» СПАМ (SPAM) : методы борьбы со спамом

вообщем полностью перешли на ORF - устраивает во всём (и по цене тоже).
Отправляется и принимается инетовская почта на двух серверах (два провайдера) и отвязаться от этой схемы не даёт заказчик, т.к. требуется отказоустойчивость.
Поэтому изначально есть необходимость иметь общий этот самый пресловутый auto sender whithelist. В МЕ эта функция есть, но цена на него не устраивает (>$5000!). Какие есть мысли по этому поводу? Может попробывать натравить оба сервака на один aswl.abs? Но вряд ли получится - конфликтовать 100% будут. Или может кто уже додумался как его разбирать и объеденённым собирать вновь?

народ,

проблемка, хотя возможно не сюда , но в тему спама.

один товарищь не хочет принимать мою почту поскольку, их антиспам пользуется такой политикой как резолвинг имени и хоста.
но поскольку я пользуюсь сервером хостера, тоесть у него там и веб и почта крутятся,
то этот хостер прописал только запись А, прямой просмотр,
а обратного разрешения не прописано, но у своего прова я не хочу публиковать себя в обратном просмотре,
тоесть, возможноли каким либо образом сопоставить один ip нескольким доменам?
чтоб всё было только через один сервер, хостеровский

как сделать так что б вся почта шла через хостера но и политика выполнялась,

настоятельно рекомендыю обратить внимание поскольку эта проблема, по идее, должна присутствовать не только у меня, а у всех кто пользуется почтой хостера

FAetoNets
Никак не сделать. По RFC обязательно наличие одной из записей - MX либо А. А собственно, наличие этих записей определяется реверсным тестом. Твой почтовый сервер является неправильно сконфигурированным.

Добавлено:
DimAll
Я думаю, узнать можно только в техподдержке.

FAetoNets
valhalla
Что-то у меня впечатление, что вы друг друга не поняли

FAetoNets

Цитата:

их антиспам пользуется такой политикой как резолвинг имени и хоста

что под этим понимаете?

valhalla

Цитата:

А собственно, наличие этих записей определяется реверсным тестом

что под этим понимаете?

unknown

Цитата:

Что-то у меня впечатление, что вы друг друга не поняли

От серверов, не имеющих обратной записи, нормальные сервера почту принимать не будут.

Цитата:

что под этим понимаете?

Необходимость наличия A или MX-записи, что влечет за собой наличие обратной записи. Что тут непонятного?

valhalla

А в MX записи возможно упоминание домена самого хостера, или его IP?
Или только моег домена?

FAetoNets
В MX должно быть упоминание FQDN, заданное в настройках почтаря (имя, которым почтарь представляется).
Для FQDN должна быть прямая (A или MX) и обратная запись. По обратной записи должно резолвится FQDN. По FQDN должен резолвится IP, заданный в обратной записи.

Всем привет.
Создал тему Hardware Anti-Virus, Anti-Spam - просьбы поделиться мнениями и опытом.

Привет.

Подскажите, пожалуйста, такую весчь.
Юзаю СпамАссассин 3.1.8, определяю в конфигурационном файле add_header all Testing _TOKENSUMMARY_, _SPAMMYTOKENS_
Затем запускаю: spamassassin -t --configpath=/usr/local/etc/mail/local.cf <message> > /message.
Просматриваю письмо после теста: там где вставил _TOKENSUMMARY_ - пишет Bayes not run.
Там где _SPAMMYTOKENS_ - Tokens not available.

Памагите советом, как правильно юзать встроенный баес в СпамАссассине.

кто нибудь сталкивался с таким продуктом, как Cloudmark Desktop http://cloudmark.com/desktop/releasenotes/index.php?lang=en-us ?

нас тут хотят переводить на него - интересны впечатления, плюсы-минусы

Система windows server 2003 + commungate. Антиспам фильтр отсутствует, из положения со спамом выходим с помощью блэклиста спамеров, но становться все сложнее, около 300 аккаунтов. Посоветуйте антиспам фильтр в моем случае. Наткнулся на popfile - стоит ли? Возможна ли грамотная фильтрация спама на стороне сервера, если да то как ее привязать к communigate. Если не стоит то поскажите какие нить другие антиспам фильтры для windows платформ и communigate

Цитата:

Наткнулся на popfile - стоит ли?

попробовал у себя. exch2003, 250 ящиков, порядка 3к писем в день
запускал на отдельной машине, в качестве smtp proxy
popfile замечательная штука, но ... по невыясненным причинам перестает отвечать при попытке массовой переклассификации (при этом ждал до 3 часов, думал может ему нужно время чтобы обработать такой объем), а так же подвисает после ~20 часов работы.
не избавляет от спама, позволяет его классифицировать.
конечно если есть возможность прикрутить его к MTA почтовику ...

Использую eTrust SCM8, персональные карантинные папки, присылает отчеты по почте, веб доступ к персональным карантинным папкам, персональные и корпоративные белые и чОрные листы.
Работает, вполне доволен, правда устанавливал с плясками и шаманским бубном, с вычислением порядка установки и действий.

минусы - техподдержка только из Германии
требует отдельную машину
время получения+отправка отчета пользователю+доставка из карантина - иногда доходит до 15 минут
необъяснимо глючит на русской windows (ну это уже конечно не к etrust)
крайне мало документации, многие вещи приходится вычислять эксперементальным путем.


А теперь из разряда мечтаний, спам фильтр должен интегрироваться в почтовик, требовать мало ресурсов, низкие адмнистративные затраты (пользователи самостоятельно могут создавать персональные блек и вайт листы)

вообще идеален вариант -

после того как MTA установил соединение, на каждом действии передавал управление стронней продцедуре и в соответствии с полученным ответом от продцедуры писал 250 ok или 550 изыди спамер
проверять отправителя (смотрит сторонний блек лист) и обратный dns
проверять получателя (смотрит свои почтовые ящики)
проверять тему на предмет спаммерского заголовка
проверять тело письма на спам
проверять аттачмент на вирусы и спам картинки
всю эту информацию поставляет какая нить база + классификатор (тот же popfile)
если провалены какие либо условия - писать в отлуп 550 с инструкцией для ложных срабатываний.

Помогите с траблой! поставил orf 4.0.4 на Exchange 2003, в тему письма orf добавляет [SPAM], НО!!! текст письма становится неузнаваем...кракозябры одни... Подскажите есть ли решение данной проблемы?

Расскажу про свою систему защиты от спама.

Раньше все просто плакали от его объемов, почта была на хостинге, т.е. ничего не фильтровалось вообще.
Поставил MDaemon 9.5.6, настроил и сейчас практически забыл про спам, 1-2 письма в неделю. Что конкретно настроил: greylisting с задержкой в 1 минуту, спам-ловушки, динамический скрининг, dnsbl - 3 штуки. На этом все, спам забыт как страшный сон.
Доменов - 9 штук, ящиков под 150. Это не реклама, просто захотелось поделиться...

Единственная проблема, некоторые хосты проводят обратную проверку адреса отправителя и натыкаются на грейлистинг, но это решается включением в список исключений, правда он срабатывает не сразу.

Все хорошо - но как с прохождением писем от ТУПЫХ уродов не настроивших свой сервер или шлющих напрямую.
сейчас ситуация такова что от спамеров больше соблюдение rfc чем от нашего собрата и пользователей.
(реальный один домен - могут быть 3 домена - но они с одного множества пользователей, более 300 пользователей, почта концерна и всех связываемых с ним.)

Alex_Pee


Цитата:

dnsbl - 3 штуки

У меня тоже так раньше было, если в черном списке - пинка... примерно с год так было, потом
пришел к выводу что это не правильно
strvv

Цитата:

Все хорошо - но как с прохождением писем от ТУПЫХ уродов не настроивших свой сервер

только комплексое расмотрение каждое пришедшее письмо со всех сторон на предмет спамовости и балловая система. Адресат не имеет реверсной зоны? плюс стока то, адрес адресата в в черном списке dnsbl? еще плюс стока то баллов, адрес отправителя в белом списке на твоем почтовом сервере ? минус стока то баллов и т.д. получилась итоговая оценка на спамовость. Если оценка ниже, установленного порога в твоей системе, милости просим, нет- пинка...

все бы было хорошо но спамеры проходят лучше (меньше балов) чем многие из криворуких уродов.
и не известно откуда письма могут прийти... часто почтовый сервер держится в блоке адресов dialup провов. и прочие приколы. а любой пинок - куча вони и разборов у руководства.
когда им спам приходит кривятся - но важнее получить от любого настояшего урода чем не пропустить. (Госуд. Сектор)

strvv

ну тогда только анализ содержимого писем на предмет присутствия определенных слов или словосочетаний типа "Главнокомандующему ракетных войск", "жалоба на соседа", фамилий чиновников ,кому эти письма пишутся

не все так просто - вы понимаете - концерн по работе с средствами связи и системами управления и работает помимо эРаФии еще на весь зеленый шарик включая некоторые наты-страны.

дано: два офиса, в Москве и в Киеве. Почтовый сервак стоит в Москве, мой офис в Киеве. Судя по всему на почтовом серваке напроч отсутствует антиспам защита и решить вопрос на стороне сервера особой возможности нет. Как можно организовать антиспам защиту на шлюзе в интернет или на компах пользователей, но с централизированным управлением ?
У юзверей в основном стоит Outlook

Зарание спасибо..

Извините, не хочу рекламировать.
http://www.agava.com/ - SMTP шлюз. Про возможности читайте по ссылке.

Поделюсь своими впечатлениями. Поставил ознакомительную версию на Интернет-шлюзе. Основной почтовик - внутри локалки. Т.е. не имеет значения, что за почтовик. Может принимать почту для указанных адресов, а может работать как SMTP прокси. Т.е. все запросы переправлять основному серверу. Если основной дает отлуп, поступает соответственно. Умеет забирать почту по POP3.
Управление - веб-интерфейс, несколько корявый, с некоторыми заморочками, но в принципе рабочий. Простенькая програмка для первоначальной настройки. Доводить правкой конфигов ручками, инфы нету.
Но! Замечательный фильтр. По заявлениям производителя - оринтирован на русский спам. Перед анализом сообщение приводится к определенной кодировке. Предполагаю, что HTML "помехи" удаляются. Трафик не экономится, но юзерам передается только проверенное. Обучается очень быстро. В том числе и хитрому русскому спаму.
Есть механизм "проталкивания" - отправитель предположительно спама в SMTP сессии получает ссылку, пройдя по которой может подтвердить отправку. Тогда письмо идет дальше и фильтр дообучается.
Поддерживает белые списоки получателей и отправителей. Локальный и публичные черные списки. Есть список адресов, чью почту фильтровать не надо.

К-во спама сократилось на несколько порядков!!!!

Была проблема с установкой ознакомительной версии, поддержка помогла.
В переписке с ними высказал несколько пожеланий, ответа не получил.

У производителя есть и персональная версия: http://agava.com/ru/products/antispam/
Не требуют совместимости с почтовым клиентом. Просто перехватывает трафик. Фильтр там тотже. Персональную тоже пробовал, красиво сделано.

Добрый день!
Хотел бы обратиться к тем, кто использует "Anti-Spam SMTP Proxy" (ASSP). На днях установил последнюю версию и столкнулся с такой штукой: если приходит маленькое письмо и ASSP помечает его как спам, то в тело письма вставляется служебная информация.

----------------------------------------------
...skip...
Subject: [SPAM?] =?koi8-r?B?7cHT08/X2cUg0sHT09nMy8k=?=
Date: Fri, 18 Apr 2008 09:17:26 +0500
MIME-Version: 1.0
Content-Type: text/plain;
charset="koi8-r"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.50.4963.1700
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.4133
X-Assp-Score: 5 (BombHeader)
X-Assp-Spam-Level: *
X-Assp-Tag: BombHeader
X-Assp-Envelope-From: jimbousmc_05@yahoo.com
X-Assp-Version: 1.3.3.8()
X-Assp-Spam: YES
X-Assp-Block: NO (Testmode)
X-SMSMSE-SCL: 9
X-Assp-ID: id-2246c24258
X-Assp-Spam-Reason: BombHeaderRe:'koi8-r'
X-Assp-Totalscore: 5
X-Assp-Score: 5 (BombHeader)
X-Assp-Spam-Level: *
X-Assp-Tag: BombHeader
X-Assp-Envelope-From: jimbousmc_05@yahoo.com
X-Assp-Version: 1.3.3.8()
X-Assp-Spam: YES
X-Assp-Block: NO (Testmode)
X-SMSMSE-SCL: 9
X-Assp-ID: id-2246c24258
X-Assp-Spam-Reason: BombHeaderRe:'koi8-r'
X-Assp-Totalscore: 5

Делаем каественные рассылки.

Подробности тут - http://emailspam.ru
--------------------------------------------------------

Кто знает, как это отключить? И еще. Может кто знает, где есть возможность получить информацию (на русском) по настройке программы ASSP?

А почему не рассматриваются такие продукты как McAfee GroupShield for MS Exchange with Anti-Spam plugin или второй вариант MIME Sweeper for MS Exchange?

обычно все ексенджи если используются, то стоят в локалке, за основным почтовиком.
поэтому и не рассматриваются.
если сама используешь и считаешь интересным продуктом - опиши. администратор выведет в шапку твое творение.

Вот как раз основной почтовик у меня перекрывает
MIME Sweeper, а внутренние защищены
GroupShield'ом with anti-spam plugin! Рекламировать не буду, скажу, что продукты очень надежны уже в течение 6 лет.

а как бороться с исходящим из локальной сети спамом?проверяю машины,но ведь идеального антивируса нету,хотелось бы из блокировать на выходе из системы,стоит MDaemon,ISA 2006

cbh1

Цитата:

а как бороться с исходящим из локальной сети спамом?проверяю машины,но ведь идеального антивируса нету,хотелось бы из блокировать на выходе из системы,стоит MDaemon,ISA 2006

Если ты имеешь ввиду вирусы на рабочих станциях, то на мой взгляд нормального механизма блокировки нет, потому как твой сервер эти вирусы для рассылки спама задействовать не будут. Нужно отслеживать статистику по трафику. У некоторых антивирусов есть механизмы блокировки спама. Например, у McAfee VirusScan есть Prevent Mass Mailling Worms from sending mail, который у меня в некоторое время назад заблокировал одну бухгалтерскую прогу, котороая, вероятно, некорректно оформляла заголовки писем, что характерно для спаммерских прог. По идее, эта функция должна блокировать рассылку спама, но все это нужно проверять.

cbh1
Если есть возможность, сделай отправку почты только с указанием логина/пароля.

Если нет, то не помню как в MDaemon, но в postfix вроде есть ограничение на кол-во отсылаемых писем за одну минуту. Возможно в MDaemon и ISA 2006 такое тоже можно настроить (т.е. например ограничение 1 письмо в одну минуту, и может быть уведомление админа о нарушении).
Такое решение не идеально, но позволит минимизировать негативные последствия заражения спам-вирусами пользовательских компьютеров.

И еще - на шлюзе в интернет должен быть заблокирован исходящий-входящий трафик для smtp (25 порт) для всех кроме почтовых серверов.

Добавлено:
имелось ввиду "ограничение на кол-во отсылаемых писем за одну минуту с одного IP"

Предлагаю свой способ борьбы со спамом и вредоносными сайтами:

    Идея по созданию глобальной базы неблагонадёжных адресов для борьбы со спамом и вредоносными сайтами:

Сделать в браузерах и почтовых программах две функции (меню/кнопки): 'Спам' (или 'Вредоносный адрес') и 'Доверять отправителю'. При выделении адреса в браузере или сообщения в почтовом клиенте и нажатии этих кнопок/пунктов меню создать (если уже не создана) на компьютере пользователя базу, в которую отправляется адрес сайта/e-mail спамера с пометкой: 'Вредоносный' или 'Не вредоносный'. Для каждого адреса в базе создать счётчик, который будет увеличиваться с каждой пометкой этого адреса как 'Спам/Вредоносный', и уменьшаться при отправке адреса с пометкой 'Доверять отправителю'. Если счётчик 'Спам/Вредоносный' равен 1 и адрес пришел с пометкой 'Доверять отправителю', то данная запись удаляется из базы данных вредоносных сайтов/e-mail адресов.
Создать в Интернете сервер с аналогичной глобальной базой данных и переодически (например перед обновлением системы или получении/отправке пользователем почты) дополнять базу на Интернет-сервере базой с компьютера пользователя.
Теперь до открытия сайта/загрузки входящих сообщений браузер/почтовый клиент может отправить адрес/список входящих e-mail-ов на сервер с базой неблагонадежных адресов и получить обратно этот же адрес/список, в котором сервер пометит все адреса, которые есть в его базе, как 'Вредоносные'. Далее браузер либо либо открывает страницу, либо выдаёт предупреждение о неблагонадежности сайта, а почтовый клиент принимает почту, оставляя от адресов спамеров только заголовки либо не принимая их вообще.

    Несколько плюсов такого подхода:

1) не потребуется на каждом компьютере устанавливать различные антиспамовые фильтры.
2) стоит кому-либо отправить сайт/e-mail адрес как неблагонадежный в глобальную базу и это заработает для всех.
3) этот сервис/службу можно легко отключить и контролировать личный траффик самостоятельно.
4) на сервер отправляются только неблагонадежные адреса, а не личные письма пользователя.
5) для e-mail спамера можно отправлять и содержание письма - это позволит вычислить разные ящики одного спамера. (аналогично можно отправлять содержание Web-страницы)
6) руководствуясь общей базой, можно блокировать или закрывать неблагонадёжные сайты/почтовые ящики (и открывать к ним доступ при удалении данного адреса из базы), либо устанавливать сайту/почтовому ящику индекс надёжности (например по 10-ти бальной шкале).
7) пересылаемый при синхронизации объем текстовых данных чрезвычайно мал и не будет оказывать заметного влияния на траффик, к тому же после синхронизации с глобальным сервером локальную базу можно удалить.
8) Индекс адреса в базе можно расширить дополнительными информационными записями.
9) вместо глобальной базы предприятие/фирма может (худший вариант) использовать локальную.
10) На системном уровне эта возможность может быть реализована без проблем. На уровне отдельных программ не намного сложнее, аналог такой базы - сервер freedb.org по музыкальным дискам отлично работает, используя оба способа.

Victor_Dobrov
Вся эта идея ничего не стоит, потому как спамеры генерят адреса отправителя, что называется, от балды. Очень скоро база будет весить гигабайты. Абсолютно бессмысленно.