В рассылке postfix опубликовано сообщение (http://archives.neohapsis.com/archives/postfix/2008-05/1063....) о приостановке работы сайта dsbl.org. Обновление RBL прекращено. В ISP, который раньше предоставлял бесплатный хостинг для проекта, произошли изменения и предоставление хостинга было прекращено. Рекомендуется убрать блэклисты *.dsbl.org из настроек почтовых серверов.
rbldns-list.dsbl.org являлся одним из самых качественных списков блокировки (минимум ложных срабатываний), на момент последнего обновления, список включал в себя более 14 миллионов заблокированных адресов.URL: http://archives.neohapsis.com/archives/postfix/2008-05/1063....
Новость: http://www.opennet.ru/opennews/art.shtml?num=16083
вот зараза, а..
Ну и кому осталось доверять?
Себе и страховому полису :)
Угу. Себе самому списки составлять, а страховой полис для лечения последствий после составления списков :-(
прям заупокойную сразу давайте... написано же - временная приостановка работы. Since the removal mechanism is offline now. починят. потом.
Похоже, что RBL по-тихоньку сходит со сцены.См.:
26.12.2006 12:02
Черный список ORDB.org прекращает свою работу
http://www.opennet.ru/opennews/art.shtml?num=9357Нужно искать замену.
наконец то, эта убогость начинает отмирать... Rest In Peace
>наконец то, эта убогость начинает отмирать... Rest In PeaceЦентрализованный RBL с диапазонами адресов отдаваемых конечным клиентам решил бы проблему спама с зомби машин.
Другой подход - повсеместное введение практики блокирования внешних SMTP отправок для конечных клиентов, чтобы отправляли только через релеи провайдера.
Под конечными клиентами подразумеваю DSL, динамические IP и т.п.
В идеале - для всех почтовых серверов обязать иметь обратную DNS запись с mail|relay|smtp в имени, сейчас из-за 1% админов кривых хостов, не желающих нормально прописать reverse DNS, весь мир лишается простого и эффективного способа борьбы со спамом ;-)
Для postfix
smtpd_client_restrictions = regexp:/etc/postfix/whitelist, reject/etc/postfix/whitelist
/(mail|relay|smtp)/ OK
ну нет у меня в названии ни майл ни релей - ну и что.
А без обратной зоны я почту давно не беру - и ты не обязан/ Читай RFC
>ну нет у меня в названии ни майл ни релей - ну
>и что.
>А без обратной зоны я почту давно не беру - и ты
>не обязан/ Читай RFCа можно по поводу RFC и обязательности PTR-записей немного подробнее?
>ну нет у меня в названии ни майл ни релей - ну
>и что.
>А без обратной зоны я почту давно не беру - и ты
>не обязан/ Читай RFCУгу, вот только проблемы начинаются когда, например, я так пытался у себя в конторе сделать,
и наша бухгалтерия перестала получать письма из из некоторых гос.структур, где админами сидят 3 мальчика_чьих-то_племянника, которые про RFC ничего не знают и знать не хотят.
И таких примеров дофига.
> В идеале - для всех почтовых серверов обязать иметь обратную DNS запись с mail|relay|smtp в имениА вот ничего подобного. По RFC бек-резолв просто должен быть, но не обязательно должен иметь в себе mail|relay|smtp. Ситуация:
example.com.
MX 5 mail.example.com.
mail A 172.16.0.1
server A 172.16.0.1SMTP Hello: mail.example.com
Если в таком случае будет 172.16.0.1 PTR server.example.com. то MX будет вполне валидным. Проверено практически - блокирование серверов, которые имеют back-resolve не совпадающий с hello приводит к ложным срабатываниям.
>Проверено практически - блокирование серверов, которые имеют back-resolve
>не совпадающий с hello приводит к ложным срабатываниям.Отдельное "спасибо" за это несовпадение ленивым хостерам и провайдерам. Их "виртуальные" домены частенько шлют почту через один единственный безымянный хост.
>>Проверено практически - блокирование серверов, которые имеют back-resolve
>>не совпадающий с hello приводит к ложным срабатываниям.
>Отдельное "спасибо" за это несовпадение ленивым хостерам и провайдерам. Их "виртуальные"
>домены частенько шлют почту через один единственный безымянный хост.Они имеют полное право слать почту через один хост. Вот только он должен быть MX для этого домена (возможен вариант с алиасами и т.п.), и иметь FQDN от хостера или провайдера. Так что если домены example1.com и example2.com будут слать почту через сервер server1.hoster.net (на котором они расположены и на который указывают IN A записи их MX-ов), а тот, в свою очередь, будет иметь обратный резолв как server1.hoster.net (а не mx.example1.com или mx.example2.com) то никаких нарушений RFC не происходит, и почту от них положенно принять.
Дело абсолютно не в лени. Чтобы организовывать на каждый домен отдельный MX с FQDN вскоре может не хватить и IPv6 адресов.
>Они имеют полное право слать почту через один хост. Вот только он
>должен быть MX для этого домена (возможен вариант с алиасами и
>т.п.), и иметь FQDN от хостера или провайдера. Так что если
>домены example1.com и example2.com будут слать почту через сервер server1.hoster.net (на
>котором они расположены и на который указывают IN A записи их
>MX-ов), а тот, в свою очередь, будет иметь обратный резолв как
>server1.hoster.net (а не mx.example1.com или mx.example2.com) то никаких нарушений RFC не
>происходит, и почту от них положенно принять.Это ваше сексуальная фантазия, не имеющая отношения к RFC. Не требует RFC ничего подобного.
А для решения подобных проблема придуман spf (RFC 4408), который как раз ленивые сисадмины и не любят. Хотя работает он замечательно - у спамеров мгновенно пропадает охота спамить от твоего адреса.
Им пользуются. Во всю. Только криворукие, в массе своей.mail.ru text =
"v=spf1 ip4:194.67.57.0/24 ip4:194.67.23.0/24 ip4:194.67.45.0/24 ip4:195
.239.211.0/24 ip4:194.186.55.0/24 ip4:195.239.174.0/24 ~all"yandex.ru text =
"v=spf1 ip4:213.180.192.0/19 ip4:87.250.224.0/19 ip4:77.88.0.0/18 -exist
s:%{l}.%{ir}.yandex.spf-check.yandex.ru ?all"У многих других не лучше. Т.е. чуваки реально не знают кто у них MX.
>[оверквотинг удален]
>.239.211.0/24 ip4:194.186.55.0/24 ip4:195.239.174.0/24 ~all"
>
>yandex.ru text =
>
> "v=spf1 ip4:213.180.192.0/19 ip4:87.250.224.0/19 ip4:77.88.0.0/18
>-exist
>s:%{l}.%{ir}.yandex.spf-check.yandex.ru ?all"
>
>У многих других не лучше. Т.е. чуваки реально не знают кто у
>них MX.Конечно. Потому что их десятки. В разных сетях. SPF запись будет просто огромной.
>[оверквотинг удален]
>.239.211.0/24 ip4:194.186.55.0/24 ip4:195.239.174.0/24 ~all"
>
>yandex.ru text =
>
> "v=spf1 ip4:213.180.192.0/19 ip4:87.250.224.0/19 ip4:77.88.0.0/18
>-exist
>s:%{l}.%{ir}.yandex.spf-check.yandex.ru ?all"
>
>У многих других не лучше. Т.е. чуваки реально не знают кто у
>них MX.MX - это для приема почты, а не для отправки. Для отправки именно SPF.
Можно прописать что-то типа mailsender.yandex.ru, а в DNS понаделать кучу синонимов, но при приёме почты придётся тратить временя на преобразования.
>>>Проверено практически - блокирование серверов, которые имеют back-resolve
>>>не совпадающий с hello приводит к ложным срабатываниям.
>>Отдельное "спасибо" за это несовпадение ленивым хостерам и провайдерам. Их "виртуальные"
>>домены частенько шлют почту через один единственный безымянный хост.
>
>Они имеют полное право слать почту через один хост.Они-то имеют, толко вот хост безымянный :-(
>Вот только он должен быть MX для этого домена
Сервер-отправитель не обязан быть MX-ом.
>Дело абсолютно не в лени. Чтобы организовывать на каждый домен отдельный MX
>с FQDN вскоре может не хватить и IPv6 адресов.1) Не MX, а SPF
2) SOA значит хватит, а MX или SPF не хватит?! Эт как?!
3) В MX и SPF пожно прописывать имена, а не IP. MX и SPF могут совпадать для разных доменов.
>> В идеале - для всех почтовых серверов обязать иметь обратную DNS запись с mail|relay|smtp в имени
>
>А вот ничего подобного. По RFC бек-резолв просто должен быть, но не
>обязательно должен иметь в себе mail|relay|smtp.Я про то, что проблемы со спамом с зомби-машин небыло бы, если бы изначально, со времен первого RFC, почтовый сервер обязан был бы иметь какой-то обязательный признак в DNS, как MX, но только для идентификации полномочий на отправку. То что впоследствии попытались реализовать хаком называемым SPF.
>>> В идеале - для всех почтовых серверов обязать иметь обратную DNS запись с mail|relay|smtp в имени
>>
>>А вот ничего подобного. По RFC бек-резолв просто должен быть, но не
>>обязательно должен иметь в себе mail|relay|smtp.
>
>Я про то, что проблемы со спамом с зомби-машин небыло бы, если
>бы изначально, со времен первого RFC, почтовый сервер обязан был бы
>иметь какой-то обязательный признак в DNS, как MX, но только для
>идентификации полномочий на отправку. То что впоследствии попытались реализовать хаком называемым
>SPF.Просто слишком много особых случаев, всяких "если" и "иногда", чтобы их можно было решить простым способом.
Вон в spf сколько всяких возможностей, да и то я сталкивался с их недостаточной гибкостью...
>Централизованный RBL с диапазонами адресов отдаваемых конечным клиентам решил бы проблему спама
>с зомби машин.Вы умрете с этой мечтой.Увы.Подумайте о том что у бОльшей части юзеров увы, динамика.В итоге как правило через считанные часы у засранца уже новый айпи, зато с его старым IP кто-то другой и ни в чем не виноватый будет мыкаться потом.Тупому протоколу - тупые проблемы.Большая часть этих BL листов просто страдает фигней и зачастую бойко заворачивает в том числе и легитимную почту (ибо динамика, знаете ли) наравне со спамом.Ну да, бесспорно, проблему количества ДТП можно решить и путем грамотного отстрела водителей и пешеходов на вверенном участке.При должном рвении количество ДТП и правда сократится ;)
>Другой подход - повсеместное введение практики блокирования внешних SMTP отправок для конечных
>клиентов, чтобы отправляли только через релеи провайдера.Ну, геморроя юзерам это создаст.Это да.Ну да фиг с ним.Это ерунда.
У меня только 1 вопрос: а что помешает спамерам гадить через них?Ну усложнится их троянец аж на 10 строчек кода - будут настройки SMTP аутглюк экспресса из реестра(или где оно их там хранит...) дергать.И чего?Думаете спамеров волнует что потом ISP сможет по башке юзеру настучать?Ага, как бы не так.В лучшем случае это чуть-чуть подействует но кардинально проблему не решит.>Под конечными клиентами подразумеваю DSL, динамические IP и т.п.
Вот скажите, вы серьезно считаете что спамеры - клинические дебилы?Или вас прикалывает вырезать гланды через *пу автогеном?
>В идеале - для всех почтовых серверов обязать иметь обратную DNS запись
>с mail|relay|smtp в имени, сейчас из-за 1% админов кривых хостов, не
>желающих нормально прописать reverse DNS, весь мир лишается простого и эффективного
>способа борьбы со спамом ;-)Не вижу, а как это предотвратит отсылку писем спамерами то?Ну получил юзер трояна.В час икс троян прикинувшись аутглюком отправит 1-2-3-10-100... писем через SMTP провайдера.Ну, как максимум, пров может настукать по голове юзеру.Учтя что юзеров сотни тысяч а то и миллионы а пров один - насрать до получения в бубен юзер успеет кардинально.И честное слово, спамеров нисколько не волнует участь дятлов словивших троян.А поскольку дятлов много - не вижу причин почему поток спама в итоге пойдет на убыль.
>Для postfix
Ага, гильотина - лучшее средство от головной боли.
>Вы умрете с этой мечтой.Увы.Подумайте о том что у бОльшей части юзеров
>увы, динамика.В итоге как правило через считанные часы у засранца уже
>новый айпи, зато с его старым IP кто-то другой и ни
>в чем не виноватый будет мыкаться потом.Если кто то вдруг додумается на динамическом IP держать почтовый сервер, то сам виноват. Сервер должен работать на статическом IP.
>Если кто то вдруг додумается на динамическом IP держать почтовый сервер, то
>сам виноват. Сервер должен работать на статическом IP.На динамике клиенты.И спам валят именно они а не какие-то абстрактные сервера на статике.
>сейчас из-за 1% админов кривых хостов, не
>желающих нормально прописать reverse DNS, весь мир лишается простого и эффективного
>способа борьбы со спамом ;-)
>Не только из-за 1% админов, но и из-за какого-то процента странных провайдеров типа ростовского ЦТС (ныне Comstar), которые не желают своим клиентам прописывать reverse DNS для подключений. Таким провайдерам говоришь - пропишите мне reverse DNS, а то мою почту отбивают многие почтовые серверы, а провайдер говорит - плати N рублей - пропишем. А абонентскую плату я плачу, спрашивается, за что? За то, чтоб моя почта не доставлялась моим партнёрам? Это разве провайдер?
в один прекрасный день я осознал что почта от меня не доходит по многим адресам. в процессе разбирательства выяснилось что меня внесли в это чудо инжинерной мысли, и это при траффике в 10-15 писем в день! вообщем - must die!
Вопрос почему вы попали в список вы, конечно, решили не изучать?
>в один прекрасный день я осознал что почта от меня не доходит
>по многим адресам. в процессе разбирательства выяснилось что меня внесли в
>это чудо инжинерной мысли, и это при траффике в 10-15 писем
>в день! вообщем - must die!
Пример: мы как-то раз попали в какой-то RBL потому, что спам рассылал кто-то из клиентов нашего провайдера, имеющий IP из того же блока в 64 адреса. А они, красавцы, работают не иначе как блоками, и любезно так пишут: "разбирайтесь со своим провайдером или платите $300 за срочную разблокировку, или ждите 2 недели".
>Пример: мы как-то раз попали в какой-то RBL потому, что спам рассылал
>кто-то из клиентов нашего провайдера, имеющий IP из того же блока
>в 64 адреса. А они, красавцы, работают не иначе как блоками,
>и любезно так пишут: "разбирайтесь со своим провайдером или платите $300
>за срочную разблокировку, или ждите 2 недели".1. dsbl не блокировал блоки адресов. Блокировался один IP с которого шел спам.
2. из dsbl удалить IP можно было бесплатно.
так что пример не в тему.
>1. dsbl не блокировал блоки адресов. Блокировался один IP с которого шел
>спам.Зато других дебильных BL хоть попой жуй.
>2. из dsbl удалить IP можно было бесплатно.
>так что пример не в тему.Вот скажите, много ли вы знаете случаев когда спамеры срут с своего личного айпи?Нет?Ну надо же.Тогда заведомо можно прикинуть эффект от этого онанизма.Ноль целых, хрен десятых.Спамеров то как раз не волнует попадание в BL, они как следует отдуплятся до этого.А вот грабли будут у юзеров.Вам не кажется что в этой схеме немного не тем кому надо бы геморрой создается?
>целых, хрен десятых.Спамеров то как раз не волнует попадание в BL,Думаю что очень даже волнует, рассылка спама это бизнес, и себистоимость расссылки была бы значительно ниже если бы небыло блэклистов. Не от хорошой жизни они иногда тратят деньги на DoS блэклистов.
>А вот грабли будут у юзеров.Вам
>не кажется что в этой схеме немного не тем кому надо
>бы геморрой создается?Практически все адреса вида ppp*-*-*-*.pppoe.mtu-net.ru находятся в разных блэклистах, потому что заметный процент домашних компьютеров затроянен.
Пользователям это никаких проблем не создает, потому что почту они отправляют не напрямую, а через почтовые сервера. Пользователи этих адресов (в подавляющем большинстве) не знают даже что такое IP, не говоря уже о том что они не подозревают что их IP давно внесены в RBL
>Вопрос почему вы попали в список вы, конечно, решили не изучать?Некоторые кретинские BL давят и всю подсеть спамера от большого ума.Некоторые блэклистят динамику на неопределенный срок, хоть это и лишено какого либо смысла.Поэтому можно запросто оказаться в BL не делая ровным счетом ни-че-го вредного.В общем говоря если кто-то любит заниматься х-ней, почему он считает что все вокруг должны возлюбить это же бесполезное занятие?В конечном итоге все-равно >90% почты - спам.И можно подумать весь этот онанизм сильно сократил его количество, ага.Ну, будет не 96 а 95% спама.Один процент спама пойдет на йух.Наравне с легитимными юзерами и их почтой.Всем так от этого факта полегчало что просто трындец.Думаю что если эти BL в один прекрасный день сдохнут, никто кроме админов этого и не заметит особо.Один хрен как валилось куча спама так и будет валиться.
>в один прекрасный день я осознал что почта от меня не доходит
>по многим адресам. в процессе разбирательства выяснилось что меня внесли в
>это чудо инжинерной мысли, и это при траффике в 10-15 писем
>в день! вообщем - must die!1. Скорей всего на то была причина.
2. Не все блэклисты одинаково полезны и не стоит по одному RBL судить все остальные.
>в один прекрасный день я осознал что почта от меня не доходит
>по многим адресам. в процессе разбирательства выяснилось что меня внесли в
>это чудо инжинерной мысли, и это при траффике в 10-15 писем
>в день! вообщем - must die!И конечно же Вы уверены, что при таком почтовом трафике Вы должны доставлять почту на MXы получателей, а не через релей провайдера
у меня такие, работает нормально:
reject_rbl_client cbl.abuseat.org,
reject_rbl_client combined.njabl.org,
reject_rbl_client dnsbl.njabl.org,
reject_rbl_client dul.ru,
reject_rbl_client dynablock.njabl.org,
reject_rbl_client opm.blitzed.org,
> у меня такие, работает нормально:
> ...
> reject_rbl_client opm.blitzed.org,opm.blitzed.org уже не работает - см. http://wiki.blitzed.org/OPM_status
Все перечисленные RBL можно заменить на один - zen.spamhaus.org - эффект будет примерно тот же. Но если боитесь ложных срабатываний лучше использовать xbl.spamhaus.org
во посоветовал. дафай-дафай.
одному клиенту я уже посоветовал сменить хостера, работающего по твоему принципу.
>во посоветовал. дафай-дафай.
>одному клиенту я уже посоветовал сменить хостера, работающего по твоему принципу.угу пусть лучше клиент за трафик платит :) и спам разгребает помеченный спамассаниным как SPAM :))
spamhaus.org - неотвечает уже давно
>spamhaus.org - неотвечает уже давноВ каком смысле не отвечает? Он работает и на текущий момент его RBL одни из лучших.
>>spamhaus.org - неотвечает уже давно
>
>В каком смысле не отвечает? Он работает и на текущий момент его
>RBL одни из лучших.Один из лучших, говорите? Ну-ну.. Вы пробовали когда-нить свой ip оттуда удалить (который попал туда из-за того, что в том же блоке /20 у кого-то порносайт)? Вижу, что нет.
>Один из лучших, говорите? Ну-ну.. Вы пробовали когда-нить свой ip оттуда удалить
>(который попал туда из-за того, что в том же блоке /20
>у кого-то порносайт)? Вижу, что нет.1. Просто так туда IP не попадают, и IP наших серверов туда никогда не попадали и скорее всего никогда не попадут.
2. Кроме SBL есть еще XBL и PBL процент ложных срабатываний по которым на порядок ниже.
Сам спамхаус нужно внести в спамхаус как очень уродливое и шантажирующее поделие.
>>>spamhaus.org - неотвечает уже давно
>>
>>В каком смысле не отвечает? Он работает и на текущий момент его
>>RBL одни из лучших.
>
>Один из лучших, говорите? Ну-ну.. Вы пробовали когда-нить свой ip оттуда удалить
>(который попал туда из-за того, что в том же блоке /20
>у кого-то порносайт)? Вижу, что нет.А не надо. Из pbl.spamhaus.org в течение пары часов удаляется.
>>spamhaus.org - неотвечает уже давно
>
>В каком смысле не отвечает? Он работает и на текущий момент его
>RBL одни из лучших.немогу отрезолвить spamhaus.org, так и должно быть?
>немогу отрезолвить spamhaus.org, так и должно быть?нет, возможно у вас проблемы с ДНС.
$ host -t txt 2.0.0.127.xbl.spamhaus.org
2.0.0.127.xbl.spamhaus.org descriptive text "http://www.spamhaus.org/query/bl?ip=127.0.0.2"Еще доступ с вашего IP адреса могли прикрыть если с него шла большая нагрузка на сервера spamhaus (сотни запросов в секунду).
>>немогу отрезолвить spamhaus.org, так и должно быть?
>
>нет, возможно у вас проблемы с ДНС.
>
>$ host -t txt 2.0.0.127.xbl.spamhaus.org
>2.0.0.127.xbl.spamhaus.org descriptive text "http://www.spamhaus.org/query/bl?ip=127.0.0.2"
>
>Еще доступ с вашего IP адреса могли прикрыть если с него шла
>большая нагрузка на сервера spamhaus (сотни запросов в секунду).Спасибо огромное! Все ок :)
Эту проблему решил бы другой, НЕ ДЫРЯВЫЙ почтовый протокол! Например QMTP, помоему так называется.
Проблема не в дырявости SMTP, а в отсуствии законов.
Только техническими методами (протоколы) проблема спама польностю решена быть не может. Нужны юридические или экономические рычаги воздействия.
Спам по SMS не получил распространения только потому что за отправку SMS надо платить.
Враки, по смс спамят, еще как... Просто спамит оператор в основном...
> только потому что за отправку SMS надо платитьи сколько ты платишь при отправке SMS с website'а оператора?
>и сколько ты платишь при отправке SMS с website'а оператора?У моего оператора нужно во-первых: отправить со своего телефона смс подтверждающий что ты хочешь получать смски из тырнета(с их сайта); во-вторых: нужно знать кто собственно мой оператор; в-третьих: карнинка с буковками и циферками возле кнопки субмит.
Проблемно спамить...
>кто собственно мой оператор; в-третьих: карнинка с буковками и циферками возле
>кнопки субмит.
>Проблемно спамить...А заодно проблемно и сообщение послать.Уповать на то что некто подключил услугу нельзя, а значит сервис просто почти не используется.С такой логикой можно просто удавить везде порт 25 и проблема спама отпадет :) вместе с проблемой вирусов и прочая =)
>Проблема не в дырявости SMTP, а в отсуствии законов.Именно в дырявости, а точнее в "доверчивости" SMTP. В нем нет технических средств защиты. А юридические законы не спасают. За последние годы было несколько судебных процессов, только спама от этого меньше не стало.
Как Вы думаете что эффективней: запирать дверь на ключ или судиться с теми, кто позарился на Ваше пропавшее добро? А их еще и найти нужно.
>Только техническими методами (протоколы) проблема спама польностю решена быть не может.Может и должна быть решена. Вот только, для того, чтобы это началось нужна политическая воля, авторитет.
>Спам по SMS не получил распространения только потому что за отправку SMS
>надо платить.Вот это действенно.
Да штрафовать тех провайдеров домовых сетей, клиенты которых спамят и ботнетят - и всё, проблемы нет. Сразу введут _работающие_ smtp сервера. А клиентам разрешить требовать компенсацию за то, что smtp сервер провайдера плохо работает.
>Да штрафовать тех провайдеров домовых сетей, клиенты которых спамят и ботнетятТогда ВСЕ сколь-нибудь провайдеры будут регулярно попадать на бабки.Спамеров это как вы понимаете опять же не интересует.Я конечно понимаю стремление наказывать тех кого до кого проще дотянуться а не тех кто виноват, но проблема от этого никуда не пропадет.
эти провайдеры в течении часа запретят SMTP трафик от своих клиентов, кроме трафика через SMTP сервер провайдера, на котором можно поставить разумные лимиты и авторизацию.
> Проблема именно в дырявости, а точнее в "доверчивости" SMTP. В нем нет технических средств защиты.Ну и по какому признаку техническое средство защиты сможет отличить спамера от законного рассылателя почты? Что помешает спам-боту пройти ту же процедуру, какую проходят законные серверы? Единственная возможность - ReverceDNS-записи. Ну, ещё провайдеры должны закрывать порт:25 для юзерских машин, которые не заявлены лично юзерами как почтовые серверы (в заявлении д.б. пункт "обязуюсь не спамить").
>> Проблема именно в дырявости, а точнее в "доверчивости" SMTP. В нем нет технических средств защиты.
>
>Ну и по какому признаку техническое средство защиты сможет отличить спамера от
>законного рассылателя почты? Что помешает спам-боту пройти ту же процедуру, >какую проходят законные серверы? Единственная возможность - ReverceDNS-записи.Вы сами и предложили :-) А еще есть такая славная вещь, как SPF (см. http://www.openspf.org/ )
Если наличие SPF-записи в DNS стает обязательным, а не опциональным, то спаму придет капец.
>Спам по SMS не получил распространения только потому что за отправку SMS надо платить.У многих операторов есть довольно дешевые тарифы на безлимитные SMS.
Спам - это зло, но еще большее зло - кривые руки админов, тех которые борются с ним и тех которые не борются!
касательно первого случая, если использовать серые/черно-белые списки то только свои, а не всякие шаровые ресурсы в сети. (хотя понятное дело подключить чужой список всегда проще, нежели держать свой, да и ответственность как бы снимается с такого горе-админа)
если используется проверка по рет-днс - то тут тоже больше вреда чем пользы, далеко не все провайдеры хотят/имеют возможность предоставить на твой айпи обратную запись в ДНС, да и не у всех есть белый айпи. Так что? выходит таким клиентам вообще нельзя иметь свой мылосервер??по второму случаю, это касается в основном провайдеров (именно их я и считаю основными виновниками в существовании такого беспредела). Если они продают физ-лицу - то и открытие 25-того порта должно быть по "заявке" от этого лица, а то большинство из потребителей (по совместительству владельцев спам-бот-компов) понятия не имеют, что такое порты и нафиг это нужно.
А от юрлица можно и стребовать по всей строгости буквы закона за распространение неправдивой информации (это на тот случай, если в стране нету статьи о спаме). И опять же это может сделать только провайдер, так как у него есть и доказательная база и техническая возможность прекратить рассылку спама. НО.....
Но провайдеру это нафиг не надо, спам - это трафик - трафик - это бабки, причем бабки в пользу провайдера.
Так что пока провайдеры получают таким образом "откатные" от спамеров, ничего не изменится, и никакой новый протокол передачи писем не спасет.
----------------------
А то что умирают вот такие "списки спамеров" - так это и к лучшему.
>если используется проверка по рет-днс - то тут тоже больше вреда чем
>пользы, далеко не все провайдеры хотят/имеют возможность предоставить на твой айпи
>обратную запись в ДНС, да и не у всех есть белый
>айпи. Так что? выходит таким клиентам вообще нельзя иметь свой мылосервер??
>давайте сделаем акцент на слово "хотят", возможность то они имеют, если мозги одновременно с рукам не в заднице находятся.
>Если они продают физ-лицу
>- то и открытие 25-того порта должно быть по "заявке" от
>этого лица, а то большинство из потребителей (по совместительству владельцев спам-бот-компов)
>понятия не имеют, что такое порты и нафиг это нужно.Провайдер действует на основании ФЗ "О связи" и не имеет право препятствовать рассылки почты, закрывая 25 порт всем физлицам.
>если используется проверка по рет-днс - то тут тоже больше вреда чем
>пользы, далеко не все провайдеры хотят/имеют возможность предоставить на твой айпи
>обратную запись в ДНС,Это почему же?
>да и не у всех есть белый айпи.
Тогда это не провайдер.
>Так что? выходит таким клиентам вообще нельзя иметь свой мылосервер??
Можно. Но с правильными записями в DNS.
>
>
>по второму случаю, это касается в основном провайдеров (именно их я и
>считаю основными виновниками в существовании такого беспредела). Если они продают физ-лицу
>- то и открытие 25-того порта должно быть по "заявке" от
>этого лица, а то большинство из потребителей (по совместительству владельцев спам-бот-компов)
>понятия не имеют, что такое порты и нафиг это нужно.А зачем мне делать заявку, если я не знаю что такое 25 порт? Или вы, батенька, оговорились?
А есть еще бесплатные сервисы, которые предоставляют свой 25 порт. Так что побоку что там у провайдера.>А от юрлица можно и стребовать по всей строгости буквы закона за
>распространение неправдивой информации (это на тот случай, если в стране нету
>статьи о спаме). И опять же это может сделать только провайдер,
>так как у него есть и доказательная база и техническая возможность
>прекратить рассылку спама. НО.....
>Но провайдеру это нафиг не надо, спам - это трафик - трафик
>- это бабки, причем бабки в пользу провайдера.Это правильно. Так оно и есть. Блокируют боты только после прямой жалобы. Хотя сами трафик отслеживают.
>Так что пока провайдеры получают таким образом "откатные" от спамеров, ничего не
>изменится, и никакой новый протокол передачи писем не спасет.Как раз, проверка обратной зоны и динамически изменяемый access + iptables спасают.
>Но провайдеру это нафиг не надо, спам - это трафик - трафик
>- это бабки, причем бабки в пользу провайдера.Это точно.
>Так что пока провайдеры получают таким образом "откатные" от спамеров, ничего не
>изменится, и никакой новый протокол передачи писем не спасет.Ну почему же?! Если новая версия SMTP будет нацелена на борьбу со спамом и получит ГЛОБАЛЬНОЕ распространение, то очень даже спасет.
>Спам - это зло, но еще большее зло - кривые руки админов,
>тех которые борются с ним и тех которые не борются!
>касательно первого случая, если использовать серые/черно-белые списки то только свои, а не
>всякие шаровые ресурсы в сети. (хотя понятное дело подключить чужойЕдиная база поддерживаемая централизовано гораздо более эффективный и правильный метод нежели собственные поделки. И дело здесь не в лени а в эффективности.
>всегда проще, нежели держать свой, да и ответственность как бы снимается
>с такого горе-админа)
>если используется проверка по рет-днс - то тут тоже больше вреда чем
>пользы, далеко не все провайдеры хотят/имеют возможность предоставить на твой айпи
>обратную запись в ДНС, да и не у всех есть белый
>айпи. Так что? выходит таким клиентам вообще нельзя иметь свой мылосервер??На это дело есть RFC. Нет обратной зоны и белых адресов В САД!!! можно в детский. Как вырастите.. заведете себе мылосервер.
Существовашая некогда прекрасно известная и офигенно развитая система конференций FIDO, которая по совместительству была еще и почтовой системой, спама как ни странно не имела.. И в принципе не могла. Потому что за действия пользователя отвечал узел. И особо тупые узлы просто исключались из сети. И знаете.. таких вот детей, неспособных найти провайдера с обратной записью или белый адрес (это я провожу как параллель, там были несколько другие обязательные требования) в узлы (читаем мылосервера) _НЕ_ДОПУСКАЛИ_, И правильно делали.
>
>
>по второму случаю, это касается в основном провайдеров (именно их я и
>считаю основными виновниками в существовании такого беспредела). Если они продают физ-лицу
>- то и открытие 25-того порта должно быть по "заявке" от
>этого лица, а то большинство из потребителей (по совместительству владельцев спам-бот-компов)
>понятия не имеют, что такое порты и нафиг это нужно.Бред, еще я порты буду по заявлению открывать.. А может вы мне факс будете слать предварительно? на каждое ваше письмо? Или на http сессию.. а то не дай бог вы в этой сессии попытаетель инжекшн комуто засадить???
>А от юрлица можно и стребовать по всей строгости буквы закона за
>распространение неправдивой информации (это на тот случай, если в стране нету
>статьи о спаме). И опять же это может сделать только провайдер,
>так как у него есть и доказательная база и техническая возможность
>прекратить рассылку спама. НО.....
>Но провайдеру это нафиг не надо, спам - это трафик - трафик
>- это бабки, причем бабки в пользу провайдера.
>Так что пока провайдеры получают таким образом "откатные" от спамеров, ничего не
>изменится, и никакой новый протокол передачи писем не спасет.Чушь.. в начале както ничего, мысль была.. закончили бредом.
_МНЕ_НАФИГ(нафиг очень мягкое слово)_НЕ_НУЖНЫ_ ваши спамерские 200ГБ на моем почтовом серваке :) Эти копейки можете изъять из моего оборота. Буду благодарен :) Бизнес уже давно, давно в другом. А с приходом анлимитов, уже и к нам в глубинку.. я пишу совсем не с мск. Мне эти ваши спамерские байтики в горле костью стоят :) Это вот вам такое мнение провайдера.. Хоть и мое личное. но я думаю меня поддержат.
Я согласен навернуть сколь угодно сложную техническую схему, если она исключит спам из почтового трафика. Для меня это бонус, и офигенный плюс. Мне нервы техподдержки и инженерного состава дороже обходятся :)
Другое дело что без административных мер.. :( жопа.
Как вариант, в порядке бреда, централизовано выдавать на почтовые серваки записи, также как они выдаются на DNS. Либо по тойже схеме как выдаются белые адреса. За рассылку спама, методами комплейнов, отключать именно _ПОЧТОВЫЕ_СЕРВЕРА_ а не пользователей, отключать на неделю, месяц, потом полгода. С блокировкой почты, если на то пошло целых доменов. Пофиг.
Я среди своей кучки юзеров, спамеров найду. И лично обеспечю необходимые меры воздействия, чтобы дошло..
Да почтовых доменов может станет меньше.. Или наоборот.. доменов станет больше просто пропадут неконтролируемые монстры, типо яхи и прочей фигни.. А будет нормально функционировать корпоративная почта, и почта провайдеров, которые готовы нести ответственность за деятельность своей почтовой службы.
>----------------------
>А то что умирают вот такие "списки спамеров" - так это и
>к лучшему.
>Как вариант, в порядке бреда, централизовано выдавать на почтовые серваки записи, также
>как они выдаются на DNS. Либо по тойже схеме как выдаются
>белые адреса.SPF с этим справился бы. См.: http://www.openspf.org/
Проблема только в его глобальном признании.
SPF - это слишком сложно для троечников :(
>SPF - это слишком сложно для троечников :(Че там сложного? Просто перечислены адреса/хосты кому можно слать от имени домена.
Просто админам влом это делать ...пока от имени ИХ домена кто-то не разошлет спам...
>SPF с этим справился бы. См.: http://www.openspf.org/
>Проблема только в его глобальном признании.SPF лечится созданием доменов под каждую спамерскую рассылку.
>>SPF с этим справился бы. См.: http://www.openspf.org/
>>Проблема только в его глобальном признании.
>
>SPF лечится созданием доменов под каждую спамерскую рассылку.Конечно, SPF - не панацея, но аппетиты у спамеров поубавятся. Во-первых за домен нужно хоть и немного, но заплатить, а во-вторых регистрация нового домена может быть несколько строже, чем сейчас. Опять же, это вопрос политической воли.
> Существовашая некогда прекрасно известная и офигенно развитая система конференций FIDO, которая по совместительству была еще и почтовой системой, спама как ни странно не имела.. И в принципе не могла. Потому что за действия пользователя отвечал узел. И особо тупые узлы просто исключались из сети.Правильно!
> Бред, еще я порты буду по заявлению открывать..
В договоре на подключение (который всё равно заключается) вводится ещё один пункт.
>На это дело есть RFC. Нет обратной зоны и белых адресов В
>САД!!! можно в детский. Как вырастите.. заведете себе мылосервер.у меня несколько лет был провайдер, который не мог внести PTR запись. А менять его просто не на кого. Так что чудаков, ищущих обратную зону - в помойную яму, пусть там со спамерами воюют. Таких чудаков, кстати, зафиксировано было ровно два.
> и открытие 25-того порта должно быть по "заявке" от
>этого лица, а то большинство из потребителей (по совместительству владельцев спам-бот-компов)
>понятия не имеют, что такое порты и нафиг это нужно.Ага, а так же давай заставим ВСЕХ домохозяек(в) выучить:
Все rfc, стек tcp/ip, unix и т.п.
Не нужно параноиться, любезный, енд-юзер не обязан знать что такое порт/сокет, ибо ему это не нужно. Это проблема провайдера.
О том, как убивает СПИД и Гепатит им тоже знать не надо. И о том, как тело человека и упомянутые мною вирусы устроены тоже знать не надо.Но о том, как защищаться они знать обязаны. А так же должны знать об ответственности за распространение (Статья 121 Уголовного кодекса РФ; Федеральный Закон "О предупреждении распространения в Российской Федерации заболевания, вызываемого вирусом иммунодефицита человека (ВИЧ-инфекции)" гл. V, ст. 24).
И это общая проблема.
PS Мы вообще не принимает почту с динамических IP.
PSS Есть такое ПО - MIMEDefang - планирует использовать (сейчас тестим), должно сильно помочь в вопросах выявления спама.
>PS Мы вообще не принимает почту с динамических IP.+1
Более того, предложение "открывать 25 порт по заявке" затронет легитимных пользователей, которые пользуются внешними релеями с авторизацией.С какого бы х. требовалось бы еще и дополнительную заяву писать ?
>Более того, предложение "открывать 25 порт по заявке" затронет легитимных пользователей, которые
>пользуются внешними релеями с авторизацией.
>
>С какого бы х. требовалось бы еще и дополнительную заяву писать ?
>Так этоже идеология юникса в сфере безопасности (закрыто все, что надо - то открываем)
так почему здесь не использовать тот же принцып, а то получается как в винде :) все открыто, закрываем только по "заявке" (по жалобе сторонних потребителей услуги).
смотри сам себе телнет на циску не закрой ;)
> предложение "открывать 25 порт по заявке" затронет легитимных пользователей, которые пользуются внешними релеями с авторизацией.Авторизация проходит по порту:587. На кр.случай можно открыть доступ по порту:25 к известным релеям и к банк-клиентским службам.
>Авторизация проходит по порту:587+1
Хоть один человек вспомнил про submission.
Но "специалистов" тут много....
>Ага, а так же давай заставим ВСЕХ домохозяек(в) выучить:
> Все rfc, стек tcp/ip, unix и т.п.
>Не нужно параноиться, любезный, енд-юзер не обязан знать что такое порт/сокет, ибо
>ему это не нужно. Это проблема провайдера.Совершенно верно. Посему провайдер открывает для клиентов 25-й порт только на свой релей.
А вот те клиенты, которым реально нужна доставка на MXы получателей, таки обязаны знать...
Для них и откроем.
>Не нужно параноиться, любезный, енд-юзер не обязан знать что такое порт/сокет, ибо
>ему это не нужно. Это проблема провайдера.Домохозяйка таких слов знать не должна. А человек, выучивший слова "почтовый сервер", должен знать и все остальные, приведённые выше, слова (порт/сокет/етс).
я настоятельно рекомендую вам не использовать zen.spamhaus.org.
Вот моя история:
сначала из-за одного сервера они добавили в свой список сетку колокаторов /24 с формулировкой
Botnet spammer @айпишник
Я поговорил с клиентом, он спам почтой не рассылал. Я ответил этим sbl'aм, что от нас спам не уходит. Они заявили, что я вру и добавили сеть /24 с моим почтовым сервером (с которого я послал письмо) в свой список. Оказывается, на этом сервере были расположены веб-сайты, на которые были ссылки в спаме. И вы считаете это адекватным поведением?
1. Из блэклстов spamhaus-а наиболее безопасно использовать xbl и pbl. У sbl действительно бывают ложные срабатывания.2. Некоторые хостинг провайдеры не прочь подработать на хостинге спамерских сайтов, потому что спамеры за хостинг платят минимум раз в 10 больше чем обычные клиенты. Чтобы как то воздействовать на таких хостеров spamhaus заносит их в SBL. При этом страдают другие клиенты этого хостинга.
>1. Из блэклстов spamhaus-а наиболее безопасно использовать xbl и pbl. У sbl
>действительно бывают ложные срабатывания.
>
>2. Некоторые хостинг провайдеры не прочь подработать на хостинге спамерских сайтов, потому
>что спамеры за хостинг платят минимум раз в 10 больше чем
>обычные клиенты. Чтобы как то воздействовать на таких хостеров spamhaus заносит
>их в SBL. При этом страдают другие клиенты этого хостинга.Почему SBL так непонятно пишет причины блокировок? И вы считаете нормальным блокирование сети /24 с сервером почты, с которого админы хостинга пытаются вести беседу с SBL?
Да плюньте вы на эти блэклисты, изначально они задумывались как благородное дело,
которое на сегодня переросло в механизм выколачивания денег.
Если мое письмо не может получить ктото из моих клиентов по причине "блокировки такими вот блэклистами) - отвечаю только так: не пользуйтесь этим блэклистом, или этим мылосервисом использующем этот блэклист.
(кстати, в свое время мыло.ру тоже очень активно использовало сторонние блэклисты, и что? прошло совсем немного времени и они, насолько могу судить по поведению их сервиса - отказались от сторонних блэклистов, и правильно сделали.)
>(кстати, в свое время мыло.ру тоже очень активно использовало сторонние >блэклисты, и
>что? прошло совсем немного времени и они, насолько могу судить по
>поведению их сервиса - отказались от сторонних блэклистов, и правильно сделали.)Для хостеров такого масштаба нужны свои системы борьбы со спамом. При огромном количестве СВОИХ серверов эту задачу можно решать иными средствами, не прибегая к помощи сторонних блэк-листов.
>Почему SBL так непонятно пишет причины блокировок? И вы считаете нормальным блокирование
>сети /24 с сервером почты, с которого админы хостинга пытаются вести
>беседу с SBL?Как я писал выше - пользоваться SBL я не рекомендую.
/24 заблокировали скорее всего не потому что с этого IP с ними переписывались, а по дркгим причинам. А писать по поводу удаления из SBL должен провайдер которому эти IP-адрса принадлежат. С конечными клиентами они разговаривать не любят...
>>Почему SBL так непонятно пишет причины блокировок? И вы считаете нормальным блокирование
>>сети /24 с сервером почты, с которого админы хостинга пытаются вести
>>беседу с SBL?
>
>Как я писал выше - пользоваться SBL я не рекомендую.Это сервер для нащих клиентов, платящих деньги. И их часто блокируют всякие фримыла. Я сам не пользуюсь, а вот клиенты недовольны, что их письма блокируются.
>/24 заблокировали скорее всего не потому что с этого IP с ними
>переписывались, а по дркгим причинам.Именно по этой причине, уверяю вас. Вот формулировка:
Spammer support & hosting (escalation)Hosting cybercriminal spammers, plus not telling the truth about removing cybercriminal spammers
>А писать по поводу удаления из
>SBL должен провайдер которому эти IP-адрса принадлежат. С конечными клиентами они
>разговаривать не любят...Я и есть представитель провайдера.
Я тут уже пол-года исследуют эту тему. Могу сказать, что черные списки надо использовать с большой осторожностью. Вот мой материал:#------------------------------#
# Отвергнутые списки и причины #
#------------------------------#
# № | Адрес списка | Причина
# 1 | bl.spamcannibal.org | Фильтрует большое количество нужной почты ПРОСТО ЗВЕРЬ!
# 2 | ist.dsbl.org | Фильтрует большое количество нужной почты
# 3 | dnsbl-2.uceprotect.net | Фильтрует большое количество нужной почты
# 4 | dnsbl-3.uceprotect.net | Фильтрует большое количество нужной почты
# 5 | spam.dnsbl.sorbs.net | Блокирует легальные рассылки зарегистрированным клиентам с нашего сайта! все остальное вообщето хорошо. Надо проверить еще раз!
# 6 | bl.csma.biz | Блокирует наших партнеров ...некоторые легальные рассылки и некторых апонентов
# 7 | dynablock.njabl.org | Похоже не работает...
# 8 | opm.blitzed.org | Похоже не работает...Ни одного ложного срабатывания за пол-года:
bl.spamcop.net
dnsbl.sorbs.net
cbl.abuseat.org
zen.spamhaus.org
ucepn.dnsbl.net.au
t1.dnsbl.net.au
no-more-funn.moensted.dk
ix.dnsbl.manitu.netИнтересно узнать вашу статистику.
> bl.spamcannibal.org | Фильтрует большое количество нужной почты+1
ложных срабатываний много, считаю его непригодным к использованию.># 8 | opm.blitzed.org
>| Похоже не работает...Так оно и есть:
http://wiki.blitzed.org/OPM_status>Ни одного ложного срабатывания за пол-года:
>bl.spamcop.netЛожных срабатываний мало, но все же они бывают. Использовать нужно осторожно.
>cbl.abuseat.org
ложных срабатываний почти нет, но имеет смысл использовать не отдельно, а в составе xbl.spamhaus.org
>zen.spamhaus.org
zen это сумма трех блэклистов sbl, pbl и xbl
xbl в свою очередь это сумма cbl.abuseat.org и njabl.org - ложных срабатваний почти нет
pbl - ложных срабатываний мало, но больше чем в xbl
sbl - ложных срабатываний относительно много - в этом треде уже не раз упоминали про то что они заносят не отдельные адреса а блоки адресов.
citrin, вы, как я вижу, очень мало имеете опыта работы с сетями. Вас просто ещё не шантажировал спамхаус за "разбанивание сетей" из их ублюдского списка в суммы около несколько тысяч долларов. Причём когда нет никакого вменяемого объяснения внесения сети в список, кроме как явного упомнинания в Автономной Системе слов "oil". ;)Последний вменяемый лист, который упоминается в новости, уже прекратил существование. Остались лишь неадекватные и те, кто зарабатывает на этом деньги (спамхаус). Ни о какой "полезности" уже речи не идёт. Это бизнес.
>citrin, вы, как я вижу, очень мало имеете опыта работы с сетями.
>Вас просто ещё не шантажировал спамхаус за "разбанивание сетей" из их
>ублюдского списка в суммы около несколько тысяч долларов. Причём когда нет
>никакого вменяемого объяснения внесения сети в список, кроме как явного упомнинания
>в Автономной Системе слов "oil". ;)Сетями (и электронной почтой в том числе) занимаюсь лет пять, но о том, что spamhaus вносит сети в SBL без причины и требует деньги за удаление из списка слышу впервые.
А что за сеть, если не секрет (можно на e-mail)?
а зарабатывают они немного на другом:
http://www.spamhaus.org/datafeed/index.html
Что за сеть не скажу.
>Что за сеть не скажу.Почему же? :)
С xbl.spamhaus.org был как-то геморой, туда залетел наш основной почтовый сервер. Залетел почти за дело, клиенты с трояном начинают спам слать через почтовый сервер провайдера, у нас автоблокировщик таких рассылок срабатывает минут через 10. Для инициирования процедуры удаления адреса из списка, потребовали заполнить форму на сайте с машины заблокированного IP, а на сайте графическая капча, а на сервере только lynx :-)
Воспользовались бы ssh-туннелем.
Давайте ради каждого дурацкого листа, который возомнил себя самым правильным, будем плясать вокруг него.
Подскажите пожалуйста что лучше использовать вместо dsbl.org
Сейчас у меня прописано:
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client list.dsbl.org,Спасибо.