The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Автор проекта Postfix о безопасности и спаме

23.09.2008 21:36

Ресурс securityfocus.com опубликовал интервью с Вице Венема (Wietse Venema), известным экспертом в области компьютерной безопасности, создателем таких популярных проектов, как MTA Postfix, TCP Wrapper, SATAN и The Coroner's Toolkit. В интервью Вице рассказал о себе, качестве кода в программном обеспечении, борьбе со спамом, а также философии Postfix.

Свой первый опыт общения с компьютерами Вице Венема получил в лаборатории, где он работал физиком и использовал их для написания программ, которые контролировали ход различных экспериментов. По его словам, он был очень мотивирован в том, чтобы сделать код как можно более стабильным, ведь многие эксперименты длились по несколько недель без остановок, и ему не хотелось находиться в лаборатории днем и ночью. Сейчас Вице сравнивает свой навык в программировании с ездой на велосипеде — если однажды научился, никогда не забудешь как это делается.

В 1995 году был выпущен инструментарий системного администратора SATAN, который получил репутацию весьма сомнительного программного обеспечения. В наши дни, по словам Вице, конечно, многое изменилось, и сканирование сетей является таким же обычным явлением как брандмауэр или антивирус. Мало того, можно даже сказать о небрежности при отказе использования такого рода программ. Также он упомянул, что сетевая безопасность напрямую зависит от операционной системы. Последние версии существующих операционных систем включают в себя много миллионов строк кода и даже предположив существование почти идеального разработчика, который на 1000 строк кода делает только одну ошибку, получится, что ежегодно мы создаем новые уязвимости быстрее, чем исправляем предыдущие.

Кроме того, в прошлом программирование было ремеслом, доступным далеко не каждому, сейчас же всё больше и больше людей, обладающие небольшим опытом пишут программы, которые имеют доступ к глобальной сети. Например, программирование на PHP не является очень сложным, гораздо сложнее написать код на PHP без уязвимостей, говорит Вице.

Были времена, когда Вице Винема рекомендовал вести лог по каждому сетевому пакету. В настоящее время это потеряло смысл, так как большинство атакующих используют чужие машины, и не беспокоятся, что адреса тех машин попадут в логи систем выявляющих атаки.

Также Вице рассказал о способах борьбы со спамом. По его мнению одни антиспам фильтры не смогут решить проблему, до тех пор пока в борьбу не вступят политические силы с правовыми мерами относительно рассылки нежелательной почты, действующими не только в рамках одного государства. Пока этого не произойдет антиспам инструменты могут только уменьшить страдания организаций или отдельных личностей, которые могут позволить себе их установку и обслуживание. Сам Вице использует DNS-based блокировку IP-адресов. Подавляющее большинство узлов в сети отправляет почту через SMTP серверы своих провайдеров, что последнее время использую спамеры - перехватывая настройки и пароли, организуют рассылку через почтовый сервер ISP. Бороться с таким спамом в силах только владельцы почтовых серверов. Методом борьбы рассылки спама зомби-сетями может стать использование серых листов. Лучшим же решением могло бы стать изменение самой модели работы электронной почты, в которой получатель письма имеет больший контроль над письмами, чем отправитель, но это вряд ли когда-нибудь произойдет, сетует Вице.

В заключение беседы были открыты некоторые ключевые моменты главного проекта Вице Винема - Postfix. Концептуально, данная система имеет весьма простую структуру, которая построена как маршрутизатор, имеющий ядро, входной и выходной интерфейсы.

Входной интерфейс поддерживает инкапсуляцию SMTP, QMQP, а также UNIX text формат. После получения письма, сервер передает управление ядру, которое управляет очередью и выбором того, каким образом инкапсулировать данные для указанного места назначения. Механизм функционирования заключается в том, что каждый интерфейс и очередь используют отдельные демоны, взаимодействие которых обеспечивает вышестоящий процесс. По утверждению разработчика, данный подход обеспечивает лучшую безопасность, а также не отражается на производительности системы в целом. Другими словами, при совершении некорректной операции дочерний процесс может быть немедленно уничтожен, а данные от родительского процесса будут переданы вновь созданному процессу. Таким образом предотвращается потеря информации и повышается стабильность сервера.

