» СПАМ (SPAM) : методы борьбы со спамом

2 strvv
Про КАВ я и не говорю....МОжет быть в чём то и согласен...

2 Sergey21102

Да я в чём то с тобой согласен...На первом плане (не только сейчас, а всегда) стоит проверка отправителя.....Но ведь в Касперском есть и эта проверка, а проверку сигнатур, и с помощью контентных баз ожно отключить...Причём, нагрузку сервера можно избежать выделив для антиспам-фильтра отдельный сервер...

Я вот что имею ввиду..что спросить хочу...Есть смысл рассматривать Антивирус Касперского как антиспам-фильтр? Или функционал других производителй подобен и не стоит извращаться?

Разе множество проверок Касперского (в том числе и проверка "русского" спама, проверка в блек листах) не является плюсом?

И ещё вопрос...
Есть ли какие нибудь стоящие антиспам-фильтры русских разработчиков кроме АнтиСпам, Маил ГайтВей (Касп Лаб), СпамОборона (Яндекс)?

Неужели никто не сталкивался с русскими антиспамовыми продуктами?

да елы палы, чем они лучше... спам то структуру имеет одну и ту же...
а привязка на конечные особенности нашего спама чреваты тем, что изменится структура россиского под один из эффективных западных и что?

Я не утверждаю что русские продукты лучше в случае с русскоязычным спамом....Я лишь српашиваю..



Добавлено:
Ну вот смотри руские продукты заточены/работают "как с русским языком, так и с основными европейскими"....И тут вопрос, а не эффективней ли будет распознавание спама?...Получается что, даже если структура изменится "под один из эффективных западных" то эффективность останется та же...и процент распознования окажется выше...

Ещё раз повторюсь, я спаршиваю лишь мнение, ни в коем случае не пытаюсь протурить русские продукты..(вообще с чего ты взял?)

Вот накопал руские антиспам продукты

Спамоборона (Яндекс)
Дозор-Джет (Инфосистемы Джет)
Антиспам (Лаборатория Касперского)

Спаморез (OutCom) Под вопросом, предоставляемые услуги мне не доконца ясны....

Характеристики продуктов практически одинаковые (лишь характеристики, которые написали сам риазработчики, не результаты тестов)...

Гнётся тема про спам как то....

Настроил блокировку спама, режет очень неплохо. НО есть проблема: есть почтовик, который получает почту для меня, когда я недоступен (у него прописано в dns). Т.е. ко мне приходят письма с двойным заголовком: два "Received: by " и два "Received: from". Все фильтры анализируют первый (верхний) комплект, а он вполне корректный и легитимный, как и helo. Как натравить фильтры и на второй заголовок? Postfix стоит в связке с drweb.

smtpd_client_restrictions = permit_mynetworks,
check_client_access hash:/etc/postfix/access,
check_client_access pcre:/etc/postfix/client_checks.pcre,
check_client_access mysql:/usr/local/etc/postfix/mysql_black.cf
smtpd_recipient_restrictions =
permit_mynetworks,
permit_mx_backup,
check_relay_domains,
check_client_access hash:/etc/postfix/access,
check_client_access mysql:/usr/local/etc/postfix/mysql_black.cf
smtpd_helo_required = yes
smtpd_helo_restrictions =

Мужики воспользовался тут вот статьей:
http://www.hart.co.jp/spam/sa-clamav-e.html
дельная весч, работает ка часы, но закрыла ентая весч нужный сайт subscribe.ru. Я немного не знаком с фрей, как сделать, чтобы сайт безболезненно, при этой конфигурации, мог принимать почту с оного сервера.

Грейлистинг уникальная вещь.. настроил и все, спама нет.

Доброе время суток !

Вопрос в продолжение темы! Сейчас почта у прова, пров использует СпамАссит. качество не удовлетворительное, письма убиваються при 5 иксах, при этом в день на некоторые именные ящике просачиваеться от 20 до 30 писем спама.

Сейчас поставил свой почтовый сервер, что бы отказаться от услуг прова и вот думаю в каком виде его выпускать в мир.

Можете расказать, какие есть бесплатные и какие платные анти-спам продукты для Exchnge 2003. О их эффективности.

Уже прочитал много всего, встрели разные инетересные связки типо:

ORF (первый эшелон) -> GFI Mail Essentials (второй эшелон) -> Exchange, IMF (третий эшелон). Это некий максимум или что-то в районе минимума.

Так же очень инетересно узнать по больше про Технология Greylisting'a. Как это работает? Как прикручиваетсья соответствено к серверу?

Про грейлистинг читай здесь http://greylisting.org/ (на английском)
http://www.samag.ru/art/07.2006/07.2006_04.html (на русском)

Цитата:

Грейлистинг уникальная вещь.. настроил и все, спама нет.

поддержу, включил его на своем Mdaemon 3-4 дня назад - как результат спама практически не стало!

аналогично: orf, greylist => 96% кореспонденции в спаме (см. по логу - ошибочных срабатываний нет =))

Цитата:

Спаморез (OutCom) Под вопросом, предоставляемые услуги мне не доконца ясны....

Могу рассказать - если что интересно.
Наша контора с ними работает.
вот уже 3 месяца как спам - прошел как страшный сон
кое-что иногда доходит (2-3 письма раз в неделю, а то и в две при общем количестве 50 ящиков)- но настолько редко что даже интересно посмотреть - что такое смогло пройти.

Технически у них все довольно просто:
- мы (клиент) заворачиваем мх-Записи своего домена на их сервера, таким образом становясь ПЕРЕД нашим почтовиком, и после обработки, уже без спама, пересылают нам.
- попутно файрволом закрываем прием почты на свой сервер отовсюду -кроме серверов спамореза. (мы сначала забили на это а потом спам попер по IP, минуя МХ-записи и пришлось так сказать во имя дела мира )
- от нас требовалось только согласие на изменение мх-записей - в остальном НИЧЕГО не изменилось, только спама не стало

в целом юзерам ОЧЕНЬ нравиться.
мне в общем тоже - даже трафик сильно упал - спам просто не доходит до нас.
что творилось полгода назад - страшно подумать

Поффтопить, что-ли? Хоть тему подниму...

alex81admin, очень занимательно.
Особливо занимателен тот факт, что регистрация Ваша и первое сообщение имели место в один и тот же день по подобной причине: желание похватить OutCom.

Полностью рассказывать, что не так, не стану - на это есть у Вас отдел маркетинга, пусть деньги отрабатывает. Маленький хинт: alex81admin. alex - допустим, 81 - будем ближе к текущему поколению admin'ов. Время поста - 14:13 31-01-2007 - рабочая пора, не время регистрироваться на ресурсах и писать хвалебные отзывы на антиспам админу 26 лет, у которого проблем со спамом нет уже 3 месяца. Сейчас самое время, пока начальство после обеда расслабилось, залезть на Anekdot.Ru или YouTube.Com

А так, в целом, лично у меня подобные "статьи" вызывают только негативные эмоции, предполагаю, что я не одинок. Однако, уточню, что личное мнение выражаю не к обсуждаемому продукту (ибо не имел ни удовольствия, не разочарования быть знакомым), а к методу привлечения внимания к нему.

P.S. Для интересующихся, зачем написал: сидел на хвалёном в одно время Kaspersky Antispam около полугода, тоже повелся на подобный обзор. Тогда почтовик стоял на четвёртой Фре. Потом забил на годовую подписку и выбросил. Ибо это глючило обрабатывало всего 10 ящиков, а висело сразу после почтовика. Всвязи с чем, при нарушении работы KAS, почтовые сервисы рушилились ПОЛНОСТЬЮ, оставляя без почты не 10 человек, а весь сервер. И, несмотря на автоматическое обновление баз, срабатывание было, мягко говоря, неадекватным.

P.P.S. Касательно grey-list. Можно попасть впросак с этими списочками. Ибо многие создатели подобных списков использут настолько замудрёные способы проверки, что довольно часто заблокированными оказываются совершенно нормальные хосты. В конце прошлого года сразу у 4-х наших клиентов адреса почтовиков попали в "чёрные списки". Причём, когда связывался с тамошними админами - голова шла кругом от их требований. Например Вы знаете, что по RFC НЕОБХОДИМО наличие на почтовике адреса postmaster@domain.com (RFC 2821, 4.5.1)? Или факт ЖЁСТКОГО требования наличия "зоны обратного просмотра" (Reverse Lookup Zone, RFC 2317)? Если же у Вас всё работает и/или Вам это не нужно, то Ваш IP в "чёрном списке" и не колышет!

Цитата:

Спаморез (OutCom)

Идея не нова. На западе подобные услуги предоставляет postini.com. В принципе, эффективность сопоставима с грамотно настроенными фильтрами на своем сервере (до 95-98%). У идеи есть свои преимущества и недостатки.
Недостатки:
Надо платить за услуги.
Степень фильтрации зависит от квалификации персонала и насколько там все серьезно сделано.
Слабая привязка к особенностям деловой лексики компании-клиента.
Преимущества:
Это обычно дешевле, чем платить квалифицированному админу, который будет заниматься тюнингом антиспама на локальном почтовом сервере.
При больших объемах почтового трафика становится резонным использование статистических методов отсеивания спама, что позволит увеличить общий процент фильтрации.

Возможно, кто-нибудь еще добавит к этому свое мнение.

JackalSR13

Цитата:

P.P.S. Касательно grey-list. Можно попасть впросак с этими списочками

IMHO, greylist - только и делает, что при первой попытке отослать письмо делает временный reject (45x код, нормальный почтовик через некоторое время должен повторить отсылку письма), а при второй попытке - принимает. И все.

Другое дело, что дополнительно к greylist можно еще проверок наставить.

Лично я считаю greylist при текущем развитии спамерских технологий почти неэффективным (2-5%). Свое мнение основываю на наблюдении за подконтрольным мне почтовиком (~30-50 тыс. писем в сутки). Лучше уж вместо greylist'а Sender verification поставить - и задержка будет, и еще существование отправителя проверить можно.


Цитата:

Например Вы знаете, что по RFC НЕОБХОДИМО наличие на почтовике адреса postmaster@domain.com (RFC 2821, 4.5.1)?

И лучше это требование выполнять. Например, как можно будет связаться с админом почтового сервера при каких-либо проблемах? Писать "на деревню дедушке"?
По этому поводу, можно еще здесь почитать: http://rfc-ignorant.org/


Цитата:

Или факт ЖЁСТКОГО требования наличия "зоны обратного просмотра" (Reverse Lookup Zone, RFC 2317)?

Если есть возможность, лучше это требование RFC тоже выполнять. Иначе ваш почтовик становится похожим на рассылающего спам зомби. Со всеми вытекающими последствиями. Правда есть невменяемые хостеры и прочие владельцы IP, которые не хотят делать человеческий back-resolving IP для клиентов (кстати, их не так уж и много). Что ж, для этого случая есть белые списки.

JackalSR13
Соглашусь с Вами в том что пост мой излишне эмоционален - что навевает на определенные мысли. Но то что описано выше - имеет кроме указанного Вами еще и другое объяснение:
alex81admin - совершенно верно. в точку - благо нетрудно было и Вам разгадать и мне зарегестрироваться на форуме, где все приличествующие ники вроде Mordor, Hacker, SuperAdmin и т.п. уже разобраны я к своему стыду как-то не общался долго в ру-борде и не имел тут постоянного ника. уж простите великодушно. а при регистрации ради случайного поста - как-то не привык тратить время на придумывание "красивого" ника непонятно зачем.
Время день регистрации, и поста - естессно совпали - т.к. собственно занимался я совершенно другими делами, а на пост с упоминанием Спамореза набрел случайно.
Решил написать (опять таки поддавшись порыву - о чем уже немного жалею, спасибо Вам, уважаемый ), зарегестрировался и написал.
Каюсь в легкопробивной наивности и "восхвалении" . Но на то было мое тогдашнее состояние - и долго объяснять как именно оно повлияло на сам пост
В итоге - мнение Ваше безусловно уважаю, но позволил себе не согласиться, что и описал выше.
Не ради оффтопа - упаси Бог.
Кстати насколько мне известно - Спаморез как раз и отличается от Каспера.., а да ну Вас - опять на смех поднимете.
откланиваюсь.

unknown

Цитата:

IMHO, greylist - только и делает, что при первой попытке отослать письмо делает временный reject (45x код, нормальный почтовик через некоторое время должен повторить отсылку письма), а при второй попытке - принимает. И все.

Согласен. Но тем не менее, как уже описал, под Новый Год имел весьма неприятные комментарии от клиентов на тему блокирования пачки IP "вдруг". Причём ситуация наблюдалась как среди тех, у кого своего почтовика не было (прямое соединение к сервером получателя и, соответственно, моментальный отлуп), так и среди пользователей почтовых серверов, т.е. тех, кто мог повторить отсылку письма при временном отказе. Только во втором случае люди получали отлуп не сразу, а через день-другой. Т.е. налицо некий ахтунг в алгоритмах проверки писем этими "серыми списками".


Цитата:

И лучше это требование выполнять. Например, как можно будет связаться с админом почтового сервера при каких-либо проблемах? Писать "на деревню дедушке"?
По этому поводу, можно еще здесь почитать: http://rfc-ignorant.org/

И опять согласен Но как наличие или отсутствие данного адреса может однозначно указывать на спаммера/не спаммера? Если спаммер будет использовать "дырявый" SMTP, на котором есть postmaster@..., то он уже не спаммер? Т.е. тут аспект УДОБСТВА пользователей повышен в ранге до аспекта СТАТУСА пользователя, что, IMHO, указывает на некую параноидальность проверяющего.


Цитата:

Если есть возможность, лучше это требование RFC тоже выполнять. Иначе ваш почтовик становится похожим на рассылающего спам зомби. Со всеми вытекающими последствиями. Правда есть невменяемые хостеры и прочие владельцы IP, которые не хотят делать человеческий back-resolving IP для клиентов (кстати, их не так уж и много). Что ж, для этого случая есть белые списки.

Отсутствие возможности настроить обратный просмотр для меня довольно туманна, если не принимать в оценку лень или незнание. И тем не менее, правило "лучше запретить, если подозрительно", опять же IMHO, звучит параноидально: давайте не будет ходить в магазин за продуктами, что-то на улице много подозрительных личностей, надо бы их по клеткам превентивно напихать... А если мне нравится моя чёрная борода, то требование сбривать её ради спокойного хождения по улицам мне кажется не только глупым, но и нарушающим мои гражданские права.

К чему всё это: запрещать и наказывать считаю правильным за "поведение", действительно нарушающее работу Сети. С личными заморочками - домой и там митинговать до посинения. Следовать RFC - нормально, повышать статус желательного до обязательного - фтопку, Кызылдур!

alex81admin, не надо каяться и жалеть
Если ошибся и обидел - мои извинения, на самом деле я не злой
Как уже писал - свои притензии к Вам лично не распространял, не имею привычки. Да и поведение Ваше обсуждать и оценивать мне тоже не с руки, да и не к чему. Указанные Вами ники вовсе не являются приличествующими, больше пафосными (хотя, опять же, это личная точка восприятия и я никому её не навязываю), так что для меня alex81admin звучит куда лучше SuperAdmin.

Всех благ!

JackalSR13
И ведь хотел же "приличествующие ники" в кавычках написать.. потом подумал - а-а-. ладно и так все понятно... взрослые-ж люди все... Теперь вот получается - SuperAdmin мое любимое ... э-эх... кулхацкер прям какой-то получаюсь...
Ладно - чего там. За последние год-два чем я только не был..
unknown

Цитата:

Недостатки:
Надо платить за услуги.
Степень фильтрации зависит от квалификации персонала и насколько там все серьезно сделано.
Слабая привязка к особенностям деловой лексики компании-клиента.
Преимущества:
Это обычно дешевле, чем платить квалифицированному админу, который будет заниматься тюнингом антиспама на локальном почтовом сервере.
При больших объемах почтового трафика становится резонным использование статистических методов отсеивания спама, что позволит увеличить общий процент фильтрации.
Возможно, кто-нибудь еще добавит к этому свое мнение.

могу по мелочам:
Недостатки:
- если работы не на договорной основе - то встает вопрос о конфиденциальности почты, ведь весь почтовый трафик идет через чужие сервера. Соглашение о конфиденциальности - ИМХО просто необходимо.
- скорее психологическое неудобство при рулении "нашей почтой" силами чужой компании. Начиная от "лишнего звена в цепи интернет-клиент" и заканчивая бурчанием руководства по поводу "а ты сам что так не можешь? за что деньги платим"
Достоинства:
- при таком методе и большом объеме трафика существенно уменьшается паразитный трафик (собс-нно спам)
- при слабом\ленивом\приходящем\дешевом админе - однозначно дешевле и качественнее.
- при наличии "корпоративной" идее в мозгах руководства - очень смахивает на аутсорсинг, со всеми вытекающими плюсами. в основном для руководства же.

unknown

Цитата:

Лично я считаю greylist при текущем развитии спамерских технологий почти неэффективным.

Можно уточнить - какие именно спамерские технологии дeлают grey listing сейчас малоэффективным ?

Loafer
По моим наблюдениям, спамеры научились корректно обрабатывать 45x коды.
И после первой попытки отослать спам делают попытки еще несколько раз с того же хоста. Это наблюдение также относится к спаму и из зомби-сетей.
Собственно, программно реализовать это относительно элементарно.
Вот так грейлист и обходится.

Добавлено:
Хотя, возможно, и не обрабатывают они коды. А попросту несколько раз делают попытки, вне зависимости от кода ответа почтового сервера.

У меня вопрос: какова процедура попадания в ящики такого письма, в котором нет даже реального адреса получателя.

