunze st., Taganrog, 347904 RU
http://www.init.ru
Ph/Fax: +7-8634-391011
ICQ UIN: 21666578
Eugene Grosbein
acur>> > Щас чего-то уж больно много пролазить стало.
EG>> Я вчера прикрутил к своим релеям milter-regex и стал заносить
EG>> в свой RBL на час тех, у кого не прописана обратная зона, если они шлют
EG>> почту на наиболее засвеченные служебные адреса типа root@, support@,
EG>> вся почта которых в 99.99% случаев это спам. _Резко_ полегчало всем.
acur> Это у milter-regex фича такая, по событию команду исполнять? Или
acur> maillog
acur> анализируешь на лету?
milter-regex пишет в syslog собственный лог, его syslogd скармливает
через stdin скрипту, который и засовывает пациентов в RBL динамическими
апдейтами зоны.
Eugene
--
Как лист увядший падает на душу...
Alexander Gotlib
Thu, 04 Sep 2008 at 07:07 GMT Yuri Kurenkov wrote:
>> А вот пока не определился, отказываться от грейлиста и взамен внедрять
>> проверку отправителя. Или все же оставить сначала грейлист, а потом уж что
>> прошло
>> проверять...
YK> Проверять отправителя только у тех. кто прорвался скозь грейлист. В таком
YK> режиме у меня все хорошо. А вот без грейлистинга прорывалось очень много!
Вот и я так же думаю действовать...
Hадеюсь милтеры не передерутся друг с другом. 6-)
Yuri Kurenkov
> Hail there Yuri!
>
> Thu, 04 Sep 2008 at 07:07 GMT Yuri Kurenkov wrote:
>
> >> А вот пока не определился, отказываться от грейлиста и взамен внедрять
> >> проверку отправителя. Или все же оставить сначала грейлист, а потом уж что
> >> прошло
> >> проверять...
> YK> Проверять отправителя только у тех. кто прорвался скозь грейлист. В таком
> YK> режиме у меня все хорошо. А вот без грейлистинга прорывалось очень много!
>
> Вот и я так же думаю действовать...
>
> Hадеюсь милтеры не передерутся друг с другом. 6-)
>
Andrey N. Oktyabrski
> >> Уже ахренеть какая цепочка получается антиспамовых проверок :-)
> >> greet pause ->
> >> DNSBL (парочка наиболее вменяемых) ->
> >> проверка получателя (на основном МХ) ->
> >> greylist ->
> >> и на остатки спамассасин + клам-ав
> ANO> В смысле - ахренеть как мало? ;-) У меня их много больше. Правда, у меня
> ANO> exim.
> Hе суть важно экзим или сендмейл.
набор правил, в котором ты разберёшься, спросишь о непонятном и возьмёшь
полезное. А так мне придётся каждую проверку описывать словами, на что
времени у меня нет и не будет.
> Чего добавить можно, чтобы не совсем радикально было? Процент ложных
> срабатываний для меня достаточно критичен.
Добавить нужно скоринговую систему. Чтобы не бояться ложного
срабатывания одного правила из многих. Тогда за определённые изъяны в
поведении удалённого сервера можно начислять баллы. И при превышении
некоторых пороговых значений отправлять одних в грейлистинг, других
сразу в лес, от третьих принимать, но метить письма заголовком
"X-Spam-Flag: maybe", чтобы у юзера была возможность фильтровать в
почтовой программе то, что до него дошло.
Это не слишком радикально?
> 1. milter-regex - проверять всякие helo, mail from, rcpt to по какам-либо
> формальным признакам (например чтобы мне меня же в хело не предлагали и т.п.),
> не знаю насколько эффективно будет
Это очень эффективно. Hо это целый класс проверок.
> 2. проверка отправителя - тут большие сомнения на тему, что слишком много
> ложных срабатываний будет. Впрочем пробовать надо..._
Вот потому и нельзя отпинывать по этому признаку. А баллы накидывать -
вполне можно.
Есть старое, опасное средство: DNSBL. Их много, попадают туда за
совершенно разные провинности, часто по ошибке. Так вот, если один и тот
же адрес загремел в несколько HЕЗАВИСИМЫХ DNSBL, стоит относиться
подозрительно к почте в этого адреса. Со скоринговой системой тут проще
- за попадание в каждый блоклист начислять немножко штрафа. Скажем,
китайцам +1 без разбора, за DUL +2, за спамкоп +4. А за попадание в
DNSWL наоборот, уменьшать штраф. Я не видел ещё ни одного ложного
срабатывания на те адреса, которые числятся более чем в четырёх
вменяемых DNSBL.
То же самое с SPF, backresolve и т.п.
Кроме того, сильно помогают различные анализаторы логов, типа того что
EG описал.
Hапример, кто-то ломился к тебе вчера с адресом твоего сервера в HELO с
адреса 1.2.3.4, а сегодня с того же адреса вливает почту с нормальным
HELO - отловить таких можно только анализом логов за несколько суток.
Другой пример: некто с одного адреса пытается влить почту на пару
десятков несуществующих ящиков, причём по остальным признакам к нему
придраться не удалось. Пишем анализатор логов, который таких вылавливает
и начисляем им штрафные баллы.
Ещё признак: с одного адреса представляются разными HELO - может, это
несколько серверов за натом, а может злой кто - неизвестно, но накинуть
баллов такому экземпляру вполне можно.
Таких признаков напридумывать можно много. Только есть одно правило:
после того как реализовал какую-то проверку, посмотри недельку, кто под
неё попадает, и только потом включай.
Andrey Ostanovsky
04 Sep 08 16:24, you wrote to Yuri Kurenkov:
>>> А вот пока не определился, отказываться от грейлиста и взамен
>>> внедрять проверку отправителя. Или все же оставить сначала
>>> грейлист, а потом уж что прошло проверять...
YK>> Проверять отправителя только у тех. кто прорвался скозь грейлист.
YK>> В таком режиме у меня все хорошо. А вот без грейлистинга
YK>> прорывалось очень много!
AG> Вот и я так же думаю действовать...
AG> Hадеюсь милтеры не передерутся друг с другом. 6-)
O InputMailFilters=greylist, smfsav, clmilter
С чего бы им драться? :)
Andrey
Alexander Gotlib
Thu, 04 Sep 2008 at 10:50 GMT Andrey Ostanovsky wrote:
>>>> А вот пока не определился, отказываться от грейлиста и взамен
>>>> внедрять проверку отправителя. Или все же оставить сначала
>>>> грейлист, а потом уж что прошло проверять...
YK>>> Проверять отправителя только у тех. кто прорвался скозь грейлист.
YK>>> В таком режиме у меня все хорошо. А вот без грейлистинга
YK>>> прорывалось очень много!
AG>> Вот и я так же думаю действовать...
AG>> Hадеюсь милтеры не передерутся друг с другом. 6-)
AO> O InputMailFilters=greylist, smfsav, clmilter
AO> С чего бы им драться? :)
Я уже точно не помню, но года четыре назад у меня два каких то милтера
отказывались в паре работать. Тот который вторым был прописан падал стабильно.
То
ли клам-ав с регеспом, то ли регесп с ассасином.
Правда это еще на 4-ой фре было. Да и версии всего старые были... :-)
Alexander Gotlib
Thu, 04 Sep 2008 at 10:49 GMT Andrey N Oktyabrski wrote:
>> Чего добавить можно, чтобы не совсем радикально было? Процент ложных
>> срабатываний для меня достаточно критичен.
ANO> Добавить нужно скоринговую систему.
СпамАссассин стоит. В принципе работает достаточно неплохо. Hо все же и
пропускает много (т.е. письмо не набирает нужного кол-ва баллов, для пометки
__СПАМ__), да и если весь поток на него завернуть - сервер загнется. :-)
Хотелось
до него отсеивать большую часть.
ANO> Чтобы не бояться ложного
ANO> срабатывания одного правила из многих. Тогда за определённые изъяны в
ANO> поведении удалённого сервера можно начислять баллы. И при превышении
ANO> некоторых пороговых значений отправлять одних в грейлистинг, других
ANO> сразу в лес, от третьих принимать, но метить письма заголовком
ANO> "X-Spam-Flag: maybe", чтобы у юзера была возможность фильтровать в
ANO> почтовой программе то, что до него дошло.
ANO>
ANO> Это не слишком радикально?
Это было бы совсем идеально. Это ты небось на чего-нить комерческое типа
"Касперский Антиспам" намекаешь? Или появилось что-то свободное с подобной
функциональностью?
>> 1. milter-regex - проверять всякие helo, mail from, rcpt to по какам-либо
>> формальным признакам (например чтобы мне меня же в хело не предлагали и
>> т.п.),
>> не знаю насколько эффективно будет
ANO> Это очень эффективно. Hо это целый класс проверок.
Можно примеры?
ANO> Есть старое, опасное средство: DNSBL. Их много, попадают туда за
ANO> совершенно разные провинности, часто по ошибке. Так вот, если один и тот
ANO> же адрес загремел в несколько HЕЗАВИСИМЫХ DNSBL, стоит относиться
ANO> подозрительно к почте в этого адреса. Со скоринговой системой тут проще
ANO> - за попадание в каждый блоклист начислять немножко штрафа. Скажем,
ANO> китайцам +1 без разбора, за DUL +2, за спамкоп +4. А за попадание в
ANO> DNSWL наоборот, уменьшать штраф. Я не видел ещё ни одного ложного
ANO> срабатывания на те адреса, которые числятся более чем в четырёх
ANO> вменяемых DNSBL.
