proNovell

Проблема старая, но сейчас наиболее актуальная. Это спам. Уже года два мы подключены в Инет через выделенку. В последние полгода поток писем ненужного содержания возрос на порядки. Это каксается не только Американского Английского, но и многих других предложений.
У меня сейчас процентов 30 (!!!!) всего входящего трафика составляет почтовый спам. В конторе стоит прокси и большинство сотрудников ходит в Инет на одни и теже ресурсы. Трафик от них невелик. Основной объем дает скачивание обновлений к разному софту. Теперь вот и спам. Решил бороться классическим методом. В GWIA (GroupWise 6.5) настроил ссылки на BlackList. В принципе работает. Прикрылись от открытых релеев. Но осталась еще одна проблема. Это сервера, на IP-адрес которых зерегистрированно сотни доменных имен. От имени последних вылится разная гадость. То адрес типа "xxxxxxx.edu.nl", то еще какая-нибудь гадость ... вобщем нельзя нормально запрещающие фильтры поставить. Столько всего, что не запретишь.
Попробовал подойти с другого края - запретить все, но в списке исключений указать для начала разрешенные домены - *.ru, *.com, *.net, *.org. Оказалось, что такие конструкции почему-то не работают. Отбраковывалась вся почта. Сейчас временно вернул как было - разрешено все, кроме... Ну и blacklist стоит.
Теперь такие вопросы. Может быть их кто-то решал.

1. Чем блокировать спам на уровне сервера. Софтина должна работать на Netware. Других серверов у нас нет (кроме MS, но это лишь для SQL). Надо отбраковывать то, что не нужно (по заданным мной правилам) и не загружать канал передачей ненужной информации. Т.е. если письмо идет с запрещенного IP-адреса или с неразрешенного доменного имени, то "привет, семье". Письмо не принимается.... Такое возможно? или SMTP требует сначала все письмо принять, а лишь потом анализировать?

2. Как в Internet Agent GW6.5 настроить список разрешенных доменов с указанием wildcard, чтобы все не перебирать. Тогда можно будет "запретить все, кроме...".

3. Решается ли проблема борьбы со спамом в других почтовых системах, например, NIMS 3.1? И как?

Игорь Вершинин писал(а):Т.е. если письмо идет с запрещенного IP-адреса или с неразрешенного доменного имени, то "привет, семье". Письмо не принимается.... Такое возможно? или SMTP требует сначала все письмо принять, а лишь потом анализировать?

В SMTP прервать приём можно только до DATA. Если определяющие признаки, по которым письмо будет отбраковано, сидят в теле сообщения - придётся примать его целиком, а уж потом отфильтровывать. А вот давать отлуп по тому, что идёт в HELO/EHLO -можно, но как именно это сделать в GW - я не в курсе.

Как я понимаю, гадость сыплется на реальные адреса сотрудников ? Не может же оно приходить просто "на деревню, дедушке" ( ".. серверу" ) ? И, наверное, кому-то приходит больше "добра", кому-то меньше ? Как насчет радикально заменить всем адреса на новые ( разумеется, предварительно сообщив "всем, с кем ведете переписку" ) .. ну а дальше профилактика там, активная работа с корреспондентами ( чтоб у них червяки в адресные книжки не залезали и т.п. ) - ну, понятно.

Кстати, пользователям, которые разбрасываются в Инете своими адресами направо и налево, а потом кричат "спам, ой спам !" я бы тоже лобзиком че-нить поотпиливал .. Меня вот в последние две недели АНТИспаммеры .. замучали, если не сказать грубже. Я с большим трудом смог отправить почту своим обычным адресатам через свои обычные smpt-сервера ( провайдера - заурядный такой крупный ISP, и рабочий - крупный корпоративный пров, smtp-сервер с аутентификацией на отправку ). У различных принимающих сторон они вдруг оказались в blacklist'ах причем blacklistы берутся какие-то голландские ( с easynet, кажется ), и когда я попытался скачать текущий списочек блокируемых IP с комментарием ( интересно же, за что тебя приговорили ), он оказался размером 51Мб .. так что из дома по диалапу качать не захотелось.

Так что у всего есть оборотная сторона ..

Игорь, в Gwia.cfg 6.5 есть замечательный ключик /rbl, он вполне помогает в борьбе со спамом, плюс еще blocked.txt, и жизнь становится вполне комфортна

Приветствую!
Одно из проклятий в опросе кажется сбылось , но как всегда, не совсем по адресу . Спамеры нахватались почтовых червяков, которые червяки, пользуясь необъятными адресными книгами этих пид$(гогов) завалили своих "адресатов" сообщениями о системных ошибках, недоставленной почте, экстренных вызовах, неординарных обновлениях мелкомягких, ессно, с телом червяка в качестве прикрепления. Пока лучшее, что пришло в голову - это тереть всю гадость на сервере провайдера через портал, дабы не тащить к себе.

Всего наилучшего


P.S. Да - признак червяка в письме - размер порядка 156 +_ 2 кб

Предложить особо шатающимся пользователям (типа рекламщиков) запасные адреса (помимо основных), а после засветки их, менять на новые.

Замена адресов у пользователей не очень мне нравится. У нас ники даются по первой букве имени + фамилия (у меня получается IVershinin). Ну изменим все это на ИмяФамилия, потом на ИмяПерваяБукваФамилии, потом... Это и для сотрудников не очень удобно, а для их корреспондентов тем более.
BlackList я включил, что-то там GWIA отсеивает, но это лишь 5% от спама. У меня была идея дополнительно к этому включить режим "запрет SMTP In, кроме..." и написать список разрешенных узлов. Но GWIA почему-то не понимает шаблоны, т.е. записи вида "*.ru" и т.п. Только надо непосредственно указывать полное доменное имя. Неудобно.
Blocked.txt я использую, но там также шаблоны не работают.
Есть ли подобный GW6.5 анти-спамовый механизм в NIMS3.1. А то уже продолжительное время есть мысли перейти на более "легкое" и дешевое решение для новой организации. К тому же там планируется использовать только Web-клиента и документооборот не нужен....

Игорь Вершинин - просто это получается борьба со следствием, а не с причиной. Сегодня можно найти некий софт, настроить правила, но завтра, скорее всего, появятся новые спаммеры и методы спама, да и новые версии софта, который надо будет снова изучать, настраивать .. А если кто скажет, что нельзя, мол, в современном мире пользоваться емэйлом и не получать спам - ну я вот на все свои несколько адресов получаю, в среднем, 2-3 "левых" сообщения в месяц. При этом старейший из них существует лет 5 .. или 6. И для большинства из них никаких фильтров у провайдера не стоит.

( но это лишь мое личное мнение, конечно )

Игорь Вершинин писал(а):BlackList я включил, что-то там GWIA отсеивает, но это лишь 5% от спама.

А что у тебя конкретно в BlackList-е указано?
У меня с помощью него процентов 80 спама точно отсеивается.

А может попробовать взять у провайдера второй канал (скажем 1 таймслот 64к в существующем канале) только под почту, и договориться о фиксированной оплате по этому каналу. Для того, чтобы Вы использовали этот канал только под почту, провайдер может просто закрыть все порты кроме 25-го, это будет гарантией, что по этому доп. каналу будет ходить только почта ( я конечно понимаю что можно извратиться и не только почту гонять, но тут надо на честность налегать) и все. Пусть хоть засыпят спамом. А что можно попробовать отфильтровывать guinevere, я сейчас его обкатываю, если начальство утвердит могу потом поделиться впечатлениями, правда guinevere под виндами только живет.

Сергей Каретин писал(а):

Игорь Вершинин писал(а):BlackList я включил, что-то там GWIA отсеивает, но это лишь 5% от спама.

А что у тебя конкретно в BlackList-е указано?
У меня с помощью него процентов 80 спама точно отсеивается.

Три сервера, как в документации:

relays.ordb.org
blackholes.mail-abuse.org
bl.spamcop.net

У меня, судя по логам, много разной гадости валится с загадочных доменов типа "*.fl", "*.ee", "*.nl" и т.п. Т.е. с тех, с которых гарантированно никто почту не получает. В любом случае почти все респонденты находятся в зонах ru, com, org и net. Другие домены хотелось бы заблокировать. При необходимости, хотя я не представляю, зачем, доступ можно на необходимые сайты директивно открыть.

Алексей Подгорчук писал(а):А может попробовать взять у провайдера второй канал (скажем 1 таймслот 64к в существующем канале) только под почту, и договориться о фиксированной оплате по этому каналу. Для того, чтобы Вы использовали этот канал только под почту, провайдер может просто закрыть все порты кроме 25-го, это будет гарантией, что по этому доп. каналу будет ходить только почта ( я конечно понимаю что можно извратиться и не только почту гонять, но тут надо на честность налегать) и все. Пусть хоть засыпят спамом. А что можно попробовать отфильтровывать guinevere, я сейчас его обкатываю, если начальство утвердит могу потом поделиться впечатлениями, правда guinevere под виндами только живет.

Отдельный канал смысла особого ставить нет, так как спам по-любому приходит на 25 порт. Фильтровать его надо до получения (ну это может, как я уже наэксперементировал, GWIA от GW6.5). А вот после получения теоретически можно и Касперским Анти-Спамом, но он, подлец, только на Win32 живет. Что меня резко не устраивает....

У нас большинство сообщений спамеров приходит с доменов у которых отсутствует MX-запись или есть явный запрет на прием. Можно ли как то средствами NW фиксировать этот факт?
А то ведь даже, извините, "плюнуть в лицо" спамера не получается .

Отдельный канал смысла особого ставить нет, так как спам по-любому приходит на 25 порт. Фильтровать его надо до получения.

До получения мало реально, т.е.реально скажем проверять обратную запись, а если это не спам, а записи нет? Что делать? По-любому сперва надо получить все заголовки, а потом уже их разбирать.
Вы spam assassin не смотрели?

Отдельный канал смысла особого ставить нет, так как спам по-любому приходит на 25 порт. Фильтровать его надо до получения (ну это может, как я уже наэксперементировал, GWIA от GW6.5). А вот после получения теоретически можно и Касперским Анти-Спамом, но он, подлец, только на


Тыкните мне пожалуйста где можно посмотреть на этот антиспам под вин32, искал не нашел. И кстати я тут spamassassin тестирую, очень достойная штука, но к сожалению можно анализировать только уже полученное письмо, так что насчет канала подумайте. кстати spamassassin это opensource.

Win32 живет. Что меня резко не устраивает....[/quote]