LINUX.ORG.RU

Фильтрация спама при помощи greylistd+exim

 , ,


0

0

Небольшая статья, рассказывающая о чрезвычайно эффективном методе фильтрации спама на основе так называемых "серых листов" (greylist).

Статья описывает использование связки greylistd и exim в Debian/Ubuntu, общий принцип работы грейлистинга, есть ссылки на другие способы грейлистинга.

Статья расположена на Debian-wiki, если вы заметите какие-либо неточности, пожалуйста, исправляйте. К сожалению, отсутствует какая-либо статистика по использованию грейлистинга в sa-exim, а было бы очень интересным сравнение систем грейлистинга sa-exim и greylistd. Может быть, кто-то обладает подобной информацией и дополнит статью?

>>> Подробности

Ответ на: комментарий от xargs

>Неделями идет одно и тоже мусорное письмо.

вот имеем например ICQ

весь идет через ОДИН (фактически) сервер

и что? "Неделями идет одно и тоже мусорное письмо." о девочках которых можно заказать на каком-то сайте.

Ты действительно веришь, что будь почта под контролем одного дяди спама станет меньше?

xargs ★★★
() автор топика
Ответ на: комментарий от AS

>RFC 4871 однако...

раз есть RFC то вполне может появиться и свободная реализация (или уже появилась) значит первый вариант "просто пока нет"

вот как будет, так и "будем посмотреть"

xargs ★★★
() автор топика

Кому нужен greylisting когда есть spamassasian?

anonymous
()
Ответ на: комментарий от xargs

>то есть ты предлагаешь, чтобы какой-то дядя централизованно анализировал контент ВСЕХ писем?

Ну не всех, а тех, что проходят через его каналы.

Причем проходят без tls и dkim.

Идея стремная, кто бы спорил, но в потенциале эффективная.

AVL2 ★★★★★
()
Ответ на: комментарий от AS

>Если почтовик проходит очередь за сутки, значит он работает в аварийном режиме. Если это постоянное состояние, следует задуматься об апгрейде сервера, замене ПО и тп. RFC 1123 писали не для того, чтобы оно делалось как придётся.

В RFC указали, что перепосылать почту лучше всего не чаще, чем раз в полчаса. И все. Все остальное - вопрос нагрузки. И грейлистинг эту нагрузку никак не уменьшает. Не забывайте, что в норме в домене должно быть несколько мх записей. То есть, с грейлистингом он должен пробежать их по разу, а затем еще раз. Это увеличивает нагрузку уже не в два раза, а n+1, где n - число mx-записей (на разных серверах).

AVL2 ★★★★★
()
Ответ на: комментарий от xargs

>Ты действительно веришь, что будь почта под контролем одного дяди спама станет меньше?

В фидо спама не было...

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

> Это невозможно. Собственно прямая и обратная зона вообще никак не связаны. Прямая находится под управлением доменодержателя, а обратная принадлежит владельцу соответствующей подсети.

100% так и есть. Прямая у регистратора, реверсная у прова. Вопрос только в том, что бы попросить прова прописать адрес в реверсной зоне. В RedHat'овском сендмейле по умолчанию эта проверка идет. Если поискать по форуму, то вопросов на эту тему было предостаточно.

Andy_ua
()
Ответ на: комментарий от AVL2

> В фидо спама не было...

Еще бы. Искусство ради искусства. Вот, ежели бы руководители и домохозяйки ФИДО пользовались :)

Andy_ua
()
Ответ на: комментарий от Andy_ua

>Пример записей в прямой и обратной зонах? Не смешно, гугль в руки =)

вопрос был в другом. как получить по ip список всех A записей, которые указывают на него.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

> Сказать - можно. Сделать - не обязаны.

Наш локальный УкрТелеком делает это бесплатно, даже без просьбы, с его стороны, заплатить за поддержку зоны, хотя такой пункт в услугах есть, но оплачиваются только прямые зоны.

Andy_ua
()
Ответ на: комментарий от AVL2

> вопрос был в другом. как получить по ip список всех A записей, которые указывают на него.

В реализации проверки sendmail не разбирался, но в чем может быть проблема нескольких алиасов имен на один ip не понял...

Andy_ua
()
Ответ на: комментарий от Andy_ua

И, кстати, даже при наличии нескольких виртуальных доменов на одном сервере, проверка идет на валидность самого релея, то есть достаточно, что бы записи имени этого релея в обеих зонах соответствовали ip.

Andy_ua
()
Ответ на: комментарий от AVL2

Практика показывает обратное.
После поднятия грейлистинга нагрузка на сетевую составляющую и процессор почтовика _падает_.

kilolife ★★★★★
()

Вот интересно в 90% спама входят 3 пункта: viagra, rolex, penis. Вот кто за рассылку конкретно этой херни платит? или это просто спамеры софт тестят.

Yurand
()
Ответ на: комментарий от AVL2

> И все. Все остальное - вопрос нагрузки.

И здравого смысла. 7 часов - отнюдь не здравый смысл.

> И грейлистинг эту нагрузку никак не уменьшает.

В первую очередь, это нагрузка на сервер с грейлистингом, на самом то деле: он один, а желающих послать много...

AS ★★★★★
()
Ответ на: комментарий от AVL2

>> кто мешает сказать провайдеру, что должно быть в реверсе ?

> Сказать - можно. Сделать - не обязаны.

Ну, так и у этого провайдера оставаться не сильно обязательно. Хотя, если выбора нет, оно проблема...

AS ★★★★★
()
Ответ на: комментарий от Andy_ua

> В RedHat'овском сендмейле по умолчанию эта проверка идет.

Нет там такой проверки. Это результат непонимания механизма обработки и не очень удачного сообщения об ошибке. Если я правильно угадал, про какую ошибку речь.

AS ★★★★★
()
Ответ на: комментарий от Andy_ua

> но в чем может быть проблема нескольких алиасов имен на один ip не понял...

В том, что DNS отдаёт соответствия по очереди. По одному на запрос. Отдать он может, соответственно, совсем не то, что ожидается, если у него несколько вариантов. Кстати, это, иногда, используют для балансировки нагрузки, делая для одного сервиса несколько A-записей.

AS ★★★★★
()
Ответ на: комментарий от kilolife

>После поднятия грейлистинга нагрузка на сетевую составляющую и процессор почтовика _падает_.

У принимающей стороны. А речь шла о передающей.

AVL2 ★★★★★
()
Ответ на: комментарий от AS

>Ну, так и у этого провайдера оставаться не сильно обязательно. Хотя, если выбора нет, оно проблема...

Опять какое-то партизанство. Нельзя в рамках всей сети интернет вводить требования, которые не могут быть выполнены силами самого участника.

Этак можно черт знает до чего договориться.

AVL2 ★★★★★
()
Ответ на: комментарий от AS

>В первую очередь, это нагрузка на сервер с грейлистингом, на самом то деле: он один, а желающих послать много...

Ему то что? получил запрос, полез в БД, и далее или отбил и добавил в базу или не отбил и обновил в базе.

Оверхед минимальный, а с учетом того, что многие не возвращаются и спамассаин на них напускать не надо - экономия очевидна...

AVL2 ★★★★★
()
Ответ на: комментарий от Andy_ua

>Наш локальный УкрТелеком делает это бесплатно, даже без просьбы, с его стороны, заплатить за поддержку зоны, хотя такой пункт в услугах есть, но оплачиваются только прямые зоны.

Я безумно рад за клиентов УкрТелеком. Так в RFC и запишем - пользуйтесь услугами УкрТелеком, оне тру?!

AVL2 ★★★★★
()
Ответ на: комментарий от sv75

> Вы считаете, что админ - царь и бог, а не обслуживающий персонал

Вы считаете, что охранник обязан пропускать в офис всех, включая бомжей и алакшню, поскольку они тоже могут быть потенциальными клиентами?

no-dashi ★★★★★
()
Ответ на: комментарий от Sargan

> Ну чего умничаешь? Кто сказал что все пользуються тупо greylist?

Ты бы хоть не позорился и не показывал свой кривой конфиг. Нафига ты реджектишь отправителя при первом же появлении его в одном из rbl? Пример с relays.ordb.org ничему не научил? А что касается грейлистинга на уровне RCPT, так это вообще жесть. Видимо про sender address verification вообще ничего не слышал...

zenith ★★★
()
Ответ на: комментарий от AVL2

> Нельзя в рамках всей сети интернет вводить требования, которые не могут быть выполнены силами самого участника.

Я не знаю, что может помешать назначению реверса, кроме какой-нибудь дебильной политики провайдера. Но это, ещё раз, проблема исключительно провайдера.

AS ★★★★★
()
Ответ на: комментарий от AVL2

> Ему то что? получил запрос, полез в БД, и далее или отбил и добавил в базу или не отбил и обновил в базе.

> Оверхед минимальный,

Это если не появился спаморассылатель с очередью. А они, всё-таки, есть.

AS ★★★★★
()
Ответ на: комментарий от zenith

> А что касается грейлистинга на уровне RCPT, так это вообще жесть. Видимо про sender address verification
> вообще ничего не слышал...

А если слышал, то что ? Точно так же дойдёт после паузы.

AS ★★★★★
()
Ответ на: комментарий от AVL2

> Не забывайте, что в норме в домене должно быть несколько мх записей. То есть, с грейлистингом он должен пробежать их по разу, а затем еще раз. Это увеличивает нагрузку уже не в два раза, а n+1, где n - число mx-записей (на разных серверах).

Вот это - второй и единственный разумный аргумент, который звучал в этом споре. Первый был про то, что куча сервисов имеют обыкновение соединяться для доставки с различных адресов (и предлагались идиотские костыли вроде отрезания имени хоста от fqdn).

Нет, господа. Если строго следовать принципу "враждебного окружения", то вообще имеем whitelist и точка. А всё остальное - костыли наподобие "предположим, что окружение хоть чуточку не враждебно", а это заведомо ложное утверждение.

anonymous
()
Ответ на: комментарий от zenith

> Нафига ты реджектишь отправителя при первом же появлении его в одном из rbl? Пример с relays.ordb.org ничему не научил?

Да. Ребята уже два года как прекратили сервис, но тупые ленивые админы всё никак не удосуживались убрать их из своих конфигов. Этих-то тупых ленивых админов и научили, что надо хоть иногда следить за состоянием используемых сервисов. Очень положительный пример.

Только вот из него никак не следует, что pbl и dnsbl - это плохо.

anonymous
()
Ответ на: комментарий от anonymous

> Да. Ребята уже два года как прекратили сервис, но тупые ленивые админы всё никак не удосуживались
> убрать их из своих конфигов.

Всё гораздо хуже, на самом то деле. Я вот наткнулся на много случаев, когда админа нет вообще. То есть, кто-то приходящий сделал много лет назад, оно и работает.

AS ★★★★★
()
Ответ на: комментарий от AVL2

>В фидо спама не было...

а в ICQ море спама

xargs ★★★
() автор топика
Ответ на: комментарий от AS

>Всё гораздо хуже, на самом то деле. Я вот наткнулся на много случаев, когда админа нет вообще.

вот грейлистинг для таких вещей наилучшим образом подходит

всякие списки спаммеров вещь такая сегодня есть а завтра сдохло

а грейлистинг работает и хорошо работает

xargs ★★★
() автор топика
Ответ на: комментарий от AS

> А если слышал, то что ? Точно так же дойдёт после паузы.

Поправка: Точно так же дойдёт после _ненужной_ паузы. Давайте тогда влепим 4xx прямо на этапе HELO. Чего мелочиться то?

zenith ★★★
()
Ответ на: комментарий от zenith

>Поправка: Точно так же дойдёт после _ненужной_ паузы.

пауза НУЖНАЯ: в результате этой паузы отсеивается 99% спама

xargs ★★★
() автор топика
Ответ на: комментарий от zenith

> Поправка: Точно так же дойдёт после _ненужной_ паузы. Давайте
> тогда влепим 4xx прямо на этапе HELO. Чего мелочиться то?

Для untrusted hosts можно и на этапе helo.

AS ★★★★★
()
Ответ на: комментарий от xargs

> пауза НУЖНАЯ: в результате этой паузы отсеивается 99% спам

А также на некоторое время отсеишься ты сам, если принимающий хост вдруг решит сделать sender address verification.

zenith ★★★
()
Ответ на: комментарий от zenith

За весь тред мелькнуло несколько здравых мыслей.

Кто-то писал, что использует грейлистинг, но пропускает через него лишь часть потока. Жму руку, коллега, делал так же ;)

Файлик регэкспов занимал строк сорок (всякие adsl, dialup, хосты без обратной зоны, китай, etc). Те, кто в него попадал - грейлистились. Остальные ходили по-старому.

Вся почта пропускалась через антиспам (ашманова, ныне касперского. качество, после покупки, кстати, ухудшилось).

Вся система пропускает через себя ~250k писем\день. До введения грейлистинга эта величина составляла раз в пять больше.

Грейлистить же всю почту, как мне кажется - фашизм.

Loseki
()
Ответ на: комментарий от Loseki

>Вся почта пропускалась через антиспам (ашманова, ныне касперского. качество, после покупки, кстати, ухудшилось).

у касперских есть интересная должность "спаманалитик"

это такая мартышка которая просматривает почту спам-не-спам

наверное у ашманова они качественнее работали ;)

>Грейлистить же всю почту, как мне кажется - фашизм.

может и фашизм, но работает хорошо

xargs ★★★
() автор топика
Ответ на: комментарий от xargs

>> Грейлистить же всю почту, как мне кажется - фашизм.

> может и фашизм, но работает хорошо

Расскажи пожалуйста, зачем грейлистить почту от пира, у которого, к примеру, открыт 25-й порт?

zenith ★★★
()
Ответ на: комментарий от AS

>Это если не появился спаморассылатель с очередью. А они, всё-таки, есть.

Есть. Поэтому грейлистинг проходит все больше спама. Скоро будет столько же.

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous

Главный разумный аргумент, что почта с грейлистингом спотыкается, приходит с опозданием, из за чего теряется много времени уже у людей, которые этой почтой пользуются.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

>> по вашей логике ее вообе быть не должно - стоит как самолет! > Но в расчёте на одного клиента это копейки.

В стоимости скажем стиральных порошков реклама занимает больше половины, ага. Все еще копейки?

Так что про низкую стоимость доставки - низачот.

>> чем реклама в виде спама отличается от к примеру AdSense > тем, что ... предполагают наличие высокопосещаемых площадок

Снова ответ неверный. Ничем. Это вы Касперского на ночь перечитались, а зря. Если его послушать - так в и-нете один спам и есть, а доля скажем потокового вещания (снова с рекламой!) или там пиров - вообще незначительна. Хотя любой провайдер вам расскажет что это не так и почта никак не занимает аж 75% траффика.

>> По сути грейлисты - эт очередной экстремизм > Я не знаю, в чем тут экстремизм

Увы. Ограничений этой горе-технологии столько, что применять ее надо крайне осторожно. А не пихать во все щели.

anonymous
()
Ответ на: комментарий от AVL2

>Есть. Поэтому грейлистинг проходит все больше спама. Скоро будет столько же.

Вы сейчас кого уговариваете? Когда-нибудь солнце превратится в сверхновую, так что ж теперь, не жить?

Пока же грейлистинг даже части почты(что, на мой взгляд, лучшее решение), с "подозрительных" хостов, помогает снизить число спам-писем в разы.

Loseki
()
Ответ на: комментарий от Sargan

> Тупиковое направление как раз контент фильтры и, вообще текущее > состояние smtp как таковое, а грейлисты имеют на данные момент большую > эффективность, и как раз потому что увеличивают стоимость доставки спама.

А, еще один теоретик. Ну вот ответь на вопрос - если мульен спама будет стоить не полтинник, а стольник - это что-то изменит?

Правильно, ничего.

anonymous
()
Ответ на: комментарий от anonymous

Как раз имениться. ВСЕ в этом мире делается за вознаграждение, абсолюно все. И если ты предлагаешь услуга спам рассылки за 20 баксов я еще подумаю, но если это будет стоить 50, 100... Я подумаю, и наверное обращусь к другим способам рекламы. Потому что спам это единственное направление рекламы которое противозаконно, т.е против его распространения создаються барьеры, административные, технологические. Соответственно стоимость доставки будет расти, тогда как неспам реклама ( тв, радио, газеты, индор) в цене падает, или стабильно растет, но в рамках инфляции.

Так что не надо трендеть, что цена не важна.

Sargan
()
Ответ на: комментарий от anonymous

> Не "пшелнах", а временно не могу принять ваше сообщение, подождите

Если уж нарисовать совсем корректно аналогию с дверью, то грейлистинг - это тупое отправление всех "погуляйте еще".

Неважно - это сосед с пивом пришел (нет, он не будет стоять под дверью час-другой, пока соизволят его впустить, ему найдется с кем пивка дерябнуть и без вас), сантехник - чинить вам протекшую трубу (отзвонится диспетчеру "я был - не пустили", так что и далее будете затыкать дыру ссаными тряпками), или там скорая приехала шило из жопы доставать (нет, они тоже не будут стоять под дверью).

А вот рекламным агентам - раздолье, им пох - с какой стороны двери складывать горы бамажек, снаружи или изнутри.

8-)

anonymous
()
Ответ на: комментарий от zenith

>Расскажи пожалуйста, зачем грейлистить почту от пира, у которого, к примеру, открыт 25-й порт?

а то что у него открыт 25-й порт о чем-то говорит?

xargs ★★★
() автор топика
Ответ на: комментарий от AVL2

>Главный разумный аргумент, что почта с грейлистингом спотыкается, приходит с опозданием, из за чего теряется много времени уже у людей, которые этой почтой пользуются.

гораздо больше времени эти люди теряют разгребая спам

xargs ★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.