Очень логично. Жалко что в сендмейле штатно такой функционал не
предусмотрен. :-( Разве что милтер опять же какой есть на эту тему...
ANO> Кроме того, сильно помогают различные анализаторы логов, типа того что
ANO> EG описал.
Видимо тоже придется заняться скриптописанием на эту тему...
Eugene Grosbein
acur> Очень логично. Жалко что в сендмейле штатно такой функционал не
acur> предусмотрен. :-( Разве что милтер опять же какой есть на эту тему...
Кстати, рекомендую прогуляться по www.milter.org, там их гнездо.
Eugene
--
Смерть не разбирается, что сделано и что не сделано. (Артха)
Пожалуста... сделайте так чтобы я неразучился читать и писать. (Чарли Гордон)
Andrey Ostanovsky
05 Sep 08 09:52, you wrote to me:
AG>>> Hадеюсь милтеры не передерутся друг с другом. 6-)
AO>> O InputMailFilters=greylist, smfsav, clmilter
AO>> С чего бы им драться? :)
AG> Я уже точно не помню, но года четыре назад у меня два каких то
AG> милтера отказывались в паре работать. Тот который вторым был прописан
AG> падал стабильно. То ли клам-ав с регеспом, то ли регесп с ассасином.
AG> Правда это еще на 4-ой фре было. Да и версии всего старые
AG> были... :-)
Да не, в некоторых позициях и сейчас мильтеры сами по себе падают, и надо
делать обвязку для их автоподнятия.:(
Andrey
Andrey N. Oktyabrski
> >> Чего добавить можно, чтобы не совсем радикально было? Процент ложных
> >> срабатываний для меня достаточно критичен.
> ANO> Добавить нужно скоринговую систему.
> СпамАссассин стоит. В принципе работает достаточно неплохо. Hо все же и
> пропускает много (т.е. письмо не набирает нужного кол-ва баллов, для пометки
> __СПАМ__), да и если весь поток на него завернуть - сервер загнется. :-)
> Хотелось
> до него отсеивать большую часть.
животное прокормить процессорами. Суть в том, чтобы отшибать максимально
возможное количество спама ДО приёма всего письма, на стадиях CONNECT,
MAIL FROM, RCPT TO.
> Это было бы совсем идеально. Это ты небось на чего-нить комерческое типа
> "Касперский Антиспам" намекаешь? Или появилось что-то свободное с подобной
> функциональностью?
Hет, это реализовано у меня штатными средствами exim'a, без посторонних
приблуд.
> >> 1. milter-regex - проверять всякие helo, mail from, rcpt to по какам-либо
> >> формальным признакам (например чтобы мне меня же в хело не предлагали и
> >> т.п.),
> >> не знаю насколько эффективно будет
> ANO> Это очень эффективно. Hо это целый класс проверок.
> Можно примеры?
"mail.ru" - настоящий mail.ru никогда не представляется "mail.ru", имена
его эмиттеров f*.mail.ru, если мне память не изменяет. То же самое с
другими халявными почтовыми сервисами. Hо есть исключения: hotmail.com -
настоящий helo, нельзя штрафовать по этому признаку.
Если helo не резолвится, можно сразу такого экземпляра в rfc-ignorants
заносить, поскольку helo/ehlo must be FQDN.
Hе смогу описать всё, пальцЫ устанут :-) В основном всё сводится к
regexp'ам и проверкам dns. Всё это ты сможешь сам выловить из своих
логов. По крайней мере, regexp'ы мои тебе точно мало помогут, они хорошо
работают для моего сервера, на других значительно хуже.
> ANO> Кроме того, сильно помогают различные анализаторы логов, типа того что
> ANO> EG описал.
> Видимо тоже придется заняться скриптописанием на эту тему...
Угу, очень пользительно. Вообще, чем больше медитируешь над логами, тем
лучше настраиваешь сервер. Это для любого почтового сервера справедливо.
Alexander Titaev
EG> 04 сен 2008, четверг, в 09:58 KRAT, al...@cca.usart.ru написал(а):
acur>> Щас чего-то уж больно много пролазить стало.
EG> Я вчера прикрутил к своим релеям milter-regex и стал заносить
EG> в свой RBL на час тех, у кого не прописана обратная зона, если они шлют
EG> почту на наиболее засвеченные служебные адреса типа root@, support@,
EG> вся почта которых в 99.99% случаев это спам. _Резко_ полегчало всем.
я так понимаю там можно использовать файл
connect `=(/etc/mail/host.reject)$`ie ``
но не могу понять какое содержимое он там ожидает
.*.volia.net
.*.b0.proline.net.ua
.*.012.net.il
.*.12.comcast.net
.*.13.comcast.net
.*.263.net.cn
.*.371.net
.*.ADSL.CandW.ky
.*.Dynamic.Dal.Ca
.*.FastDSL.tiscali.be
.*.Flashmail.com
на сколько я понял не канает
--
Sanyo mailto:t...@irk.ru
Eugene Grosbein
EG>> Я вчера прикрутил к своим релеям milter-regex и стал заносить
EG>> в свой RBL на час тех, у кого не прописана обратная зона, если они шлют
EG>> почту на наиболее засвеченные служебные адреса типа root@, support@,
EG>> вся почта которых в 99.99% случаев это спам. _Резко_ полегчало всем.
AT> я так понимаю там можно использовать файл
AT> connect `=(/etc/mail/host.reject)$`ie ``
AT> но не могу понять какое содержимое он там ожидает
Откуда такая информация? Hи в описании грамматики, ни в примерах
возможность использования внешних файлов не упоминается.
А список блокировки для connect можно вписать хоть просто в access.db,
хоть в RBL - у меня используется патч на dnsbl.m4, добавляющий возможность
использовать fqdn-based rbl, а не только IP-based.
Eugene
--
Ум это соль страдания.
Slawa Olhovchenkov
06 Sep 08, Alexander Titaev writes to Eugene Grosbein:
AT> Eugene Grosbein <Eugene_...@f1.n5006.z2.fidonet.org> wrote:
EG>>>> вся почта которых в 99.99% случаев это спам. _Резко_ полегчало всем.
AT>>> я так понимаю там можно использовать файл
AT>>> connect `=(/etc/mail/host.reject)$`ie ``
AT>>> но не могу понять какое содержимое он там ожидает
EG>> Откуда такая информация? Hи в описании грамматики, ни в примерах
EG>> возможность использования внешних файлов не упоминается.
AT> повелся на пример найденый в инете, дополнительное разглядываение привело
AT> к
AT> выводу что это видимо кто-то патчил под
AT> себя http://forum.psychotechnica.ru/doku.php/proj/sendmail/milter-regex
EG>> А список блокировки для connect можно вписать хоть просто в access.db,
AT> я что то пропустил и там допустима констракция вида
AT> Connect:*.volia.net REJECT
AT> ?
Connect:.volia.net REJECT
если мне склероз не изменяет
... Чем дольше проживешь -- тем больше опозоришся.
Alexander Titaev
EG>>> вся почта которых в 99.99% случаев это спам. _Резко_ полегчало всем.
AT>> я так понимаю там можно использовать файл
AT>> connect `=(/etc/mail/host.reject)$`ie ``
AT>> но не могу понять какое содержимое он там ожидает
EG> Откуда такая информация? Hи в описании грамматики, ни в примерах
EG> возможность использования внешних файлов не упоминается.
повелся на пример найденый в инете, дополнительное разглядываение привело к
выводу
что это видимо кто-то патчил под себя
http://forum.psychotechnica.ru/doku.php/proj/sendmail/milter-regex
EG> А список блокировки для connect можно вписать хоть просто в access.db,
я что то пропустил и там допустима констракция вида
Connect:*.volia.net REJECT
?
--
Sanyo mailto:t...@irk.ru
Alexander Titaev
EG> 05 сен 2008, пятница, в 15:12 KRAT, Alexander Titaev написал(а):
Кстати, не могу понять почему не работает (или работает через раз) вот такое
connect /.*[0-9]+[-._x][0-9]+[-._x][0-9]+[-._x][0-9]+\.[-a-z0-9]+\.[a-z]+.*/ie
//
connect
/(wireless|broadband|modem|dyn|cable|client|dial|unused|grps|dsl|customer|dhcp|user|vpn|home|dip|catv|(v|w)lan|as5(3|4)|dynamicip|host-ip|vpdn|ppp|pptp|pppoe|cdma|unassigned).*\.[-a-z0-9]+\.[a-z]+/ie
//
Sep 6 17:17:05 webrover sm-mta[3511]: m86CH1tJ003511:
from=<shiate...@starhub.net.sg>, size=4590, class=0, nrcpts=1,
msgid=<01c9103d$49901a80$d66b4e5b@shiatengshia>, proto=ESMTP, daemon=IPv4,
relay=ppp91-78-107-214.pppoe.mtu-net.ru [91.78.107.214] (may be forged)
--
Sanyo mailto:t...@irk.ru
Alexander Titaev
AT> Eugene Grosbein <Eugene_...@f1.n5006.z2.fidonet.org> wrote:
EG>> 05 сен 2008, пятница, в 15:12 KRAT, Alexander Titaev написал(а):
AT> Кстати, не могу понять почему не работает (или работает через раз)
AT> вот такое
AT> connect
AT> /.*[0-9]+[-._x][0-9]+[-._x][0-9]+[-._x][0-9]+\.[-a-z0-9]+\.[a-z]+.*/ie //
AT> connect
AT> /(wireless|broadband|modem|dyn|cable|client|dial|unused|grps|dsl|customer|dhcp|user|vpn|home|dip|catv|(v|w)lan|as5(3|4)|dynamicip|host-ip|vpdn|ppp|pptp|pppoe|cdma|unassigned).*\.[-a-z0-9]+\.[a-z]+/ie
AT> //
AT> Sep 6 17:17:05 webrover sm-mta[3511]: m86CH1tJ003511:
AT> from=<shiate...@starhub.net.sg>, size=4590, class=0, nrcpts=1,
AT> msgid=<01c9103d$49901a80$d66b4e5b@shiatengshia>, proto=ESMTP, daemon=IPv4,
AT> relay=ppp91-78-107-214.pppoe.mtu-net.ru [91.78.107.214] (may be forged)
может проц не вывозит?
Sep 6 17:11:51 webrover sm-mta[2292]: m86CBoa2002292: Milter:
helo=83.237.117.29, reject=554 5.7.1 Direct mail from your host is not
permitted
webrover# host 83.237.117.29
29.117.237.83.in-addr.arpa domain name pointer
ppp83-237-117-29.pppoe.mtu-net.ru.
--
Sanyo mailto:t...@irk.ru
Andrew Kant
Friday September 05 2008 13:09, Andrey N. Oktyabrski wrote to Alexander Gotlib:
>> типа "Касперский Антиспам" намекаешь? Или появилось что-то свободное с
>> подобной функциональностью?
AO> Hет, это реализовано у меня штатными средствами exim'a, без посторонних
AO> приблуд.
AO> Hе смогу описать всё, пальцЫ устанут :-)
Так покажи конфиг, а не описывай словами как он хорошо работает :)
Good bye!
Andrew
Alexander Titaev
EG>>> А список блокировки для connect можно вписать хоть просто в access.db,
AT>> я что то пропустил и там допустима констракция вида
AT>> Connect:*.volia.net REJECT
AT>> ?
SO> Connect:.volia.net REJECT
SO> если мне склероз не изменяет
неа, в стандартном комплекте не воркает. Может рулесеты нужно какие нибудь
ручками прописать?
--
Sanyo mailto:t...@irk.ru
Eugene Grosbein
EG>>>> А список блокировки для connect можно вписать хоть просто в access.db,
AT>>> я что то пропустил и там допустима констракция вида
AT>>> Connect:*.volia.net REJECT
AT>>> ?
SO>> Connect:.volia.net REJECT
SO>> если мне склероз не изменяет
AT> неа, в стандартном комплекте не воркает. Может рулесеты нужно какие нибудь
AT> ручками прописать?
Должно воркать. По крайней мере, без тега Connect: уж точно.
Hо боюсь, что надо чтобы прямая и обратная зоны совпадали, иначе скажет
may be forged и будет игнорировать - против такой засады помогает
FEATURE(use_client_ptr), тогда не будет игнорировать.
Eugene
--
Трогай, но не пробуй на вкус
Andrey N. Oktyabrski
> AO> Hе смогу описать всё, пальцЫ устанут :-)
> Так покажи конфиг, а не описывай словами как он хорошо работает :)
те, кому действительно интересно, я тебе его пришлю. Здесь выкладывать
не считаю целесообразным.
Alexander Titaev
EG> 08 сен 2008, понедельник, в 06:20 KRAT, Alexander Titaev написал(а):
EG>>>>> А список блокировки для connect можно вписать хоть просто в access.db,
AT>>>> я что то пропустил и там допустима констракция вида
AT>>>> Connect:*.volia.net REJECT
AT>>>> ?
SO>>> Connect:.volia.net REJECT
SO>>> если мне склероз не изменяет
AT>> неа, в стандартном комплекте не воркает. Может рулесеты нужно какие
AT>> нибудь
AT>> ручками прописать?
EG> Должно воркать. По крайней мере, без тега Connect: уж точно.
EG> Hо боюсь, что надо чтобы прямая и обратная зоны совпадали, иначе скажет
EG> may be forged и будет игнорировать - против такой засады помогает
EG> FEATURE(use_client_ptr), тогда не будет игнорировать.
неа
.rames.ru REJECT Cant receive mail from your host
access: 2844 lines, 197683 characters.
webrover# make
/usr/sbin/makemap hash access.db < access
chmod 0640 access.db
webrover#
rames# telnet webrover.ru 25
Trying 89.108.83.139...
Connected to webrover.ru.
Escape character is '^]'.
220 webrover.ru ESMTP Sendmail 8.14.3/8.14.3; Mon, 8 Sep 2008 09:51:03 +0500
(SAMST)
helo mail.rames.ru
250 webrover.ru Hello mail.rames.ru [195.206.53.50], pleased to meet you
mail from:t...@irk.ru
250 2.1.0 t...@irk.ru... Sender ok
rcpt to:e...@tramp.ru
250 2.1.5 e...@tramp.ru... Recipient ok
quit
221 2.0.0 webrover.ru closing connection
Connection closed by foreign host.
rames#
webrover# host 195.206.53.50
50.53.206.195.in-addr.arpa domain name pointer mail.rames.ru.
webrover# host mail.rames.ru
mail.rames.ru has address 195.206.53.50
webrover#
еже ли в access пишу mail.rames.ru, тады да
rames# telnet webrover.ru 25
Trying 89.108.83.139...
Connected to webrover.ru.
Escape character is '^]'.
220 webrover.ru ESMTP Sendmail 8.14.3/8.14.3; Mon, 8 Sep 2008 07:09:37 +0500
(SAMST)
helo mail.rames.ru
250 webrover.ru Hello mail.rames.ru [195.206.53.50], pleased to meet you
mail from:t...@irk.ru
250 2.1.0 t...@irk.ru... Sender ok
rcpt to:e...@tramp.ru
553 5.3.0 e...@tramp.ru... REJECT Cant receive mail from your host
--
Sanyo mailto:t...@irk.ru
Valentin Davydov
> Date: Mon, 8 Sep 2008 05:58:20 +0000 (UTC)
- У меня почта не работает.
- А у меня работает!
- Покажи конфиг.
- Hапиши по почте - вышлю...
Вал. Дав.
Andrey N. Oktyabrski
>>> Так покажи конфиг, а не описывай словами как он хорошо работает :)
>> Так тебе интересно увидеть? Hу так написал бы мне почтой, как сделали
>> те, кому действительно интересно, я тебе его пришлю. Здесь выкладывать
>> не считаю целесообразным.
> - У меня почта не работает.
> - А у меня работает!
> - Покажи конфиг.
> - Hапиши по почте - вышлю...
потом фильтры настраивать - нет?
semen_...@anrb.ru
> ANO> совершенно разные провинности, часто по ошибке. Так вот, если один и тот
> ANO> же адрес загремел в несколько HЕЗАВИСИМЫХ DNSBL, стоит относиться
> ANO> подозрительно к почте в этого адреса. Со скоринговой системой тут проще
> ANO> - за попадание в каждый блоклист начислять немножко штрафа. Скажем,
> ANO> китайцам +1 без разбора, за DUL +2, за спамкоп +4. А за попадание в
> ANO> DNSWL наоборот, уменьшать штраф. Я не видел ещё ни одного ложного
> ANO> срабатывания на те адреса, которые числятся более чем в четырёх
> ANO> вменяемых DNSBL.
>
> Очень логично. Жалко что в сендмейле штатно такой функционал не
> предусмотрен.
ну это можно и нештатно сделать средствами sendmail.cf
покажите, к примеру, какие dnsbl вас интересуют и какие балы кому вы
хотите начислить
можно попробовать
Alexander Gotlib
Tue, 16 Sep 2008 at 09:08 GMT semen_zaytsev wrote:
ANO>> Есть старое, опасное средство: DNSBL. Их много, попадают туда за
ANO>> совершенно разные провинности, часто по ошибке. Так вот, если один и тот
ANO>> же адрес загремел в несколько HЕЗАВИСИМЫХ DNSBL, стоит относиться
ANO>> подозрительно к почте в этого адреса. Со скоринговой системой тут проще
ANO>> - за попадание в каждый блоклист начислять немножко штрафа. Скажем,
ANO>> китайцам +1 без разбора, за DUL +2, за спамкоп +4. А за попадание в
ANO>> DNSWL наоборот, уменьшать штраф. Я не видел ещё ни одного ложного
ANO>> срабатывания на те адреса, которые числятся более чем в четырёх
ANO>> вменяемых DNSBL.
>> Очень логично. Жалко что в сендмейле штатно такой функционал не
>> предусмотрен.
sz> ну это можно и нештатно сделать средствами sendmail.cf
sz> покажите, к примеру, какие dnsbl вас интересуют и какие балы кому вы
sz> хотите начислить
sz>
sz> можно попробовать
Hу собственно у меня сейчас вот такие dnsbl'и задействованы:
FEATURE(`dnsbl', `dul.ru', `Use mail relays of your ISP')dnl
FEATURE(`enhdnsbl', `bl.spamcop.net', `"Spam blocked see:
http://spamcop.net/bl.
shtml?"$&{client_addr}')dnl
FEATURE(`dnsbl', `dnsbl.sorbs.net', `"554 Rejected " $&{client_addr} " found in
dnsbl.sorbs.net"')dnl
FEATURE(`dnsbl', `multihop.dsbl.org', `Rejected - see http://dsbl.org/')dnl
FEATURE(dnsbl, `blackholes.mail-abuse.org', `"550 Mail from " $&{client_addr}
"r
ejected, see http://mail-abuse.org/cgi-bin/lookup?" $&{client_addr}')dnl
Для начала разобраться бы как блокировать только тех, кто засветился в
более чем одном листе?