Return-path: <cjqpz@kengu.ru>
Received: from 199-235-118-80.kaptech.net (unverified [80.118.235.199]) by
(Vircom SMTPRS 4.3.183) with SMTP id <B0000390241@>;
Tue, 20 Feb 2007 00:35:45 +0900
X-MSReally-From: cjqpz@kengu.ru
Message-ID: <011c01c753fa$16477660$066f8c55@bereft>
From: "=?koi8-r?B?79Qg09DFw8nBzMnT1MEg0M8g0NLJ0s/Ez9DPzNjaz9fBzsnA?=" <cjqpz@kengu.ru>
To: gytju@compote.ru
Subject: =?koi8-r?B?+sXNzMkg18/Ezs/HzyAgySDMxdPOz8fPIMbPzsTP1y4=?=
Date: Mon, 19 Feb 2007 09:29:34 -0600
MIME-Version: 1.0
Content-Type: multipart/related;
    boundary="----=_NextPart_000_0118_01C75413.3AFC17E0";
    type="multipart/alternative"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.3790.1830
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.1830

Или пересыльщик трудится на самом почтовике?

У меня стоит Ексченндж2003 плюс ORF, не подскажите ли на этой системе можно ли организовать такую процедуру.
Пришло письмо например на ящик sale@mydomen.ru, домен с которого пришло письмо в блеклист, айпи адресс отправителя тоже.

Приветствую!
Вопрос возник такого плана: погонял почтовик (exchange 2000) на http://www.abuse.net/cgi-bin/relaytest - в итоге пишет что релей. :/
начал разбираться какой ему тест конкретно не нравиться - в итоге:
Код: Relay test 8
>>> RSET
<<< 250 2.0.0 Resetting
>>> MAIL FROM:<spamtest@[x.x.x.x]>
<<< 250 2.1.0 spamtest@[x.x.x.x]....Sender OK
>>> RCPT TO:<"securitytest@abuse.net">
<<< 250 2.1.5 "securitytest@abuse.net"@mydomen.ru

а на kaspersky antispam 3.0 никто не видел валидного ключика неограниченного ? а то на месяц был но повторно не дал себя заюзать

Eagla
А в варезе смотрел ?

Интересует одно. Есть такие вещи для *nix'ов типа rsync и rbldnsd, которые позволяют делать копию понравившегося (при условии его бесплатности) RBL (DNSBL, кому как нравится) на локальный сервер. Он будет раз в 30 минут обновляться с оригинала. Тем самым кратно снимая нагрузку на инет-канал для DNS-запросов этого типа. Так вот, есть ли аналоги этого чуда для DNS сервера от M$ (WIN2003)?
ЗЫ порядка 2500 ящиков. Писем в день(!) около 60000(!) - из них не более 1000 легитимных. Сами понимаете как загибается система. Конкретно используется GFI mailessentials 12.

Люди что посоветуете в качестве жлежки для антиспама. чтоб сразу стояло на пути из интернета и убивало сразу спам. Смотрю баракуду и ironport но что то нигде про русский спам нет оптимизации кроме баракуда и то вроде как экспериментная

DimAll

Цитата:

Писем в день(!) около 60000(!) - из них не более 1000 легитимных. Сами понимаете как загибается система. Конкретно используется GFI mailessentials 12.

Поставь дополнительно ORF, чтобы он со Spamcop и CBL не принимал почту. Сократишь спам процентов на 40, а соответственно и трафик. Остальное в ME. Если не секрет, насколько успешно фильтрует ME?

valhalla
фильтрует замечательно. Для нас очень полезна функция auto-whitelist (добавление адреса на который кто-либо отправлял почту изнутри в белый список). Всё замечательно, но то что он при любом раскладе сначала ПОЛНОСТЬЮ принимает письмо, а потом только его сканирует - хреново. Трафик почтовый вырос (по сравнению с встроенными возможностями фильтрации спама у Exchange server 2003 SP2) c 50-200 Мб в день до 1 Гб! Платить то за трафик приходится (ну нет у нас в городе провайдеров с абонплатой). Сейчас вот начали потихоньку изучать/внедрять FreeBSD 6.2 с Postfix'ом - всё здорово (один только postgrey чего стоит!), но в юниксах не силён и не знаем пока как настроить auto-whitelist.

DimAll

Цитата:

Всё замечательно, но то что он при любом раскладе сначала ПОЛНОСТЬЮ принимает письмо, а потом только его сканирует - хреново.

Поставь дополнительно Open Relay Filter. Он позволяет отбрасывать письма из Blacklists без приема, есть там грейлистинг и авто whitelist. По статистике Spamcop, CBL и Spamhous отрежут более половины спама.
Если грейлистинг для компании приемлем - то спама может вообще не быть.
Но баесовского фильтра в нем нет, и по папкам раскладывать не умеет. Вобщем, ME не отменяет.