The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"борьба с ИСХОДЯЩИМ спамом"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"борьба с ИСХОДЯЩИМ спамом"  
Сообщение от sas (??) on 17-Май-06, 18:30 
появилась нужда бороться с исходящим спамом. Для сети стоит почтовый сервер, который так же используют как релей. Руками ловить и наказывать как-то не в стиле XXI века. К тому же в большинстве случаев его рассылают боты и вирусы. Есть ли опыт у кого-то по этой теме.
Пробовал использовать SpamAssassin, но письма то уходят, а блокировать по оценке спамости :) бывает рисковано.

Сделать smtp-авторизацию не предлагать :)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "борьба с ИСХОДЯЩИМ спамом"  
Сообщение от dawnshade email on 17-Май-06, 20:28 
>появилась нужда бороться с исходящим спамом. Для сети стоит почтовый сервер, который
>так же используют как релей. Руками ловить и наказывать как-то не
>в стиле XXI века. К тому же в большинстве случаев его
>рассылают боты и вирусы. Есть ли опыт у кого-то по этой
>теме.
>Пробовал использовать SpamAssassin, но письма то уходят, а блокировать по оценке спамости
>:) бывает рисковано.
>
>Сделать smtp-авторизацию не предлагать :)


1) Сделать rate-limit на каждый IP адрес
2) Действительно руками грепать лог каждый час, отправлять себе письмо кто чего понаотправлял и бежать с паяльником к нему.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "борьба с ИСХОДЯЩИМ спамом"  
Сообщение от TrebleReel email(ok) on 18-Май-06, 00:53 
>>появилась нужда бороться с исходящим спамом. Для сети стоит почтовый сервер, который
>>так же используют как релей. Руками ловить и наказывать как-то не
>>в стиле XXI века. К тому же в большинстве случаев его
>>рассылают боты и вирусы. Есть ли опыт у кого-то по этой
>>теме.
>>Пробовал использовать SpamAssassin, но письма то уходят, а блокировать по оценке спамости
>>:) бывает рисковано.
>>
>>Сделать smtp-авторизацию не предлагать :)
>
>
>1) Сделать rate-limit на каждый IP адрес
>2) Действительно руками грепать лог каждый час, отправлять себе письмо кто чего
>понаотправлял и бежать с паяльником к нему.

Может можно dspam какнить настроить фильтровать уходящую почту ?  Мне кстати тоже очень нуна, попробую завтра ...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "борьба с ИСХОДЯЩИМ спамом"  
Сообщение от RomanG (??) on 18-Май-06, 08:05 
Очень эффективно работают административные меры - это раз.
Ну и два - на каждоом компе по фаерволу, умеющему блокировать по приложению.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "борьба с ИСХОДЯЩИМ спамом"  
Сообщение от DDD (??) on 18-Май-06, 09:17 
Еще вариант: смотреть по исходящему трафу и вслучае значительного превышения над входящим блокировать этот комп. до выяснения :)
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "борьба с ИСХОДЯЩИМ спамом"  
Сообщение от sas (??) on 18-Май-06, 10:28 
dspam больше подходит для входящих писем... можно делать отдельные фильтры для каждого ящика и т.п.

грепать каждый час лог тоже не очень.... за 5 мин можно отправить столько, что потом будешь ИП вытаскивать из блэклистов очень долго.

Я больше склоняюсь к SpamAssassin и грепать нужно именно его логи, а в последствии административные меры.

Но у меня в упор не получается завернуть трафик на локальной машине на spamd (сам релей - это другой сервер). Вот хочу задать вопрос: можно ли настроить такой себе прокси-фильтр, чтобы фильтровать ВЕСЬ исходящий smtp-трафик (даже если соедин. с другими серверами)?

SA настроен, spamd напущен, проверил его работу с помощью spamc, но вариант

iptables -t nat -A PREROUTING -s 10.0.0.0/8 -p tcp --dport 25 -j REDIRECT --to-port 783

в упор не работает. А должен ли работать в принципе? или без MTA никак?

spamd действительно висит на 783 порту.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "борьба с ИСХОДЯЩИМ спамом"  
Сообщение от TrebleReel (??) on 18-Май-06, 12:57 
Административные меры не всегда помогают, у меня например, так, если вдруг ктото стам спамить то это косяк скорее админов, чем юзеров. Помогает sav на каждом клиенте. Вообще это проблема ...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "борьба с ИСХОДЯЩИМ спамом"  
Сообщение от lapweed (??) on 18-Май-06, 16:11 
можно написать скрипт который будет отслеживать по логам
какое кол-во писем отправленно с IP за определённое время.

