The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Организация MAAWG пытается объединить ISP в деле борьбы со спамом

26.06.2008 22:10

Организация MAAWG (Messaging Anti-Abuse Working Group), в управляющий совет которой входят представители таких компаний как AOL, AT&T, Bell Canada, Comcast, OpenWave, Yahoo!, Time Warner Cable и Verizon, распространила воззвание по объединению усилий операторов связи на поприще борьбы со спамом, порекомендовав ввести в практику несколько очевидных шагов, мешающих распространению спама через клиентские машины, входящие в состав ботнет сетей.

Рекомендации описаны в двух PDF документах:

  • "Methods for Sharing Dynamic IP Address Space Information with Others" - методы предоставления информации о динамических IP адресах, выделяемых конечным клиентам. Самое правильное решение - заблокировать соединения на внешние адреса по 25 порту и установить адаптивную систему блокировки аномально интенсивных рассылок. Если такое сделать невозможно, рекомендуется явным образом указывать о динамической природе адресов через имена хостов в обратной DNS зоне (например, используя слова dynamic, dhcp и т.д.), пометку блоков адресов отображаемых через WHOIS, передачу информации владельцам черных списков, подобных Spamhaus PBL, MAPS DUL, SORBS DUHL.
  • " Email Forwarding Best Practices" - советы по организации форвардинга почты клиентов, когда в адресе отправителя фигурирует внешний домен. Рекомендуется для форвардинга использовать отдельный почтовый сервер, в случае блокировки которого из-за рассылки клиентом спама, будет временно заблокирован только он. Также дается совет по заполнению заголовка "Resent From" на транзитном сервере, использованию систем фильтрации спама для пересылаемой почты.


  1. Главная ссылка к новости (http://www.maawg.org/news/maaw...)
  2. OpenNews: Исследование работы децентрализованных ботнетов и способы их разрушения
  3. OpenNews: На конференции RSA был представлен ботнет из 400 тыс. зомби-машин
  4. OpenNews: 85% спама рассылается через шесть ботнетов
  5. OpenNews: Аналитический отчет по спаму за 2007 год
  6. OpenNews: 30 лет назад была зафиксирована первая рассылка спама
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/16681-mail
Ключевые слова: mail, spam, block, isp
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (27) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, anonymous (??), 00:56, 27/06/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    какой смысл бороться со следствие
    нужно запретить выход с офтопиков в инет и всё будет прекрасно, все будут довольны
     
  • 1.2, chesnok (ok), 01:13, 27/06/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    если кто-то не знает СПАМ/рассылки - это практически такой же бизнес как любой другой...это если кто-то думает, что "оно" происходит само по-себе или из-за "дырявости винды" и т.д.
    ...
    в какой-то степени можно провести и параллель например с борьбой с наркотиками, все знают, что это плохо, все борятся, но это есть и всегда будет...
     
     
  • 2.9, Алексей (??), 08:21, 27/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > в какой-то степени можно провести и параллель например с борьбой с наркотиками, все знают, что это плохо, все борятся, но это есть и всегда будет...

    Вот это правда, бороться тут надо с потребителем, пока есть потребитель спама, рассылать будут. Можно заблокировать все заражённые компы - будут рассылать сами провайдеры или почтовые сервисы а-ля gmail. Сейчас я получаю почту с нескольких ящиков через sylpheed и простейший bogofilter определяет спам на все 100%, а вот gmail и yandex со своими хвалеными технологиями не могут этого сделать и пропускают 10-20%... как это понимать? Может им перейти на bogofilter?:-)

     
     
  • 3.10, Щекн Итрч (?), 08:27, 27/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    bogofilter'ом распоряжаетесь вы лично и сами решаете, как резать спам и как рисковать порогом ложного срабатывания.
    а gmail и yandex стоят перед выбором: резануть весь спам или избежать претензий за потерю деловой почты?
    gmail и yandex вынуждены считаться с ожиданиями пользователей относительно надежности доставки из плохо сконфигурированного добросовестного источника.
    тем более, что и тот, и другой предлагают пользователю самостоятельно воспользоваться настройками персональной спаморезки.
     
     
  • 4.13, Алексей (??), 09:17, 27/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >bogofilter'ом распоряжаетесь вы лично и сами решаете, как резать спам и как
    >рисковать порогом ложного срабатывания.
    >а gmail и yandex стоят перед выбором: резануть весь спам или избежать
    >претензий за потерю деловой почты?
    >gmail и yandex вынуждены считаться с ожиданиями пользователей относительно надежности доставки из
    >плохо сконфигурированного добросовестного источника.
    >тем более, что и тот, и другой предлагают пользователю самостоятельно воспользоваться настройками
    >персональной спаморезки.

    Абсолютно согласен с этим. и, поэтому утверждаю, что они оставляют за собой право пропускать или нет, а значит и вполне допустимо рассматривать их участие в рассылке и доставке спама конечному пользователю;-) с другой стороны всегда есть права не пользоваться ими а купить домен и почтовый хостинг где есть персональные настройки аж на каждый ящик.

    И все таки вы согласны, что надо с потребителем спама?

     
  • 4.20, Sadok (??), 11:39, 27/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    "претензии за потрерю деловой почты" на халявном сервисе?? :)) вы EULA почитайте их хотя бы
     
     
  • 5.23, waf (ok), 13:14, 27/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Претензия будет не судебная, а публичная, и если Google и в меньшей степени Яндекс -- это во-первых поиск, во-вторых почта, а в-третьих всё остальное, то репутация "эти большущие конторы сделали с почтой хуже, чем Алексей дома с bogofilter" им не нужна.
     
  • 3.11, Щекн Итрч (?), 08:33, 27/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > Может им перейти на bogofilter?:-)

    Обратите внимание и на то, что bogofilter "режет", как бы, спам, ВАМ УЖЕ ДОСТАВЛЕННЫЙ :)
    Это не уровень MTA, если вы еще не догнали :)


     
     
  • 4.14, Алексей (??), 09:20, 27/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >> Может им перейти на bogofilter?:-)
    >
    >Обратите внимание и на то, что bogofilter "режет", как бы, спам, ВАМ
    >УЖЕ ДОСТАВЛЕННЫЙ :)
    >Это не уровень MTA, если вы еще не догнали :)

    это была шутка...


     

  • 1.3, Аноним (3), 01:19, 27/06/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    немного не согласен с предыдущим оратором

    моя практика показывает, что 90% спама идет с зараженных виндовс машин.

    А одна из главных проблем винды заключается в том, что там каждая сука работает из под админа -> вирусы и антивирусы -> куча спама...

     
     
  • 2.4, chesnok (ok), 01:55, 27/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >немного не согласен с предыдущим оратором
    >
    >моя практика показывает, что 90% спама идет с зараженных виндовс машин.
    >
    >А одна из главных проблем винды заключается в том, что там каждая сука работает из под админа -> вирусы и антивирусы -> куча спама...

    в этом есть доля правды, но нельзя не согласится еще и с тем, что виндус сам по себе винове больше в том, что он популярен...

    а как мы боремся со СПАМ ?! да практически не как, если не считать обшественные оранизации типа sorbs,spamcop и тд, ведь по большой сути магистральному оператору - главное пропустить больше клиентского трафика, соответвенно локальные операторы пытаются частично както бороться, но одно дело вы работаете с корпоративным клиентом пусть даже тот же оператор связи, а другое дело вы предоставляете услугу обычным пользователся или end-users ("детям"), которые в большой своей степини как Вы хорошо заметили очень низко квалифицированны и хорошо способствуют разможнию и распространению вреданосного ПО...
    Конечно, если Вы осмелились сразу установить  deny tcp any any eq smtp, то это здорово, но как быть если такого нет ?!Взаимодействовать с каждым "ребенком", ведь по-нормальному мы обязанны при получении той же abuse передать копию пользователю и только если в случае игнорирования пользователям abuse уже устанавливать фильтр...

     
     
  • 3.5, гыгы (?), 03:50, 27/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >а как мы боремся со СПАМ ?! да практически не как, если не ...

    не "не как", а "никак". (не как - это совсем уже пошло!)
    и не "мы", а "Вы".
    >в этом есть доля правды, но нельзя не согласится еще и с тем, что виндус сам по себе винове больше в том, что он популярен...

    если конопля популярна, то она лично в этом не виновата.
    Дда-а. Этто так-к.
    >главное пропустить больше клиентского трафика, соответвенно локальные операторы пытаются частично както бороться,

    Если трафик мой, то он мой. И мне очень не понравится, если его будут "резать" БЕЗ моего согласия.
    >Конечно, если Вы осмелились сразу установить  ... .

    бла-бла-бла!
    это если Вы уже на "конопле" и не смотрите шире.

     
  • 2.7, sabitov (??), 05:12, 27/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >немного не согласен с предыдущим оратором
    >
    >моя практика показывает, что 90% спама идет с зараженных виндовс машин.
    >
    >А одна из главных проблем винды заключается в том, что там каждая сука работает из под админа -> вирусы и антивирусы -> куча спама...

