https://slinkov.ru/openforum/vsluhforumID1/96932.html Народ, как лучше левые отбойки замочить на Exim'e ?<br><br>Стандартная тема, когда спам с подставным отправителем прорывается и мы спамим отбойками в ответ.<br> https://slinkov.ru/openforum/vsluhforumID1/96932.html#13 Thu, 29 Jun 2017 05:52:23 GMT Спасибо! Весьма познавательно.<br><br>Всё же очень интересно: как вы поступаете с softfail в SPF?<br><br>&gt; Я игрался с начислением очков в ацлях экзима лет десять тому. Но <br>&gt; потом просто подбил статистику по четырем миллионам сессий за год, и <br>&gt; понял, что все это очень здорово, но совершенно не нужно.<br><br>Судя по количеству сессий, у вас почтовый трафик на порядок (а то и на полтора) больше, чем у нас. С увеличением выборки вероятностный фильтр становится всё более надёжным, это понятно. У нас же флуктуации, похоже, неизбежны.<br><br>В общем, дорастём до вас, поглядим.<br><br>&gt; Реверс-лукап, маленький блеклист, байес. Отдельно обращаю внимание - никакого грейлистинга, никаких днсблов.<br><br>От серых списков я тоже давно уже отказался &#8212; больше помех, чем пользы. DNSBL пока есть, но очков за них даю по минимуму. Наверное, тоже скоро откажусь совсем.<br><br>&gt; Моя статистика следующая: 85% спама режется по реверс-лукапу. Вот тупо нет даже <br>&gt; динамического провайдерского имени вида 123-234-adls.345.comcast.net.<br><br>Странно, у нас https://slinkov.ru/openforum/vsluhforumID1/96932.html#12 Thu, 29 Jun 2017 05:17:26 GMT &gt; У 4/5 хостов даже спф не настроен<br><br>Ну не знаю, статистика с моего сервера за последние два года:<br>[code] 851 fail<br> 435 neutral<br> 4496 none<br> 4068 pass<br> 466 permerror<br> 1702 softfail<br> 126 temperror[/code]<br>Цифры - кол-во уникальных доменов с данным результатом проверки SPF. Как можно видеть, none составляет менее половины суммы остальных.<br><br>А если брать только за последний месяц, то видно что прогресс идёт:<br>[code] 36 fail<br> 34 neutral<br> 287 none<br> 668 pass<br> 35 permerror<br> 122 softfail<br> 1 temperror[/code]<br><br>Конечно, немалую часть pass составляют спамеры, но ведь они не ради продвижения SPF прописывают его, а потому что вынуждены.<br> https://slinkov.ru/openforum/vsluhforumID1/96932.html#11 Wed, 28 Jun 2017 16:52:18 GMT Спасибо, подход, в общих чертах, понятный.<br>Неплохо может помочь TXREP из SpamAssassin в качестве исторического критерия для классификации на спам ещё на стадии RCPT.<br>Насчёт DMARC я наблюдаю что он внедрён на многих популярных сервисах, включая и крупнейшие публичные почтовые, и неплохо работает. Но проблема с листами рассылки налицо.<br><br>&gt; И вот только оставшихся 0.5% проверяются байесом, которому кривая селективности подкручена<br><br>У меня где-то в районе менее 2% до него доходит.<br><br>&gt; так, что результат "BAYES_99" означает, по сути, "BAYES_9999".<br><br>Я своему правилу BAYES_999 поставил высокий бал так, что получившие его редко попадают в папку "Спам" пользователя, но могут попадать в служебную для возможного разбора полётов. <br><br>&gt; Чтобы было понятно - у меня база токенов байеса имеет размер 32 мегабайта. Ну, <br>&gt; если это о чем-то говорит, конечно.<br><br>Вообще не много. У меня bayes_token в районе 4 млн. записей при размере менее 500 Mb (InnoDB).<br> https://slinkov.ru/openforum/vsluhforumID1/96932.html#10 Wed, 28 Jun 2017 15:16:53 GMT &gt; Ну и, попутно, в этой связи как не вспомнить о DMARC. <br><br>А никак не вспомнить. У 4/5 хостов даже спф не настроен, не говоря уж о дким, а дмарк - дело нескорого будущего. Пока что его наличие/полезность в пределах статпогрешности. <br> <br>&gt;&gt; спамерский признак добавляет сообщению очки, а вывод делается по сумме <br>&gt; Я придерживаюсь примерно того же подхода учитывая историческую репутацию отправителя. <br><br>Я игрался с начислением очков в ацлях экзима лет десять тому. Но потом просто подбил статистику по четырем миллионам сессий за год, и понял, что все это очень здорово, но совершенно не нужно. Реверс-лукап, маленький блеклист, байес. Отдельно обращаю внимание - никакого грейлистинга, никаких днсблов. <br><br>Моя статистика следующая: 85% спама режется по реверс-лукапу. Вот тупо нет даже динамического провайдерского имени вида 123-234-adls.345.comcast.net. Из оставшихся 15% еще 14.5% (95%) режется по локальному регулярно освежаемому черному списку регекспов/доменов/айпих, составляемому по топ-100 срабатываний байеса. https://slinkov.ru/openforum/vsluhforumID1/96932.html#9 Wed, 28 Jun 2017 12:13:55 GMT &gt; Не имеет смысла разбираться с сообщениями, которые пришли с адреса, не указанного <br>&gt; в СПФ-записи домена, если она есть.<br><br>Собственно, моя реплика больше относилась к этой части. При таком подходе у вас в качестве спама будет рассматриваться и большая часть списков рассылки. Ну и, попутно, в этой связи как не вспомнить о DMARC.<br><br>&gt; спамерский признак добавляет сообщению очки, а вывод делается по сумме<br><br>Я придерживаюсь примерно того же подхода учитывая историческую репутацию отправителя.<br> https://slinkov.ru/openforum/vsluhforumID1/96932.html#8 Wed, 28 Jun 2017 11:28:38 GMT &gt; Народ, как лучше левые отбойки замочить на Exim'e ?<br>&gt; Стандартная тема, когда спам с подставным отправителем прорывается и мы спамим отбойками <br>&gt; в ответ.<br><br>Не принимать письмо если не прошёл sender callout ещё до команды DATA. Например на этапе check_rcpt. В этом случае не придётся отсылать отскок.<br>Что-то на основе<br>[code]<br>require verify = sender/callout=10s,defer_ok,random,no_cache<br> message = $sender_address does not exist<br>[/code]<br>только не для локальных доменов.<br><br><br> https://slinkov.ru/openforum/vsluhforumID1/96932.html#7 Wed, 28 Jun 2017 10:17:07 GMT &gt; Все перечисленные критерии безусловны.<br>&gt; Не имеет смысла разбираться с сообщениями, которые пришли с адреса, у которого <br>&gt; даже ПТР-записи нет. 146% гарантия спама.<br><br>Верно.<br><br>&gt; Не имеет смысла разбираться с сообщениями, которые пришли с адреса, не указанного <br>&gt; в СПФ-записи домена, если она есть. СПФ-запись для того и придумана, <br>&gt; чтобы я мог без сомнений и размышлений классифицировать такие письма, как <br>&gt; спам.<br><br>Строго говоря, там на конце ~all пишут как раз для сомнений и размышлений. Косячная настройка SPF мне попадалась не раз и не два. Особенно это касается всяких автоматических уведомляторов. Один известный интернет-магазин этим периодически грешит. Писал им &#8212; чинят, а через какое-то время всё по-новой.<br><br>&gt; Не имеет смысла разбираться с сообщениями, которые дают на байесе 95-99% вероятность <br>&gt; спамовости.<br><br>Баес, хоть и крайне редко, но ошибается. На днях тут у нас он чуть не похерил Очень Важное Письмо&#8482; &#8212; выдал 99%. Хорошо, что у нас все критерии условны, и админ избежал https://slinkov.ru/openforum/vsluhforumID1/96932.html#6 Tue, 27 Jun 2017 17:05:53 GMT &gt; Жёстко у вас...<br><br>Все перечисленные критерии безусловны. <br><br>Не имеет смысла разбираться с сообщениями, которые пришли с адреса, у которого даже ПТР-записи нет. 146% гарантия спама. <br>Не имеет смысла разбираться с сообщениями, которые пришли с адреса, не указанного в СПФ-записи домена, если она есть. СПФ-запись для того и придумана, чтобы я мог без сомнений и размышлений классифицировать такие письма, как спам. <br>Не имеет смысла разбираться с сообщениями, которые дают на байесе 95-99% вероятность спамовости. <br><br>Все это прямиком отправляется в sa-learn, чтобы еще более лучше повысить распознание спама байесом. А кто так не делает - тот и себе и юзерам злобный буратино. <br> https://slinkov.ru/openforum/vsluhforumID1/96932.html#5 Tue, 27 Jun 2017 16:46:22 GMT &gt;&gt; Почтовые шлюзы должны иметь мягкие условия на приём писем <br>&gt; Не должны.<br><br>Ясно-понятно :)<br>