https://www.opennet.me/openforum/vsluhforumID3/44008.html Ресурс securityfocus.com опубликовал интервью (http://www.securityfocus.com/columnists/479) с Вице Венема (Wietse Venema), известным экспертом в области компьютерной безопасности, создателем таких популярных проектов, как MTA Postfix, TCP Wrapper, SATAN и The Coroner's Toolkit. В интервью Вице рассказал о себе, качестве кода в программном обеспечении, борьбе со спамом, а также философии Postfix.<br><br><br><br>Свой первый опыт общения с компьютерами Вице Венема получил в лаборатории, где он работал физиком и использовал их для написания программ, которые контролировали ход различных экспериментов. По его словам, он был очень мотивирован в том, чтобы сделать код как можно более стабильным, ведь многие эксперименты длились по несколько недель без остановок, и ему не хотелось находиться в лаборатории днем и ночью. Сейчас Вице сравнивает свой навык в программировании с ездой на велосипеде &#8212; если однажды научился, никогда не забудешь как это делается.<br><br><br><br><br>В 1995 году был выпущен инструмента...<br><br>URL: http://www.sec https://www.opennet.me/openforum/vsluhforumID3/44008.html#47 Fri, 26 Sep 2008 10:09:51 GMT &gt;[оверквотинг удален]<br>&gt;сутки стали не 7-8мегов, а 500кб. И самое главное - практически <br>&gt;нет проблем с юзерами - всё что нужно доходит с очень <br>&gt;большой вероятностью. Основной минус - многие серваки имеют большой таймаут на <br>&gt;повторную пересылку. Решил это методом объяснения юзерам, что если письмо не <br>&gt;дошло в течении часа, то надо мне об этом сообщить. <br>&gt;Теперь думаю, может проверку по rbl отключить? <br>&gt;И главный минус такого решения, что оно не будет работать на линуксе, <br>&gt;коего много трудится на почтарях. Да и в Net/Free его весьма <br>&gt;муторно прикручивать, ибо нет нативной поддержки многих фич, на которые он <br>&gt;опирается <br><br>А можно поподробнее описание решения? можно не здесь, а в почту..<br><br> https://www.opennet.me/openforum/vsluhforumID3/44008.html#46 Fri, 26 Sep 2008 10:07:24 GMT &gt;&gt;90% нежелательных сообщений можно отбить без грейлиста на стадии установления smtp-сессии, анализируя <br>&gt;&gt;ip-адрес отправителя, значения helo, mail from, и rcpt to <br>&gt;<br>&gt;Как бы РФЦ822 не запрещает отправлять почту с адресов dsl-10.20.30.40.server.ru. А Вы, <br>&gt;получается, запрещаете. Предлагаю Вас запретить. <br><br>Предлагаю Вас запретить за отсутствие внятного содержимого в /dev/brain. Если требуется нормальная доставка почты, то сделать её с нормального домена стоит очень немногих усилий. А получать почту с SMTP узлов ботнета сидящего на dsl-10.20.30.40.server.ru моей компании не нужно. Вам нужно, вы и получайте.<br><br> https://www.opennet.me/openforum/vsluhforumID3/44008.html#45 Fri, 26 Sep 2008 09:34:44 GMT &gt;Возьми список адресов (или даже доменов, если это не публичные домены типа <br>&gt;mail.ru) и сделай по нему белый список, чтобы почта от них <br>&gt;принималась без проверок. Т.к. всего почтовых адресов в мире очень много, <br>&gt;вряд ли спамер подставит в "From:" именно тот адрес, который есть <br>&gt;в списке; так что процент спама если и увеличится, то минимально, <br>&gt;а процент ложных срабатываний резко снизится. <br><br>угу, только если предварительно стырить адресную книжку, то получишь много интересной почты, от вполне известных адресатов. В т.ч. и с разными забавными вложениями, которые помогут спамерам пополнить базу легитимных отправителей. И не всегда антивырь успевает сработать.<br> https://www.opennet.me/openforum/vsluhforumID3/44008.html#44 Thu, 25 Sep 2008 22:28:00 GMT <br>&gt;ГДЕ ВЫШКА ЗА ЭТО? я не фильтрую постмастера, тк - это не <br>&gt;принято по rfc.. а недавно начали получать письма от MAIL-DAEMON, о <br>&gt;недоставке... а там внутри спам... <br>&gt;<br>&gt;БЛ#, ЧТО МНЕ ДЕЛАТЬ НА ЭТОМ ФОНЕ??? Соблюдать RFC??? У меня всего <br><br>У меня тоже Exim. Около 100 клиентов. Не могу сказать что очень уж хорошо режет, но пропускает точно не 50%. Статистика за месяц: Все попыток установить соединение около 4 милионов, доставляется около 4000 писем, из них около 70% спам (в основном на засвеченых ящиках). Pstmaster - разумеется в /dev/null :-) Использую собственноручно проверенные DNSBL, режу по Hello и имени хоста, ещё проверяю на наличие отправителя + белые списки составляются по отправленной почте.<br><br>Выделял признаки фильтрации вручную:<br><br>Сначала добавлял warninig к заголовку с описанием признака. Затем вручную сортировал письма на спам и неспам. Потом смотрел на признаки в отсортированых письмах. Так вычислял безопасность фильтрации по DNSBL например.<br> https://www.opennet.me/openforum/vsluhforumID3/44008.html#43 Thu, 25 Sep 2008 18:37:02 GMT Не знаю... у меня в живет exchange2000+postfix. Постфикс живет на довольно древней OpenBSD 3.9. Сама машина тоже не суперсервер - 2хP3-800mhz, 512mb оперативки. Настроил spamd и вздохнул с облегчением. Навскидку - 98-99% спама там оседает. Чтобы не было особых проблем - создал дополнительную таблицу, айпишники из которой не заворачиваются на spamd. В этой таблице живут ИП гмыла, мыла.ру, яндекса и т.п. У меня логи постфикса за сутки стали не 7-8мегов, а 500кб. И самое главное - практически нет проблем с юзерами - всё что нужно доходит с очень большой вероятностью. Основной минус - многие серваки имеют большой таймаут на повторную пересылку. Решил это методом объяснения юзерам, что если письмо не дошло в течении часа, то надо мне об этом сообщить.<br>Теперь думаю, может проверку по rbl отключить?<br>И главный минус такого решения, что оно не будет работать на линуксе, коего много трудится на почтарях. Да и в Net/Free его весьма муторно прикручивать, ибо нет нативной поддержки многих фич, на которые он опирается<br> https://www.opennet.me/openforum/vsluhforumID3/44008.html#42 Thu, 25 Sep 2008 13:46:20 GMT &gt;90% нежелательных сообщений можно отбить без грейлиста на стадии установления smtp-сессии, анализируя <br>&gt;ip-адрес отправителя, значения helo, mail from, и rcpt to <br><br>Как бы РФЦ822 не запрещает отправлять почту с адресов dsl-10.20.30.40.server.ru. А Вы, получается, запрещаете. Предлагаю Вас запретить.<br> https://www.opennet.me/openforum/vsluhforumID3/44008.html#41 Thu, 25 Sep 2008 12:34:27 GMT писали выше:"Грейлистинг - зло!", задержки в получении почты которые он вызывает просто неприемлимы, а каждому отправителю не будешь говорить, чтобы его сисадмин снизил таймаут переотправки на почтовике.<br><br>90% нежелательных сообщений можно отбить без грейлиста на стадии установления smtp-сессии, анализируя ip-адрес отправителя, значения helo, mail from, и rcpt to<br><br>например в smtpd_client_restrictions можно смело ставить ссылку на файл с таким содержанием<br>/(modem&#124;dia(l&#124;lup)&#124;dialin&#124;dsl&#124;p[cp]p&#124;cable&#124;pptp&#124;catv&#124;poo(l&#124;les)&#124;dhcp&#124;client&#124;customer&#124;user&#124;[0-9]{6,})(-&#124;\.&#124;[0-9])&#124;rr.com/ 550 Are you spamer?<br>/([0-9]{,4}\-[0-9]{,4}\-[0-9]{,4}\-[0-9]{,4})/ 550 Are you spamer?<br>/smtp[0-9]{1,2}\.orange\.fr/ 550 reject<br><br>а в smtpd_helo_restrictions например поставить<br>/^(\d{1,3}\.){3}\d{1,3}$/ REJECT bad RFC2821 hello<br><br>также значительная часть спама идет на несуществующих получателей, поэтому такие письма нужно или не принимать ил https://www.opennet.me/openforum/vsluhforumID3/44008.html#40 Thu, 25 Sep 2008 11:01:06 GMT &gt;Т.к. всего почтовых адресов в мире очень много,<br><br>...то паскудные спамеры юзают представителей своего же спам-листа для отсылки от их имени почты.При том половина уродцев выбирает отправителя с таким же доменом как получатель, видимо как раз в надежде что уж своих то не очень мочат.<br> https://www.opennet.me/openforum/vsluhforumID3/44008.html#39 Thu, 25 Sep 2008 04:43:35 GMT &gt;&gt;развесить фэйковые мылбоксы на всех помойках интернета, пусть спамеры подавятся.И чистить <br><br>Вспоминается анекдот про выступление председателя колхоза:<br>- В прошлом году посеяли сто гектаров - все сожрал долгоносик.<br>- В этом году посеяли двести гектаров - снова все сожрал долгоносик.<br>- В будущем году посеем триста гектаров - нехай подавится!<br>