    А как быть с "честными спамерами", которые не ботнеты используют, а дедикейдид сервера? :))
    Вирусы, спам-боты и т.п. это все скорее следствие, а причина в том, что это бизнес с хорошим доходом. Есть спрос -- есть предложение, а то, что это предложение реализовано в виде вируса дело десятое. Сам когда-то писал "enterprise mail sender" -- очень кушать хотелось :)

    Блокирование 25го порта от клиента во внешний мир палюбому полезно, но, к сожалению, в последнее время уже плохо работает. Раньше такая блокировка 100% пресекала рассылку спама, а при настроенном логировании фаервола, еще и показывала к кому из юзеров должен сходить эникейщик. Сейчас все больше случаев, когда боты начинают рассылать спам через мейл-сервер организации, и вот это уже пакетным фильтром не прикроешь :( Меня лично пока спасает самопальный спам-фильтр, но если боты научатся рассылать спам нетолько через правильный сервер, но и указывая правильное поле фром, то тогда ваабще вилы будут :(((

    PS. Все выше сказанное является ИМХО, которое основнано на моем личном опыте и статистике организации, в которой я работаю :)

     
     
  • 3.8, Глобалист (?), 06:08, 27/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > Сейчас все больше случаев,
    >когда боты начинают рассылать спам через мейл-сервер организации, и вот это
    >уже пакетным фильтром не прикроешь :( Меня лично пока спасает самопальный
    >спам-фильтр, но если боты научатся рассылать спам нетолько через правильный сервер,
    >но и указывая правильное поле фром, то тогда ваабще вилы будут
    >:(((

    SMTP AUTH спасет отца русской демократии

     
     
  • 4.15, an (??), 10:11, 27/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Временно. найдутся и против этого боты.
    но спам рассылаемый через сервер провайдера может быть этим провайдером отфильтрован, а виновник блокирован до устранения.... теоретически. былобы желание.
     

  • 1.16, o2inhal (?), 10:23, 27/06/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Недавно почтовый сервер моего прова автоматом забанил IP-адреса собственных пользователей по списку из загруженного внешнего спам-листа.  
     
  • 1.17, FSA (??), 10:34, 27/06/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Если такое сделать невозможно, рекомендуется явным образом указывать о динамической природе адресов через имена хостов в обратной DNS зоне (например, используя слова dynamic, dhcp и т.д.)

    Неужели допёрло. Несколько лет назад, когда каналы были тощими, а сервера слабыми я так и блокировал трафик по 25 порту от таких вот "клиентов". Именно из этих логов, я узнал, что существует такой пров Comcast, ну и хорошо о себе AOL напоминал (можно сказать именно от них валилось более половины спама).

     
     
  • 2.19, Туаук (?), 11:30, 27/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Я более скажу - переведя одну немаленькую конторку с RBL на вот такую фильтрацию я сильно уменьшил поток спама. Так что по мне - это ОСНОВНОЙ инструмент, эдакий экскаватор. Конечно так вычищается далеко не все и для хорошего результата надо лопатой довести полученное, но первым эшелоном именно фильтр по реверсу.
     
     
  • 3.24, Michael Shigorin (ok), 13:39, 27/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >первым эшелоном именно фильтр по реверсу.

    BTW никто часом не знает, почему киевский провайдер "воля-кабель" явно отдельно потрудился с генерацией имён для реверса из wordlist'ов, а не выставил нечто, напоминающее cable-\d+-\d+-\d+-\d+?

     
     
  • 4.27, csdoc (ok), 18:51, 27/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    почему они такие интересные имена в реверсные DNS записали - это мне и самому интересно.

    а проблему спама от их пользователей можно решить очень просто, все их юзеры
    внесены ими же в список http://dul.ru/ вот, для примера, первый попавшийся адрес:

    $ nslookup 77.122.122.122
    ──────────────────────────────────────
    Name:    certaintiless-pinch.volia.net
    Address:  77.122.122.122

    $ 122.122.122.77.dul.ru.
    ──────────────────────────────
    Name:    122.122.122.77.dul.ru
    Address:  127.0.0.3

     

  • 1.21, Аноним (3), 12:34, 27/06/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лучше бы они заставили приостановить деятельность таких ISP, как wanadoo.fr, france.fr, orange.fr, через которых проходит неимоверное кол-во спама, а админы даже не отвечают на письма.
     
     
  • 2.28, csdoc (ok), 19:04, 27/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    разве кто-то запрещает на своем сервере приостановить их деятельность cat et... большой текст свёрнут, показать
     

  • 1.22, sokoloff (ok), 13:11, 27/06/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На мой взгляд, было бы хорошо выделить отдельную IP-сеть для динамических адресов. Как есть подсети A,B,C для "серых" адресов, пусть будет еще одна для динамических. И пинать провайдеров, чтоб они придерживались этого правила, IMHO на провайдера воздействовать гораздо проще. Конечно в рамках IP-4 это сделать нереально, но для IP-6 еще можно.

    Или, учитывая последнюю инициативу ICANN (https://www.opennet.ru/opennews/art.shtml?num=16683), выделить отдельный TLD для динамических адресов. Но здесь свои проблемы возникают, должна быть сверх упрощенная система регистрации.

     
  • 1.25, Аноним (3), 14:45, 27/06/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Молодцы :)
    У меня работает фильтрация по SPF прекрастно. Ни каких тормозов.
    А сброс в начале соединения т.е. только заголовок проехал и усе :)
    А на предмет иннициатив yahoo я вообще молчу, сами(клиенты) спам рассылают но эти даже не удосужились прописать для своих серверов SPF записи и их приходиться отдельно подгружать.
    И вот еще, что интересно: а google в этой компании нет а spf они на свои сервера прописали........

    Одним словом: "рекламная компания".

     
  • 1.29, Oles (?), 01:54, 28/06/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    SPF решил бы все проблемы на раз, а форвардинг почты - костыль. И то он легко исправляется - достаточно чтоб пересылающий сервер пересылал с адреса, на который шло письмо изначально, всё равно адрес который покажется человеку в поле От: берётся из отдельных заголовков. Aliases:
    pupkin: "|/usr/sbin/sendmail -oi -f pupkin@vasya.com pupkin@kolya.com"
    Достаточно этим мегапровайдерам сказать что через скажем 6 месяцев они прописывают у себя SPF записи в рабочем (а не тестовом ~all режиме), и настраивают у себя фильтры SPF на приём - все последуют их примеру (конечно те, которые в танке и китайцы одуплятся только через год) и проблема была бы решена раз и навсегда. Останется только проблема локальная - но это уже проблема прова кто через него шлёт спам.

    Чёрт, ведь решение проблемы просто и очевидно, и не стоит никаких денег - только одно решение и кол-во спама уменьшится на порядки.

    Есть подозрение что мегапровайдеры не просто так ищут нелёгкие пути :)

     
  • 1.30, User294 (ok), 00:41, 29/06/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > установить адаптивную систему блокировки аномально интенсивных рассылок

    Ага.В итоге народ заодно не получит и ЛЕГИТИМНЫХ рассылок.Короче, RIP.Нах нужен такой дефективный протокол который ничерта не сможет?А вот спам он наверняка и тогда будет исправно доставлять.Благо не вижу проблем с точки зрения троянов.Ну, влился трой к юзеру, выдрал настройки из почтовика и сри себе сколько влезет спамом прям как родной почтовик.Достаточно десятка писем в день а вот если миллион ламеров словило троян это уже приличный поток спама.Итого бравые перцы как всегда отгазифицируют лужи, создатут вагон геморроя легитимным юзерам и ... спам по прежнему будет валиться крупным оптом.Это то же самое как если лечить аппендицит треская болеутоляющие.

     
  • 1.31, Дмитрий Ю. Карпов (?), 18:42, 02/07/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мы знаем, что провайдеры уже освоили две разные услуги: предоставление доступа с "прямым/белым" IP-номером и предоставление доступа из-под NAT. Теперь вводится ещё бОльшая дифференциация: жоступ с открытым TCP:25 (под обещание не спамить самомУ и не допускать вирусов) и с закрытым. Очень рулезно. Можно добавить функционал "чёрной дыры", при котором вирус будет думать, что весь спам отправлен, и отрапортует об успешном выполнении задачи хозяину.

    Алексей:
    > бороться тут надо с потребителем, пока есть потребитель спама, рассылать будут.

    Бороться со спамом надо комплексно - надо давить и заказчиков спама (акция "позвони спамеру" за'DoS'ит любую организацию), и затрояненные машины (это увеличивает себестоимость спама).

    Аноним:
    > Лучше бы они заставили приостановить деятельность таких ISP, как wanadoo.fr, france.fr, orange.fr, через которых проходит неимоверное кол-во спама

    Создай свой DNSBL-список и включи в него этих провайдеров.

    sokoloff:
    > Как есть подсети A,B,C для "серых" адресов, пусть будет еще одна для динамических.

    Это нереально: каждый провайдер получает свой пул адресов.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру