LINUX.ORG.RU

Фильтрация спама при помощи greylistd+exim

 , ,


0

0

Небольшая статья, рассказывающая о чрезвычайно эффективном методе фильтрации спама на основе так называемых "серых листов" (greylist).

Статья описывает использование связки greylistd и exim в Debian/Ubuntu, общий принцип работы грейлистинга, есть ссылки на другие способы грейлистинга.

Статья расположена на Debian-wiki, если вы заметите какие-либо неточности, пожалуйста, исправляйте. К сожалению, отсутствует какая-либо статистика по использованию грейлистинга в sa-exim, а было бы очень интересным сравнение систем грейлистинга sa-exim и greylistd. Может быть, кто-то обладает подобной информацией и дополнит статью?

>>> Подробности

электронная почта не нужна.

Obey-Kun ★★★★★
()

убейте sendmail и exim в реальных условиях работы сервиса электронной почты postfix куда удобней чем эти костыли

anonymous
()

ИМХО, грейлистинг - это только геморой админам почтовика (настраивать), админам других почтовиков (пробивать), и юзерам всех почтовиков, ибо почта ходит с офигевшими задержками. Плюс ко всему - неужели эта техника такая секретная для спамеров, что они ее не пробивают?

k0l0b0k ★★
()

Грейлистеров - давить. Был у партнеров грейлист, ко всем почта ходила в постфиксе из коробки, но к нем - только после настроек интервалов под его грейлистинг, иначе рубил как сспам.

sv75 ★★★★★
()
Ответ на: комментарий от k0l0b0k

>грейлистинг - это только геморой админам почтовика

>Плюс ко всему - неужели эта техника такая секретная для спамеров, что они ее не пробивают?

Потрудился бы ознакомиться с приципами работы грейлистинга прежде чем осуждать и в то же время задавать такие вопросы

anonymous
()
Ответ на: комментарий от sv75

Спамеров - давить. Тех кто не осилил настроить интервалы повторной пересылки в почтовике - считать за спамеров.

anonymous
()
Ответ на: комментарий от sv75

>Грейлистеров - давить. Был у партнеров грейлист, ко всем почта ходила в постфиксе из коробки, но к нем - только после настроек интервалов под его грейлистинг, иначе рубил как сспам.

Debian postfix+posgrey(из коробки) режет 80-95% спама, дает задержку от 15 до 60 минут (зависит от настроек тайменгов перепосыла почтовика отпровителя)

95% пользователей на предложение об отключитии этого филтра на их ящик, думают минуту другую и говорят, нет лучьше задержка чем прежнее количество спама.

ИМХО либо у партнеров кривая реализация, либо ..... еще какая фигня на какомно почтовике.

anonymous
()
Ответ на: комментарий от anonymous

Кстати, а насколько хорошо в постфиксе, например, рубить за отсутствующий реверс и тому подобные штуки? а рубить за присутствие в базе данных вроде spamhaus?

anonymous
()

отлично... ждём тему "Фильтрация спама при помощи GMail"

anonymous
()
Ответ на: комментарий от sv75

> Грейлистеров - давить. Был у партнеров грейлист, ко всем почта ходила в постфиксе из коробки, но к нем - только после настроек интервалов под его грейлистинг, иначе рубил как сспам.

В таких тяжелых случаях, вместе с greylisting применяют whitelisting.

anonymous
()
Ответ на: комментарий от k0l0b0k

>Плюс ко всему - неужели эта техника такая секретная для спамеров, что они ее не пробивают?

Техника ни разу не секретная, и спамеры ее пробивают. Но эта техника многократно увеличивает затраты на рассылку спама.

А в целом согласен. Серые списки себя не оправдывают. Куда эффективней правильно настроенный razor.

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous

>Кстати, а насколько хорошо в постфиксе, например, рубить за отсутствующий реверс и тому подобные штуки?

Легко. Одной директивой в конфиге. Только таких админов надо самих рубить.

>а рубить за присутствие в базе данных вроде spamhaus?

Элементарно. Но таких админов надо жечь в паровозной топке.

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous

>Debian postfix+posgrey(из коробки) режет 80-95% спама, дает задержку от 15 до 60 минут (зависит от настроек тайменгов перепосыла почтовика отпровителя)

Во первых, задержка на 15 минут означает, что подтверждения на прохождение важной почты вы не получите.

Во вторых, грейлистинг убивает подтверждения регистрации по почте ибо они по природе своей единичны и зачастую посылаются без применения mta, то есть без полноценной почтовой очереди.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

>>Кстати, а насколько хорошо в постфиксе, например, рубить за отсутствующий реверс и тому подобные штуки?

>Легко. Одной директивой в конфиге. Только таких админов надо самих рубить.

Правда? В RFC написано что обратку почтовик обязан иметь.

А вообще же, банальный [[:digit:]]+[.-][[:digit:]]+[.-][[:digit:]]+[.-][[:digit:]] на CONNECT обрубит процентов 90 спама влёхкую.

anonymous
()
Ответ на: комментарий от AVL2

> Серые списки себя не оправдывают. Куда эффективней правильно настроенный razor.

Razor и прочие системы осуществляющие фильтрацию по_контенту_сообщений себя не оправдывают. Куда эффективней грамотно настоенная система грейлистинга.

anonymous
()
Ответ на: комментарий от AVL2

> Во первых, задержка на 15 минут означает, что подтверждения на прохождение важной почты вы не получите.

4.2

> Во вторых, грейлистинг убивает подтверждения регистрации по почте ибо они по природе своей единичны и зачастую посылаются без применения mta, то есть без полноценной почтовой очереди.

4.2

Покурите в сторонке, пожалуйста

anonymous
()
Ответ на: комментарий от AVL2

> Во вторых, грейлистинг убивает подтверждения регистрации по почте ибо они по природе своей единичны и зачастую посылаются без применения mta, то есть без полноценной почтовой очереди.

Ага. прямым соединением твоего IE на 25 порт

anonymous
()
Ответ на: комментарий от k0l0b0k

>ИМХО, грейлистинг - это только геморой админам почтовика (настраивать), админам других почтовиков (пробивать), и юзерам всех почтовиков, ибо почта ходит с офигевшими задержками.

никаких афигенных задержек

задержка один раз на первое прохождение письма

а все последующие письма с данного адреса идут без задержек

xargs ★★★
() автор топика
Ответ на: комментарий от anonymous

>Ага. прямым соединением твоего IE на 25 порт

ага, только не моего ie (у меня вообще никакого ie нет), а из говнопэхапэ скрипта. Че нибудь в тком роде - http://bellonline.co.uk/web-services/free/scripts/php-mailer-script/demo.php

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous

Ну не так грубо, но быдлопейсатели интернетов иногда так и делают в своем любимом похапэ

k0l0b0k ★★
()
Ответ на: комментарий от anonymous

Ананимус сказал, "буду краток". И газифицировал ближайшую лужу...

AVL2 ★★★★★
()
Ответ на: комментарий от k0l0b0k

>Плюс ко всему - неужели эта техника такая секретная для спамеров, что они ее не пробивают?

в статье же описано и почему спамеры ее не пробивают и пример приведен статистики снятой с реального сервера (более 99% спама отбито)

xargs ★★★
() автор топика
Ответ на: комментарий от AVL2

>ага, только не моего ie (у меня вообще никакого ie нет), а из

все софтины пытающиеся с клиентских компьютеров обращаться к 25-м портам вне локалки жечь в топках

админов разрешающих коннект из локалки на 25 порт отправлять за этими софтинами

xargs ★★★
() автор топика
Ответ на: комментарий от xargs

>никаких афигенных задержек

>задержка один раз на первое прохождение письма

>а все последующие письма с данного адреса идут без задержек

Это в теории. Но для высоконагруженых сервисов типа ютуба, nic.ru и т.д., где почтовая очередь всегда большая, письмо может идти очень долго или не прийти вообще. Поэтому для грейлистинга необходимо еще и вебморду делать для юзеров, чтоб они могли превентивно добавлять в белый спислк те домены, с которых они ждут почту. Но кто эту морду делает?

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

>ага, только не моего ie (у меня вообще никакого ie нет), а из говнопэхапэ скрипта. Че нибудь в тком роде - http://bellonline.co.uk/web-services/free/scripts/php-mailer-script/demo.php

Все верно. Грейлистинг как раз и должен отсеивать сообщения передаваемые с помощью вот таких приблуд.

Почта должна идти через МТА понимающие ответы типа "сервер временно недоступен" и точка.

anonymous
()
Ответ на: комментарий от anonymous

Рекомендация к настройке smtp - проталкивать очередь раз в 30 мин. (не помню источник). И в лучшем случае тебе в каментах к 451 скажут, мол, запускай queue roller.

Запарило пробивать каждый недосерверок, у которого 3 почтовых ящика и грейлист часов на 12.

k0l0b0k ★★
()
Ответ на: комментарий от k0l0b0k

> А кто тебе сказал что я не знаком?

Ты осудил грейлистинг а потом спросил как оно работает!

anonymous
()
Ответ на: комментарий от AVL2

Statistics since Sun Jul 1 01:56:11 2007 (328 days and 22 hours ago)
---------------------------------------------------------------------
8210 items, matching 126639 requests, are currently whitelisted
0 items, matching 0 requests, are currently blacklisted
709 items, matching 720 requests, are currently greylisted

Of 554133 items that were initially greylisted:
- 17482 ( 3.2%) became whitelisted
- 536651 ( 96.8%) expired from the greylist


Пиццот тышш спамерских писем минуло мои почтовые ящики, куда уж эффективнее.
А быдло пхп скрипты, которые изображают недо-mta не надо приводить в пример.
На любом нормальном хостинге есть и доступен нормальный sendmail.

kilolife ★★★★★
()
Ответ на: комментарий от xargs

>все софтины пытающиеся с клиентских компьютеров обращаться к 25-м портам вне локалки жечь в топках

>админов разрешающих коннект из локалки на 25 порт отправлять за этими софтинами

При чем тут локалка? речь про всякие интернет-серверы и сервисы. Зачастую качество мта, предоставляемого провайдером не позволяет им пользоваться.

Я согласен, что мта нужен всегда. И на локалхосте его имеет смысл держать. Но речь про интернеты, где далеко не все следуют этому правилу.

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous

У меня сейчас проблемы с каналом. С nic.ru я должен получать серию писем каждые 4 часа.

С грейлистингом я сейчас получаю прцентов 30-40 этих писем...

AVL2 ★★★★★
()
Ответ на: комментарий от k0l0b0k

> А кто тебе сказал что я не знаком?

...или скорее ты не зраком с техникой работы спамеров

anonymous
()
Ответ на: комментарий от AVL2

Ога, а гмыл значит невысоконагруженный почтовый сервер. Куда ему до nic.ru - рылом не вышел. Хотя и оттуда и оттуда письма спокойно проходят грейлисты.

kilolife ★★★★★
()
Ответ на: комментарий от anonymous

>Razor и прочие системы осуществляющие фильтрацию по_контенту_сообщений себя не оправдывают. Куда эффективней грамотно настоенная система грейлистинга.

Зато позволяет настроить фильтрацию под _каждого_ юзера. У меня к примеру шеф - читает русскоязычный спам (хобби чтоле?).

k0l0b0k ★★
()
Ответ на: комментарий от k0l0b0k

>99% - не верю.

это с реального сервера статистика, сейчас если сюда заглянет kilolife он может дать статистику с сервера использующегося более длительный интервал времени (но там тоже примерно столько же)

я установил грейлистинг на трех серверах и везде результат примерно одинаковый

на старой работе у меня вертится exim на сервере на старом железе (Р133/32), так вот, спамассасин этот сервер удерживал в постоянной нагрузке в диапазоне load average 5-6 с установкой грейлистинга средняя нагрузка упала до 1.5, а пользователи отметили что спама стало значительно меньше (там те же 99%, только писем побольше чем 3000/сутки :))

xargs ★★★
() автор топика
Ответ на: комментарий от AVL2

> У меня сейчас проблемы с каналом. С nic.ru я должен получать серию писем каждые 4 часа.

> С грейлистингом я сейчас получаю прцентов 30-40 этих писем...

Проблемы с каналом... а пинаешь на грейлистинг

anonymous
()
Ответ на: комментарий от kilolife

Гмыл только и занимается, что отправляет почту. В таких случаях обычно все ок. А речь про сервисы, где почта только для нотификации, то есть вещь не основная. Вот гемора с ними куча. А вообще провы вполне могут убивать спам. В принципе, достаточно сделать его платным и все...

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous

>Проблемы с каналом... а пинаешь на грейлистинг

Почта на другом канале. И работает как всегда.

AVL2 ★★★★★
()
Ответ на: комментарий от k0l0b0k

Есть такое. Две строчки в конфиг екзима позволяют пропускать почту для конкретных ящиков или для конкретных доменов без грейлистов. Так что тут проблем нет никаких.

kilolife ★★★★★
()
Ответ на: комментарий от AVL2

> У меня сейчас проблемы с каналом. С nic.ru я должен получать серию писем каждые 4 часа.

> С грейлистингом я сейчас получаю прцентов 30-40 этих писем...

Добавить нужные адреса в белый список отрабатываемый перед грейлистингом?

anonymous
()
Ответ на: комментарий от anonymous

>Добавить нужные адреса в белый список отрабатываемый перед грейлистингом?

да. но я еще ни разу не видел хорошего энтерпраз-решения, где группа модератеров админ через быдлоинтерфейс могли вести общий белый/черный список и юзеры аналогично моглди вести личные списки.

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous

Если бы не знал - не говорил бы. Просто как-то тупо - тут крики на каждом углу что в спам уже и mp3 запихивают, а пробивание smtp - никак не сделают.

k0l0b0k ★★
()
Ответ на: комментарий от AVL2

а заодно, чтобы модератор видел через тот же быдлоинтерфейс список сообщений, сформированный согласно правилам доступа и мог централизованно отправить спам в чистилище.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

>да. но я еще ни разу не видел хорошего энтерпраз-решения, где группа модератеров админ через быдлоинтерфейс могли вести общий белый/черный список и юзеры аналогично моглди вести личные списки.

как делается энтерпрайз решение для спамассасина?

расшаривается два каталога куда можно класть спам-неспам письма

и по крону скрипт их забирает

точно так же можно пополнять белый/блеклист

то есть по крону скрипт заглядывает в некий каталог в поисках файла whitelist/blacklist

и все что в whitelist удаляет из своего blacklist, а если там нет добавляет в свой whitelist и наоборот

скрипты по 20 строк не больше

xargs ★★★
() автор топика
Ответ на: комментарий от k0l0b0k

>Просто как-то тупо - тут крики на каждом углу что в спам уже и mp3 запихивают, а пробивание smtp - никак не сделают.

Да пробивают, пробивают. Просто спам основан на ничтожной стоимости посылки письма, в тут она возрастает, как минимум, вдвое. И поэтому как ни выкручивайся, а спама ты отправишь вдвое меньше, чем мог бы.

AVL2 ★★★★★
()
Ответ на: комментарий от k0l0b0k

>Если бы не знал - не говорил бы. Просто как-то тупо - тут крики на каждом углу что в спам уже и mp3 запихивают, а пробивание smtp - никак не сделают.

спам-скрипту на зараженном компьютере в задаче стоит максимальное кол-во писем разослать

если он будет ретраи делать то эффективность его резко упадет, а сложность резко возрастет.

потому грейлистинг настолько эффективен против спама

xargs ★★★
() автор топика
Ответ на: комментарий от xargs

не, это должны быть списки регэкспов с указанием полей. Списки масок ипадресов, доменов, откуда почту вы не ждете и т.д.

а скрипты, спамасасины - все это слишком автоматично, слепо и в итоге мимо...

AVL2 ★★★★★
()
Ответ на: комментарий от k0l0b0k

> Зато позволяет настроить фильтрацию под _каждого_ юзера. У меня к примеру шеф - читает русскоязычный спам (хобби чтоле?).

Меняй шефа.

anonymous
()
Ответ на: комментарий от AVL2

>а скрипты, спамасасины - все это слишком автоматично, слепо и в итоге мимо...

не знаю у меня работает.

я админю сервера несколько небольших фирм

так вот все прекрасно понимают: "прошедший спам класть в эту папку", "если нужное письмо пометилось как спам класть в эту папку"

даже секретарши-блондинки

и главное работает как часы.

то есть если до грейлистинга спамассасин у меня там выгребал из той кучи где-то 90% спама, то теперь еще грейлистинг выгребает 99

а суммарно получается что спамассасин теперь выгребает 90% из оставшегося процента :)

и главное никаких мимо

xargs ★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.