тоесть к примеру можно отослать 5 писем в минуту с одного IP,
если отсылают больше то блокировать IP до выяснения.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "борьба с ИСХОДЯЩИМ спамом"  
Сообщение от dawnshade email on 18-Май-06, 16:33 
>можно написать скрипт который будет отслеживать по логам
>какое кол-во писем отправленно с IP за определённое время.
>
>тоесть к примеру можно отослать 5 писем в минуту с одного IP,
>
>если отсылают больше то блокировать IP до выяснения.


почитать выше что написали про rate limit не судьба? тем более во вменяемых мэйлерах ничего писать не надо - все есть. включается одной строкой.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "борьба с ИСХОДЯЩИМ спамом"  
Сообщение от sas (??) on 18-Май-06, 16:53 
>>можно написать скрипт который будет отслеживать по логам
>>какое кол-во писем отправленно с IP за определённое время.
>>
>>тоесть к примеру можно отослать 5 писем в минуту с одного IP,
>>
>>если отсылают больше то блокировать IP до выяснения.
>
>
>почитать выше что написали про rate limit не судьба? тем более во
>вменяемых мэйлерах ничего писать не надо - все есть. включается одной
>строкой.

да читал... вот только не понимаю, что вы там хотите ограничивать.......

без статистической оценки содержимого письма я себе этой борьбы не представляю...
А всякие ограничения только могут незначительно уменьшить количество рассылок
если ошибаюсь, пожалуйста поправьте

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

10. "борьба с ИСХОДЯЩИМ спамом"  
Сообщение от dawnshade email on 18-Май-06, 17:13 
>>>можно написать скрипт который будет отслеживать по логам
>>>какое кол-во писем отправленно с IP за определённое время.
>>>
>>>тоесть к примеру можно отослать 5 писем в минуту с одного IP,
>>>
>>>если отсылают больше то блокировать IP до выяснения.
>>
>>
>>почитать выше что написали про rate limit не судьба? тем более во
>>вменяемых мэйлерах ничего писать не надо - все есть. включается одной
>>строкой.
>
>да читал... вот только не понимаю, что вы там хотите ограничивать.......
>
>без статистической оценки содержимого письма я себе этой борьбы не представляю...
>А всякие ограничения только могут незначительно уменьшить количество рассылок
>если ошибаюсь, пожалуйста поправьте

rate limit на кол-во писем в единицу времени с одного IP адреса.
Стоит 30/час прекрасно отсекает доморощенных спамеров и затрояненные машины. наружу успевает пролезть одно-десять максимум, с учетом того что рассылка ведется на 50% дохлых адресов.


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

11. "борьба с ИСХОДЯЩИМ спамом"  
Сообщение от sas (??) on 18-Май-06, 17:26 
>rate limit на кол-во писем в единицу времени с одного IP адреса.
>
>Стоит 30/час прекрасно отсекает доморощенных спамеров и затрояненные машины. наружу успевает пролезть
>одно-десять максимум, с учетом того что рассылка ведется на 50% дохлых
>адресов.

1. И где в Postfix такое ограничение?
2. Если клиенты под NAT, а почтовый сервер не есть тем сервером доступа где этот самый НАТ осуществляется, то ИП у них один...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

12. "борьба с ИСХОДЯЩИМ спамом"  
Сообщение от dawnshade email on 18-Май-06, 18:34 
>>rate limit на кол-во писем в единицу времени с одного IP адреса.
>>
>>Стоит 30/час прекрасно отсекает доморощенных спамеров и затрояненные машины. наружу успевает пролезть
>>одно-десять максимум, с учетом того что рассылка ведется на 50% дохлых
>>адресов.
>
>1. И где в Postfix такое ограничение?
>2. Если клиенты под NAT, а почтовый сервер не есть тем сервером
>доступа где этот самый НАТ осуществляется, то ИП у них один...
>


покажите в условии задачи постфикс?
http://www.exim.org/exim-html-4.62/doc/html/spec_html/ch39.html#SECTratelimiting
и лимиты там разные.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

13. "борьба с ИСХОДЯЩИМ спамом"  
Сообщение от sas (??) on 18-Май-06, 19:38 
>покажите в условии задачи постфикс?
>http://www.exim.org/exim-html-4.62/doc/html/spec_html/ch39.html#SECTratelimiting
>и лимиты там разные.

