Re: Борьба со спамом из внутренней сети
eugene v. samusev - debian-russian@lists.debian.org @ Fri, 27 Jun 2008 11:26:45 +0600: evs Также можно сделать ограничение на количество новых соединений в промежуток evs времени через iptables. Я вполне могу послать «сто тыщ мильйонов» писем в одном соединение, ага? -- .''`. Kirill A. Korinskiy [EMAIL PROTECTED] : :' : proud (maniac)? (developer|hacker) `. `'` http://catap.ru/ - +7 (916) 3-604-704 - xmpp:[EMAIL PROTECTED] `- Debian - when you have better things to do than fixing systems -- madduck pgpG23hroji51.pgp Description: PGP signature
Re: Борьба со спамом из внутренней сети
В сообщении от Friday 27 June 2008 19:56:42 Kirill A. Korinskiy написал(а): evs Также можно сделать ограничение на количество новых соединений в промежуток evs времени через iptables. Я вполне могу послать «сто тыщ мильйонов» писем в одном соединение, ага? Да. Правильнее ограничивать екзимом кол-во соединений, адресатов и иногда размер писем. И поддельные заголовки резать. -- WestCall SPb dept. Phone: +7-(812)-320-0500 ext. 4580 e-mail: [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
Yuri Kozlov - debian-russian@lists.debian.org @ Thu, 26 Jun 2008 21:05:38
+0400:
YK Правда, быстро научат трояны через веб отправлять, а мы им тогда капчу :)
YK А они распознавалку, а мы ...
http://nasse.livejournal.com/160477.html
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
hands-free BSD
-- (С)энта
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
Игорь Чумак - debian-russian@lists.debian.org @ Thu, 26 Jun 2008 11:24:51
+0300:
ИЧ Про SPF не забываем:
Диверсий просьба не предлагать.
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
- Почему-то когда я вызываю сантехника, он не смеется над тем, что я не
разбираюсь в унитазах. А админ всегда издеваеццо!
- Но ты же не пишешь в резюме, владение унитазом на уровне опытного
пользователя.
-- http://bash.org.ru/quote.php?num=180938
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
Akkerman - debian-russian@lists.debian.org @ Wed, 25 Jun 2008 13:15:36 +0300:
Зато куча троянцев умеет брать инфу о smtp-сервере из настроек
аутлука. Даже авторизоваться умеет.
A Вот млин :( Умные они однако сейчас стали.
Хрен ли? API-то стандартный...
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
на вопрос как дела? отвечать 304 Not Modified
-- http://bash.org.ru/quote.php?num=20466
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
В Срд, 25/06/2008 в 22:39 +0300, Akkerman пишет: Покотиленко Костик пишет: А есть способ чтоб не просачивался??? Именно об этом мне и было интересно узнать. Люди поделились своими идеями и дали советы. Я выбрал один из способов как временный. Свести к минимуму - можно, исключить 100% - нет. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
Dmitry V. Agalakov пишет:
В сообщении от Wednesday 25 June 2008 01:32:13 Akkerman написал(а):
Обсудив ситуацию с начальством решили закрыть 25-й порт и раздать
пользователям локальные ящики. Спасибо всем :) Пока остановимся на этом
решении, а дальше будем думать...
Борьба с исходящим спамом подразумевает обработку СМТП. Зачем ящики?
Почему-то забыли самую простую схему:
Ставим свой релей с антиспамами и антивирусами по вкусу, принимающий почту из
наших сетей, на шлюзе (или бридже) делаем ДНАТ (от клиентов на 25й порт
любого хоста) -- наш релей 25й порт. Вобщем все.
Имеем:
У клиента может быть прописан любой SMTP, почта все равно проверится.
А если провернуть похожий фокус с ДНС, то клиенты имена SMTP-серверов могут
прописывать даже фейковые: почта все равно уйдет и проверится.