В данном проекте был сделан упор на стабильную поддержку расширяемости функциональных возможностей, что позволяет использовать Postfix с таким специфическим программным обеспечением, как антиспам фильтры и антивирусы.



  1. Главная ссылка к новости (http://www.securityfocus.com/c...)
Автор новости: v.prokofyev
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/18035-mail
Ключевые слова: mail, postfix
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (47) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 02:49, 24/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Слухи-слухи, но очередь с АКМ... Сильно уменьшит процент нежелательной почты...
    Уж что только я не делал на своем бедном exim (извините postfixer'ы), только бы уменьшить процент нежелательной почты... и блеклисты, и оценка HELO (некорректно кстати делаю, но эффективно), и бог ещё знает что мутил... сейчас dspam уже пробовать начал от безисходности....
    Но все пох..... все идет дальше, не так сильно, но 56% спама прорывается....

    ГДЕ ВЫШКА ЗА ЭТО? я не фильтрую постмастера, тк - это не принято по rfc.. а недавно начали получать письма от MAIL-DAEMON, о недоставке... а там внутри спам...

    БЛ#, ЧТО МНЕ ДЕЛАТЬ НА ЭТОМ ФОНЕ??? Соблюдать RFC??? У меня всего 97 клиетов, но с виртуальными алиасами, всего ~900 получаются, округляя... я не могу справляться... и dspam несправляется....

    PS: Нечаянно увижу кто спамом занимается - с увечиями уйдет... убить для него - мало ...Простите ... крик души был ((((((((((((((((((((

     
     
  • 2.2, HFSC (??), 03:02, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >ГДЕ ВЫШКА ЗА ЭТО? я не фильтрую постмастера, тк - это не
    >принято по rfc.. а недавно начали получать письма от MAIL-DAEMON, о
    >недоставке... а там внутри спам...
    >
    >БЛ#, ЧТО МНЕ ДЕЛАТЬ НА ЭТОМ ФОНЕ??? Соблюдать RFC??? У меня всего
    >97 клиетов, но с виртуальными алиасами, всего ~900 получаются, округляя... я
    >не могу справляться... и dspam несправляется....
    >
    >PS: Нечаянно увижу кто спамом занимается - с увечиями уйдет... убить для
    >него - мало ...Простите ... крик души был ((((((((((((((((((((

    кричать в Кащенко будешь, грейлист сделай для начала

     
     
  • 3.3, Щекн Итрч (?), 03:47, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    лучше грейфист сделать для начала спамеру :)
    разделяю негодование топикстартера...


     
  • 2.4, Аноним (-), 03:59, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >ГДЕ ВЫШКА ЗА ЭТО? я не фильтрую постмастера, тк - это не
    >принято по rfc.. а недавно начали получать письма от MAIL-DAEMON, о
    >недоставке... а там внутри спам...
    >
    >БЛ#, ЧТО МНЕ ДЕЛАТЬ НА ЭТОМ ФОНЕ??? Соблюдать RFC??? У меня всего
    >97 клиетов, но с виртуальными алиасами, всего ~900 получаются, округляя... я
    >не могу справляться... и dspam несправляется....
    >
    >PS: Нечаянно увижу кто спамом занимается - с увечиями уйдет... убить для
    >него - мало ...Простите ... крик души был ((((((((((((((((((((

    Мужииик!!! Ну ты чтоооо!! все справляются один ты не справляешься - значит что-то не так куришь.
    Все большие хостеры справляются, средние - тоже. Даже я с своими жалкими 4000 клиентов - справлялся..
    Кури доки дальшн..
    Не расскисай, мужиииииккк!!!

     
  • 2.5, Ilya Evseev (?), 04:17, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    На sysadmins.ru/forum2.html недавно было обсуждение,
    как отбиваться от спамеров.

    Меры достаточно простые:
    - несколько fake-mx записей в dns-зоне
    - ограничение на максимальное количество коннектов с одного ip на единицу времени
    - проверка helo, reverse-dns и т.д.
    - dul_checks
    - dnsrbl

    Спам не исчезает полностью, но жить становится намного легче :-))

     
     
  • 3.16, uldus (ok), 11:33, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/

    К сожалению чем жёстче фильтруется спам, тем больше теряется нормальных писем, что не всегда допустимо. Идеального метода борьбы со спамом, чтобы и фильтровал хорошо и писем полностью не терял, к сожалению еще не найдено :-( Т.е. же фильтры mail.ru и gmail в неделю по несколько нормальных писем причисляют к спаму, а там одни из лучших фильтров, у которых статистики для анализа море.

     
  • 3.23, dz (ok), 13:36, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >
    >Меры достаточно простые:
    >- несколько fake-mx записей в dns-зоне
    >- ограничение на максимальное количество коннектов с одного ip на единицу времени
    >
    >- проверка helo, reverse-dns и т.д.
    >- dul_checks
    >- dnsrbl
    >
    >Спам не исчезает полностью, но жить становится намного легче :-))

    еще бы на самом sysadmins.ru настроили бы обратную зону. а так 50% без обратной зоны сидит...

     
  • 2.13, Макс (??), 09:32, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >БЛ#, ЧТО МНЕ ДЕЛАТЬ НА ЭТОМ ФОНЕ??? Соблюдать RFC??? У меня всего
    >97 клиетов, но с виртуальными алиасами, всего ~900 получаются, округляя... я
    >не могу справляться... и dspam несправляется....
    >
    >PS: Нечаянно увижу кто спамом занимается - с увечиями уйдет... убить для
    >него - мало ...Простите ... крик души был ((((((((((((((((((((

    Попробуйте spamassassin с включенным и обученным bayes-фильтром + грейлистинг. У меня до 90 процентов спама ловит. Хотя нагрузка на почтовик небольшая (где-то 100-200 сообщений в день), но жить гораздо легче.

    З.Ы. Удачной борьбы со спамом.

     
  • 2.17, drTr0jan (?), 11:43, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >ГДЕ ВЫШКА ЗА ЭТО?
    >БЛ#, ЧТО МНЕ ДЕЛАТЬ НА ЭТОМ ФОНЕ???

    Мне хуже вдвойне. Я работаю в рекламном агенстве и приходится отделять спам от рабочих писем о рекламе. Это ужас какой-то.
    Мы не рекламируем увеличение члена и виагру. Но в тоже время к нам приходят письма от реальных курсов американского английского, по которым работают менеджеры.

     
     
  • 3.20, Andrey Mitrofanov (?), 13:26, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Мне хуже вдвойне. Я работаю в рекламном агенстве и приходится отделять спам

    Не уходите никуда, у товарища с калашниковым к Вам были вопросы! |-))

    ---Павел Андреевич, вы шпион? - Видишь ли, Юра...

     
     
  • 4.30, drTr0jan (?), 14:37, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    За свои шесть доменов я отвечаю :)
    В SOA домена указано, куда жаловаться можно. abuse@, postmaster@ так же присутсвуют :)
     
  • 3.21, Дмитрий Ю. Карпов (?), 13:34, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Возьми список адресов (или даже доменов, если это не публичные домены типа mail.ru) и сделай по нему белый список, чтобы почта от них принималась без проверок. Т.к. всего почтовых адресов в мире очень много, вряд ли спамер подставит в "From:" именно тот адрес, который есть в списке; так что процент спама если и увеличится, то минимально, а процент ложных срабатываний резко снизится.
     
     
  • 4.29, drTr0jan (?), 14:35, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Так и делается собственно. Правда белый список с каждым днём по экспоненте растёт :(
     
  • 4.34, Dvorkin (??), 20:16, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    гыгыгы.
    я от самого себя (From: <dvorkin...>) получаю спам.
     
  • 4.40, User294 (ok), 15:01, 25/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Т.к. всего почтовых адресов в мире очень много,

    ...то паскудные спамеры юзают представителей своего же спам-листа для отсылки от их имени почты.При том половина уродцев выбирает отправителя с таким же доменом как получатель, видимо как раз в надежде что уж своих то не очень мочат.

     
  • 4.45, Sergey (??), 13:34, 26/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Возьми список адресов (или даже доменов, если это не публичные домены типа
    >mail.ru) и сделай по нему белый список, чтобы почта от них
    >принималась без проверок. Т.к. всего почтовых адресов в мире очень много,
    >вряд ли спамер подставит в "From:" именно тот адрес, который есть
    >в списке; так что процент спама если и увеличится, то минимально,
    >а процент ложных срабатываний резко снизится.

    угу, только если предварительно стырить адресную книжку, то получишь много интересной почты, от вполне известных адресатов. В т.ч. и с разными забавными вложениями, которые помогут спамерам пополнить базу легитимных отправителей. И не всегда антивырь успевает сработать.

     
  • 2.35, User294 (??), 23:34, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >ГДЕ ВЫШКА ЗА ЭТО?

    +1! Предлагаю приравнять спамеров к мародерам и расстреливать на месте поимки без суда и следствия.А то если >90% всей пересылаемой электронной почты в мире - спам, это что, так и надо?!

    P.S. как прикол предлагаю настрогать в добавок к 900 получателям еще 20 000 левых боксов которые чистятся раз в пару часов под ноль.И развесить фэйковые мылбоксы на всех помойках интернета, пусть спамеры подавятся.И чистить скриптиком.Пусть хотя-бы не только легитимные серверы но и спамеры пашут впустую :).Кстати идея не нова, такие системы есть, на "радость" спамерам :)

     
     
  • 3.36, KOT (??), 23:44, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >:).Кстати идея не нова, такие системы есть, на "радость" спамерам :)
    >

    А Вы посмотрите, на какие адреса отправляется спам. Из всех адресатов присутствуют только процентов 10 максимум, остальное все сгенерировано по общим словарям, типа vasya@, director@, aaa@-zzz@. Так что смысла в этаких приманках только для усложнения работы спаммеров нету.

    Другое дело, что ханиспоты позволяют выявить спаммера, не более.

     
  • 3.38, Vitaly_loki (??), 08:34, 25/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>ГДЕ ВЫШКА ЗА ЭТО?
    >
    >+1! Предлагаю приравнять спамеров к мародерам и расстреливать на месте поимки без суда и следствия.А то если >90% всей пересылаемой электронной почты в мире - спам, это что, так и надо?!
    >
    >P.S. как прикол предлагаю настрогать в добавок к 900 получателям еще 20
    >000 левых боксов которые чистятся раз в пару часов под ноль.И
    >развесить фэйковые мылбоксы на всех помойках интернета, пусть спамеры подавятся.И чистить
    >скриптиком.Пусть хотя-бы не только легитимные серверы но и спамеры пашут впустую
    >:).Кстати идея не нова, такие системы есть, на "радость" спамерам :)
    >

    И трафик себе входящий увеличишь

     
     
  • 4.39, KOT (??), 08:43, 25/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>развесить фэйковые мылбоксы на всех помойках интернета, пусть спамеры подавятся.И чистить

    Вспоминается анекдот про выступление председателя колхоза:
    - В прошлом году посеяли сто гектаров - все сожрал долгоносик.
    - В этом году посеяли двести гектаров - снова все сожрал долгоносик.
    - В будущем году посеем триста гектаров - нехай подавится!

     
  • 2.44, riv1329 (?), 02:28, 26/09/2008 [^] [^^] [^^^] [ответить]  
  • +/

    >ГДЕ ВЫШКА ЗА ЭТО? я не фильтрую постмастера, тк - это не
    >принято по rfc.. а недавно начали получать письма от MAIL-DAEMON, о
    >недоставке... а там внутри спам...
    >
    >БЛ#, ЧТО МНЕ ДЕЛАТЬ НА ЭТОМ ФОНЕ??? Соблюдать RFC??? У меня всего

    У меня тоже Exim. Около 100 клиентов. Не могу сказать что очень уж хорошо режет, но пропускает точно не 50%. Статистика за месяц: Все попыток установить соединение около 4 милионов, доставляется около 4000 писем, из них около 70% спам (в основном на засвеченых ящиках). Pstmaster - разумеется в /dev/null :-) Использую собственноручно проверенные DNSBL, режу по Hello и имени хоста, ещё проверяю на наличие отправителя + белые списки составляются по отправленной почте.

    Выделял признаки фильтрации вручную:

    Сначала добавлял warninig к заголовку с описанием признака. Затем вручную сортировал письма на спам и неспам. Потом смотрел на признаки в отсортированых письмах. Так вычислял безопасность фильтрации по DNSBL например.

     

  • 1.6, Аноним (6), 06:40, 24/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >кричать в Кащенко будешь, грейлист сделай для начала

    :)
    Грейлист это
    1) гадость
    2) не помогает

     
     
  • 2.7, Dorlas (??), 07:06, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>кричать в Кащенко будешь, грейлист сделай для начала
    >
    >:)
    >Грейлист это
    >1) гадость
    >2) не помогает

    А можно так:

    1) RBL: spamcop и spamhaus
    2) Kaspersky Antispam - с перенаправлением спама в spam@...
    3) СпамАссассин, игнорирующий письма на spam@ (уж больно много времени проверяет письма) и проверяющий все остальное (на добивка)

    На потоке 100 000 писем в день стабильно убивает 99% спама.

    Естественно, используются огромные белые списки - без них жизнь будет сложнее :)

    Реально при такой нагрузке каждый пользователь видит 1-3 письма спама в день.

     
  • 2.8, Аноним (8), 08:39, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Да-да, считайте и дальше, что грейлист гадость и не помогает. Чем меньше серверов используют грейлист, тем позже спаммеры научатся его обходить. Так что не используйте грейлист и дальше :)
     
  • 2.10, Andrew Kolchoogin (?), 08:46, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > Грейлист это
    > 1) гадость
    > 2) не помогает

        А Вы его в какое место вставили?-)

        Greylisting уменьшил у меня количество обращений к DNSBL'ям ровно в сто раз. То есть, до включения greylisting'а было ~1000 удачных lookup'ов, после включения -- ~10. И спама стало _значительно_ меньше. Ну, писем десять в день... А было -- 10 в час...

        По моим подсчётам, без фильтрации было бы примерно 10 в минуту. :)

     
     
  • 3.11, Аноним (8), 09:06, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >> Грейлист это
    >> 1) гадость
    >> 2) не помогает
    >
    >    А Вы его в какое место вставили?-)

    Думаю, человек его встявлял в... Ой, не буду даже говорить :)

    Все порываюсь написать статью про использование грейлистинга, но лень. Но на самом деле грейлистинг рулит.

     
     
  • 4.22, dz (ok), 13:35, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Все порываюсь написать статью про использование грейлистинга, но лень. Но на самом
    >деле грейлистинг рулит.

    уже умеют....

    X-Greylist: delayed 305 seconds by postgrey-1.21 at uralprint.ru; Wed, 24 Sep 2008 14:54:11 YEKST
    Received: from mail.coem.com (unknown [85.98.81.72])

     
  • 2.14, Александр (??), 09:39, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Грейлист это
    >1) гадость
    >2) не помогает

    Не согласен.
    Конечно, он один не справится, но вот статистика работы graylist+RBL_spamhaus+18 правил postfix на проверку адреса и прочее:
       8892   received
      14659   delivered
          1   forwarded
        252   deferred  (1073  deferrals)
        426   bounced
    340137   rejected (95%)
      19854   reject warnings
          0   held
          0   discarded (0%)

     

  • 1.9, reD_Rus (?), 08:40, 24/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мне очень помогает серый лист для постфикса (postgrey) и черные листы (RBL)
    так же 0-3 письма в день у пользователя
     
  • 1.12, F (?), 09:12, 24/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хорошо работают байесовские фильтры (например bogofilter). Но это сложно внедрить в масштабах организации/провайдера.
     
  • 1.15, blimjas (?), 10:00, 24/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Странно ... Amavisd+clam+spamassasin == делают своё дело ...
    Поставил и забыл ... только статистику смотри да каждые 30 дней чистится virus@ spam@ ящики - дабы квоты были счастливы ...

     
  • 1.18, Timka (??), 12:22, 24/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    на потоке в ~10млн сообщений в сутки грейлистинг убивает где-то 8 млн, еще 2 млн убивает касперский антиспам. нормальных писем не остается :) точнее, их процент ничтожен в общем потоке дряни, из того, что доходит до касперского нормальная почти составляет 2-3%. без грейлистинга касперский антиспам иногда просто захлебывался в таком потоке, сейча стало гораздо легче. так что грейлистинг рулит :)
     
  • 1.19, ToshK (ok), 13:05, 24/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Грейлистинг - зло На многих отправляющих серверах время повтора отправки сообще... большой текст свёрнут, показать
     
     
  • 2.24, Дмитрий Ю. Карпов (?), 13:38, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > Грейлистинг - зло! На многих отправляющих серверах время повтора отправки сообщения из очереди больше получаса. В таких случаях грейлистинг порождает очень большие задержки писем, что неприемлимо во многих конторах, в частности у меня.

    Я решил эту поблему созданием белых списков по доменам (например, rambler.ru, mail.ru) и по адресам из поля "From:". А вообще говоря, если админ использует такой тупой сервер, который не понимает моего grey-ответа "зайди через ДВЕ минуты" и ждёт свои полчаса - пусть такого админа увольняют.

     
     
  • 3.25, KOT (??), 13:45, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >> Грейлистинг - зло! На многих отправляющих серверах время повтора отправки сообщения из очереди больше получаса. В таких случаях грейлистинг порождает очень большие задержки писем, что неприемлимо во многих конторах, в частности у меня.
    >
    >Я решил эту поблему созданием белых списков по доменам (например, rambler.ru, mail.ru)
    >и по адресам из поля "From:". А вообще говоря, если админ
    >использует такой тупой сервер, который не понимает моего grey-ответа "зайди через
    >ДВЕ минуты" и ждёт свои полчаса - пусть такого админа увольняют.
    >

    Он как бы и не должен понимать, что Вы там сказали "зайди через две минуты". Мало того, мой сервер вообще падла в этом отношении. Сначала если блочит, то на три минуты, а затем в течение этих трех минут может собрать статистику о реверсном адресе и о количестве обращений и принять решение, спаммер это или нет. Если спаммер - то в очередь еще на два часа.

    Просто на самом деле нефиг после первого отлупа отдыхать по полчаса. Минута, две, пять, как-нибудь так.

     
  • 3.26, Timka (??), 13:46, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Две минуты - мало. Через такой таймаут и спамеров много пробьется. Опять же, задержка есть только для первого письма, остальные с этого сервера и этого адресата идут без задержки. Я в одной конторе когда внедрял грейлист просто скриптом пробежался по логам postfix'а и вытащил все сервера для всех адресатов конторы за последний месяц и добавил их в белый список. Остальные один раз могут и подождать.
     
  • 3.27, ToshK (ok), 13:58, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >> Грейлистинг - зло! На многих отправляющих серверах время повтора отправки сообщения из очереди больше получаса. В таких случаях грейлистинг порождает очень большие задержки писем, что неприемлимо во многих конторах, в частности у меня.
    >
    >Я решил эту поблему созданием белых списков по доменам (например, rambler.ru, mail.ru)
    >и по адресам из поля "From:". А вообще говоря, если админ
    >использует такой тупой сервер, который не понимает моего grey-ответа "зайди через
    >ДВЕ минуты" и ждёт свои полчаса - пусть такого админа увольняют.
    >

    1. Всех клиентов в вайтлист не введешь)
    2. По поводу непонимания grey-ответа - клиент ничего никому не должен и всегда прав, такова жизнь) Если мой сейл не ответит на письмо вовремя, клиент уйдет к другому дистрибутеру.

     
  • 3.28, reD_Rus (?), 14:15, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >> Грейлистинг - зло! На многих отправляющих серверах время повтора отправки сообщения из очереди больше получаса. В таких случаях грейлистинг порождает очень большие задержки писем, что неприемлимо во многих конторах, в частности у меня.
    >
    >Я решил эту поблему созданием белых списков по доменам (например, rambler.ru, mail.ru)
    >и по адресам из поля "From:". А вообще говоря, если админ
    >использует такой тупой сервер, который не понимает моего grey-ответа "зайди через
    >ДВЕ минуты" и ждёт свои полчаса - пусть такого админа увольняют.
    >

    Дмитрий дело в том, что отвечает он просто текстовой строкой. и понимает её только человек.
    А сидеть и вычитаывать постояно логи как то не очень. Перепосылать письма вообще без паузы тоже чревато.
    ИМХО ставить надо перепослыку почты через минут например 5-6 и все ок будет.
    например в постфиксе опция перепосылки queue_run_delay = 300s



     
  • 3.37, Vitaly_loki (??), 07:22, 25/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Что значит зайди через две минуты? =-O Почтовый сервер не понимает и НЕ ДОЛЖЕН понимать этого, он просто видит код временной ошибки (421), дальше ему пох что написано
     

  • 1.31, Аноним (6), 14:51, 24/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ставьте в почтовике greet pause больше, и будем Вам счастье, очень хорошее средство. Т.к. спамерским роботам нет смысла ждать к примеру 30-40 секунд на установку соединения.
    + к этому greylist, с паузой секунд 20, > смысла нет.
     
     
  • 2.32, ToshK (ok), 15:02, 24/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >Ставьте в почтовике greet pause больше, и будем Вам счастье, очень хорошее
    >средство. Т.к. спамерским роботам нет смысла ждать к примеру 30-40 секунд
    >на установку соединения.
    >+ к этому greylist, с паузой секунд 20, > смысла нет.

    А при очень больших значениях greet_pause не всегда проходит Sender address validation (smf-sav) на принимающей стороне - отваливается по таймауту). Вообще не рекомендуется выставлять это значение больше 15-ти секунд.


     

  • 1.33, Denis (??), 17:09, 24/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а я все через gmail завернул. точнее через Google Apps. отличный фильтр. и самому ничего городить ненадо.
    есть конечно свой минус (30 дневное хранение всей почты на гугле), но зато на 10-15 адресов фильтруется около 30 000 писем спама за 30 дней.
     
  • 1.41, Аноним (6), 16:34, 25/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    писали выше:"Грейлистинг - зло!", задержки в получении почты которые он вызывает просто неприемлимы, а каждому отправителю не будешь говорить, чтобы его сисадмин снизил таймаут переотправки на почтовике.

