forum.opennet.ru - "OpenNews: Опыт борьбы со спам-ботами на небольшом почтовом с..." (14)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"OpenNews: Опыт борьбы со спам-ботами на небольшом почтовом с..."

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Опыт борьбы со спам-ботами на небольшом почтовом с..."
Сообщение от opennews (??) on 25-Июн-07, 16:31
В заметке "High traffic on the email server (http://www.g-loaded.eu/2007/06/23/high-traffic-on-the-email-.../)" наглядно продемонстрирован простой и эффективный способ блокирования спам-ботов, которые в определенные моменты приводят к превышению лимита на допустимое число соединений к почтовому серверу (эффект подобен DDoS атаке, сколько не увеличивай лимит - все равно соединения занимаются ботами с тысяч машин зараженных троянским ПО). George Notaras, заметил, что большое число спам-ботов занимаются перебором адресов или отправляют почту уже несуществующим ящикам и провел простой эксперимент - выделил из лога postfix все подобные "reject" сообщения (за неделю выявлено более 260000 блокировок для 10000 уникальных IP) и заблокировал выявленные адреса. В результате, нагрузка на почтовый сервер снизилась в 40 раз. URL: http://www.g-loaded.eu/2007/06/23/high-traffic-on-the-email-.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=11186
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Опыт борьбы со спам-ботами на небольшом почтовом сервере, pisto, 16:31 , 25-Июн-07, (1)

Опыт борьбы со спам-ботами на небольшом почтовом сервере, FSA, 08:09 , 26-Июн-07, (12)

Опыт борьбы со спам-ботами на небольшом почтовом сервере, daneg, 16:39 , 25-Июн-07, (2)
Опыт борьбы со спам-ботами на небольшом почтовом сервере, Dmitriy, 16:39 , 25-Июн-07, (3)

обратное разрешение имени хоста отправителя и блокировки по ..., Квагга, 18:22 , 27-Июн-07, (14)

Опыт борьбы со спам-ботами на небольшом почтовом сервере, an, 17:28 , 25-Июн-07, (4)

Опыт борьбы со спам-ботами на небольшом почтовом сервере, Sergey, 18:15 , 25-Июн-07, (5)

Опыт борьбы со спам-ботами на небольшом почтовом сервере, an, 19:31 , 25-Июн-07, (6)

Опыт борьбы со спам-ботами на небольшом почтовом сервере, sabitov, 08:50 , 26-Июн-07, (13)

Опыт борьбы со спам-ботами на небольшом почтовом сервере, Als, 23:07 , 25-Июн-07, (7)
Опыт борьбы со спам-ботами на небольшом почтовом сервере, Аноним, 00:03 , 26-Июн-07, (8)

Опыт борьбы со спам-ботами на небольшом почтовом сервере, Вася, 08:04 , 26-Июн-07, (11)

Опыт борьбы со спам-ботами на небольшом почтовом сервере, Аноним, 04:25 , 26-Июн-07, (9)
Опыт борьбы со спам-ботами на небольшом почтовом сервере, Аноним, 07:32 , 26-Июн-07, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"

Сообщение от pisto (??) on 25-Июн-07, 16:31

То есть пользователи с этих  ипов не смогут работать с данным сервером?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"

Сообщение от FSA (ok) on 26-Июн-07, 08:09

Нет конечно, 120 комьпютеров из бразилии, 240 из США вполне имеют законное право рассылать через вас почту...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"

Сообщение от daneg on 25-Июн-07, 16:39

Смогут, через нормальные почтовые сервера.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"

Сообщение от Dmitriy (??) on 25-Июн-07, 16:39

А еще более эффективный способ - вообще закрыть 25 порт. Эффект просто поразительный. А если серьезно - существуют более серьезные способы блокировки таких хостов (например так называемые ловушки или хотя бы временная блокировка выявленных ботов). Очень хороший эффект дает обратное разрешение имени хоста отправителя и блокировки по маске имени хоста. Ну и куча других. О бо всем можно почитать в том числе и здесь.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "обратное разрешение имени хоста отправителя и блокировки по ..."

Сообщение от Квагга on 27-Июн-07, 18:22

> обратное разрешение имени хоста отправителя и блокировки по маске имени хоста.
А зачем? Процы греть? Чтобы найти еду нужно идти в продуктовую лавку. А не прочесывать перед походом лавку все окрестные помойки. Доступная аналогия? :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"

Сообщение от an (??) on 25-Июн-07, 17:28

есть способ лучше :). большинство спам-ботов сидят на динамических IP-адресах. их и блокируем. ну кому придет в голову (и главное зачем) ставить SMTP сервер на динамическом IP? А? А поставит - его проблемы :). В нашем маленьком хозяйстве такой подход (вместе с некоторыми другими) оказался весьма эффективен (тьфу*3).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"

Сообщение от Sergey (??) on 25-Июн-07, 18:15

Угу, только каким макаром определять динамичность этих адресов? У меня был в практике опыт когда наши адреса оказались ранее занесенными в одну BL базу как динамические на основании низкого TTL реверсной зоны DNS. Я забодался пинаться с провайдером на эту тему, но вконце концов победил...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"

Сообщение от an (??) on 25-Июн-07, 19:31

базы тут непричем. 90% или более обратных DNS динамических адресов содержит в себе последнюю цифру IP адреса в том или ином виде. А также чтото типа dsl или pppoe или modem. Владельцы SMTP  серверов напротив, заботятся о нормальном ответе на обраный DNS запрос. Без обратного DNS часто на почтовые сервера вообще не пускают(и правильно делают).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"

Сообщение от sabitov (??) on 26-Июн-07, 08:50

Угу, а потом приходит к тебе директор и говорит, что ему люди письмо прислать не могут, и ваапще трах-тибидох!
А при разборе полетов оказывается, что люди живут не внутри МКАД, а в деревне Гадюкино Урюпинского уезда, и что Сеть у них только 2 часа в сутки, и диалап через соседнюю область :(
Вы с таким, сударь, не сталкивались? Вам везет, а мы уже несколько раз на эти грабли наступали, пришлось от этого отказываться.
# Это грей-лист не пустил
mx log # grep '450 <.*>: Recipient address rejected: Service is unavailable; from=' maillog | wc -l
24360
# Это сколько доставлено
mx log # grep 'delivered to mailbox' maillog | wc -l
3359
# Это по теме статьи. Количество писем на не существующих пользователей
mx log # grep 'User unknown in local recipient table' maillog  | wc -l
627
# Это количество уникальных IP адресов.
mx log # grep 'User unknown in local recipient table' maillog  | sed -e 's/.*$\[.*\]$: 550 .*/\1/' | sort | uniq | wc -l
439
примерно 1,5 письма на 1 IP, так что либо порог срабатывания должен быть очень низким (а если сендер просто опечатался?..), либо это работать не будет.
И вообще грейлист рулит!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"

Сообщение от Als (??) on 25-Июн-07, 23:07

Да в общем-то статья не о том, как отделить спам-ботов от легальных, а о том, что пока ботам выдавали отлуп с объяснением причины -- они это игнорировали и долбились дальше, занимая ресурсы сервера. А когда им просто сказали  "Reject" (не в курсе особенностей postfix non-access-denied rejections vs ) по IP -- их это проняло, и больше они не приходили. Так что это скорее конструктивный просчет программирования ботов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"

Сообщение от Аноним on 26-Июн-07, 00:03

У меня в exim стоит вот такое правило
   deny    message     = Max 3 failed recipients allowed
           condition   = ${if >{$rcpt_fail_count}{2} {1}}
           delay       = ${eval: ($rcpt_fail_count) * 30}s
           log_message = $rcpt_fail_count failed recipient attampts - dict attack

После определенного количества rcpt_fail_count срабатывает tcp connect timeout и все идут лесом

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"

Сообщение от Вася on 26-Июн-07, 08:04

Exim рулез.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"

Сообщение от Аноним on 26-Июн-07, 04:25

Надеюсь, он теперь будет еженедельно пополнять этот "чёрный" список? :) Помнится был такой bl, в который заносили завирусованные компы. Чем он ему не понравился? Сам я такой bl не использую, но если человеку хочется, то флаг в руки...
По блокировкам: нет какого-то волшебного способа способного сразу решить проблему. Только комплекс правил. И только если правила отлажены в тестовом режиме.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"

Сообщение от Аноним on 26-Июн-07, 07:32

Собираю троянов и ботов 2-я ловушками в свой РБЛ.
Эффективность сего - примерно еще +50 отлупов на 10000 попыток чего-либо послать (после всех остальных проверок)
п/с/ но убирать эту ерунду все одно не собираюсь.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"
Сообщение от pisto (??) on 25-Июн-07, 16:31
То есть пользователи с этих ипов не смогут работать с данным сервером?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"
	Сообщение от FSA (ok) on 26-Июн-07, 08:09
	Нет конечно, 120 комьпютеров из бразилии, 240 из США вполне имеют законное право рассылать через вас почту...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"
Сообщение от daneg on 25-Июн-07, 16:39
Смогут, через нормальные почтовые сервера.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"
Сообщение от Dmitriy (??) on 25-Июн-07, 16:39
А еще более эффективный способ - вообще закрыть 25 порт. Эффект просто поразительный. А если серьезно - существуют более серьезные способы блокировки таких хостов (например так называемые ловушки или хотя бы временная блокировка выявленных ботов). Очень хороший эффект дает обратное разрешение имени хоста отправителя и блокировки по маске имени хоста. Ну и куча других. О бо всем можно почитать в том числе и здесь.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "обратное разрешение имени хоста отправителя и блокировки по ..."
	Сообщение от Квагга on 27-Июн-07, 18:22
	> обратное разрешение имени хоста отправителя и блокировки по маске имени хоста. А зачем? Процы греть? Чтобы найти еду нужно идти в продуктовую лавку. А не прочесывать перед походом лавку все окрестные помойки. Доступная аналогия? :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"
Сообщение от an (??) on 25-Июн-07, 17:28
есть способ лучше :). большинство спам-ботов сидят на динамических IP-адресах. их и блокируем. ну кому придет в голову (и главное зачем) ставить SMTP сервер на динамическом IP? А? А поставит - его проблемы :). В нашем маленьком хозяйстве такой подход (вместе с некоторыми другими) оказался весьма эффективен (тьфу*3).
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"
	Сообщение от Sergey (??) on 25-Июн-07, 18:15
	Угу, только каким макаром определять динамичность этих адресов? У меня был в практике опыт когда наши адреса оказались ранее занесенными в одну BL базу как динамические на основании низкого TTL реверсной зоны DNS. Я забодался пинаться с провайдером на эту тему, но вконце концов победил...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"
	Сообщение от an (??) on 25-Июн-07, 19:31
	базы тут непричем. 90% или более обратных DNS динамических адресов содержит в себе последнюю цифру IP адреса в том или ином виде. А также чтото типа dsl или pppoe или modem. Владельцы SMTP серверов напротив, заботятся о нормальном ответе на обраный DNS запрос. Без обратного DNS часто на почтовые сервера вообще не пускают(и правильно делают).
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"
	Сообщение от sabitov (??) on 26-Июн-07, 08:50
	Угу, а потом приходит к тебе директор и говорит, что ему люди письмо прислать не могут, и ваапще трах-тибидох! А при разборе полетов оказывается, что люди живут не внутри МКАД, а в деревне Гадюкино Урюпинского уезда, и что Сеть у них только 2 часа в сутки, и диалап через соседнюю область :( Вы с таким, сударь, не сталкивались? Вам везет, а мы уже несколько раз на эти грабли наступали, пришлось от этого отказываться. # Это грей-лист не пустил mx log # grep '450 <.>: Recipient address rejected: Service is unavailable; from=' maillog \| wc -l 24360 # Это сколько доставлено mx log # grep 'delivered to mailbox' maillog \| wc -l 3359 # Это по теме статьи. Количество писем на не существующих пользователей mx log # grep 'User unknown in local recipient table' maillog \| wc -l 627 # Это количество уникальных IP адресов. mx log # grep 'User unknown in local recipient table' maillog \| sed -e 's/.\(\[.\]\): 550 ./\1/' \| sort \| uniq \| wc -l 439 примерно 1,5 письма на 1 IP, так что либо порог срабатывания должен быть очень низким (а если сендер просто опечатался?..), либо это работать не будет. И вообще грейлист рулит!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"
Сообщение от Als (??) on 25-Июн-07, 23:07
Да в общем-то статья не о том, как отделить спам-ботов от легальных, а о том, что пока ботам выдавали отлуп с объяснением причины -- они это игнорировали и долбились дальше, занимая ресурсы сервера. А когда им просто сказали "Reject" (не в курсе особенностей postfix non-access-denied rejections vs ) по IP -- их это проняло, и больше они не приходили. Так что это скорее конструктивный просчет программирования ботов.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

8. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"
Сообщение от Аноним on 26-Июн-07, 00:03
У меня в exim стоит вот такое правило deny message = Max 3 failed recipients allowed condition = ${if >{$rcpt_fail_count}{2} {1}} delay = ${eval: ($rcpt_fail_count) * 30}s log_message = $rcpt_fail_count failed recipient attampts - dict attack После определенного количества rcpt_fail_count срабатывает tcp connect timeout и все идут лесом
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"
	Сообщение от Вася on 26-Июн-07, 08:04
	Exim рулез.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

9. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"
Сообщение от Аноним on 26-Июн-07, 04:25
Надеюсь, он теперь будет еженедельно пополнять этот "чёрный" список? :) Помнится был такой bl, в который заносили завирусованные компы. Чем он ему не понравился? Сам я такой bl не использую, но если человеку хочется, то флаг в руки... По блокировкам: нет какого-то волшебного способа способного сразу решить проблему. Только комплекс правил. И только если правила отлажены в тестовом режиме.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

10. "Опыт борьбы со спам-ботами на небольшом почтовом сервере"
Сообщение от Аноним on 26-Июн-07, 07:32
Собираю троянов и ботов 2-я ловушками в свой РБЛ. Эффективность сего - примерно еще +50 отлупов на 10000 попыток чего-либо послать (после всех остальных проверок) п/с/ но убирать эту ерунду все одно не собираюсь.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору