Спам, блокировка адресов и почтовые системы

Обсуждение технических вопросов по продуктам Novell

Какую казнь вы бы утвердили в качестве стандартной для спамера?

Опрос закончился 09 окт 2003, 18:32

Электрический стул
1
5%
Отрубание рук (ног, головы, можно отпиливание лобзиком)
5
24%
Лоботомия
0
Голосов нет
Отлучение от компьютера и запись в лесничии
4
19%
Ничего из вышеперечисленного (все слишком гуманно)
4
19%
Публикация фотографии и адреса спамера в Интернете
7
33%
 
Всего голосов : 21

Спам, блокировка адресов и почтовые системы

Сообщение Игорь Вершинин » 02 окт 2003, 18:32

Проблема старая, но сейчас наиболее актуальная. Это спам. Уже года два мы подключены в Инет через выделенку. В последние полгода поток писем ненужного содержания возрос на порядки. Это каксается не только Американского Английского, но и многих других предложений.
У меня сейчас процентов 30 (!!!!) всего входящего трафика составляет почтовый спам. В конторе стоит прокси и большинство сотрудников ходит в Инет на одни и теже ресурсы. Трафик от них невелик. Основной объем дает скачивание обновлений к разному софту. Теперь вот и спам. Решил бороться классическим методом. В GWIA (GroupWise 6.5) настроил ссылки на BlackList. В принципе работает. Прикрылись от открытых релеев. Но осталась еще одна проблема. Это сервера, на IP-адрес которых зерегистрированно сотни доменных имен. От имени последних вылится разная гадость. То адрес типа "xxxxxxx.edu.nl", то еще какая-нибудь гадость ... вобщем нельзя нормально запрещающие фильтры поставить. Столько всего, что не запретишь.
Попробовал подойти с другого края - запретить все, но в списке исключений указать для начала разрешенные домены - *.ru, *.com, *.net, *.org. Оказалось, что такие конструкции почему-то не работают. Отбраковывалась вся почта. Сейчас временно вернул как было - разрешено все, кроме... Ну и blacklist стоит.
Теперь такие вопросы. Может быть их кто-то решал.

1. Чем блокировать спам на уровне сервера. Софтина должна работать на Netware. Других серверов у нас нет (кроме MS, но это лишь для SQL). Надо отбраковывать то, что не нужно (по заданным мной правилам) и не загружать канал передачей ненужной информации. Т.е. если письмо идет с запрещенного IP-адреса или с неразрешенного доменного имени, то "привет, семье". Письмо не принимается.... Такое возможно? или SMTP требует сначала все письмо принять, а лишь потом анализировать?

2. Как в Internet Agent GW6.5 настроить список разрешенных доменов с указанием wildcard, чтобы все не перебирать. Тогда можно будет "запретить все, кроме...".

3. Решается ли проблема борьбы со спамом в других почтовых системах, например, NIMS 3.1? И как?
Аватара пользователя
Игорь Вершинин
 
Сообщения: 387
Зарегистрирован: 05 июн 2002, 20:34
Откуда: Волгоград

Re: Спам, блокировка адресов и почтовые системы

Сообщение Сергей Дубров » 03 окт 2003, 05:50

Игорь Вершинин писал(а):Т.е. если письмо идет с запрещенного IP-адреса или с неразрешенного доменного имени, то "привет, семье". Письмо не принимается.... Такое возможно? или SMTP требует сначала все письмо принять, а лишь потом анализировать?

В SMTP прервать приём можно только до DATA. Если определяющие признаки, по которым письмо будет отбраковано, сидят в теле сообщения - придётся примать его целиком, а уж потом отфильтровывать. А вот давать отлуп по тому, что идёт в HELO/EHLO -можно, но как именно это сделать в GW - я не в курсе.
Аватара пользователя
Сергей Дубров
 
Сообщения: 2096
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Сообщение Андрей Тр. aka RH » 03 окт 2003, 07:31

Как я понимаю, гадость сыплется на реальные адреса сотрудников ? Не может же оно приходить просто "на деревню, дедушке" ( ".. серверу" ) ? И, наверное, кому-то приходит больше "добра", кому-то меньше ? Как насчет радикально заменить всем адреса на новые ( разумеется, предварительно сообщив "всем, с кем ведете переписку" ) .. ну а дальше профилактика там, активная работа с корреспондентами ( чтоб у них червяки в адресные книжки не залезали и т.п. ) - ну, понятно.

Кстати, пользователям, которые разбрасываются в Инете своими адресами направо и налево, а потом кричат "спам, ой спам !" я бы тоже лобзиком че-нить поотпиливал .. Меня вот в последние две недели АНТИспаммеры .. замучали, если не сказать грубже. Я с большим трудом смог отправить почту своим обычным адресатам через свои обычные smpt-сервера ( провайдера - заурядный такой крупный ISP, и рабочий - крупный корпоративный пров, smtp-сервер с аутентификацией на отправку ). У различных принимающих сторон они вдруг оказались в blacklist'ах :twisted: причем blacklistы берутся какие-то голландские ( с easynet, кажется ), и когда я попытался скачать текущий списочек блокируемых IP с комментарием ( интересно же, за что тебя приговорили ), он оказался размером 51Мб .. так что из дома по диалапу качать не захотелось.

Так что у всего есть оборотная сторона ..
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Сергей Каретин » 03 окт 2003, 08:34

Игорь, в Gwia.cfg 6.5 есть замечательный ключик /rbl, он вполне помогает в борьбе со спамом, плюс еще blocked.txt, и жизнь становится вполне комфортна :lol:
Сергей Каретин
 
Сообщения: 201
Зарегистрирован: 05 июн 2002, 08:21
Откуда: Ярославль

Сообщение Мещеряков Андрей » 03 окт 2003, 09:02

Приветствую!
Одно из проклятий в опросе кажется сбылось :D , но как всегда, не совсем по адресу :lol: . Спамеры нахватались почтовых червяков, которые червяки, пользуясь необъятными адресными книгами этих пид$(гогов) завалили своих "адресатов" сообщениями о системных ошибках, недоставленной почте, экстренных вызовах, неординарных обновлениях мелкомягких, ессно, с телом червяка в качестве прикрепления. Пока лучшее, что пришло в голову - это тереть всю гадость на сервере провайдера через портал, дабы не тащить к себе.

Всего наилучшего


P.S. Да - признак червяка в письме - размер порядка 156 +_ 2 кб
Аватара пользователя
Мещеряков Андрей
 
Сообщения: 1999
Зарегистрирован: 19 сен 2002, 14:55
Откуда: lipetsk

По пользователям

Сообщение Федорович Леонид » 03 окт 2003, 10:00

Предложить особо шатающимся пользователям (типа рекламщиков) запасные адреса (помимо основных), а после засветки их, менять на новые.
Федорович Леонид
 
Сообщения: 40
Зарегистрирован: 30 июл 2002, 13:30
Откуда: Москва

Сообщение Игорь Вершинин » 03 окт 2003, 11:25

Замена адресов у пользователей не очень мне нравится. У нас ники даются по первой букве имени + фамилия (у меня получается IVershinin). Ну изменим все это на ИмяФамилия, потом на ИмяПерваяБукваФамилии, потом... Это и для сотрудников не очень удобно, а для их корреспондентов тем более.
BlackList я включил, что-то там GWIA отсеивает, но это лишь 5% от спама. У меня была идея дополнительно к этому включить режим "запрет SMTP In, кроме..." и написать список разрешенных узлов. Но GWIA почему-то не понимает шаблоны, т.е. записи вида "*.ru" и т.п. Только надо непосредственно указывать полное доменное имя. Неудобно.
Blocked.txt я использую, но там также шаблоны не работают.
Есть ли подобный GW6.5 анти-спамовый механизм в NIMS3.1. А то уже продолжительное время есть мысли перейти на более "легкое" и дешевое решение для новой организации. К тому же там планируется использовать только Web-клиента и документооборот не нужен....
Аватара пользователя
Игорь Вершинин
 
Сообщения: 387
Зарегистрирован: 05 июн 2002, 20:34
Откуда: Волгоград

Сообщение Андрей Тр. aka RH » 03 окт 2003, 13:24

Игорь Вершинин - просто это получается борьба со следствием, а не с причиной. Сегодня можно найти некий софт, настроить правила, но завтра, скорее всего, появятся новые спаммеры и методы спама, да и новые версии софта, который надо будет снова изучать, настраивать .. А если кто скажет, что нельзя, мол, в современном мире пользоваться емэйлом и не получать спам - ну я вот на все свои несколько адресов получаю, в среднем, 2-3 "левых" сообщения в месяц. При этом старейший из них существует лет 5 .. или 6. И для большинства из них никаких фильтров у провайдера не стоит.

( но это лишь мое личное мнение, конечно )
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Сообщение Сергей Каретин » 03 окт 2003, 13:31

Игорь Вершинин писал(а):BlackList я включил, что-то там GWIA отсеивает, но это лишь 5% от спама.


А что у тебя конкретно в BlackList-е указано?
У меня с помощью него процентов 80 спама точно отсеивается.
Сергей Каретин
 
Сообщения: 201
Зарегистрирован: 05 июн 2002, 08:21
Откуда: Ярославль

Re: Спам, блокировка адресов и почтовые системы

Сообщение alexp_mac » 03 окт 2003, 15:37

А может попробовать взять у провайдера второй канал (скажем 1 таймслот 64к в существующем канале) только под почту, и договориться о фиксированной оплате по этому каналу. Для того, чтобы Вы использовали этот канал только под почту, провайдер может просто закрыть все порты кроме 25-го, это будет гарантией, что по этому доп. каналу будет ходить только почта ( я конечно понимаю что можно извратиться и не только почту гонять, но тут надо на честность налегать) и все. Пусть хоть засыпят спамом. А что можно попробовать отфильтровывать guinevere, я сейчас его обкатываю, если начальство утвердит могу потом поделиться впечатлениями, правда guinevere под виндами только живет.
alexp_mac
 
Сообщения: 788
Зарегистрирован: 28 июн 2002, 10:50

Сообщение Игорь Вершинин » 03 окт 2003, 16:38

Сергей Каретин писал(а):
Игорь Вершинин писал(а):BlackList я включил, что-то там GWIA отсеивает, но это лишь 5% от спама.


А что у тебя конкретно в BlackList-е указано?
У меня с помощью него процентов 80 спама точно отсеивается.


Три сервера, как в документации:

relays.ordb.org
blackholes.mail-abuse.org
bl.spamcop.net

У меня, судя по логам, много разной гадости валится с загадочных доменов типа "*.fl", "*.ee", "*.nl" и т.п. Т.е. с тех, с которых гарантированно никто почту не получает. В любом случае почти все респонденты находятся в зонах ru, com, org и net. Другие домены хотелось бы заблокировать. При необходимости, хотя я не представляю, зачем, доступ можно на необходимые сайты директивно открыть.
Аватара пользователя
Игорь Вершинин
 
Сообщения: 387
Зарегистрирован: 05 июн 2002, 20:34
Откуда: Волгоград

Re: Спам, блокировка адресов и почтовые системы

Сообщение Игорь Вершинин » 03 окт 2003, 16:42

Алексей Подгорчук писал(а):А может попробовать взять у провайдера второй канал (скажем 1 таймслот 64к в существующем канале) только под почту, и договориться о фиксированной оплате по этому каналу. Для того, чтобы Вы использовали этот канал только под почту, провайдер может просто закрыть все порты кроме 25-го, это будет гарантией, что по этому доп. каналу будет ходить только почта ( я конечно понимаю что можно извратиться и не только почту гонять, но тут надо на честность налегать) и все. Пусть хоть засыпят спамом. А что можно попробовать отфильтровывать guinevere, я сейчас его обкатываю, если начальство утвердит могу потом поделиться впечатлениями, правда guinevere под виндами только живет.


Отдельный канал смысла особого ставить нет, так как спам по-любому приходит на 25 порт. Фильтровать его надо до получения (ну это может, как я уже наэксперементировал, GWIA от GW6.5). А вот после получения теоретически можно и Касперским Анти-Спамом, но он, подлец, только на Win32 живет. Что меня резко не устраивает....
Аватара пользователя
Игорь Вершинин
 
Сообщения: 387
Зарегистрирован: 05 июн 2002, 20:34
Откуда: Волгоград

Сообщение Лебедев Виктор » 06 окт 2003, 09:14

У нас большинство сообщений спамеров приходит с доменов у которых отсутствует MX-запись или есть явный запрет на прием. Можно ли как то средствами NW фиксировать этот факт?
А то ведь даже, извините, "плюнуть в лицо" спамера не получается :) .
Лебедев Виктор
 
Сообщения: 133
Зарегистрирован: 05 июн 2002, 09:03
Откуда: Пермь

Re: Спам, блокировка адресов и почтовые системы

Сообщение alexp_mac » 06 окт 2003, 11:36

Отдельный канал смысла особого ставить нет, так как спам по-любому приходит на 25 порт. Фильтровать его надо до получения.

До получения мало реально, т.е.реально скажем проверять обратную запись, а если это не спам, а записи нет? Что делать? По-любому сперва надо получить все заголовки, а потом уже их разбирать.
Вы spam assassin не смотрели?
alexp_mac
 
Сообщения: 788
Зарегистрирован: 28 июн 2002, 10:50

Re: Спам, блокировка адресов и почтовые системы

Сообщение alexp_mac » 07 окт 2003, 16:08

Отдельный канал смысла особого ставить нет, так как спам по-любому приходит на 25 порт. Фильтровать его надо до получения (ну это может, как я уже наэксперементировал, GWIA от GW6.5). А вот после получения теоретически можно и Касперским Анти-Спамом, но он, подлец, только на


Тыкните мне пожалуйста где можно посмотреть на этот антиспам под вин32, искал не нашел. И кстати я тут spamassassin тестирую, очень достойная штука, но к сожалению можно анализировать только уже полученное письмо, так что насчет канала подумайте. кстати spamassassin это opensource.

Win32 живет. Что меня резко не устраивает....[/quote]
alexp_mac
 
Сообщения: 788
Зарегистрирован: 28 июн 2002, 10:50

След.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 66

cron