    90% нежелательных сообщений можно отбить без грейлиста на стадии установления smtp-сессии, анализируя ip-адрес отправителя, значения helo, mail from, и rcpt to

    например в smtpd_client_restrictions можно смело ставить ссылку на файл с таким содержанием
    /(modem|dia(l|lup)|dialin|dsl|p[cp]p|cable|pptp|catv|poo(l|les)|dhcp|client|customer|user|[0-9]{6,})(-|\.|[0-9])|rr.com/ 550 Are you spamer?
    /([0-9]{,4}\-[0-9]{,4}\-[0-9]{,4}\-[0-9]{,4})/  550 Are you spamer?
    /smtp[0-9]{1,2}\.orange\.fr/ 550 reject

    а в smtpd_helo_restrictions например поставить
    /^(\d{1,3}\.){3}\d{1,3}$/   REJECT bad RFC2821 hello

    также значительная часть спама идет на несуществующих получателей, поэтому такие письма нужно или не принимать или дропать не доводя до антиспама.

    что же касается непосредственно фильтрации спама, то почему-то никто не сказал про удаленные проверки типа DCC и RAZOR2, неужто никто не пользуется? всем советую, штука очень эффективная

     
     
  • 2.42, KOT (??), 17:46, 25/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >90% нежелательных сообщений можно отбить без грейлиста на стадии установления smtp-сессии, анализируя
    >ip-адрес отправителя, значения helo, mail from, и rcpt to

    Как бы РФЦ822 не запрещает отправлять почту с адресов dsl-10.20.30.40.server.ru. А Вы, получается, запрещаете. Предлагаю Вас запретить.

     
     
  • 3.46, Sergey (??), 14:07, 26/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>90% нежелательных сообщений можно отбить без грейлиста на стадии установления smtp-сессии, анализируя
    >>ip-адрес отправителя, значения helo, mail from, и rcpt to
    >
    >Как бы РФЦ822 не запрещает отправлять почту с адресов dsl-10.20.30.40.server.ru. А Вы,
    >получается, запрещаете. Предлагаю Вас запретить.

    Предлагаю Вас запретить за отсутствие внятного содержимого в /dev/brain. Если требуется нормальная доставка почты, то сделать её с нормального домена стоит очень немногих усилий. А получать почту с SMTP узлов ботнета сидящего на dsl-10.20.30.40.server.ru моей компании не нужно. Вам нужно, вы и получайте.

     

  • 1.43, yason (?), 22:37, 25/09/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не знаю... у меня в живет exchange2000+postfix. Постфикс живет на довольно древней  OpenBSD 3.9. Сама машина тоже не суперсервер - 2хP3-800mhz, 512mb оперативки. Настроил spamd и вздохнул с облегчением. Навскидку - 98-99% спама там оседает. Чтобы не было особых проблем - создал дополнительную таблицу, айпишники из которой не заворачиваются на spamd. В этой таблице живут ИП гмыла, мыла.ру, яндекса и т.п. У меня логи постфикса за сутки стали не 7-8мегов, а 500кб. И самое главное - практически нет проблем с юзерами - всё что нужно доходит с очень большой вероятностью. Основной минус - многие серваки имеют большой таймаут на повторную пересылку. Решил это методом объяснения юзерам, что если письмо не дошло в течении часа, то надо мне об этом сообщить.
    Теперь думаю, может проверку по rbl отключить?
    И главный минус такого решения, что оно не будет работать на линуксе, коего много трудится на почтарях. Да и в Net/Free его весьма муторно прикручивать, ибо нет нативной поддержки многих фич, на которые он опирается
     
     
  • 2.47, Sergey (??), 14:09, 26/09/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >сутки стали не 7-8мегов, а 500кб. И самое главное - практически
    >нет проблем с юзерами - всё что нужно доходит с очень
    >большой вероятностью. Основной минус - многие серваки имеют большой таймаут на
    >повторную пересылку. Решил это методом объяснения юзерам, что если письмо не
    >дошло в течении часа, то надо мне об этом сообщить.
    >Теперь думаю, может проверку по rbl отключить?
    >И главный минус такого решения, что оно не будет работать на линуксе,
    >коего много трудится на почтарях. Да и в Net/Free его весьма
    >муторно прикручивать, ибо нет нативной поддержки многих фич, на которые он
    >опирается

    А можно поподробнее описание решения? можно не здесь, а в почту..

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру