LINUX.ORG.RU

Ловушки для спамеров


0

0

Перевод статьи "Fighting Spammers With Honeypots" с securityfocus.com.
Рассматриваюся методики обмана работов, собирающих e-mail, организации
фальшивых релеев и открытых прокси.
Приводится статистика, что за сутки было убито около 15 тыс. писем, предназначенных более чем 85 тыс. респондентам.

Из категории "для практикующих администраторов".

>>> Подробности



Проверено: maxcom

Ответ на: комментарий от borisych

ага-ага. Проверяется. Изумительно. Это позволит путем несложных MAIL FROM: ... RCPT TO:... RSET... MAIL FROM:... RCPT TO:... RSET... etc. собрать все твои валидные адреса.

Uncle HM

anonymous
()
Ответ на: комментарий от anonymous

2Uncle HM:
> Это позволит путем несложных MAIL FROM: ... RCPT TO:... RSET... MAIL FROM:... RCPT TO:... RSET... etc. собрать все твои валидные адреса.

Обнаружение такого скана и присечение оного, это вообщем элементарная задача для любой IDS...

Irsi
()
Ответ на: комментарий от McMCC

McMCC:
"а ведь человек написал свой емейл верно, только from указал не соответствующий для данного хоста,"

По идее если почтивик на domain.com получил попытку отправить письмо куда-то на третий домен с полем from:, в котором стоит что-то отличное от @domain.com, то ему бы это письмо надо бы отправить в трешь...:) Если ты хочешь отправить письмо с domain.com и получить ответ на адрес в другом домене, то используй поле Reply to:, а не заменяй поле From:... Кстати подобное несоотвествие поля From и доменного имя почтовика, в 90% случаев означает что там вирус...
Кстати все проблемы почты проистекают от той причины, что в поле From: может быть все что угодно. Единственный способ победить спам - внести изменения в rfc...

Irsi
()
Ответ на: комментарий от anonymous

SMTP

эх, давно я не писал, да и сейчас не шибко хочеться...
Но по теме..Как то резко вспонилось какие крики которые я тут слышал когда пару лет назад выдвигал идею что SMTP образца 1982 года безнадежно устарел.. Большинство проблем, связаные со спамом порождены имено несовершенностью протокола, точнее его устареванием и непригодностью к нонешним требованиям.. Ну не виноваты были чуваки в 82 чтобы предусмотреть СПАМ как класс.. Не виноваты %)) Не виноваты в так же в том, что не догадовались что через 20 лет почтой будут слать мегабитные файлы и т.д. Ну почему то с ослинным упрямством сетевое сообщество держиться за этого древнейшего примитивного монстра SMTP, изобретает всякую херню в виде интелектуальных спамфильтров, разного рода "костылей", всместо того чтоб смериться что к примеру SMTP2 (3,4...) это не так уж страшно.. Надо просто решиться..


Кстати, что-то мне подсказывает, что сейчас тоже будут кричать про "кривые" руки и т.д. Лад, тема филосовская, чего бы не поговорить.

ifconfig
()
Ответ на: SMTP от ifconfig

2ifconfig: абсолютно согласен. Кстати смех-смехом, но чем дальше, тем меньше я уверен в неправоте тех товарищей, которые провозглашали jabber как замену e-mail...

Irsi
()
Ответ на: комментарий от Irsi

>>Кстати смех-смехом, но чем дальше, тем меньше я уверен в неправоте тех товарищей, которые провозглашали jabber как замену e-mail..

Я не знаю как там Джабер, но уже последний год не раз сталкиваюсь с тем, что корпорации ищут замену email. И СПАМ далеко не единственная причина. Иногда за бутылкой пива меня пробивает начать "изобретать" велосипед в одиночку, но протрезвев возращаюсь к тому, что каждый должен заниматься своим делом.

А вообще забавно наблюдать за всеми этими костылями. Когда народ на полном сеьезе пытается строить политику выфильтровывания почты приплетая протоколы сетевого уровня... Не, оно и понятно, больше костылей, больше народу на поддержание, больше зарплата IT отдела... Во всем есть свой сакральный смысл.. Э последнее, кстати, весьма не так плохо...




ifconfig
()
Ответ на: комментарий от ifconfig

> Когда народ на полном сеьезе пытается строить политику выфильтровывания почты приплетая протоколы сетевого уровня...

Есть же спам-бит в заголовке IP-пакета, на ЛОРе про это писали неоднократно. По нему фильтровать и все дела.

anonymous
()
Ответ на: комментарий от ifconfig

>> больше зарплата IT отдела...

Хорошо сказано! Радовает глаз ) Выделим отделу информационной безопасности по штатной единице - назовем сектор - как бы чего-тако сморозить... Типа Сектор борьбы с нежелательной информацией ) Всем тепло и сухо, да и дефка молодая под боком тож рядом сидит - из каждых двух минусов можно сделать один большой и жирный плюс! ))))))))))

Ups
()
Ответ на: комментарий от anonymous

>>Есть же спам-бит в заголовке IP-пакета

Слухай, ты где траву такую четкую покупаешь? Давай колись - не жадничай, делись местом с общественностью ))))

Ups
()
Ответ на: комментарий от ananas

>>вероятно, имелся в виду evil bit

Анонимусы будут у нас первыми непризнанными лидерами в этой области фильтрации ))))

Ups
()
Ответ на: комментарий от Ups

> Анонимусы будут у нас первыми непризнанными лидерами в этой области фильтрации ))))

Да, сообщения от наркоманов типа ups у меня уже фильтруются.

anonymous
()
Ответ на: комментарий от Deleted

Dimez (*) (18.04.2004 1:42:47)

Дима, и ты еще открещиваещься от краснаглазия? Порой в разделе "Документация" на этом самом сайте, много нового узнаешь.

Oldmann
()
Ответ на: комментарий от McMCC

McMCC> А не проще ли фильтровать хосты, в именах которых есть ppp, *dsl, dialup, [0-9]*-[0-9]*-[0-9]*-[0-9]* и т.п.?

Верной дорогой идете, товарищ! Только, я бы еще посмотрел, как этот adsl представился. Если его helo имеет пристойный вид (см. ниже) - можно бы пропустить.

McMCC> было бы не плохо еще не пускать хосты, которые не резолвятся, но это уже зверство

А вот, к примеру, есть хост 2.12.85.06, он не резолвится. Конечно, "убить" его только за это - не наш метод. Если это честный почтовый серверок маленькой конторки, то он представится в своём helo, скажем, kontorka.org.ru Найдем IP-адрес kontorka.org.ru и сравним с 2.12.85.06, если он похож - пусть живёт. А то бывает: пишут в helo IP-адрес, vanya-supercomp или microsoft.com. (microsoft.com имеет адрес совсем не похожий на 2.12.85.06). При таких отягчающих обстоятельствах нерезолвящийся кандидат идет, imho, в сад.

anonymous
()
Ответ на: комментарий от anonymous

>>Да, сообщения от наркоманов типа ups у меня уже фильтруются.

В самом деле? Да ты забыл их на эвил бит проксорить ))))

Ups
()
Ответ на: комментарий от anonymous

Господа, ко мне недавно пришло такое письмо. что оно означает? У меня на машине стоит троян?

>From owydhqkan@hotmail.com Wed, 07 Apr 2004 18:24:41 -0200 Return-path: owydhqkan@hotmail.com Received: from 156.102.55.160 by 44.121.76.58 (port=4951) Date: Wed, 07 Apr 2004 23:30:41 +0300 Message-ID: <FHPOHFCVSBCSQKZCQDXUJVPPK@yahoo.com> To: To: 2keeper@fido7.ru Cc: 2kerm8@elist.ru, 2kiapitiania@comcor.com, 2kiapitiania@concord.ru, 2kiaudit@2com.ru, 2kiaudit@com2com.ru, 2kill@mail.ru, 2kim@mail.ru, 2kinfo@microsoft.com, 2kir@mail.ru, 2kirill@mtv.com, 2kisa@mail.ru, 2klara@mail.ru, 2knd@mail.wplus.net, 2korg@yandex.ru, 2kov17@aport.ru, 2kplus1@rambler.ru, 2ksrenyia@mtu.ru, 2kt@mail.ru, 2kucmich@mtu.ru, 2kursant@mail.ru, 2kuzmich@mtu.ru, 2l20@mtu.ru, 2l@mtu.ru, 2lada@mail.ru, 2lada@mtu.ru, 2lamer@mail.ru, 2lamer@mtu.ru, 2lb@mtu.ru, 2lelik@freemail.ru, 2lem@lenta.ru, 2len@inbox.ru, 2lesyk2@mtu.ru, 2levik@mail.ru Subject: участок в Москве под постройку торг. центра from: "Продается" <owydhqkan@hotmail.com> Content-Type: text/plain; charset=windows-1251 X-Spam: Not detected

Продается пакет документов на постройку многофункционального комплекса (торговля, коммунально-бытовое обслуживание и общественное питание) Адрес: ул. Староспасская, вл. 8. Площадь участка 3.6 Га. Предпологаемая площадь застройки 20 000 кв.м. Цена 2 400 000$ т. 8-926-225-86-41 Гелена Юрьевна т. 8-916-195-89-49 Сергей

anonymous
()

Всегда завидовал и буду завидовать тем людям, для которых все едино, что заголовок письма, что IP пакета. Чтоб я так жил )))) И голова у них никогда не болит - болеть, поскольку, там нечему... (

Ups
()
Ответ на: комментарий от anonymous

>>> Цена 2 400 000$

И ты еще думаешь? Бери быстрей! Пока не перехватили анонимусы всяки разны - шастают тут - чуть проморгаешь - на халявку, считай, что даром поднимут ))))

Ups
()
Ответ на: комментарий от anonymous

>>Только, я бы еще посмотрел, как этот adsl представился.

Вкратце, не критикуя, все написаное имеет прав на жизнь, с одной большой оговоркой.. Это все привнесение "человеческого фактора" и данный подход небезопасен в крупных организациях, ввиду возможной потери части почты.
Тоесть, теперь представляем что в отделении вашей бумажной почты сидит Этакий гений географии, который имеет полономочия на основе своих представлений решить прочитав письмо и конверт а "достоен" ли адресат назначения читать это письмо.


Момент второй, спамеры тоже читают эти строки.. Другими словами на каждую хитрый скрипт, они найдут не мене хитрый хидер письма с винтом.

И в третий, все эти "закаты солнца в ручную" слабо поддерживаемы и, как правило, курсируют за челом который их "придумал", не выходя за пределы копирайта скрипта ВасяПупкин.

В четвертых, крешивать почтовый протокол с сетевым... Гм.. это все "частные" решения.. Почему бы еше сюда не припелести календарь?? я например, заметил, что в выходные и ночью спама сыплеться больше... Чем не прицендент срестить SMTP с календарем. ??


Так что всем желающим срестить свой могучий интелект с SMTP (Simple(Stupid) Mail Transfer Protocol) пламенный привет и удачи в борбе с ветряными мельницами.

ifconfig
()
Ответ на: комментарий от ifconfig

Да толку -то, менять шлюх? Анонистов не перехитришь, всегда вылезут... И причем с новой гипотезой, типа Лысенко )))) Да и бог с ними, пусть будут - зато нормальный человек почитает этот бред больных голов, да и сделает свой вывод. Так, что, в принципе, оно и должно так быть...

Ups
()
Ответ на: комментарий от ifconfig

ifconfig>Вкратце, не критикуя, все написаное имеет прав на жизнь, с одной большой оговоркой.. Это все привнесение "человеческого фактора"

Человеки мы. Что есть, то и вносим.

>и данный подход небезопасен в крупных организациях, ввиду возможной >потери части почты

На войне, как на войне :) И чтоб мне никогда иметь дело с крупной организацией!

>И в третий, все эти "закаты солнца в ручную" слабо поддерживаемы и, как >правило, курсируют за челом который их "придумал", не выходя за пределы >копирайта скрипта ВасяПупкин.

Дык, не тщимся решить всё в мировом масштабе. ВасяПупкин летать не может. Работает доморощенный скрипт, ну и хорошо. Может КолеПопкину, другу по подъезду, пригодится.

>В четвертых, крешивать почтовый протокол с сетевым... Гм.. это все "частные" решения.. Почему бы еше сюда не припелести календарь?? я например, заметил, что в выходные и ночью спама сыплеться больше... Чем не прицендент срестить SMTP с календарем. ??

А что, интересная мысль. Вы будете смеятся, но в одной профессиональной спамерской программке имеется интересная особенность, связанная с датами в заголовках. По ним можно эту программу узнать. >Так что всем желающим срестить свой могучий интелект с SMTP (Simple(Stupid) Mail Transfer Protocol) пламенный привет и удачи в борбе с ветряными мельницами.

Спасибо, друг. Мы их обязательно победим! :)

anonymous
()
Ответ на: комментарий от anonymous

>>Спасибо, друг. Мы их обязательно победим! :)

Хрена с два стыкуются сетевой с прикладным, может еще от физиков-добавим ананистов? Будем биты поднимать? Дык спамеры еще не хуже чем мы это сделают. Не с этого конца заходить нужно. Не с низу, а с верху - сделать это дело уголовно(административно хотя бы наказуемо)Проблемы после пары показательных дел как рукой снимет

Ups
()
Ответ на: комментарий от Ups

>>сделать это дело уголовно(административно хотя бы наказуемо)Проблемы после пары показательных дел как рукой снимет

Тоже вариант, но тут другой "камень".. наоборот - подставы.. В теории любую компашку можно привлеч к ответвенности разослав от ее имени спам..

Так что это тоже не выход...

Ну а желающим "повоевать" - все карты в руки %) кто против то. И насчет

>>И еще, на войне как на войне

Ага, а еше там "без суда и следствия" бывает за потерю важной депеши ..

ifconfig
()
Ответ на: комментарий от anonymous

Ловушки для дебилов

>что, интересная мысль. Вы будете смеятся, но в одной профессиональной >спамерской программке имеется интересная особенность, связанная с >датами в заголовках. По ним можно эту программу узнать.

И сюда харольд X. проник. Как затычка в каждй бочке. Сначала всех пытался пересадить с иномарок на жигули в fido7.mo.cars, а когда там его послали открытым текстом, занялся борьбой со спамом. Ничего хорошего из этого, как всегда, не вышло.

anonymous
()
Ответ на: комментарий от Irsi

Тут Irsi ты не прав. Поле From: вполне законно может быть каким угодно. Это поле совсем не предназначено для указания через кого ты посылаешь почту, оно предназначено для указания кто ты сам. Reply To: обычно используют когда хотят чтобы ответы на данное конкрентое письмо шли в специально выделеный для этого ящик. Кроме того, твою фильтрацию по From: легко обойдёт любой начинающий спамер, не особо напрягаясь.

anonymous
()
Ответ на: комментарий от Irsi

По моим подсчетом спам составляет менее 5% от всего трафика конторы...

----------------------

ха ха ха

напрмер в моих ящиках с точностью до наоборот :-|

anonymous
()

Даа... Очень хотелось потереть весь бред Irsi, но жалко стало ответов McMCC...

2Irsi: Ты ведь у нас спец по Макам? Вот и не отвлекайся! Системное, в частности, почтовое администрирование не для тебя.

2McMCC: Мысль надо формулировать четче, а посылать - дальше :)

По поводу (reverse) DNS - к сожалению, количество администраторов, которые четко представляют, как работает DNS стремительно сходится к нулю... Причем, это относится не только к мелким конторкам, в которых человек 50-100 сотрудников, но и к монстрам типа C&W, UUNet и DTelecom.

Боюсь, это рез-тат опопсения интернета как такового и админства в частности.

Кстати, в моей конторке тоже около 100 человек... Но мы как-то умудряемся поддерживать reverse DNS всей Европы, России а так же части Африки. Наверное, не только в размерах дело :>

По-поводу контор, сидящих на ADSL. Рассылать почту со своего хоста будут либо только спамеры, либо конторы с безграмотными админами. Вы заключили договор о предоставлении услуг со своим провайдером? Так вот, там должны быть адреса серверов исходящей почты. вот ими и пользуйтесь! Если же они не работают - меняйте провайдера :> Да, если кто-то считает, что это несекурно - так почта как таковая несекурна по определению(ака RFC2822). Use pgp or s/mime, если так уж критично.

Кстати, я не стал бы сильно доверять данным всяких GeoIP :> Мне-то известно, откуда они их берут, так вот - там никаких гарантий достоверности нет :>

P.S> SMTP - R.I.P.!

BaT ★★★★★
()
Ответ на: комментарий от anonymous

2anonymous (*) (18.04.2004 19:59:18): ты вообще читай внимательно что пишут - никто не собирается фильтровать только по полю From: это раз. Два - то что в поле АкщьЖ можно прописать любую фигню, это идеологически неправильно, это если хотите один из основных недостатков SMTP... О чем я собственно и вел речь.

2BaT: а ну-ка гдеж это бред-то? :) Подробней можно? И вот как-то уже лет 15 занимаюсь исключительно системным администрированием и тут такие новости...:)
И почему это если контора подключена по ADSL, то она не может иметь свой почтовый сервер?

Irsi
()
Ответ на: комментарий от anonymous

> Кстати у Кубушина в КСИ-2.0 были очень красивые ловушки для спама

Я помню секс с его сендмэйлом. Первым делом после установке KSI я сносил
сендмэйл имени KSI к евойной KSI-матери. Жутким извращенцом был товарищ
Кубушин. Мир праху его.

anonymous
()
Ответ на: комментарий от BaT

> но и к монстрам типа C&W, UUNet и DTelecom.

MTU ничем не лучше. Попробуй попроси у них делегировать тебе домен
*.in-addr.arpa, если у тебя не класс С сеть.

anonymous
()
Ответ на: комментарий от Irsi

Ну а что ты предлагаешь? Ты сравниваешь домен из From: с доменом сервера и если они разные, то фильтруешь. Это и есть фильтрация по From.

А я, выше, предлагал фильтровать по отсутствию регистрации. Тоесть, например, подключился к тебе кто-то с хоста 12.23.34.45 и пытается что-то куда-то послать. Проверь, а записан ли в каком-то домене этот самый 12.23.34.45 или hostname (который в этот IP резолвится) в качестве MX. Чтобы не проверять домены во всём Интернете проверь только те, что получаются из HELO или EHLO. Ведь этот 12.23.34.45 должен в начале сессии сказать что-то типа HELO a.b.com. По моему так можно фильтровать около 90% спама, если не больше.

anonymous
()
Ответ на: комментарий от Irsi

>И почему это если контора подключена по ADSL, то она не может иметь свой почтовый сервер?

может. но принимать с него почту совсем необязательно...

AVL2 ★★★★★
()
Ответ на: комментарий от anonymous

2anonymous (*) (18.04.2004 22:46:22): твой подход более жесткий, и имхо тоже имеет право на жизнь... Вообщем фактически это вариации одной и той же идеи имхо :)

Irsi
()
Ответ на: комментарий от AVL2

2AVL2: а почту вообще принимать не обязательно... Реджекти все коннекты на 25й порт и у тебя вообще спама не будет...:)

Irsi
()
Ответ на: комментарий от BaT

> По-поводу контор, сидящих на ADSL. Рассылать почту со своего хоста будут либо только спамеры, либо конторы с безграмотными админами. Вы заключили договор о предоставлении услуг со своим провайдером? Так вот, там должны быть адреса серверов исходящей почты. вот ими и пользуйтесь! Если же они не работают - меняйте провайдера :> Да, если кто-то считает, что это несекурно - так почта как таковая несекурна по определению(ака RFC2822). Use pgp or s/mime, если так уж критично.

Кто сказал, что я обязан пользоваться SMTP сервером провайдера? Я не хочу зависеть от этого сервера, я хочу иметь свой сервер и хочу сам его администрировать. Я же для чего-то покупал домен, записывал для него MX. Что я должен записать в MX? Свой SMTP? Тогда почему я не могу отправлять почту сразу им? SMTP сервер провайдера? Тогда этот сервер провайдера должен делать forwarding к моему SMTP серверу и я опять спрашиваю - а почему я не могу отправлять почту сразу своим сервером? Последний вариант - для приёма пользоваться POP3 или IMAP сервером провайдера. Но ты, я надеюсь, сам понимаешь насколько это неефективно.

anonymous
()
Ответ на: комментарий от anonymous

2anonymous (*) (18.04.2004 22:39:05): попробуй через релей провайдера организовать абсолютно легитимный майл-лист, полностью соответствующий 8му документу ОФИСП-а...

Irsi
()
Ответ на: комментарий от Irsi

Я бы согласился, что он более ефективный и безопасный, но не жёсткий. Как раз твой способ довольно жесткий, потому что способен отфильтровать вполне невинную почту, но спамер тебя обойдёт.

anonymous
()
Ответ на: комментарий от Irsi

Ты об этом лучше BaT-а спроси. Я то как раз против его идеи.

anonymous
()
Ответ на: комментарий от Irsi

> видимо мы друг-друга недопоняли... опиши алгоритм обхода, плиз...

Вот то, что ты предлагал, а ниже способ обхода:

> По идее если почтивик на domain.com получил попытку отправить письмо
> куда-то на третий домен с полем from:, в котором стоит что-то
> отличное от @domain.com, то ему бы это письмо надо бы отправить в
> трешь...:) Если ты хочешь отправить письмо с domain.com и получить
> ответ на адрес в другом домене, то используй поле Reply to:, а не
> заменяй поле From:... Кстати подобное несоотвествие поля From и
> доменного имя почтовика, в 90% случаев означает что там вирус...
> Кстати все проблемы почты проистекают от той причины, что в поле
> From: может быть все что угодно. Единственный способ победить спам -
> внести изменения в rfc...

кто-то с 21.32.43.54 подключается к mail.domain.com и говорит:

220 mail.domain.com SMTP
HELO domain.com
250 mail.domain.com is pleased to meet you
MAIL FROM: user@domain.com
250 2.1.0 user@domain.com... Sender ok
RCPT TO: zhertva@domain2.com
250 2.1.5 zhertva@domain2.com... Recipient ok
DATA
354 Enter mail, end with "." on a line by itself
From: User <user@domain.com>
To: Vanya <vanya@brighton.net>

Viagra, Viagra, Viagra...
.
250 2.0.0 i3IIAjT2001203 Message accepted for delivery

Это то что ты описал в своём сценарии. Твой фильтр тут не работает,
а спам течёт бурным потоком. Кроме того, ты пытаешся фильтровать
исходящую, а не приходящую почту. Для борьбы со спамом намного
актуальнее второе нежели первое. Или у тебя открытый релей?

anonymous
()
Ответ на: комментарий от anonymous

> Кто сказал, что я обязан пользоваться SMTP сервером провайдера? Я не > хочу зависеть от этого сервера, я хочу иметь свой сервер и хочу сам > его администрировать. Я же для чего-то покупал домен, записывал для > него MX. Что я должен записать в MX? Свой SMTP? Тогда почему я не могу > отправлять почту сразу им? SMTP сервер провайдера? Тогда этот сервер > провайдера должен делать forwarding к моему SMTP серверу и я опять > спрашиваю - а почему я не могу отправлять почту сразу своим сервером? > Последний вариант - для приёма пользоваться POP3 или IMAP сервером > провайдера. Но ты, я надеюсь, сам понимаешь насколько это неефективно.

1. Можешь сдать почту со своего ADSL. Только не удивляйся, что она не дойдет до кого-то, хотя бы до меня :>

2. Различаем inbound and outbound mail traffic. MX, domain и прочая лабуда имеет отношение только к inbound. Тут ты ограничен только фильтрацией 25 порта твоим провайдером(нафик такого). Для отсылки тебе ничего этого не нужно. Ставишь сервер провайдера smart relay у себя и шлешь со своим доменом сколько влезет(если провайдер не дурак, опять же - пускает свои IP, а не свои домены. Впрочем, и тут можно договориться).

P.S> Неужели это все настолько сложно?

BaT ★★★★★
()
Ответ на: комментарий от anonymous

Блин, опять изобретаем! Все в этом мире давно изобретено:

Фильтруется как раз по MAIL FROM: и DNS:

00:43:28.35 1 SMTPI-28066([202.109.73.38]) Return-Path 'admin@system.mail' rejected: host name is unknown 00:43:30.14 3 DNR-27190(system.mail) A:host name is unknown

01:17:35.42 3 DNR-28065(some.system.dom) MX:host name is unknown 01:17:35.42 3 DNR-28066(some.system.dom) A:host name is unknown 01:17:35.42 1 SMTPI-28152([210.106.32.179]) Return-Path 'user@some.system.dom' rejected: host name is unknown

И ло кучи:

00:14:11.48 1 SMTPI-27990([213.96.27.110]) a message from [213.96.27.110] addresses the spamtrap 'president@whitehouse.com' 00:14:11.95 1 SMTPI-27991([200.90.195.55]) a message from [200.90.195.55] addresses the spamtrap 'president@whitehouse.com' 00:14:13.21 3 DNR-26394(ksgmail.pta.gx.cn) MX:DNS server failure 00:14:13.21 3 DNR-26395(ksgmail.pta.gx.cn) MX:DNS server failure

00:14:57.68 1 SMTPI-27993([212.182.122.4]) Recipient rejected: your host [212.182.122.4] is blacklisted by xbl.spamhaus.org. Send your questions to blacklist-admin@whitehouse.com

00:16:22.29 1 SMTPI-28004([141.156.60.250]) Recipient rejected: your host [141.156.60.250] is blacklisted by dnsbl.njabl.org. Send your questions to blacklist-admin@whitehouse.com

00:17:01.80 1 SMTPI-28005([68.235.46.78]) Recipient rejected: your host [68.235.46.78] is blacklisted by dul.dnsbl.sorbs.net. Send your questions to blacklist-admin@whitehouse.com

00:17:28.20 3 DNR-26624(anaconda.vodafone.com.fj) A:host name is unknown 00:17:28.88 1 SMTPI-28009([202.62.123.174]) a message from [202.62.123.174] addresses the spamtrap 'president@whitehouse.com'

Впрочем, все равно без spamassassin и Clamav обойтись не получается...

BaT ★★★★★
()
Ответ на: комментарий от BaT

1. Ты тоже фильтруешь почту по наличию *dsl в реверс-резолве? :-))

2. Я различаю и я об этом говорил. Мне не понятно, почему для входящей почты я могу использовать свой сервер, а для исходящей нет. Только потому, что такие умники как ты режут *dsl в реверс-резолве? :-)) Smart relay - конечно интересно, но я не хочу никаких smart relays посередине. Кстати, 192.117.102.102 ты отфильтруешь, а 192.117.101.101 нет? Разница между ними лишь в том, что второй подключается при помощи кабельного, а не ADSL, модема. Кто тебе вообще сказал, что принадлежность хоста к классу dial-up или ADSL корректно проверять поиском каких-то ключевых слов в реверс-резолве?

P.S. То что ты предлагаешь не сложно, но глупо и неефективно. Посмотри как я предлагал выше фильровать по регистрации. Смотри (18.04.2004 6:38:50) и (18.04.2004 22:46:22).

anonymous
()
Ответ на: комментарий от BaT

> 00:14:13.21 3 DNR-26394(ksgmail.pta.gx.cn) MX:DNS server failure 00:14:13.21 3 DNR-26395(ksgmail.pta.gx.cn) MX:DNS server failure

Это и есть то, что я предлагал с проверкой регистрации? Разве в других случаях эта проверка не сработала бы? Вот там, строчками выше, есть:

00:14:11.48 1 SMTPI-27990([213.96.27.110]) a message from [213.96.27.110] addresses the spamtrap 'president@whitehouse.com'

Разве тут MX:DNS server failure не получился бы?

anonymous
()
Ответ на: комментарий от BaT

> s blacklisted by xbl.spamhaus.org.

По моему опыту всякие иностраныне RBL больше вредят, чем помогают.
Очень часто блокируют сети наших клиентов, причём в отдельных случаях
совершенно неправомерно. Из-за одно спамера легко могут заблокировать
целую сеть крупного российского провайдера. Поэтому я полностью
отказался от RBL, которые я не контроллирую.

anonymous
()
Ответ на: комментарий от anonymous

Вообще ты прав, огульно всякие DNSBL прописывать не стоит... Не все йогурты...(с) :) Кстати, где-то на hostinfo.ru вроде была статья недавно про sorbs.net - как он Зенон травит :). Я стараюсь использовать только списки открытых прокси и, сюрприз! - dialup, adsl, cable :) Кто не спрятался - я не виноват :)))

Кстати, вот тебе еще довод против - xbl.spamhaus.org сегодня с утра securitifocus.com блокировал :> Сейчас, вроде, рассосалось :) Но для таких случаев я держу white list :)

BaT ★★★★★
()
Ответ на: комментарий от anonymous

> 00:14:11.48 1 SMTPI-27990([213.96.27.110]) a message from [213.96.27.110] addresses the spamtrap 'president@whitehouse.com'

> Разве тут MX:DNS server failure не получился бы?

Каким боком? Hint - whitehouse.com - типа, мой домен(для примера) :)

BaT ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.