https://www.opennet.ru/openforum/vsluhforumID1/83911.html В процессе борьбы со спамом, анализируя логи сендмаила заметил что, спамеры после ответа грейлистинга Try again later, сразу делают lost input channel, а в базу грейлиста при этом попададают и по прошествии некоторого временя свободно посылают мне письмо. Данное поведение вроде бы можно сразу обозначать как спам, только вот как? Можно конечно написать скрипт обработки лога седмаила, который вносит данных посыльшиков в черный список, но как то неохота. Может есть готовые решения?<br> https://www.opennet.ru/openforum/vsluhforumID1/83911.html#14 Mon, 23 Mar 2009 19:28:54 GMT <br>&gt;"У отдельных пользователей количество спама за день могло доходить до нескольких <br>&gt;десятков (и даже около сотни) писем. " <br>&gt;Речь идет о непомеченном спаме? <br><br>да, именно не помеченный спам<br><br>&gt;По milter-sender. Есть ли у него кэш (чтобы не гонять зря запросы <br>&gt;по уже отметившемуся <br>&gt;отправителю)? <br><br>у использованной версии кэш есть. Продукт называется milter-sender и в настоящее время, к сожалению, продается автором за деньги. Но коллеги находили аналоги<br><br>&gt;И как вы смотрите на потенциальную возможность попадания ВАШЕГО сервера в <br>&gt;черные списки на других серверах за постоянные sender-check'и? <br><br>эта техника описана в недрах RFC (ссылку за давностью не нарою влёт, ищите в инете). Т.е. попытка отправки с пустого отправителя &lt;&gt; вполне должна отрабатываться. Если кто то строит свою антиспам систему без учета этого, это нужно принимать или не пользоваться данной техникой. Однако опыт нескольких контор, окученных такой многоуровневой системой, в т.ч. довольно крупных - говорит о том, что обращений к админ https://www.opennet.ru/openforum/vsluhforumID1/83911.html#13 Mon, 23 Mar 2009 19:19:11 GMT &gt;это опять просто "попиздеть"? в той ссылке даже на искосок просчитать нечего. <br>&gt;молодец! афтар!!! <br>&gt;<br>&gt;PS сорри за грубость - сорвался <br><br>это в смысле пообщаться с разделяющими мои взгляды<br>остальным желаю свалить из моей жизни или сдохнуть со всем своим родом. Жить никому не мешаю, ничего не навязываю, но еврейские приёмы общения, как и их носителей, из списка людей по своим понятиям вычеркиваю - имею право иметь своё мнение<br><br> https://www.opennet.ru/openforum/vsluhforumID1/83911.html#12 Wed, 25 Feb 2009 10:30:27 GMT спасибо, интересная статья.<br><br>Пара вопросов. Про КАС:<br>"У отдельных пользователей количество спама за день могло доходить до нескольких <br>десятков (и даже около сотни) писем. "<br>Речь идет о непомеченном спаме?<br><br>По milter-sender. Есть ли у него кэш (чтобы не гонять зря запросы по уже отметившемуся<br>отправителю)? И как вы смотрите на потенциальную возможность попадания ВАШЕГО сервера в черные списки на других серверах за постоянные sender-check'и? <br>А если обратный адрес подделан и письмо отправляется<br>с третьего сервера? ВЕдь вы отправите тестовое письмо не на этот третий сервер, а на<br>адрес отправителя, почтовый сервер которого и не отправлял письмо. <br>Какой здесь все-таки механизм: проверка существования юзера на mx-е домена-отправителя или на сервере-отправителе?<br>И как во втором случае быть с транзитными релеями - они ведь не обязаны знать о существовании отправителя транзитной почты?<br><br>По поводу SpamAssassin просто ремарка. В этом году вряд ли мы купим коммерческий антиспам, стало быть, SA - это будет https://www.opennet.ru/openforum/vsluhforumID1/83911.html#11 Wed, 25 Feb 2009 08:36:33 GMT &gt;еще вдогонку <br>&gt;<br>&gt;судя по куску лога, спамер в вашем случае отрабатывает довольно корректно с <br>&gt;позиций логики "серых списков" <br>&gt;<br>&gt;он пытается отправить письмо один раз, получает временную ошибку и эмулирует работу <br>&gt;нормального почтового сервера - отправляя письмо повторно через полчаса. Все остальное <br>&gt;здесь вторично - серые списки должны пропускать письма такого отправителя <br>&gt;<br>&gt;а дальше вам необходимо проверять входящие другими методами ... <br><br>это опять просто "попиздеть"? в той ссылке даже на искосок просчитать нечего. молодец! афтар!!!<br><br>PS сорри за грубость - сорвался<br> https://www.opennet.ru/openforum/vsluhforumID1/83911.html#10 Wed, 25 Feb 2009 08:29:35 GMT еще вдогонку<br><br>судя по куску лога, спамер в вашем случае отрабатывает довольно корректно с позиций логики "серых списков"<br><br>он пытается отправить письмо один раз, получает временную ошибку и эмулирует работу нормального почтового сервера - отправляя письмо повторно через полчаса. Все остальное здесь вторично - серые списки должны пропускать письма такого отправителя<br><br>а дальше вам необходимо проверять входящие другими методами ...<br> https://www.opennet.ru/openforum/vsluhforumID1/83911.html#9 Wed, 25 Feb 2009 08:20:54 GMT вы интересную тему подняли. век живи век учись<br>решение в лоб - парсить лог и формировать черный список, как вы и писали<br><br>однако я бы порекомендовал выстроить многоуровневую оборону, как описано у меня в статье http://www.ourorbits.org/itview/articles/mailsystem.shtml<br><br>с большой вероятностью прошедшие через дыру в lost_connection будут остановлены проверкой существования отправителя, что позволит автоматически (с минимальным задействованием времени и ресурсов администратора) получить результат<br> https://www.opennet.ru/openforum/vsluhforumID1/83911.html#8 Wed, 25 Feb 2009 06:49:39 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;Да нет нормально все тут, это принцип работы грейлиста - генерить временную <br>&gt;&gt;ошибку, заставляя повторить передачу через некоторое время. <br>&gt;<br>&gt;Ага, понятно, тогда с этим придется смириться. <br>&gt;И причина пропуска не в lost input channel, а в том, что <br>&gt;сама технология GL направлена против zombie хостов (Most spam is not <br>&gt;sent out using RFC compliant MTAs; the spamming software will not <br>&gt;try again later. ) <br>&gt;<br><br>именно так. <br><br>&gt;В вашем же случае спамер приходит еще раз и это полностью нивелирует <br>&gt;работу GL. <br>&gt;То есть GL может охватить только часть спама, самого тупого и примитивного. <br>&gt;<br><br>ну тупо-спамеры отсекаются все-же, а вот те клиенты , что подхватили инфекцию тут пролезут по любому - за них легальные smtp всю работу сделают - будут стучаться и продезут в конце-концов. <br><br>&gt;<br>&gt;Да, вы можете использовать технику "стрельбы в догонку", то есть анализ maillog'а <br>&gt;<br>&gt;на предмет IP, оборвавших соединение, но где гарантия, что это именно спамер, <br>&gt;а не сетевая проблем https://www.opennet.ru/openforum/vsluhforumID1/83911.html#7 Wed, 04 Feb 2009 08:00:34 GMT &gt;&gt;Здесь нужно разбираться и разбираться. Почему возник отлуп Try again later. <br>&gt;&gt;Ведь это говорит о том, что в данный момент фильтр недоступен. Почему <br>&gt;&gt;он недоступен? <br>&gt;&gt;Перегруженность системы, нет ресурсов, что-то еще? <br>&gt;<br>&gt;Да нет нормально все тут, это принцип работы грейлиста - генерить временную <br>&gt;ошибку, заставляя повторить передачу через некоторое время. <br><br>Ага, понятно, тогда с этим придется смириться.<br>И причина пропуска не в lost input channel, а в том, что сама технология GL направлена против zombie хостов (Most spam is not sent out using RFC compliant MTAs; the spamming software will not try again later. )<br><br>В вашем же случае спамер приходит еще раз и это полностью нивелирует работу GL.<br>То есть GL может охватить только часть спама, самого тупого и примитивного.<br><br>Да, вы можете использовать технику "стрельбы в догонку", то есть анализ maillog'а<br>на предмет IP, оборвавших соединение, но где гарантия, что это именно спамер, а не сетевая проблема, о чем говорил Claus Assmann?<br><br><br><br><br>&gt;<br>&gt;Я https://www.opennet.ru/openforum/vsluhforumID1/83911.html#6 Tue, 03 Feb 2009 11:15:04 GMT &gt;Здесь нужно разбираться и разбираться. Почему возник отлуп Try again later. <br>&gt;Ведь это говорит о том, что в данный момент фильтр недоступен. Почему <br>&gt;он недоступен? <br>&gt;Перегруженность системы, нет ресурсов, что-то еще? <br><br>Да нет нормально все тут, это принцип работы грейлиста - генерить временную ошибку, заставляя повторить передачу через некоторое время.<br><br>Я просто вообще в принципе хотел узнать, использует ли народ такой подход, который я описал, для определения спама и как.<br>