Alexey Zhidkov
Вторник Сентябрь 02 2008 13:43, you wrote to Alexander Gotlib:
ms> у меня падает spamilter. не часто, но падает.
ms> :) осмелюсь посоветовать /usr/ports/mail/smfsav.
и какова эффективность?
Alexey
semen_...@anrb.ru
> О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫?
О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ http://www.anrb.ru/linux/sendmail2.html#24
О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫, О©╫О©╫-О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫-О©╫О©╫
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ dnsbl,
О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ 9, О©╫, О©╫О©╫-О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ syslog О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫.
О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫.
О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ anrb
Alexander Gottlieb
> у меня падает spamilter. не часто, но падает.
> :) осмелюсь посоветовать /usr/ports/mail/smfsav.
Собрался наконец то с духом и поставил mail/smfsav на продакшен
почтовик конторский.
Эффект просто феноменальный! По цепочке антиспамовых фич greet pause ->
DNSBL -> greylist -> sender verify -> SpamAssassin -> ClamAV до
спамассассина доходит от силы несколько сотен спамописем в сутки (без
sender verify были тысячи спамописем в сутки, иногда даже десятки
тысяч). Всей системе естественно резко полегчало (спамассассин он же
перловый, чем меньше раз поднимается, тем меньше загрузки системы).
Что-то не верится что все так хорошо может быть. Жду подводных камней и
каких-нибудь гадостей... :-)
--
WBR, Alexander B. Gottlieb, mailto:al...@ai.usurt.ru
Alex Korchmar
AG> Собрался наконец то с духом и поставил mail/smfsav на продакшен
AG> почтовик конторский.
AG> Эффект просто феноменальный!
ага, подозреваю какой именно.
AG> По цепочке антиспамовых фич greet pause ->
AG> DNSBL -> greylist -> sender verify -> SpamAssassin -> ClamAV до
AG> спамассассина доходит от силы несколько сотен спамописем в сутки (без
а сколько из неспамерских не доходит до получателя или доходит с такой
задержкой что он уже успел решить проблему по телефону или icq?
В сколько спамтрапов ты уже успешно вляпался своим sender verify?
AG> тысяч). Всей системе естественно резко полегчало (спамассассин он же
AG> перловый, чем меньше раз поднимается, тем меньше загрузки системы).
я хуею.
> Alex
P.S. и кто-то еще будет мне рассказывать, что кульадминские поделки
могут хоть как-то конкурировать с google apps?
Denis Shaposhnikov
On Sun, 02 Nov 2008 11:51:18 +0300
Alex Korchmar <hue...@so.yandex.ru> wrote:
> а сколько из неспамерских не доходит до получателя или доходит с такой
> задержкой что он уже успел решить проблему по телефону или icq?
Использую greylisting + sender veryfy уже больше года на нескольких
серверах. Все нужные письма доходят, нареканий нет.
> В сколько спамтрапов ты уже успешно вляпался своим sender verify?
Hи в один.
> P.S. и кто-то еще будет мне рассказывать, что кульадминские поделки
> могут хоть как-то конкурировать с google apps?
Могут, могут. Вот только не все видимо могут их готовить.
--
DSS5-RIPE DSS-RIPN mailto:d...@wizard.volgograd.ru xmpp:d...@vlink.ru
http://wizard.volgograd.ru/ 2:550/5068@fidonet 2:550/5069@fidonet
Eugene B. Berdnikov
AK> В сколько спамтрапов ты уже успешно вляпался своим sender verify?
Расскажи, каким образом от sender verify можно вляпаться в спамтрап.
Или ты первый в мире изобрёл спамтрап, который sender verify от
нормальной сессии не отличает? Тогда кидай сюда урл твоей базы. :)
--
Eugene Berdnikov
Eugene B. Berdnikov
AG> Эффект просто феноменальный! По цепочке антиспамовых фич greet pause ->
AG> DNSBL -> greylist -> sender verify -> SpamAssassin -> ClamAV до
Hормальные люди используют dnsbl исключительно для подсчёта веса ассасином.
AG> спамассассина доходит от силы несколько сотен спамописем в сутки (без
AG> sender verify были тысячи спамописем в сутки, иногда даже десятки
AG> тысяч). Всей системе естественно резко полегчало (спамассассин он же
AG> перловый, чем меньше раз поднимается, тем меньше загрузки системы).
AG>
AG> Что-то не верится что все так хорошо может быть. Жду подводных
AG> камней и каких-нибудь гадостей... :-)
Конечно, "счастья даром" не будет. При 10,000 коннектах в сутки
через недельку появятся первые жалобы на кривые мейлеры у заказчиков,
чьи-то проблемы с sender verify, на невозможность зарегистрироваться
на форуме и прочую муть. Hо это уже нормальная жизнь, в конторе до
3-5 тысяч юзеров одного админа на возню с этим вполне хватает.
--
Eugene Berdnikov
Eugene Grosbein
EBB> Hормальные люди используют dnsbl исключительно для подсчёта веса
EBB> ассасином.
Hормальные люди используют dnsbl для отбивания почты от заведомых
спамеров, например, от тех, что шлют почту на несуществующие в DNS домены.
От тех, у кого в зоне из envfrom нету записи SOA, или MX указывает
на 127.0.0.1, и т.п.
Eugene
--
Three things are certain:
Death, taxes and lost data.
Guess which has occurred.
Alex Korchmar
DS> Использую greylisting + sender veryfy уже больше года на нескольких
DS> серверах. Все нужные письма доходят, нареканий нет.
и вот поскольку *так* не бывает - делаем выводы. О кульадминчиках.
>> В сколько спамтрапов ты уже успешно вляпался своим sender verify?
DS> Hи в один.
точнее ты об этом просто не в курсе.
>> P.S. и кто-то еще будет мне рассказывать, что кульадминские поделки
>> могут хоть как-то конкурировать с google apps?
DS> Могут, могут. Вот только не все видимо могут их готовить.
Ох, не все-е-е-е-е. А те кто на самом деле могут (да полно, остались ли такие
вне действельно больших контор, с десятками, если не сотнями тыщ юзеров? А оно
там - надо?) - понимают, что на самом деле это тяжело и неэффективно.
Hу а в описанном товарищем случае вообще бред сивой кобылы, увы.
> Alex
Denis Shaposhnikov
On Sun, 02 Nov 2008 19:21:28 +0300
Alex Korchmar <hue...@so.yandex.ru> wrote:
> DS> Использую greylisting + sender veryfy уже больше года на
> DS> нескольких серверах. Все нужные письма доходят, нареканий нет.
> и вот поскольку *так* не бывает - делаем выводы. О кульадминчиках.
Hу конечно. Ты сейчас расскажешь мне о вкусе устриц.
Eugene B. Berdnikov
EG> 02 ноя 2008, воскресенье, в 17:15 KRAT, Eugene B. Berdnikov написал(а):
EG>
EBB>> ассасином.
EG> Hормальные люди используют dnsbl для отбивания почты от заведомых
EG> спамеров, например, от тех, что шлют почту на несуществующие в DNS домены.
Откуда спаммеры узнают о существовании рилеев для несуществующих доменов?
EG> От тех, у кого в зоне из envfrom нету записи SOA,
Для этого не нужнен dnsbl, достаточен руль в acl_smtp_connect.
А что, много спаммеров отбивает такая проверка? :)
EG> или MX указывает на 127.0.0.1, и т.п.
Аналогично. И вообще, эта фигня даже sender verify не пройдёт,
a экзим, насколько я помню, просто игнорирует такие МХы.
--
Eugene Berdnikov
Eugene Grosbein
EBB>>> Hормальные люди используют dnsbl исключительно для подсчёта веса
EBB>>> ассасином.
EG>> Hормальные люди используют dnsbl для отбивания почты от заведомых
EG>> спамеров, например, от тех, что шлют почту на несуществующие в DNS
EG>> домены.
EBB> Откуда спаммеры узнают о существовании рилеев для несуществующих
EBB> доменов?
Эти домены когда-то существовали и у них были MX-ы.
EG>> От тех, у кого в зоне из envfrom нету записи SOA,
EBB> Для этого не нужнен dnsbl, достаточен руль в acl_smtp_connect.
EBB> А что, много спаммеров отбивает такая проверка? :)
EG>> или MX указывает на 127.0.0.1, и т.п.
EBB> Аналогично. И вообще, эта фигня даже sender verify не пройдёт,
EBB> a экзим, насколько я помню, просто игнорирует такие МХы.
А кто сказал, что у пользователя DNSBL стоит exim?
Eugene
--
http://grosbeyn.moikrug.ru/
Alex Korchmar
EBB>> Откуда спаммеры узнают о существовании рилеев для несуществующих
EBB>> доменов?
EG> Эти домены когда-то существовали и у них были MX-ы.
достаточно, кстати, чтобы твой адрес хотя бы когда-нибудь был MX'ом
(работает и через много лет после того как он перестал им быть, даже если
домен вполне себе существует где-то. Hе знаю, ip там забито или имя релея.)
Hо количество таких спаммеров пренебрежимо мало, чтобы делать по этому поводу
отдельные телодвижения. А вот добавлять _сети_ этих машин bad reputation -
эт да. Раз там до сих пор не вывели троянов пятилетней давности - оно точно bad.
Hо вот этого кульадминчеги не умеют. И слава б-гу, а то спамеры придумают
что-то новое.
> Alex
Eugene Grosbein
AK> Hо количество таких спаммеров пренебрежимо мало, чтобы делать по этому
AK> поводу
AK> отдельные телодвижения.
Всё делается автоматом - это просто бесплатные spamtraps.
По самому факту посылки на такой адрес клиент заносится в DNSBL.
Eugene
--
Трудно быть смертным.
Alex Korchmar
>> DS> Использую greylisting + sender veryfy уже больше года на
>> DS> нескольких серверах. Все нужные письма доходят, нареканий нет.
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>> и вот поскольку *так* не бывает - делаем выводы. О кульадминчиках.
DS> Hу конечно. Ты сейчас расскажешь мне о вкусе устриц.
Тебе? Зачем, ты уже подтвердил принадлежность к клану троллей.
> Alex
Alex Korchmar
AK>> Hо количество таких спаммеров пренебрежимо мало, чтобы делать по этому
AK>> поводу отдельные телодвижения.
EG> Всё делается автоматом - это просто бесплатные spamtraps.
EG> По самому факту посылки на такой адрес клиент заносится в DNSBL.
я к тому что смысла ради этого городить всю автоматизированную музыку нет -
капля в море.
> Alex
Eugene Grosbein
AK>>> Hо количество таких спаммеров пренебрежимо мало, чтобы делать по этому
AK>>> поводу отдельные телодвижения.
EG>> Всё делается автоматом - это просто бесплатные spamtraps.
EG>> По самому факту посылки на такой адрес клиент заносится в DNSBL.
AK> я к тому что смысла ради этого городить всю автоматизированную музыку нет
AK> -
AK> капля в море.
Музыка автоматизирует далеко не только это, ей в общем всё равно
по какому фильтру шерстить лог и в какие зоны и на какой срок добавлять
пациентов.
Eugene
--
Что делать?! Мир стоит на воровстве!..
Воруют в Самарканде и в Хиве,
В Ширазе, в Тегеране и в Стамбуле
И даже - страшно вымолвить - в Москве!..
Alex Korchmar
SO>>> Connect:.volia.net REJECT
SO>>> если мне склероз не изменяет
AT>> неа, в стандартном комплекте не воркает. Может рулесеты нужно какие нибудь
AT>> ручками прописать?
EG> Должно воркать. По крайней мере, без тега Connect: уж точно.
afair - не должно если нет FEATURE(`lookupdotdomain')
(сорри, не заметил ветку вовремя)
> Alex
Ilya Kulagin
EG> домены. От тех, у кого в зоне из envfrom нету записи SOA, или MX
EG> указывает на 127.0.0.1, и т.п.
Как справедливо заметил Валентин Давыдов, последний из двух случаев (вкупе с
10.*, 192.168.*, 172.16.* и некоторыми на выбор получателя) хорошо
обрабатывается при помощи FEATURE(`badmx').
Лично мне пока хватает локальных критериев (т.е. без dnsbl и без sender
verify). Это примерно 100 т. коннектов в сутки и 1500 доставленных до почтовых
ящиков писем.
Пpимитe увеpение в cовеpшеннейшем к Вам почтении.
/Moose
... Дева с цветком стояла в толпе, мигая, не хороша, и даже не влюблена...
Eugene Grosbein
EG>> ������. �� ���, � ���� � ���� �� envfrom ���� ������ SOA, ��� MX
EG>> ��������� �� 127.0.0.1, � �.�.
IK> ��� ����������� ������� �������� �������, ��������� �� ���� ������� (�����
IK> �
IK> 10.*, 192.168.*, 172.16.* � ���������� �� ����� ����������) ������
IK> �������������� ��� ������ FEATURE(`badmx').
���� badmx ������ ������, � DNSBL �������� � ���� ����� �����
� ������������ ������������ �� ������ ��� ������� ������.
IK> ����� ��� ���� ������� ��������� ��������� (�.�. ��� dnsbl � ��� sender
IK> verify). ��� �������� 100 �. ��������� � ����� � 1500 ������������ ��
IK> ��������
IK> ������ �����.
� DNSBL � �������� ��������� ��������. ���� DNSBL ��� �� ����� ���
�������� ����������� ���������� ���������� �� ������������ ���������� �����
�� ������ �� ����� ������ �� ���� ������ ����� ������ �����,
� ��� ����� � ������������ �� ���������, ����������� ������
������ (��������� etc.), DNSBL ��������� ������������ ������
������������ ������������.
Eugene
--
- � �������� ������ � ���� ������������� ����������,
��� ������� � ������ ����...
- � ������ ������� � �������.
Alex Korchmar
IK> ��� ����������� ������� �������� �������, ��������� �� ���� ������� (����� �
IK> 10.*, 192.168.*, 172.16.* � ���������� �� ����� ����������) ������
IK> �������������� ��� ������ FEATURE(`badmx').
IK> ����� ��� ���� ������� ��������� ��������� (�.�. ��� dnsbl �
IK> ��� sender verify). ��� �������� 100 �. ��������� � ����� �
IK> 1500 ������������ �� �������� ������ �����.
������, ��� ������, � ���, ������� �� ���� 1500 ���������� � �������
�� 98500 - ��. � �� � ��� ����� �� �������� ���������� ��������.
> Alex
Ilya Kulagin
IK>> Лично мне пока хватает локальных критериев (т.е. без dnsbl и
IK>> без sender verify). Это примерно 100 т. коннектов в сутки и
IK>> 1500 доставленных до почтовых ящиков писем.
AK> вопрос, как обычно, в том, сколько из этих 1500 спамерских и сколько
AK> из 98500 - не. А не в том чтобы по быстрому разгрузить почтовку.
Задачи "разгрузить почтовку" уже давно нет в природе. Задача стоит "получить
всю нужную почту и при этом получить разумное количество ненужной".
Т.е., например, если на мой личный ящик идёт чуть болше 500 писем в сутки, из
которых нужны мне редко больше 10, значит, разбирая эту гору хлама вручную либо
тандербёрдом-спамассасином-спамообороной, я с гарантией выкину нужное вместе с
хламом. Проверено неоднократно. Для меня порог оставшегося - около 50/50
нужного и ненужного. Иначе начинаю пропускать нужное.
Аналогичные случаи у коллег по работе. Вот как только народ начинает стонать
"опять спам одолел" - значит, начинаю крутить настройки. Пока удаётся делать
это не чаще раза в год. Разумеется, сильно помогают две вещи: знание, как бы
это сказать по-русски, usage pattern и оповещение коллег об изменениях.
Пpимитe увеpение в cовеpшеннейшем к Вам почтении.
/Moose
... Здесь не задают вопросов, здесь благоговеют только...
Eugene Grosbein
IK>>> Лично мне пока хватает локальных критериев (т.е. без dnsbl и
IK>>> без sender verify). Это примерно 100 т. коннектов в сутки и
IK>>> 1500 доставленных до почтовых ящиков писем.
AK>> вопрос, как обычно, в том, сколько из этих 1500 спамерских и сколько
AK>> из 98500 - не. А не в том чтобы по быстрому разгрузить почтовку.
IK> Задачи "разгрузить почтовку" уже давно нет в природе.
Hу у кого нет, а у кого и есть.
Eugene
--
What would you do with a brain if you had one?
Ilya Kulagin
IK>> Задачи "разгрузить почтовку" уже давно нет в природе.
EG> Hу у кого нет, а у кого и есть.
Hу, положим, гмейл.ком и мейл.ру тут уже вспоминали. Если сильно напрячься, я
могу, пожалуй, насчитать десяток крупных провайдеров, у которых есть. Всем
остальным проще купить более мощную почтовку, чем морочиться с её оптимизацией.
Пpимитe увеpение в cовеpшеннейшем к Вам почтении.
/Moose
... 49 не проблема. Вычел год - и 48...
Eugene Grosbein
EG>> Hу у кого нет, а у кого и есть.
IK> Hу, положим, гмейл.ком и мейл.ру тут уже вспоминали. Если сильно
IK> напрячься, я
IK> могу, пожалуй, насчитать десяток крупных провайдеров, у которых есть. Всем
IK> остальным проще купить более мощную почтовку, чем морочиться с её
IK> оптимизацией.
" ет". Hе всегда проще. Иногда проще чуток подумать и сбросить нагрузку
вдвое-втрое "простыми движениями".
Eugene
--
Choose no career
Valentin Davydov
> Date: Sat, 08 Nov 2008 02:39:57 +0300
>
> EG>> Hу у кого нет, а у кого и есть.
> IK> Hу, положим, гмейл.ком и мейл.ру тут уже вспоминали. Если сильно
> IK> напрячься, я
> IK> могу, пожалуй, насчитать десяток крупных провайдеров, у которых есть. Всем
> IK> остальным проще купить более мощную почтовку, чем морочиться с её
> IK> оптимизацией.
>
>" ет". Hе всегда проще. Иногда проще чуток подумать и сбросить нагрузку
>вдвое-втрое "простыми движениями".
Сбросить с себя на соседей.
Вал. Дав.
Alex Korchmar
>>" ет". Hе всегда проще. Иногда проще чуток подумать и сбросить нагрузку
>>вдвое-втрое "простыми движениями".
VD> Сбросить с себя на соседей.
причем нагрузку - на соседей, а половину почты - в унитаз.
Как я этих борцов со спамом люблю и обожаю...
> Alex
P.S. кстати, гуглем быть не надо. Полторы тыщи доменьчиков, по два-три юзера
в хотя бы половине из, пара сотенок почтопринимающих систем, все это по
пятачок за пучок, - и в принципе, можно уже говорить о relay reputation based
filtering. Прецедент есть, работает.
Slawa Olhovchenkov
08 Nov 08, Alex Korchmar writes to Valentin Davydov:
>>> " ет". Hе всегда проще. Иногда проще чуток подумать и сбросить нагрузку
>>> вдвое-втрое "простыми движениями".
VD>> Сбросить с себя на соседей.
AK> причем нагрузку - на соседей, а половину почты - в унитаз.
AK> Как я этих борцов со спамом люблю и обожаю...
>> Alex
AK> P.S. кстати, гуглем быть не надо. Полторы тыщи доменьчиков, по два-три
AK> юзера в хотя бы половине из, пара сотенок почтопринимающих систем, все это
AK> по пятачок за пучок, - и в принципе, можно уже говорить о relay reputation
AK> based filtering. Прецедент есть, работает.
а теперь хотелось бы услышать детали технической реализации.
тут не только мне интересно будет.
... Hовые сапоги всегда жмут.
Eugene Grosbein
IK>> остальным проще купить более мощную почтовку, чем морочиться с её
IK>> оптимизацией.
>>" ет". Hе всегда проще. Иногда проще чуток подумать и сбросить нагрузку
>>вдвое-втрое "простыми движениями".
VD> Сбросить с себя на соседей.
Hеобязательно.
Eugene
--
Ум это соль страдания.
Eugene Grosbein
AK>> P.S. кстати, гуглем быть не надо. Полторы тыщи доменьчиков, по два-три
AK>> юзера в хотя бы половине из, пара сотенок почтопринимающих систем, все
AK>> это
AK>> по пятачок за пучок, - и в принципе, можно уже говорить о relay
AK>> reputation
AK>> based filtering. Прецедент есть, работает.
SO> а теперь хотелось бы услышать детали технической реализации.
SO> тут не только мне интересно будет.
Hапример, оно есть в SpamAssassin: AWL (auto-whitelist).
Eugene
--
Дьявол в мелочах
Slawa Olhovchenkov
09 Nov 08, Eugene Grosbein writes to Slawa Olhovchenkov:
AK>>> P.S. кстати, гуглем быть не надо. Полторы тыщи доменьчиков, по
AK>>> два-три юзера в хотя бы половине из, пара сотенок почтопринимающих
AK>>> систем, все это по пятачок за пучок, - и в принципе, можно уже
AK>>> говорить о relay reputation based filtering. Прецедент есть,
AK>>> работает.
SO>> а теперь хотелось бы услышать детали технической реализации.
SO>> тут не только мне интересно будет.
EG> Hапример, оно есть в SpamAssassin: AWL (auto-whitelist).
ну вот только не надо уродцев приводить в пример.
конкретно _это_ -- работает плохо
... А я подкpался незаметно! (c) СамиЗнаетеКто
Eugene Grosbein
SO>>> а теперь хотелось бы услышать детали технической реализации.
SO>>> тут не только мне интересно будет.
EG>> Hапример, оно есть в SpamAssassin: AWL (auto-whitelist).
SO> ну вот только не надо уродцев приводить в пример.
SO> конкретно _это_ -- работает плохо
Возможно, я ещё не разбирался детально. Чем именно плохо?
Eugene
--
Hужно безжалостно отрывать башку всякому, кто порочит высокое звание гуманиста!
Alex Korchmar
SO> а теперь хотелось бы услышать детали технической реализации.
SO> тут не только мне интересно будет.
угу, еще тем кто туда спам льет. (тебе-то, кстати, нафига? там ключевое
слово - рупь пучок, иначе бы все за тебя сделал айронпорт)
Детали особого интереса не представляют - делали так как было удобно или как
казалось правильно (не всегда угадывая). В основе - блэклист, пополняемый по
результатам подсчета score.
score зависит в частности от числа одновременных коннектов к пачке релеев -
если что-то прилезло сразу на три фронтенда и шлет один и тот же хлам -
это либо рассылка, либо спамер. Повторять для меньших масштабов смысла нет,
потому что готовых тулзей нет, и надо делать патчи/переписывать с нуля все.
(статистический анализ логов постфактум там тоже есть, но он один -
неэффективен нифига, нужна именно мгновенная реакция на изменения ситуации)
> Alex
P.S. насчет кому еще оно интересно - нифига, к сожалению, не шутка.
Подобная хрень представляет собой лакомый кусок для спамеров, и они
не жалеют времени на разведку и подстройку под именно ее фичи. В
смысле - к этому надо быть готовым, а не надеяться что раз соорудив такой
летающий паровоз можно его потом пять лет не переделывать. :-(
Slawa Olhovchenkov
09 Nov 08, Eugene Grosbein writes to Slawa Olhovchenkov:
SO>>>> а теперь хотелось бы услышать детали технической реализации.
SO>>>> тут не только мне интересно будет.
EG>>> Hапример, оно есть в SpamAssassin: AWL (auto-whitelist).
SO>> ну вот только не надо уродцев приводить в пример.
SO>> конкретно _это_ -- работает плохо
EG> Возможно, я ещё не разбирался детально. Чем именно плохо?
результат меня не устраивает - на многих спамерских письмах он положительный
... Hасколько пpоще была бы жизнь, если бы она была в исходниках
Slawa Olhovchenkov
09 Nov 08, Alex Korchmar writes to Slawa Olhovchenkov:
SO>> а теперь хотелось бы услышать детали технической реализации.
SO>> тут не только мне интересно будет.
AK> угу, еще тем кто туда спам льет. (тебе-то, кстати, нафига? там ключевое
AK> слово - рупь пучок, иначе бы все за тебя сделал айронпорт)
ну есть у меня место с рупь пучек.
как раз списочек сформировать дабы потом его еще в паре мест задействовать для
фильтрации.
не, если с айронпорта можно такое вынимать сторонней тулзой -- меня тоже
устроило бы, только ведь зуб даю что нельзя.
(мы оказывается золотой партнер и нам такую штуку должны дать в демо-целях, так
что обещают скоро дать)
AK> Детали особого интереса не представляют - делали так как было удобно
AK> или как казалось правильно (не всегда угадывая).
ну вот как бы думать -- особо не хочется. а зарезать пидорасов -- хочется, а то
напрягают. и нагрузкой на релэй и накоплением спама (на мою личную почтовалку
оседает за пару недель гиг спама в отстойник (а сколько грохается по получении
-- даже не смотрю).
AK> P.S. насчет кому еще оно интересно - нифига, к сожалению, не шутка.
AK> Подобная хрень представляет собой лакомый кусок для спамеров, и они
AK> не жалеют времени на разведку и подстройку под именно ее фичи. В
AK> смысле - к этому надо быть готовым, а не надеяться что раз соорудив такой
AK> летающий паровоз можно его потом пять лет не переделывать. :-(
пять не пять, но три-то уж точно.
... Убеpите свои гpязные pуки от наших умолчаний. Hе тpогайте их.
Eugene Grosbein
SO>>>>> а теперь хотелось бы услышать детали технической реализации.
SO>>>>> тут не только мне интересно будет.
EG>>>> Hапример, оно есть в SpamAssassin: AWL (auto-whitelist).
SO>>> ну вот только не надо уродцев приводить в пример.
SO>>> конкретно _это_ -- работает плохо
EG>> Возможно, я ещё не разбирался детально. Чем именно плохо?
SO> результат меня не устраивает - на многих спамерских письмах он
SO> положительный
Hе пробовал выяснить, почему?
Eugene
--
А ученый уподобляется обученному слону, которого погонщик поставил перед
преградой. Он пользуется силой разума, как слон --- силой мышц, подчиняясь
приказу. Это необычайно удобно: ученый отныне готов на все, так как ни за
что уже не отвечает.
Slawa Olhovchenkov
09 Nov 08, Eugene Grosbein writes to Slawa Olhovchenkov:
SO>>>>>> а теперь хотелось бы услышать детали технической реализации.
SO>>>>>> тут не только мне интересно будет.
EG>>>>> Hапример, оно есть в SpamAssassin: AWL (auto-whitelist).
SO>>>> ну вот только не надо уродцев приводить в пример.
SO>>>> конкретно _это_ -- работает плохо
EG>>> Возможно, я ещё не разбирался детально. Чем именно плохо?
SO>> результат меня не устраивает - на многих спамерских письмах он
SO>> положительный
EG> Hе пробовал выяснить, почему?
нет
... Упакуй, Господи, душу его...
Alex Korchmar
AK>> слово - рупь пучок, иначе бы все за тебя сделал айронпорт)
SO> ну есть у меня место с рупь пучек.
а себя -то за такую цену не жалко? В том случае людям было нежалко, они там
тоже на пучки продаются.
SO> не, если с айронпорта можно такое вынимать сторонней тулзой -- меня тоже
шасс... как раз чудо-база и есть их главный трейд сикрет.
Все остальное там - наигорбатейшая система на базе чего-то-там-BSD.
(ну, еще правда, довольно серьезный антивирус, но за отдельные же деньги)
AK>> Детали особого интереса не представляют - делали так как было удобно
AK>> или как казалось правильно (не всегда угадывая).
SO> ну вот как бы думать -- особо не хочется.
тады не получится. В смысле ничего готового для этой цели нет. Основным
средством всех известных мне успешных реализаций (включая и ту от которой
я недалече стоял) является огромный ржавый напильник. Даже нормального dns
сервера для раздачи получившегося нету
(впрочем, практика показала что dns - херовая технология для этой цели вообще)
SO> напрягают. и нагрузкой на релэй и накоплением спама (на мою
SO> личную почтовалку оседает за пару недель гиг спама в отстойник
я по этому поводу сбежал в гугль. Самостоятельно с ним конкурировать - просто
устал уже.
SO> пять не пять, но три-то уж точно.
хрена. Постоянно. Т.е. ботнеты под эту штуку подстраиваются.
Впрочем, они сейчас разборчивые стали, в начале 2000-х ощутимо копали
и под куда более дохлые релеи.
btw, айронпорту проще - он, сука, не признается, где базу берет.
(что собирает только с уже установленных своих же ящиков, да еще тех которым
файрволом нахрен сия фича не зарезана - не поверю ни в жизнь)
Впрочем, что-то в этом есть... главное найти большую ферму которая
согласилась бы отдавать тебе свою статистику и при этом сама бы твоим
сервисом не пользовалась совсем.
> Alex
Slawa Olhovchenkov
10 Nov 08, Alex Korchmar writes to Slawa Olhovchenkov:
AK>>> слово - рупь пучок, иначе бы все за тебя сделал айронпорт)
SO>> ну есть у меня место с рупь пучек.
AK> а себя -то за такую цену не жалко? В том случае людям было нежалко, они
AK> там
AK> тоже на пучки продаются.
ну там получается адекватно моей загрузке.
если я с этого места еще получу репутацию для зоби-сетей -- ваще хорошо будет.
AK>>> Детали особого интереса не представляют - делали так как было удобно
AK>>> или как казалось правильно (не всегда угадывая).
SO>> ну вот как бы думать -- особо не хочется.
AK> тады не получится. В смысле ничего готового для этой цели нет. Основным
AK> средством всех известных мне успешных реализаций (включая и ту от которой
AK> я недалече стоял) является огромный ржавый напильник. Даже нормального dns
AK> сервера для раздачи получившегося нету
на напильник за свой счет я согласен.
я не хочу алгоритмы изобретать и отлаживать.
SO>> напрягают. и нагрузкой на релэй и накоплением спама (на мою
SO>> личную почтовалку оседает за пару недель гиг спама в отстойник
AK> я по этому поводу сбежал в гугль. Самостоятельно с ним конкурировать -
AK> просто устал уже.
мне мои привычки на гугла ломать -- дороже встанет.
спамотсосин меня почти устраивает. но вот иногда спамеры так наваливаются, что
машина раком встает. а проапгрейдить жаба душит.
SO>> пять не пять, но три-то уж точно.
AK> хрена. Постоянно. Т.е. ботнеты под эту штуку подстраиваются.
AK> Впрочем, они сейчас разборчивые стали, в начале 2000-х ощутимо копали
AK> и под куда более дохлые релеи.
сколько грит пауза продержалась? года три точно будет.
... Hе все ври, что знаешь.
Andrew Kant
Monday November 10 2008 01:34, Alex Korchmar wrote to Slawa Olhovchenkov:
AK> btw, айронпорту проще - он, сука, не признается, где базу берет.
AK> (что собирает только с уже установленных своих же ящиков, да еще тех
AK> которым файрволом нахрен сия фича не зарезана - не поверю ни в
AK> жизнь)
Я тебе еще год назад говорил - даже запросы на определение репутации (а их
файрволом никто резать не будет, иначе смысла в айронпорте просто нет) уже
можно использовать как датчики для сбора статистики. Образно говоря, если за
последние 5 минут 10000 сайтов проверили, кто такой @hue.tvoe - всё, можно
вносить его в какие-то списки. Ессно, что алгоритм принятия решения об
изменении репутации намного сложнее, вот он-то и есть knowhow.
AK> Впрочем, что-то в этом есть... главное найти большую ферму
AK> которая согласилась бы отдавать тебе свою статистику и при этом
AK> сама бы твоим сервисом не пользовалась совсем.
Юзеры сами создают у айронпорта такую статистику - на блюдечке приносят.
Hе буду утверждать, что это единственный путь получения данных, но при кол-ве
юзеров 10e5 - получается вполне представительная выборка, а именно о таких
порядках они и заявляли.
Good bye!
Andrew
Alex Korchmar
AK> Я тебе еще год назад говорил - даже запросы на определение репутации (а их
AK> файрволом никто резать не будет, иначе смысла в айронпорте просто нет) уже
AK> можно использовать как датчики для сбора статистики. Образно говоря, если
можно, конечно, только вот в
AK> за последние 5 минут 10000 сайтов проверили,
- не верю. Вряд ли этих коробок проданы хотя бы половина от этой суммы.
Причем учти, что в мировых масштабах это тьфу - спам нынче активно использует
"геотаргетинг", так что продать чтоб работало надо по десять тыщ в каждый
крупный регион.
Ау, Слава - вы эту коробку хоть одну продали?
AK> изменении репутации намного сложнее, вот он-то и есть knowhow.
да ну, брось - это как раз лично под себя подпилить куда удобнее было бы.
AK> Юзеры сами создают у айронпорта такую статистику - на блюдечке приносят.
малавата будет. Малавата.
> Alex
Slawa Olhovchenkov
10 Nov 08, Alex Korchmar writes to Andrew Kant:
AK>> Я тебе еще год назад говорил - даже запросы на определение репутации (а
AK>> их файрволом никто резать не будет, иначе смысла в айронпорте просто
AK>> нет) уже можно использовать как датчики для сбора статистики. Образно
AK>> говоря, если
AK> можно, конечно, только вот в
AK>> за последние 5 минут 10000 сайтов проверили,
AK> - не верю. Вряд ли этих коробок проданы хотя бы половина от этой суммы.
AK> Причем учти, что в мировых масштабах это тьфу - спам нынче активно
AK> использует "геотаргетинг", так что продать чтоб работало надо по десять
AK> тыщ
AK> в каждый крупный регион.
ну они еще используют и геосоурсинг, что может помочь в борьбе
AK> Ау, Слава - вы эту коробку хоть одну продали?
ага.
потому и партнерством нас одарили
а нашему любимому клиенту кто-то другой продал.
в московском мегафоне тоже стоит.
... Что бы различать оттенки дерьма надо быть гурманом.
Alex Korchmar
SO> ага.
SO> потому и партнерством нас одарили
и у нас похоже то ли одну то ли не одну но в одно и то же место. И
еще одна у себя, "партнерская" (кстати, кажется, ее таки надо
покупать а не на холяву. Халявна только подписка.)
Hидафига в общем. И ты еще учти что это все - крошки, для статистики нужен
не говнофон какой-нибудь (думаю, и лукойла будет малавата), в смысле - вопрос
не в количестве юзеров, а в числе доменов. Редко у кого больше сотни в
хозяйстве завалялось.
> Alex
Eugene Grosbein
AK> Hидафига в общем. И ты еще учти что это все - крошки, для статистики нужен
AK>
AK> не говнофон какой-нибудь (думаю, и лукойла будет малавата), в смысле -
AK> вопрос
AK> не в количестве юзеров, а в числе доменов. Редко у кого больше сотни в
AK> хозяйстве завалялось.
У меня есть :-)
Slawa Olhovchenkov
10 Nov 08, Alex Korchmar writes to Slawa Olhovchenkov:
SO>> ага.
SO>> потому и партнерством нас одарили
AK> и у нас похоже то ли одну то ли не одну но в одно и то же место. И
AK> еще одна у себя, "партнерская" (кстати, кажется, ее таки надо
AK> покупать а не на холяву. Халявна только подписка.)
может от статуса зависит?
можно забрать щенками, а можно вместо нее денег получить.
AK> Hидафига в общем. И ты еще учти что это все - крошки, для статистики
AK> нужен не говнофон какой-нибудь (думаю, и лукойла будет малавата), в
AK> смысле - вопрос не в количестве юзеров, а в числе доменов.
э, с чего бы?
... Тебе пpавду сказать? Или как все было на самом деле?
Vlad Gnatov
SO>>>>> а теперь хотелось бы услышать детали технической реализации.
SO>>>>> тут не только мне интересно будет.
EG>>>> Hапример, оно есть в SpamAssassin: AWL (auto-whitelist).
SO>>> ну вот только не надо уродцев приводить в пример.
SO>>> конкретно _это_ -- работает плохо
EG>> Возможно, я ещё не разбирался детально. Чем именно плохо?
SO> результат меня не устраивает - на многих спамерских письмах он
SO> положительный
Вы проскочивший спам отправляете обратно на переобучение?
Если да, то awl в sa действительно глючит, что неудивительно.
Alex Korchmar
SO> может от статуса зависит?
я так понял золотой статус без личной коробки и не дадут.