Про SPF не забываем:
gate:/etc/shorewall# host -t txt mail.ru
mail.ru TXT v=spf1 ip4:194.67.57.0/24
ip4:194.67.23.0/24 ip4:194.67.45.0/24 ip4:195.239.211.0/24
ip4:194.186.55.0/24 ip4:195.239.174.0/24 ~all
gate:/etc/shorewall# host -t txt inbox.ru
inbox.ruTXT v=spf1 ip4:194.67.57.0/24
ip4:194.67.23.0/24 ip4:194.67.45.0/24 ip4:195.239.211.0/24
ip4:194.186.55.0/24 ip4:195.239.174.0/24 ~all
gate:/etc/shorewall# host -t txt rambler.ru
rambler.ru TXT v=spf1 ip4:81.19.66.0/23
ip4:81.19.88.0/24 -exists:%{ir}.spf.rambler.ru
-exists:%{l}.u.spf.rambler.ru ~all
gate:/etc/shorewall# host -t txt hotmail.com
hotmail.com TXT v=spf1 include:spf-a.hotmail.com
include:spf-b.hotmail.com include:spf-c.hotmail.com
include:spf-d.hotmail.com ~all
--
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
25 июня 2008 г. 23:39 пользователь Akkerman [EMAIL PROTECTED] написал: Покотиленко Костик пишет: А есть способ чтоб не просачивался??? Именно об этом мне и было интересно узнать. Люди поделились своими идеями и дали советы. Я выбрал один из способов как временный. - поставить жестокий антивирус :) - поставить всем Debian -- Regards, Yuri Kozlov
Re: Борьба со спамом из внутренней сети
26 июня 2008 г. 18:53 пользователь Yuri Kozlov написал: 25 июня 2008 г. 23:39 пользователь Akkerman написал: Покотиленко Костик пишет: А есть способ чтоб не просачивался??? Именно об этом мне и было интересно узнать. Люди поделились своими идеями и дали советы. Я выбрал один из способов как временный. - поставить жестокий антивирус :) - поставить всем Debian c включённым SELinux ;)
Re: Борьба со спамом из внутренней сети
В Чтв, 26/06/2008 в 19:10 +0400, Igor Kozlov пишет: 26 июня 2008 г. 18:53 пользователь Yuri Kozlov написал: 25 июня 2008 г. 23:39 пользователь Akkerman написал: Покотиленко Костик пишет: А есть способ чтоб не просачивался??? Именно об этом мне и было интересно узнать. Люди поделились своими идеями и дали советы. Я выбрал один из способов как временный. - поставить жестокий антивирус :) - поставить всем Debian c включённым SELinux ;) И причём тут спам? ;) -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
26 июня 2008 г. 19:37 пользователь Покотиленко Костик [EMAIL PROTECTED] написал: В Чтв, 26/06/2008 в 19:10 +0400, Igor Kozlov пишет: 26 июня 2008 г. 18:53 пользователь Yuri Kozlov написал: 25 июня 2008 г. 23:39 пользователь Akkerman написал: Покотиленко Костик пишет: А есть способ чтоб не просачивался??? Именно об этом мне и было интересно узнать. Люди поделились своими идеями и дали советы. Я выбрал один из способов как временный. - поставить жестокий антивирус :) - поставить всем Debian c включённым SELinux ;) И причём тут спам? ;) Троянов не будет -- спама не будет. Логика. -- Regards, Yuri Kozlov
Re: Борьба со спамом из внутренней сети
В Чтв, 26/06/2008 в 19:50 +0400, Yuri Kozlov пишет: 26 июня 2008 г. 19:37 пользователь Покотиленко Костик [EMAIL PROTECTED] написал: В Чтв, 26/06/2008 в 19:10 +0400, Igor Kozlov пишет: 26 июня 2008 г. 18:53 пользователь Yuri Kozlov написал: 25 июня 2008 г. 23:39 пользователь Akkerman написал: Покотиленко Костик пишет: А есть способ чтоб не просачивался??? Именно об этом мне и было интересно узнать. Люди поделились своими идеями и дали советы. Я выбрал один из способов как временный. - поставить жестокий антивирус :) - поставить всем Debian c включённым SELinux ;) И причём тут спам? ;) Троянов не будет -- спама не будет. Логика. Троянов не будет у тебя, спама меньше станет у соседа, а у тебя как было так и останется :) -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом и з внутренней сети
On 2008.06.25 at 22:25:22 +0300, Покотиленко Костик wrote: сейчас так и работает. Но спам через спамассассин всеравно будет просачиваться... А есть способ чтоб не просачивался??? Я тут как-то рассматривал идею, что если с определенной машины отправляется более N писем в сутки (или в час, но с меньшим N), от неё переставать принимать почту. И предусмотреть на локальном web-сайте формочку, куда пользователь может зайти, и сказать, ДА, я действительно все эти N писем отправил руками, и еще хочу (или Да, у меня был тут троян, я его вычистил, дайте мне наконец отправить мое единственное письмо) Можно еще сделать систему обучаемой - чтобы, зная что данный юзер шлет много почты, немножко поднимала для него N. Из соображений что авторы троянов вряд ли будут адаптировать свои поделия к подобным изыскам администраторов конкретной локалки, а неудобств юзерам это доставляет заметно меньше, чем попадание в блок-листы. -- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
Victor Wagner [EMAIL PROTECTED] wrote: On 2008.06.25 at 22:25:22 +0300, Покотиленко Костик wrote: сейчас так и работает. Но спам через спамассассин всеравно будет просачиваться... А есть способ чтоб не просачивался??? Я тут как-то рассматривал идею, что если с определенной машины отправляется более N писем в сутки (или в час, но с меньшим N), от неё переставать принимать почту. И предусмотреть на локальном web-сайте формочку, куда пользователь может зайти, и сказать, ДА, я действительно все эти N писем отправил руками, и еще хочу (или Да, у меня был тут троян, я его вычистил, дайте мне наконец отправить мое единственное письмо) Можно еще сделать систему обучаемой - чтобы, зная что данный юзер шлет много почты, немножко поднимала для него N. В новом exim'e вместе с именноваными аклями появилась еще вкусность называемая ratelimit которая именно вышеописанным и занимается. Логи правда засирает быстро, но зато спама становиться еще меньше. Из соображений что авторы троянов вряд ли будут адаптировать свои поделия к подобным изыскам администраторов конкретной локалки, а неудобств юзерам это доставляет заметно меньше, чем попадание в блок-листы. Понижет головную боль. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
26 июня 2008 г. 20:00 пользователь Victor Wagner [EMAIL PROTECTED] написал: On 2008.06.25 at 22:25:22 +0300, Покотиленко Костик wrote: сейчас так и работает. Но спам через спамассассин всеравно будет просачиваться... А есть способ чтоб не просачивался??? Я тут как-то рассматривал идею, что если с определенной машины отправляется более N писем в сутки (или в час, но с меньшим N), от неё переставать принимать почту. И предусмотреть на локальном web-сайте формочку, куда пользователь может зайти, и сказать, ДА, я действительно все эти N писем отправил руками, и еще хочу (или Да, у меня был тут троян, я его вычистил, дайте мне наконец отправить мое единственное письмо) Тогда лучше вообще только отправку через веб оставить. gmail как в воду глядел :) Правда, быстро научат трояны через веб отправлять, а мы им тогда капчу :) А они распознавалку, а мы ... Легче во всём мире поставить debian как я уже советовал :) :) -- Regards, Yuri Kozlov
Re: Борьба со спамом из внутренней сети
Igor Kozlov пишет: 26 июня 2008 г. 18:53 пользователь Yuri Kozlov написал: 25 июня 2008 г. 23:39 пользователь Akkerman написал: Покотиленко Костик пишет: А есть способ чтоб не просачивался??? Именно об этом мне и было интересно узнать. Люди поделились своими идеями и дали советы. Я выбрал один из способов как временный. - поставить жестокий антивирус :) - поставить всем Debian c включённым SELinux ;) Может у юзверей вообще забрать машины и поменять из на счеты? Ну и на сдачу купить медицинский антисептик, чтоб вирусов точно уж не было... -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
Andrey Melnikoff пишет: Я тут как-то рассматривал идею, что если с определенной машины отправляется более N писем в сутки (или в час, но с меньшим N), от неё переставать принимать почту. И предусмотреть на локальном web-сайте формочку, куда пользователь может зайти, и сказать, ДА, я действительно все эти N писем отправил руками, и еще хочу (или Да, у меня был тут троян, я его вычистил, дайте мне наконец отправить мое единственное письмо) Можно еще сделать систему обучаемой - чтобы, зная что данный юзер шлет много почты, немножко поднимала для него N. В новом exim'e вместе с именноваными аклями появилась еще вкусность называемая ratelimit которая именно вышеописанным и занимается. Логи правда засирает быстро, но зато спама становиться еще меньше. Из соображений что авторы троянов вряд ли будут адаптировать свои поделия к подобным изыскам администраторов конкретной локалки, а неудобств юзерам это доставляет заметно меньше, чем попадание в блок-листы. Понижет головную боль. О, вот это было бы классно. Т.е. в exim можно выставить количество писем которые отправит определенный пользователь за определенное время? А если случай когда exim работает релеем для внутренней сети? ЗЫ Вообще очень интересная идея -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
2008/6/27 Akkerman [EMAIL PROTECTED]: Andrey Melnikoff пишет: Я тут как-то рассматривал идею, что если с определенной машины отправляется более N писем в сутки (или в час, но с меньшим N), от неё переставать принимать почту. И предусмотреть на локальном web-сайте формочку, куда пользователь может зайти, и сказать, ДА, я действительно все эти N писем отправил руками, и еще хочу (или Да, у меня был тут троян, я его вычистил, дайте мне наконец отправить мое единственное письмо) Можно еще сделать систему обучаемой - чтобы, зная что данный юзер шлет много почты, немножко поднимала для него N. В новом exim'e вместе с именноваными аклями появилась еще вкусность называемая ratelimit которая именно вышеописанным и занимается. Логи правда засирает быстро, но зато спама становиться еще меньше. Аналогичные опции есть в постфиксе. Из соображений что авторы троянов вряд ли будут адаптировать свои поделия к подобным изыскам администраторов конкретной локалки, а неудобств юзерам это доставляет заметно меньше, чем попадание в блок-листы. Понижет головную боль. О, вот это было бы классно. Т.е. в exim можно выставить количество писем которые отправит определенный пользователь за определенное время? А если случай когда exim работает релеем для внутренней сети? ЗЫ Вообще очень интересная идея Также можно сделать ограничение на количество новых соединений в промежуток времени через iptables. -- Евгений Самусев. Контактная информация: email: [EMAIL PROTECTED] mobile: +79226394899
Re: Борьба со спамом из внутренней сети
Akkerman пишет: San_Sanych пишет: ну например закрыть на форвард 25 порт и открыть только на сервисы которыми пользуются внутри сети Все клиенты это разные компании, они используют общественные почтовые сервера типа mail.ru, rambler.ru и т.п... Закрывать им всем 25-й порт не хотелось бы. Можно попробовать средствами iptables перенаправить соединения с порта 2525 (например) на 25 (сам не проверял): iptables -t nat -I PREROUTING -o ethX --protocol tcp --destination-port 2525 DNAT --to-destination :25 Тогда клиенты должны прописать у себя вместо порта 25 2525 (троянец вряд ли додумается сканировать порты на шлюзе) -- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
,--[Игорь Чумак 25/06/2008 11:27 (GMT +3) | Тогда клиенты должны прописать у себя вместо порта 25 2525 (троянец вряд | ли додумается сканировать порты на шлюзе) `- Зато куча троянцев умеет брать инфу о smtp-сервере из настроек аутлука. Даже авторизоваться умеет. -- Best regards, Mikhail signature.asc Description: This is a digitally signed message part.
Re: Борьба со спамом из внутренней сети
Mikhail A Antonov пишет: Зато куча троянцев умеет брать инфу о smtp-сервере из настроек аутлука. Даже авторизоваться умеет. Вот млин :( Умные они однако сейчас стали. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
В сообщении от Wednesday 25 June 2008 01:32:13 Akkerman написал(а): Обсудив ситуацию с начальством решили закрыть 25-й порт и раздать пользователям локальные ящики. Спасибо всем :) Пока остановимся на этом решении, а дальше будем думать... Борьба с исходящим спамом подразумевает обработку СМТП. Зачем ящики? Почему-то забыли самую простую схему: Ставим свой релей с антиспамами и антивирусами по вкусу, принимающий почту из наших сетей, на шлюзе (или бридже) делаем ДНАТ (от клиентов на 25й порт любого хоста) -- наш релей 25й порт. Вобщем все. Имеем: У клиента может быть прописан любой SMTP, почта все равно проверится. А если провернуть похожий фокус с ДНС, то клиенты имена SMTP-серверов могут прописывать даже фейковые: почта все равно уйдет и проверится. -- WestCall SPb dept. Phone: +7-(812)-320-0500 ext. 4580 e-mail: [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
Dmitry V. Agalakov пишет: Борьба с исходящим спамом подразумевает обработку СМТП. Зачем ящики? Почему-то забыли самую простую схему: Ставим свой релей с антиспамами и антивирусами по вкусу, принимающий почту из наших сетей, на шлюзе (или бридже) делаем ДНАТ (от клиентов на 25й порт любого хоста) -- наш релей 25й порт. Вобщем все. Имеем: У клиента может быть прописан любой SMTP, почта все равно проверится. А если провернуть похожий фокус с ДНС, то клиенты имена SMTP-серверов могут прописывать даже фейковые: почта все равно уйдет и проверится. сейчас так и работает. Но спам через спамассассин всеравно будет просачиваться... -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
В Срд, 25/06/2008 в 21:56 +0300, Akkerman пишет: Dmitry V. Agalakov пишет: Борьба с исходящим спамом подразумевает обработку СМТП. Зачем ящики? Почему-то забыли самую простую схему: Ставим свой релей с антиспамами и антивирусами по вкусу, принимающий почту из наших сетей, на шлюзе (или бридже) делаем ДНАТ (от клиентов на 25й порт любого хоста) -- наш релей 25й порт. Вобщем все. Имеем: У клиента может быть прописан любой SMTP, почта все равно проверится. А если провернуть похожий фокус с ДНС, то клиенты имена SMTP-серверов могут прописывать даже фейковые: почта все равно уйдет и проверится. сейчас так и работает. Но спам через спамассассин всеравно будет просачиваться... А есть способ чтоб не просачивался??? -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
Покотиленко Костик пишет: А есть способ чтоб не просачивался??? Именно об этом мне и было интересно узнать. Люди поделились своими идеями и дали советы. Я выбрал один из способов как временный. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
Покотиленко Костик пишет: сейчас так и работает. Но спам через спамассассин всеравно будет просачиваться... А есть способ чтоб не просачивался??? имхо таких способов нет, как не обучай спам-фильтры все равно спамеры находят способы их обходить а если закрутить гайки то не будут проходить не спамовые письма -- Александр Вайтехович www: http://sanych.nnov.ru e-mail: ssanych[at]gmail[dot]com icq: 168712946 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом и з внутренней сети
On Mon, Jun 23, 2008 at 10:54:15PM +0300, Akkerman wrote: Я вот думаю может раздать всем клиентом ящики на своем сервере и настроить, fetchmail например, для приема почты с их ящиков на mail.ru и т.п. Бог его знает. С одной стороны то, что пришло мне в голову может оказаться бредом (если эти трояны/вирусы имеют доступ к серверам/уч. записям/паролям в машине). Опять же tls нужно пропускать... С другой - приходит к вам кто-то в сетку с ноутбуком и новым ящиком на очередном сервере... Каждый раз прописывать? Нужно как-то найти баланс между тем и этим видимо (например постоянные машины/клиенты получают адреса из одного pool-а и работают по вашей схеме, а бродячие может быть по моей). Я идею пока до конца еще сам не понял : WBR Dmitri Ivanov -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из в нутренней сети
