» СПАМ (SPAM) : методы борьбы со спамом

bornbill что подразумеваешь под отлупом ? поясни !
в принципе 90% спама режу на уровне DNS , для этогю юзаю
1 - RBL список - базы открыттых релеев,
2 - включил требование HELO/EHLO,
3 - включил проверку DNS REVERSE LOOKUP (не путать с ptr reverse lookup)
4 - spamassin юзаю, но от него толку мало .
почтарь MSAEMON 8.0.2
поскольку отлуп идет на уровне DNS , то канал не забивается .


Добавлено:
похоже не въехал малость ! то есть спамеры шлют письма и в поле from пишут адерса твоего домена ? с этим имхо никак не справится .

ipmanyak

Цитата:

о есть спамеры шлют письма и в поле from пишут адерса твоего домена ? с этим имхо никак не справится .

SPF

Я использую т.н. серые списки - "greylisting". Очень эффективно. Единственная заморочка - первое получание письма происходит с определяемой задержкой.

к сожалению серые списки помогают, но часть высокоумных долбо@бов используют прямое посыл почты, не через своего провайдера и часть почты тереятся, причем это уже моя проблема, т.к. это различные ген.директора, гл. инженеры и прочая муть...
а по поводу from... с твоими адресами - можно настроить почтовку, что посыл с твоими адресами будет требовать авторизацию...если отправитель не в тобой определенных адресах. т.е. это не проблема. у меня режу только при накоплении нескольких критериев. таких как реверс днс, хэлло, и еще пару (сейчас не вспомню)...
а рбл - они малось не эффективны, а некоторые вроде blackholes.fiveten - вообще не адекватны.

Просмотрел я шапку(не все проги, конечно), но большинство под Linux and freeBSD.
У меня Win2000Server, для него, чего, вообще прог сетевых нету? а со спамом бороться-то нужно, причем на стороне сервера. Пробовал поставить почтовик MDaemon, но там сам черт голову сломит, пока настроишь. может кто подскажет прогу или почтовик с антиспаммером? буду признателен.

ipmanyak
да как раз.
тоесть спамеры используют именно наш домен в поле от: (
ooptimum
please give me raussian equivalent SPF?
))
Так вот у меня вопрос что мне даст не приём отлупов в течении месяца? то что посоветовал mavka
Denuk
ламай себе голову и так разбёрёшся готовых решений не жди в исполнении одной кнопочкой "УБИТЬ СПАМ"

Народ ну серъёзно что посоветуете потомучто траффа выедае не реально....
Повторюсь крайняя мера возможность останова работы домена на месяц, но сменить домен не представляется возможным (

Совет старого специалиста
рубить все домены на уровне ipf (ipfilter) тоесть рубить соединения на уровне SYN
такие как wanadoo.fr (гады очень любят дробить сети даже класса С на 4-8 подсетей)
тоесть рубить целиком сегменты В класса.
так же *.rr.com
так же всю бразилию 200.0.0.0/8
ну и т.д
так же хорошо помогает такая прога как milter-sender (*nix) посылает запрос на сервер с которого пришла почта не наличие адреса . Точно перестанут ходить письма с адресами типа dfrtb@mail.ru vbfdrfkdt@test.com сгенеренные вирусами или через open релей.
могу запостить свой файл ipf.conf с вырезаной францией , германией , голландией , бельгией , и частично штатами и естественно с бразилией.

bornbill
Для начала - прописать как уже советовали SPF запись - многие почтовики тады просто не будут принимать левые письма якобы от вашего домена, и, соотвественно - отлупов будет меньше.
Ну а от левых отлупов - можно избавиться хотя бы не доставляя их в ящики юзерам. Делается так: при посылке письма из ващего домена ваш почтовик вставляет в заголовок письма какое-нить хитрое слово (типа X-MyDomen: passed). В случае, когда ваше письмо завернут обратно по какой-либо причине - этот заворот будет включать в себя все тело письма или на худой конец заголовок. В дальнейшем - ваш почтовик когда принимает заворот (возвраты определяются по пустому MAIL FROM:<>) - он по приему такого письма ищет это хитрое слово - и если его не находит - то дает ответ 550 - и привет семье.
Канечно - трафик при этом набегает, но левак по крайней мере хоть не проходит к юзерам...