Даже сменить MTA не проблема... Не НАТить тех кто отсылает почту тоже...
Но все же решение неполное.. Хотелось бы спам-прокси на spamd сделать..............

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

14. "борьба с ИСХОДЯЩИМ спамом"  
Сообщение от dawnshade email on 18-Май-06, 19:59 
>Но все же решение неполное.. Хотелось бы спам-прокси на spamd сделать..............


и положить машину спамассасином?
он чрезвычайно прожорлив к ресурсам.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

15. "борьба с ИСХОДЯЩИМ спамом"  
Сообщение от sas (??) on 19-Май-06, 09:31 
>>Но все же решение неполное.. Хотелось бы спам-прокси на spamd сделать..............
>
>
>и положить машину спамассасином?
>он чрезвычайно прожорлив к ресурсам.

хм... Exim4 и SA очень даже хорошо интегрируются. В Debian есть пакет sa-exim. Будем комбинировать и то и другое. Спасибо.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

16. "борьба с ИСХОДЯЩИМ спамом"  
Сообщение от lapweed (??) on 19-Май-06, 16:30 
>>можно написать скрипт который будет отслеживать по логам
>>какое кол-во писем отправленно с IP за определённое время.
>>
>>тоесть к примеру можно отослать 5 писем в минуту с одного IP,
>>
>>если отсылают больше то блокировать IP до выяснения.
>
>
>почитать выше что написали про rate limit не судьба? тем более во
>вменяемых мэйлерах ничего писать не надо - все есть. включается одной
>строкой.


rate limit -- это на все письма. Читайте внимательно условия задачи!
перечитайте ещё раз заголовок.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

17. "борьба с ИСХОДЯЩИМ спамом"  
Сообщение от dawnshade email on 19-Май-06, 17:07 
>
>rate limit -- это на все письма. Читайте внимательно условия задачи!
>перечитайте ещё раз заголовок.


читаю:
The ratelimit ACL condition can be used to measure and control the rate at which clients can send email. This is more powerful than the smtp_ratelimit_* options, because those options control the rate of commands in a single SMTP session only, whereas the ratelimit condition works across all connections (concurrent and sequential) from the same client host.

это не на все письма, это на письма от конкретного IP, кстати можно делать просто delay.
вообщем ясно, линк не читал.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

18. "борьба с ИСХОДЯЩИМ спамом"  
Сообщение от lapweed (??) on 22-Май-06, 13:15 
>это не на все письма, это на письма от конкретного IP, кстати
>можно делать просто delay.
>вообщем ясно, линк не читал.

Уже прочитал :-)

да действительно с ratelimit на все письма я ошибся.

это то что я предлагал, просто это уже написали
ratelimit = <m> / <p> / <options> / <key>
There is a script in util/ratelimit.pl which extracts sending rates from log files, to assist with choosing appropriate settings for m and p when deploying the ratelimit ACL condition. The script prints usage instructions when it is run with no arguments

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

19. "борьба с ИСХОДЯЩИМ спамом"  
Сообщение от max3 (??) on 27-Май-06, 22:36 
>Сделать smtp-авторизацию не предлагать :)

Дык smtp-авторизацию может? Сложно клиентов перестроить, или чего?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

20. "борьба с ИСХОДЯЩИМ спамом"  
Сообщение от sas (??) on 28-Май-06, 00:44 
>>Сделать smtp-авторизацию не предлагать :)
>
>Дык smtp-авторизацию может? Сложно клиентов перестроить, или чего?

не все клиенты имеют почтовый ящик, но многие пользуются нашим смтп для отправки писем, т.к. многие попереходили от других провайдеров к нам и посему почту принимать могут на сервере старого провайдера, а отправлять - нет. У нас аналогично: smtp только для клиентов. Трудность в том, что тогда всем абсолютно придется делать экаунты.

НО, это еще одно, что не помешало бы сделать..........

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру