Обнаружение ботнета для рассылки спама?

а при чем тут страны? устаревшие способы утификации же, мобили жэ есть. а так то нет, не участники если действий подходящих по спам не совершают по логикке так кажется получается.

а при чем тут страны

База ip->страна не очень большая и проверка не отнимает много ресурсов.

Уточнение: те, кто пытается рассылать почту с этого аккаунта (кроме локальной сети и возможно адресов своей страны) - участники ботнета?

мобили жэ есть

А что делать с почтовыми клиентами? Они про двухфакторную аутентификацию и одноразовые пароль обычно ничего не зают.

сам ящик участник ботнета, те которые с него рассылают если это не один человек то походу нет и опять же т характера рассылки зависит, тут доступ к черным спискам нужен тогда, чтоб при присечении ботнет деятельности на аккаунте и сохранении его для дальнейшего мирного использования иметь возможность вычеркнуть его из списка но это долгая история мне кажется и без регламента никуда, например максимум две возможности восстановления доброго имени или три, а потом навсегда и предупреждать юзеров чтоб данные от ящиков берегли. когда придет айди днк аутентификация станет проще, тогда по линости станет можно бонить, но скоро ли это фик знает настанет.

а вот с клиентами не знаю, если через мобили код отправлять и на какой то одноразовый ящик создавать перекидывать если это реализовать реально хочта с которого приходит письмо в ответ на которое и надо точ то на моббили пришло отправить. а вообще нет идей особо, если только стандартизация ауутентификации гллобальная тогда все все станут узнавать автоматически и заранее апи затачивать всех произведений под одну гребенку являющейся базой для любых серверов, а если екзотики захотелось то фигач а про массовость забудь.

Да, т.к. откуда еще они могут узнать этот адрес.

Другое дело, что так поймать можно далеко не весь ботнет. Ну и со временем все меньше и меньше ломиться будут, если уже не работает.

Ну вот с 0:30 до 18:30 примерно 1100 хостов пришли.. Если им в ответ не выдавать ошибку, то все придут :)

Тут ханипот нужен который будет говорить success на отправку почты и бережно складировать IP-шники клиентов. А, ну и саму почту отправлять естественно в /dev/null

+2 к карме

Интересно, но через сутки, они снова начали пытаться рассылать спам.

Аккаунт занесен в черный список, но пароль пока не сменен.

На гмыле для этого генерируются уникальные пароли для клиентов, которые надо использовать только в этом клиенте — один раз вводится в настройки и больше не показывается.