» СПАМ (SPAM) : методы борьбы со спамом

СПАМ
Методы борьбы со спамом на стороне сервера.
Давайте пообсуждаем.


Hardware Anti-Virus, Anti-Spam

---

SpamAssassin
Офф. сайт: http://www.spamassassin.org/

Цитата:

Программа фильтрации почтовых сообщений, по следующим примерным алгоритмам: http://spamassassin.rediris.es/tests.html

Цитата:

SpamAssassin(tm) is a mail filter to identify spam.
Using its rule base, it uses a wide range of heuristic tests on mail headers and body text to identify "spam", also known as unsolicited commercial email.

Anti-Spam SMTP Proxy (ASSP)
Офф. сайт: http://assp.sourceforge.net/

Цитата:

The Anti-Spam SMTP Proxy (ASSP) Server project is an open source platform-independent SMTP Proxy server which implements whitelists and Bayesian filtering to rid the planet of the blight of unsolicited email (UCE). UCE must be stopped at the SMTP server. Anti-spam tools must be adaptive to new spam and customized for each site's mail patterns. This free, easy-to-use tool works with any mail transport and achieves these goals requiring no operator intervention after the initial setup phase.

SpamCop
Офф. сайт: http://www.spamcop.net/ http://www.spamcop.net/fom-serve/cache/291.html

Цитата:

Анти-спам базы, которые можно подключать к своим серверам.

XWall for Microsoft Exchange
Офф. сайт: http://www.dataenter.co.at/doc/xwall.htm

Цитата:

XWall is a firewall that protects your Exchange server from viruses, spam mail and dangerous attachments.

Works with:
Every version of Exchange server including
Small Business Server and Exchange 2000/2003
Dial-up, dial-up routers, ADSL and leased-line connections to the Internet
MIME and UUENCODE messages, even with various Western and Eastern European languages

Benefits:
Blocks SPAM messages by checking incoming messages against MAPS or any other RBL / SLS / SPAM database
Filters SPAM messages using a statistical approach with the Bayesian filter and/or heuristic approach
Automatically prevents from false positive by using a white list
Validates the senders domain and does not accept message from invalid domains
Scans inbound and outbound messages for viruses, even when the filename includes characters from foreign languages
Blocks attachments so that your users do not fill the Exchange server with unnecessary or dangerous files
Blocks attachments embedded in TNEF messages ( WINMAIL.DAT )
Removes HTML and/or TNEF formatting from a message
Detects looping messages before they harm your server
Runs as a service on NT or Windows 2000/2003
Compresses messages when sending to reduce bandwidth
(25% for zip files, 50% on average, 80% for WinWord and Excel)
Encrypts messages using SSL / TLS when sending
Reassembles messages to prevent from "hidden" attachments
Adds a disclaimer to every outgoing message
Interfaces with MRTG to generate real-time statistics
Enhanced reporting using ESATInformer

ScanMail eManager
Офф. сайт: http://www.trendmicro.com/en/products/email/smem/evaluate/features.htm

Цитата:

ScanMail™ eManager™ scans the content of inbound and outbound email to help prevent the loss of confidential or proprietary information and trade secrets and exposure to legal liability. It uses logic operators and keyword searches for sophisticated content filtering. Administrators can create rules to check for specific words such as “for internal user only” and automatic notifications can be sent to specified individuals whenever a breach in confidentiality occurs. eManager also filters for offensive or inappropriate content.

Цитата:

У меня она установлена, возможностей по спамодаву у нее много, гибко настраивается сама скачивает обновленный спам-лист и тд. и тп.

Kaspersky Anti-Spam
Офф. сайт: http://www.kaspersky.ru/news.html?id=1106425

Цитата:

Kaspersky Anti-Spam представляет собой фильтр, который устанавливается на "входе" в сеть предприятия и проверяет входящий поток писем на предмет обнаружения спама. Система фильтрации может быть реализована как на выделенном сервере, так и на существующем почтовом сервере. В первом случае Kaspersky Anti-Spam работает в качестве почтового буфера, проверяющего письма до их обработки почтовым сервером. Таким образом достигается максимальная совместимость решения защиты от спама с существующей компьютерной инфраструктурой. Во втором случае продукт может также выполнять и функции основного почтового сервера.