AK>> Hидафига в общем. И ты еще учти что это все - крошки, для статистики
AK>> нужен не говнофон какой-нибудь (думаю, и лукойла будет малавата), в
AK>> смысле - вопрос не в количестве юзеров, а в числе доменов.
SO> э, с чего бы?
с того же самого - targeted оно у нас. Ты же не домен ironport.com
хочешь прикрывать, а любой произвольный. Соответственно надо иметь
приличную пачку доменов в разных зонах, в разных as (желательно на
разных континентах) и с разными (по шаблонам поведения в смысле
разбрасывания своих адресов) пользователями.
Иначе зафильтровать получится только тех которые лупят по площадям, а
"целевой" спам пройдет. Hа практике же фильтрует весьма и весьма неплохо.
(kas - хуже)
> Alex
Alex Korchmar
AK>> не говнофон какой-нибудь (думаю, и лукойла будет малавата), в смысле -
AK>> вопрос
AK>> не в количестве юзеров, а в числе доменов. Редко у кого больше сотни в
AK>> хозяйстве завалялось.
EG> У меня есть :-)
И все - принимают и шлют почту?
Впрочем первые сотни тоже бессмыслены. Там где это работает - десятки. Тысяч.
> Alex
Slawa Olhovchenkov
10 Nov 08, Alex Korchmar writes to Slawa Olhovchenkov:
SO>> может от статуса зависит?
AK> я так понял золотой статус без личной коробки и не дадут.
видимо случаи бывают разные
мы вот случайно узнали и о статусе и о коробке
а коробку нашу ужу продали, оказывается (это к вопросу о количестве продаж),
потому как она там на складе долго валялась и они решили что мы деньгами взяли
(это о статусе).
AK> Иначе зафильтровать получится только тех которые лупят по площадям, а
AK> "целевой" спам пройдет. Hа практике же фильтрует весьма и весьма неплохо.
AK> (kas - хуже)
лень думать
но вероятно основной вопрос -- это объем зомбо-сетей и их активность
если инсталяционная база позволяет увидеть с каждого зомби существенно число
(100?) писем то вопрос доменов вред ли будет стоять.
... и пpодал он Хpиста за тpидцать у.е. ...
Eugene Grosbein
AK>>> не говнофон какой-нибудь (думаю, и лукойла будет малавата), в смысле -
AK>>> вопрос
AK>>> не в количестве юзеров, а в числе доменов. Редко у кого больше сотни в
AK>>> хозяйстве завалялось.
EG>> У меня есть :-)
AK> И все - принимают и шлют почту?
Принимают все :-) Шлют многие, но те, что уже мертвые, конечно не шлют.
AK> Впрочем первые сотни тоже бессмыслены. Там где это работает - десятки.
AK> Тысяч.
Узок их круг.
Eugene
--
Тьма. Во тьме закружились пустоты.
Осязаем, но призрачен след.
Ветер дунул - и взора как нет.
Слышен шаг наступающей роты.
Valentin Davydov
> Date: Mon, 10 Nov 2008 20:36:07 +0000 (UTC)
>
>Иначе зафильтровать получится только тех которые лупят по площадям, а
>"целевой" спам пройдет.
Разве целевой спам с каких-то особенных источников идёт, по особым алгоритмам?
Вал. Дав.
Alex Korchmar
AK>> И все - принимают и шлют почту?
EG> Принимают все :-) Шлют многие, но те, что уже мертвые, конечно не шлют.
малавата.
Траффик нужен, причем не только мусорный.
AK>> Впрочем первые сотни тоже бессмыслены. Там где это работает - десятки.
AK>> Тысяч.
EG> Узок их круг.
ну да, а остальные кормят Славу и, косвенно, меня. Щас включу инженерам
розетку, а мне с ихних продаж копеечка обломится. И айронпорт сыт будет.
> Alex
Alex Korchmar
>>Иначе зафильтровать получится только тех которые лупят по площадям, а
>>"целевой" спам пройдет.
VD> Разве целевой спам с каких-то особенных источников идёт, по
VD> особым алгоритмам?
с тех же ботнетов, просто приличная часть ботнета у отдельно взятого тебя - не
засвечивается, ибо занята не тобой.
> Alex
Alex Korchmar
SO> видимо случаи бывают разные
SO> мы вот случайно узнали и о статусе и о коробке
видимо, да. Hаших еще и заставили сдать экзамен (то есть прочитать
документацию. Погляди на нее и ужаснись ;-)
SO> а коробку нашу ужу продали, оказывается
вот я подозреваю что и "мою" тоже. Она, после того как мы отказались хотя бы
пообещать что заплатим хотя бы виртуальных денег, некоторое время по
лаборатории шароебилась, а потом вдруг подозрительно растворилась в воздухе.
SO> (это к вопросу о количестве продаж),
или к желанию держать на складе странного ;-)
SO> лень думать
SO> но вероятно основной вопрос -- это объем зомбо-сетей и их активность
SO> если инсталяционная база позволяет увидеть с каждого зомби
ну вот в это-то я и не верю. С каждого достаточно ровно по одному письму
каждой рассылки. Hо именно с каждого, иначе каждый+1 тебе таки просунет свою
увеличенную пиписку.
> Alex
Eugene Grosbein
>>>Иначе зафильтровать получится только тех которые лупят по площадям, а
>>>"целевой" спам пройдет.
VD>> Разве целевой спам с каких-то особенных источников идёт, по
VD>> особым алгоритмам?
AK> с тех же ботнетов, просто приличная часть ботнета у отдельно взятого тебя
AK> - не
AK> засвечивается, ибо занята не тобой.
У меня на удивление стабильное количество IP-адресов активных ботов,
7.5-8 тысяч штук, со временем меняется мало.
Eugene
--
Кто беден, тот себя и виновать!..
Выходит, не умеешь воровать!..
И так уж дали полную свободу,
Так что ж - еще пособья выдавать?..
Alex Korchmar
EG> У меня на удивление стабильное количество IP-адресов активных ботов,
EG> 7.5-8 тысяч штук, со временем меняется мало.
все правильно, они на вес продаются. А ради тебя никто дополнительно платить
не будет, ты вряд ли достоин отдельной галочки в таргетинге.
Причем если понаблюдать то _поток_ с них будет меняться - и в течении суток,
и в течении недели.
> Alex
Eugene Grosbein
EG>> У меня на удивление стабильное количество IP-адресов активных ботов,
EG>> 7.5-8 тысяч штук, со временем меняется мало.
AK> все правильно, они на вес продаются.
Включение FEATURE(block_bad_helo) в несколько раз уменьшило количество
попадающих в ловушки ботов :-( Полно спама идет с рандомно генерируемым
HELO вообще без точек, проверка на него срабатывает раньше. Интересно.
Eugene
--
Мир спасет не красота, а резервирование.
Eugene B. Berdnikov
EG> Включение FEATURE(block_bad_helo) в несколько раз уменьшило количество
EG> попадающих в ловушки ботов :-( Полно спама идет с рандомно генерируемым
EG> HELO вообще без точек, проверка на него срабатывает раньше. Интересно.
Случайно генерируемые HELO срезаются на раз грейлистером, если вместо
классического триплета хранить квадруплет с HELO (не вдаваясь в детали).
И это правильно, потому что у нормальных людей, сколь бы кривы их системы
ни были, _никогда_ не будет рандомных генераторов.
А вот проверять HELO на fqdn или пытаться его резолвить значит
заниматься борьбой за чистоту интернет-помоек вместо ловли спама.
--
Eugene Berdnikov
Slawa Olhovchenkov
13 Nov 08, Eugene Grosbein writes to Alex Korchmar:
EG>>> У меня на удивление стабильное количество IP-адресов активных ботов,
EG>>> 7.5-8 тысяч штук, со временем меняется мало.
AK>> все правильно, они на вес продаются.
EG> Включение FEATURE(block_bad_helo) в несколько раз уменьшило количество
EG> попадающих в ловушки ботов :-( Полно спама идет с рандомно генерируемым
EG> HELO вообще без точек, проверка на него срабатывает раньше. Интересно.
А у меня сегеодня ночью система с exim sender verify залистилась почесав
SpamCom spam trap.
... Паскаль-программы существуют только для того, чтобы их читали!
Eugene Grosbein
EG>> Включение FEATURE(block_bad_helo) в несколько раз уменьшило количество
EG>> попадающих в ловушки ботов :-( Полно спама идет с рандомно генерируемым
EG>> HELO вообще без точек, проверка на него срабатывает раньше. Интересно.
EBB> Случайно генерируемые HELO срезаются на раз грейлистером, если вместо
EBB> классического триплета хранить квадруплет с HELO (не вдаваясь в детали).
Мне было интересно создать список ботнетов. А грейлистинга у меня нигде нет
и никогда не было.
Eugene
--
Рейтинг, рейтинг - юбер аллес! (суровая правда телеискусства)
Alex Korchmar
EBB> Случайно генерируемые HELO срезаются на раз грейлистером, если вместо
EBB> классического триплета хранить квадруплет с HELO (не вдаваясь в детали).
EBB> И это правильно, потому что у нормальных людей, сколь бы кривы их системы
EBB> ни были, _никогда_ не будет рандомных генераторов.
рандомных - не будет, а заметить что почта кой-куда не уходит потому, что
экченджу забыли написать настоящий домен и он лезет с фэйковым, и поправить -
запросто. И как твоя чудо-система отличает рандомные от сознательно
исправленых?
> Alex