Добавлено:
sergey34er
Можно и почтовиком рубить в момент начала сессии - сразу отлуп давать с 550.
Как это можно сделать я рассказывал тут:
http://forum.ru-board.com/topic.cgi?forum=8&topic=10931#1

нет смысла почтовиком рубить
1 потому что сессия на 25 порт уже установлена
2 копия sendmail или что у вас там - запущена
3 не дай бог еще и перед почтовиком антивирус стоит или антиспам (еще добавим по копии)
4 трафик за экономию которого мы боремся съеден.

тоесть на выходе (-) ресурсы и (-) трафик
вы видимо никогда не нелетали не spam атаку из бразилии или из китая
когда на канал T1 валится за минуту до 300 писем (соответственно 300 сессий)
2х800 P3 + scsi (320) скрипит мощами , когда в обычном режиме всего 0.1% загрузки


потом еще , зачем всем сообщать что вот вам отлуп уважаемые , или вы надеетесь , что получив отлуп эти ребята не придут к вам через 10 минут снова. Обязательно придут у них же робот.

sergey34er

Цитата:

1 потому что сессия на 25 порт уже установлена
2 копия sendmail или что у вас там - запущена
3 не дай бог еще и перед почтовиком антивирус стоит или антиспам (еще добавим по копии)
4 трафик за экономию которого мы боремся съеден.

Какие копии? Вы о чем? Запущен один демон почтовика и один демон антивируса (кторый форкает только при окончательном получении письма).
Трафик в этом случае - мизерный, и его в этом случае больше исходящего.


Цитата:

вы видимо никогда не нелетали не spam атаку из бразилии или из китая
когда на канал T1 валится за минуту до 300 писем

Триста писем в минуту - ерунда. Если почтовик не справляется - то ставим ограничение на количество сессий - и он будет всем говорить 421 - попробуйте позже. Ничего страшного.

Цитата:

2х800 P3 + scsi (320) скрипит мощами , когда в обычном режиме всего 0.1% загрузки

У вас винда что-ли, что такой суровый комп скрипит? Если винда - то сочуствую, там и не такой нагрузкой можно нагнуть сервак.


Цитата:

потом еще , зачем всем сообщать что вот вам отлуп уважаемые , или вы надеетесь , что получив отлуп эти ребята не придут к вам через 10 минут снова. Обязательно придут у них же робот.

Есть надежда, что робот у них продвинутый и получив отлуп - вычеркнет получателя из списка. Надежда маленькая, но ведь как-то должны же спамерюги актуализировать свои списки - иначе они тоже немало времени потеряют на попытках доставить письмо уже не существующему получателю.

Ну видимо вы действительно не видели как это работает.
Я управлял одно время почтовиком такой конторы как 'Компьютерный мир'
60000 писем в месяц (естественно считая локальные , вирусы, спам)
тоесть сеть магазинов 13 штук + склад и оффис + еще www (с форума мог написать кто угодно)
естественно о винде и речи быть не может (NetBSD)
ну а про сесси в sendmaile могу ради интереса кинуть скриншот ну чтобы не быть голословным.
Естественно на кждую установленную сессию пораждается копия и потом отработав умирает.
421 server busy или 554 no service responses конечно можно поставить , несомненно
но это прокатит только если у вас 20-40 реципиентов да и еще руководство в отпуске , да и занимаетесть вы розничной торговлей бананами.
А если скажем у вас биржа или не дай бог банк , то не прокатит.

И еще мы углубились не в ту степь , я предлагал рубить соединения с 'мусорными' сетями на подходе, тоесть не переднем крае. И не заморачиваться с пропуском данного торфика в сеть.
Ну а если вы ведете активную переписку с 'бразильской бабушкой' , тогда ОЙ!

p.s еще вы упускаете такой момент что у половины планеты почтовики настроены так @test.com -> яшик 'xlam'
все что я видел было именно таким.

sergey34er
Есчо есть один момент. Кады соединение рубится - то возможно вражеский почтовик будет пытаться есчо не раз установить сессию. А трафик, несмотря на то, что вашим файром он зарублен - все равно имеется (и вышестоящим билингом он подсчитывается).
Так что есчо неизвестно - что лучше: сказать вражине 550, что бы он отвял, или постоянно иметь пакеты отттудова...

возможно это и так
но при ежемесячном трафике в 20G
10 метров не картину не влияют
хотя у меня к примеру считаются все пакетики пришедшие на мой интерфейс
и скажем я больше пострадаю (по факту потери трафика) если меня будут несчадно пинговать чем от RST пакетов в сторону врага.

тоесть по сути стоит вопрос чем мерять проблему песочницами или карьерными самосвалами!

sergey34er

Цитата:

но при ежемесячном трафике в 20G
10 метров не картину не влияют

Дык и я про то-же! Кады враг соединятеся с почтовиком - трафика от него минимум, потом почтовик говорит ему: "550 - идитенах!" - трафика тоже мало, да и к тому-же- он исходящий (исходящий трафик в большинстве случаев не тарифицируется).
Можно и файром рубить, но мне удобнее в скуле - вкатываешь в табличку одну запись - что страна Бразилия идет лесом - и все - почта из бразилии перекрывается, чем все адреса прописывать где-то в скрипте файра...

Господа, а кто-нить пользовал мелкомягкий IMF (intellegent message filter) для Exchange 2003??
Я его поставил, попробовал, но так и не сумел добиться того чтобы в "нежелательные письма" не попадали нормальные.. хотя спам он рубит реально - за два дня экспериментов - ни одного спам-письма, но большинство хороших попали в разряд "подозрительных" и были помещены в соответствующие папки у пользователей.

Люди ктонить SpamCatcher к CGP привинчивал. Поделитесь плз конфигами

всё же подумайте о "бразильской бабушке" блокировать всю бразилию не есть хорошо
если есть список ip всех спамеров =)
пожалуй это можна было бы в фаервол вкрутить, а так не вижу смысла

конечно каждый сисадим хотит ограничить всех своих пользователей от всего спама
но блокировать целые страны считаю некоректным

аналогично -) помню когда в резалке рекламы встретил фильтр "*.kiev.ua"

В общем, просмотрев многие программы и почитав некоторые ветки на этом форуме, понял, чего сам хочу, и понял, что пока этого еще не видел. Хочется какой-то промежуточный pop-шлюз (иначе, pop-прокси), или же нечто какое же встроенное в каком-либо почтовом сервере, со следующим алгоритмом:
1. Письма из белого списка проходят без обработки.
2. От писем из черного списка проходит только заголовок письма. Сам список может откуда-либо обновляться.
3. От всех остальных писем скачивается только первые N kbytes (4 kb, к примеру) для анализа в спам-фильтрах (баеса и прочих).
а) Если письмо не отмечено после фильтра как спам – докачивается его оставшаяся часть (анализ в фильтрах, по моему пониманию, должен идти без обрыва pop-сессии) и передается клиенту.
б) Если спам – письмо (то есть его часть из N kbytes) перемещается в «корзину» в этой же программе. Туда же помещаются заголовки от писем из черного списка. При этом копии писем остаются на сервере, в то время как остальные полезные письма – как уже настроено в клиенте. «Корзина» нужна для дальнейшего анализа уже оператором. Если что-то в нее попало случайно, то оператор отмечает письмо вручную как не спам, после чего письмо при следующем запросе почтового клиента передается уже полностью с сервера и удаляется оттуда, если это делает сам клиент. Тут же можно очистить всю «корзину» с последующим удалением копий писем на сервере.

Все это очень хочется видеть в какой-либо программке. Задача стоит минимизировать трафик, расходуемый на спам, при этом не теряя полезные письма. Для нашей организации последнее наиболее важно, то есть чтобы письма от разовых клиентов не были утеряны из-за фильтрации спама. Сейчас стоит Courier Mail Server, который настроен на один фактический ящик, на его основе организован виртуальный домен для внутренней переписки. Через него же входящая почта раскидывается по каким-либо критериям по внутренним ящикам через его сортировщик. Перед ним я сейчас поставил SpamPal, но он только помечает спам, если бы к нему найти плагин, который делал бы остальное, было бы очень хорошо, но такого я пока не нашел. То есть плагин для реализации той самой «корзины».

Каким почтовым серверем под *nix можно реализовать алгоритм, подобный тому, который я описал выше? Можно ли это сделать в sendmail, postfix, exim?

Cпам обычно приходит с несуществующим возратным email.
Например приходит письмо, програма проверяет email возврата если он не существует, то в приеме отказано.
Можно ли так сделать ?
Я плохо разбираюсь во всем этом. Направте меня на инфо по этому вопросу.




Это може не актуально, но однажды меня достало и я начал медодично слать жалобы
провайдерам на спамерские письма, сначала провы меня послали на spamcop.net, типа шли жалобы туда. 3 дня слал - эффекта 0. Я опять переключился на провайдеров, От одного прова пришел ответ что они вычислили спамера и накажут его. Наверное наказали - количество спама резко упало почти до нуля.

А кто-нибудь это http://www.nospamtoday.com/server/index.html использует? Каково оно?

А это кто-нибудь, видел http://www.antispam-post.ru/ ?
Как думаете, стоит попробовать?

Кто-нибудь реально использовал dspam? Который hxxp://dspam.nuclearelephant.com/
Мне нужно поставить его как SMTP Releay, а я чета никак немогу понять настроек.
Может кто помочь?

kinnegan
Я использую. Но не как релей, а как один из фильтров в maildrop'е.

ooptimum
и как ощущения от этого софта?
мне к Лотусу надо прикрутить какойнить надежный антиспам, желательно бесплатный

kinnegan
Ловит очень хорошо, но на хороший начальный тюнинг уходит масса времени. И надо следить, но если отнестись к этому делу с любовью, в частности требовать от пользователей правильной ответной реакции на неверное распознование, то отдача будет непревзойденной. SpamAssassin распознает похуже, но работает фактически сразу "из коробки".

ooptimum
А как dspam по сравнению с spamassassin в плане потребления ресурсов? Говорят, что spamassassin довольно прожорлив.

FeoNik
Я специально не сравнивал.
http://dspam.nuclearelephant.com/faq.shtml#1.7:
Цитата:

DSPAM's technical philosophy is that of high-accuracy and high-performance in an enterprise environment. For this reason, C was chosen as the language for DSPAM. DSPAM has been implemented in systems exceeding 350,000 users and experiences execution times as low as 0.01s (real time) when tuned properly. The average system of around 100,000 users experiences around 0.06s-0.20s processing time. The philosophy behind SpamAssassin requires a focus around development effort. SpamAssassin is written in Perl, which is generally a much easier language to code the regular expressions used by SpamAssassin's heuristic rules engine. As a result, even novice developers can quickly code new rules for SpamAssassin. It's unfortunately very slow, however, compared to DSPAM and as a result, even small implementations have been known to use up all resources on the machine. Since DSPAM doesn't have any heuristic rules, it doesn't require the use of regular expressions (which are always touted as fast in Perl). DSPAM's tokenizing algorithm is, as a result, much faster then SpamAssassin's analysis engine because it does not use regular expressions. Because Perl is an interpreted language, and because of the extensive (and unnecessary, in my opinion) pattern matching it performs, SpamAssassin ends up running much slower and using many more resources than DSPAM, which uses a language compiled and assembled directly into machine code.

FeoNik

Цитата:

Говорят, что spamassassin довольно прожорлив

это зависит от того сколько ты разрешишь принимать коннекшенов одновременно, в моей конфигурации целик 1.7 Ггц 256 Мб оперативы - 16 коннектов... и не жужжит.
да, в день до 30 тыс писем...

Цитата:

FeoNik

Цитата: Говорят, что spamassassin довольно прожорлив
это зависит от того сколько ты разрешишь принимать коннекшенов одновременно, в моей конфигурации целик 1.7 Ггц 256 Мб оперативы - 16 коннектов... и не жужжит.
да, в день до 30 тыс писем...

а я на днях видел
6 коннектов по 200 Мб оперативки каждый!
На коммунигейте с гигом памяти!

Был в шоке!