POPFile
Офф. сайт: http://popfile.sourceforge.net/

Цитата:

Фильтр по содержимому письма (Байес, Bayes ). От нежелательного траффика не убережет, но позволяет пометить письма 90-95 % правильно. После тренировки. Веб-интерфейс.
Ставил на win2003, за три дня "обучения" результативность 92% ( судя по статистике )
Присутствует веб-интерфейс. На мой взгляд, несложная и эффективная программа POP3-прокси. Мультиплатформенная ( на perl-е ).

MailWasher
Офф. сайт: http://mailwasher.net/

Цитата:

MailWasher is a powerful email checker with effective spam elimination. Discover the safe way to stop unwanted viruses and e-mails before they get to your computer.

* DSPAM
Офф. сайт: http://dspam.nuclearelephant.com/
Wiki: http://dspamwiki.woozle.org/

Цитата:

The DSPAM (as in De-Spam) Project is a scalable, open-source statistical anti-spam filter. While most commercial solutions only claim a mere 95% accuracy (1 error in 20), a majority of DSPAM users frequently see around 99.95% (1 error in 2000) and can sometimes reach peaks as high as 99.991% (2 errors in 22,786, as with one particular user). DSPAM can be used as either a server-side filter (with many different configurations, including an SMTP gateway) or a developer's library (libdspam) for mail clients, other anti-spam tools, and similar projects requiring drop-in spam filtering. DSPAM has been implemented on many large and small scale systems with the largest being reported at about 350,000 mailboxes. It is presently being used or planned for use in multiple commercial spam filter solutions.

http://forum.ru-board.com/topic.cgi?forum=8&topic=1261&start=20#19

Цитата:

Наиболее эффективный вариант это:
Exim+ exiscan patch
http://duncanthrax.net/exiscan-acl/
http://www.exim.org

Вирусы и спам банятся во время smtp-сессии, что очень удобно... естественно для этого нужно прикрутить антивирус (DrWeb, ClamAV, KAV, Sophos) и спам-фильтр (spamassassin)... ну а так же не забываем про RBL и ACL... в итоге в день проскакиевает всего лишь около 2-х спам-писем....

Ссылки по теме:
http://www3.opennet.ru/links/sml/78.shtml
http://opennet.ru/keywords/spam.html
http://wiki.forth.org.ru/AntiSpam
http://www.opennet.ru/base/net/sendmail_antispam_setup.txt.html - пошаговое руководство настройки антивирусных и спам фильтров под Unix.

ServerFault Q&A (англ.):
http://serverfault.com/a/516316/190178
[more]выбор фильтра входящей почты [/more]
http://serverfault.com/questions/tagged/spam?sort=votes
[more]вопросы и ответы с самыми высокими оценками (с тегом SPAM)[/more]



Статистические фильтры:
http://popfile.sourceforge.net (все платформы)
http://keir.net/k9.html (для Windows)
http://bogofilter.sourceforge.net (у кого свой почтовый сервер)

---

qmail - борьба со спамом
Антиспамерский фильтр для Postfix'а

Фильтры ставить, а так еще никто вроде не придумал как с этим эффективно бороться.

VovanV
AlexIA
меня ordb вполне устаивает...

Давайте всё же продолжим тему, а то вопрос больно жизненный.

Ситуация - в конторе под Вынь 2000 крутится почтовый сервак (VPOP3). На серваке, в принципе, настраиваются download rules, в которых можно прописывать адреса, почта с которых будет считаться спамом.

Однако, как выяснилось, этого далеко недостаточно. Во-первых, адреса бывают фейковые, т.е. письмо одного и того же содержания приходит с разных левых адресов. Во-вторых, хотелось бы иметь фильтрацию по подстроке, содержащейся в Subject-е. В-третьих, хотелось бы, чтобы спам-фильтр при необходимости анализировал не только заголовки, а и небольшие фрагменты текста, т.е. не тянул мегабайтное письмо, а только первые 3-5 кб. из него. В-четвёртых, письма, в которых список получателей больше заданного числа (скажем, 10). В-пятых, письма где мой адрес не указан явно в поле To: (т.е. Carbon Copy)

Вопрос. Существует ли прога, которая реально может всё это делать, и одновременно будет уживаться с существующим почтовым сервером.

Как вариант - демон, который будет являться промежуточным звеном между моим почтовиком и сервером провайдера. Т.е. помой VPOP3 лезет за почтой к моему же демону, который в свою очередь выполняет нужные проверки и возвращает в VPOP3 только то, что надо.

Поделитесь опытом, у кого что получилось в борьбе со спамом. А то достали уже, черти.

Вот, сам не пользовался, так что не осуждать
http://spamcop.net
А точнее
http://spamcop.net/fom-serve/cache/291.html

Crash Master, спасибо.. Но...

Принцип, конечно, тот, но вот реализация меня не уcтраивает. То есть это же не программа, а интернет-сервис, причём платный. А нафиг мне кому-то отдавать всю мою почту для фильтрации? Я сам хочу этот процесс контролировать.

В общем, поиск продолжается.

ralphnsk
Почему отдавать почту? Я там видел какой-то модуль для exchange, например.

на http://www.spamassassin.org/ почитайте много чего интересного есть

VovanV
ordb...
бороться? вы писали это сообщение от лица хостинга или лично? если от хост., то просто отключать акаунты спамеров...без предупреждения

ralphnsk
Exchange 2000 + GroupShield McAfee все, или почти все ,это может

В принципе, можно найти (написать) прогу, которая будет проверять письма аля mcafee в том же cgp и удалять спам. Да и в самом cgp можно сделать правило для выкидывания спама. Вопрос в том, где взять нормальную базу спамеров России? Да и что это решит, если я могу указать любой адрес, отправляя письмо (поправьте меня, если я ошибаюсь).

Примеры спамеров: mary@random-number-184644.bigwinnerz.com
Причем никто не мешал человеку сделать не .bigwinnerz.com, а bigwinnerzzzzz.com. Тот же sendmail не требует явного указания обратного адреса.

KBECT
Для этих случаев хорошо помимо обратного адреса анализировать поля Subject и To. Массовые рассылки редко осуществляются таким образом, что твой адрес присутствует в поле To: (во-первых, представь, какой будет заголовок у письма, если туда попадут тысяч 100 адресатов, а во-вторых, нафига рассыльщикам со всеми делиться своей базой?). То есть уже простое килляние всех писем, где твои адреса не присутствуют в To:, либо если список получателей, скажем, больше 10, от части хлама избавит.

И всё же, кто чем может помочь? Почтовый сервак менять не хочется, всем он нравится, вот только стандартные средства защиты от спама слабы.

Анализ поля To - реальная защита от некоторого спама. Но вот что я обнаружил после небольшой проверки спам писем: у них на 90% у всех присутствует корректное To. Т.е. люди особенно не парятся, а посылают письма в виде To: addr\nFrom: kakaya-to_lafa\nSubject: my bro is ill \n\n...
Что же касается анализа поля To на количество адресатов, то это вообще убийственная тема. В свое время было предложено регулярное выражение, которое соответствует RFC по определению почтового адреса. Вот тут http://www.piter.com/bugs/5-318-00056-8/optimis.txt лежит это выражение. Сомневаюсь, что можно будет корректно анализировать кол-во адресатов, без использования чего-нибудь такого же сложного. Мой CommuniGate Pro, например, не умеет говорить, какому кол-ву адресатов пришло письмо.
Интересная идея по анализу спам - не спам была введена в одной программе. Суть была в следующем: вводился список адресов, с которых письма не бывают спамом, если же с другого адреса на почтовый сервер приходит более N-нного кол-ва писем, письма считаются спамов и не доходят до адресатов.

Думаю, тема не исчерпана, т.ч. будем ждать свежие идеи

Всего.

А вот это никто не пробовал?

Age ЭТО действительно интересно, но...
Цитата:

For example, if you enable the Spam Lookup Service (SLS) and you tell XWall to block all messages that are on the spamcop.net list, then this will catch a lot of spam mails ( usually around 50% ).

Может быть я пессимист, но очень хочется 70, 80, 90 процентов

SergejKa, этот сервис вроде только под Exchange. Есть какие-то комментарии, как можно вручную работать с сервером для проверки на спам адресата. Если я не ошибся, то проверка идет не не адресата в виде myname@myhost.com, а на IP-адрес отправителя. Блокировка по IP-адресам отправителя - это что-то новенькое или хорошо забытое старенькое?

Мне вот интересно почему никто не упомянул такую, вобщем-то неплохую прогу от TrendMicro как eManager. У меня она установлена, возможностей по спамодаву у нее много, гибко настраивается сама скачивает обновленный спам-лист и тд. и тп. Вот ссылка - http://www.trendmicro.com/en/products/email/smem/evaluate/features.htm

Добрая новость от Касперского - Анти Спам
http://www.kaspersky.ru/news.html?id=1106425


Цитата:

Kaspersky Anti-Spam представляет собой фильтр, который устанавливается на "входе" в сеть предприятия и проверяет входящий поток писем на предмет обнаружения спама. Система фильтрации может быть реализована как на выделенном сервере, так и на существующем почтовом сервере. В первом случае Kaspersky Anti-Spam работает в качестве почтового буфера, проверяющего письма до их обработки почтовым сервером. Таким образом достигается максимальная совместимость решения защиты от спама с существующей компьютерной инфраструктурой. Во втором случае продукт может также выполнять и функции основного почтового сервера.

Народ! Все линки которые Вы даете направлены для Exchange, а как бороться со СПАМОМ если стоит другой почтовый сервак? У меня например стоит MDaemon 6.5.0! Как настроить этого зверя для фильтрации писем?

Американский специалист по компьютерам разработал новый тип программного обеспечения, самостоятельно генерирующего уникальный электронный адрес для каждого сообщения. Новая разработка позволит раз и навсегда победить спам, заявляет ее создатель.

В уникальном адресе содержится зашифрованная информация о том, кто сможет ответить на это сообщение, а также сколько его копий может быть разослано и в какой промежуток времени. Например, пользователь, подписавшийся на новостную ежемесячную рассылку, указывает их источник и количество - 12 сообщений в течение года. Даже если спамерам удастся раздобыть адрес, их "мусор" будет блокирован еще до того, как попадет в почтовый ящик абонента.

"Система адресации "Single Purpose" (однократного действия) позволяет ограничить спам, блокируя его еще до того, как он попадет к пользователю", - поясняет автор изобретения Джон Иоаннидис (John Ioannidis), сотрудник исследовательской лаборатории AT&T в Нью-Джерси.

В настоящее время уже существует ряд онлайновых сервисов, которые формируют для пользователей электронные адреса однократного действия, например, SpamEx и SneakMail, но ни один из них еще не предлагал пользователям возможности ограничения количества возможных репликаций адреса.

Адреса системы Single Purpose содержат несколько десятков символов перед символом @. Разрешенные абонентом условия репликации зашифрованы секретным ключом, так что спамерам до него не добраться. Несмотря на нечитабельный внешний вид, адреса эти с легкостью распознаются компьютером. Их можно размещать даже на интернет-сайтах без опасения быть в ответ заваленным грудами спама. А для личной переписки можно использовать намного более простой адрес "многократного действия".

Rulezz

Источник?

All
Извиняюсь, но хочется подлить масла. Например бесплатные почтовики могут заносить адресатов в чёрный список. Если я заношу в чёрный список весь интернет, то смело могу пулить любую рекламу, да и просто нечитаемую фигню. Значит создатели спама занесли интернет в чёрный список. Я не могу ответить на спамерное письмо. Мой ответ не услышат. Однако я запретил читать netscape.com и sexflexmexpex.org, так как я не ожидаю ничего дружеского с этих компьютеров. Мне наплевать на десять тысячь потенциальных адресов - это их проблеммы - это они меня потеряли. Пусть администрация netscape.com борется с исходящим спамом. А потом пусть попытается востановить доверие.

Обращаюсь именно к администраторам - я не буду разгребать мусор с заголовков в хеадере - я просто коллекционирую DNS в чёрном списке. Когда весь спам заглохнет, буду разрешать по одному DNS в день и пополнять список новыми.

Не помню где нашел, но мне понравилось (клин - клином):
============Cut========================
Один из методов убийства спамеров.

Я тут лазал по Инету и наткнулся на статью на сайте "Spam! Online" (http://www.spamm.net/), посвященную интересному методу
убийства е***ных спаммеров. (http://www.spamm.net/article.php?sid=128&mode=thread&order=0). Может пригодится.
Вот мой вольный перевод ее с английского (извини за возможные ашыпки и ачипятки

Часть 1
----------------
1) Идем на сайт, который рекламируют, находим там адрес e-mail, на который пойдет форма.
2) Если нет адреса почты, можно использовать название домена спамера, идем на www.networksolutions.com (для России -
www.ripn.net) делаем "whois"-запрос чтобы найти адрес почты хозяина домена (там же может быть и другая контактная инфа).
3) С этим мы можем приступить к части 2 .

Part 2a
========
1) Идем на Yahoo.com и ищем "FFA submitters". Это роботы, которые подписывают URL (и email) to на сотни тысяч "Бесплатных
Для Всех" списков рассылки. Выбираем один или несколько и идем туда.
2) Обычно я пишу вот так название и URL потому что чаще всего только они показываются потом...
- Название: Spam this Spammer - abcdefg@adsffdsd.com (их почта)
- URL: http://www.spam.com или даже www.fbi.org - так веселее
- Email: abcdefg@adsffdsd.com (их почта)

3) Потом сабмитим, и спаммер подписан на 100 - 10,000 сайтов каждый из которых пришлет ему письмо с потверждением и начнет
спамить их email....lol.....обычно работает....Получалось зафлудить их почтовые ящики за 15 минут!

Надеюсь, это поможет в борьбе со спамом.

Наслаждайтесь и ГОВОРИТЕ ОБ ЭТОМ ДРУЗЬЯМ!

Out
Для Mdaemona очень подходидит выше упомянутая ordb.org(Mdaemon -spamer block ... enable ... etc) у меня был оставлен спецами открытый релей так ordb меня быстро закрыли.
Так что и остальным советую иногда проверять а то малоли.

Интересуют программы фильтрации спама для Exchange 5.5.
Кто чего подскажет ?

JcVai
Интересно как ты подобным образом боролся бы с КУРСАМИ ИЗУЧЕНИЯ АНГЛИЙСКОГО ЯЗЫКА? Пишут они с разных мылов и часто с хостов владельцы которых и не подозревают о том что через них спам пихают? И еще, в инфе о моих айпишниках абсолютно никакой инфы о моих емылах нету.. сеть зарегена на вышестоящего провайдера, таким образом ты просто испортишь жизню человеку который к спаму никоим образом не относится. самое действенное что я нашел это фильтры типа ordb.org и т.п.

А такой вопрос: предположим что я не хочу даже принимать сообщения с хостов прописанных в РБЛ. Так вот, предположим я настроил свой сервак чтобы сразу же после попытки написать Subject: КУРСЫ*АМЕРИКАНСКОГО* отваливаться с 5хх ошибкой. Все замечательно, траффик почем зря не расходуется, но: а что если они будут отправлять письмо на вторичный mx? Он, разумеется, его приймет. И даже если я его потом принимать откажусь - траффик сожрется, обратный адрес левый значит сообщение об ошибке до них не дойдет... Что делать?

Что касается "КУРСОВ...", IMHO лучше проверять в теле письма их телефоны.
Именно так я от них и избавился.

Кстати, SpamAssassin или его правила никто к MDaemon не пробывал "прикрутить" ?

unknown
Это проблему не решает. В любом случае, вторичные ексчейнджеры его не будут фильтровать.

mymuss

Цитата:

Это проблему не решает. В любом случае, вторичные ексчейнджеры его не будут фильтровать.

Это понятно-то. В твоем случае правильней было бы каким-нибудь образом удалять письмо не принимая его.

Письма принимаютя по SMTP ?
Возможно ли выборочное получение письма, части письма и удаление письма?
Если письма принимаются по POP или IMAP, то можно пойти по пути "The Bat"

IMHO, для фильтрования СПАМ'а заголовка письма мало будет, необходимо еще обрабатывать тело письма. Поэтому, IMHO, лучше письмо принять и спокойно обработать (anti-СПАМ'ером и антивирусом, а потом "отдать" пользователю).