>> Насчет DNS запросов: вы неверно поняли этот слайд (или я его неверно составил). Посыл был
>> в том, что ресурсы на обработку писем нужно лимитировать, иначе будет "ой".
> Существует мульон причин вообще не рассматривать SA как замену rspamd во многих
> случаях, впрочем, как и наоборот (во всяких микросетапах, где SA и
> так уже есть и работает - вот совсем не надо открывать
> для себя и своих юзеров новенькое поле непаханных грабель) Все так.
> 8s, конечно, случай клинический (в смысле, это само по себе признак, что
> ничего в том письме хорошего не было ;-) но, возможно, если
> поискать, найдется и для rspamd подобный образчик? (для таргетированной атаки на
> того же бразильеру - очень даже могут поискать) Понятно, там надо
> в первую очередь обмануть логику, запускающую отброс на ранних стадиях, то
> есть оно совсем по-другому должно выглядеть.
И это тоже верно.
> btw, про dns: на всяк случай напоминаю, что любой домен в письме,
> кроме тех что и так анализируются mta, может оказаться валидацией существования
> почтового ящика (url открывать не надо, достаточно поресолвить <encoded mailid>.roguedomain.com
> )
Ну да, это понятно, поэтому url resolver ходит только на заданный список url redirectors (типа, goo.gl или t.co) и делает ровно один HEAD запрос. Старый редиректор пытался резолвить до конца. Новый делает менее точно, но более безопасно на мой взгляд. В дальнейшем я его научу проверять более одного уровня редиректа, если они все находятся в том же разрешенном списке редиректоров, а также ходить через прокси (например, через тот же тор).
>> Насчет "не глядя": тут такое дело, что обычный гопник Вася будет лучше, чем самая
>> сложная и совершенная система антиспама.
> не, он false positives дает при нечетких критериях - subject закорючками, del...ой,
> это ж от Ли из Синьдзяня письмо...было.
Да-да, вот только у автоматических систем фильтрации те же проблемы, что и у Васи :) Если с закорючками ходит 9000 писем спама и одно хама, то всякие статистические или другие ML алгоритмы радостно скажут, что они увидели тут 9001 письмо со спамом в закорючках.
> А насчет скорости и прожорливости - так тут вопроса-то нет, просто дело-то
> не столько в сях, сколько в узкоспециализированном самописном коде вместо собирания
> из CPAN всего что в рот полезло (кстати, и как там
> у нас с безопасностью при зависимостях зависимостей от незнамочьих модулей, обновляемых
> по чесанию левой пятки? Вот того же Net:DNS, хотя бы? ;-)
> Ну и опять таки - кому-то нужна скорость, потому что иначе
> можно просто бизнес закрывать и идти по домам, а у кого-то
> критерий влезть при надобности в потроха самому - и вот тут
> плюсы резко становятся минусами, ибо разбираться долго и сложно.
Ну вот поэтому я и выношу почти всю логику в Lua. Практика показывает, что пользователи очень быстро начинают писать осмысленные правила и плагины на Lua, и почти все контрибьюшены в проект, что сделаны не мною, сделаны именно на Lua. Ну а для сишных кишок меня одного, вроде бы, вполне себе хватает. На багрепорты я реагирую оперативно.