24.06.2008 18:38, Dmitri V. Ivanov пишет: С другой - приходит к вам кто-то в сетку с ноутбуком и новым ящиком на очередном сервере... Каждый раз прописывать? Как идея: купить за деньги малые ещё один IP, и разнести постоянных юзеров и гостей по разным выходным адресам. Можно даже постараться занести нечистый IP в Spamhaus PBL и dul.ru, чтобы уменьшить количество жалоб :-) А.Л. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
Обсудив ситуацию с начальством решили закрыть 25-й порт и раздать пользователям локальные ящики. Спасибо всем :) Пока остановимся на этом решении, а дальше будем думать... -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
В Птн, 20/06/2008 в 19:47 +0300, Akkerman пишет: San_Sanych пишет: ну например закрыть на форвард 25 порт и открыть только на сервисы которыми пользуются внутри сети Все клиенты это разные компании, они используют общественные почтовые сервера типа mail.ru, rambler.ru и т.п... Закрывать им всем 25-й порт не хотелось бы. Другого способа нет. Пусть используют веб-интерфейс, или отправляют через внутренний smtp, где есть проверка на спам. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом и з внутренней сети
On Fri, Jun 20, 2008 at 07:33:01PM +0300, Akkerman wrote: Привет всем. Появилась такая проблема: есть debian машина которая раздает инет на десяток других машин в бизнес центре, через нат. Одна из windows машин клиентов была заражена трояном, рассылающим спам. Спам пришел на какой-то немецкий mail-сервер, который пожаловался нашему провайдеру. Провайдер в свою очередь написал нам письмо с предупреждением, обещали закрыть 25-й порт наружу. Зараженная машина была найдена и излечена :) Но через некоторое время ситуация опять повторилась... Не подскажите кто как борется с такими проблемами? Есть идея поднять на роутере mail relay, перенаправлять всю исходящую почту на него и проверять spamassassin`ом например. Но спам всеравно будет просачиваться... Может есть какие-то другие идеи? Клиент, находящийся в приватной сети должен авторизоваться на smtp-сервере почтовой службы. Если у нас есть прозрачный smtp-proxy, то он может это отловить по наличию команды AUTH. Проблемами могут оказаться TLS и pop-before-smtp. Есть ли готовые решения - не знаю. WBR Dmitri Ivanov -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
Dmitri V. Ivanov пишет: Клиент, находящийся в приватной сети должен авторизоваться на smtp-сервере почтовой службы. Если у нас есть прозрачный smtp-proxy, то он может это отловить по наличию команды AUTH. Проблемами могут оказаться TLS и pop-before-smtp. Есть ли готовые решения - не знаю. Я вот думаю может раздать всем клиентом ящики на своем сервере и настроить, fetchmail например, для приема почты с их ящиков на mail.ru и т.п. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
Akkerman пишет: Привет всем. Появилась такая проблема: есть debian машина которая раздает инет на десяток других машин в бизнес центре, через нат. Одна из windows машин клиентов была заражена трояном, рассылающим спам. Спам пришел на какой-то немецкий mail-сервер, который пожаловался нашему провайдеру. Провайдер в свою очередь написал нам письмо с предупреждением, обещали закрыть 25-й порт наружу. Зараженная машина была найдена и излечена :) Но через некоторое время ситуация опять повторилась... Не подскажите кто как борется с такими проблемами? Есть идея поднять на роутере mail relay, перенаправлять всю исходящую почту на него и проверять spamassassin`ом например. Но спам всеравно будет просачиваться... Может есть какие-то другие идеи? ну например закрыть на форвард 25 порт и открыть только на сервисы которыми пользуются внутри сети -- Александр Вайтехович www: http://sanych.nnov.ru e-mail: ssanych[at]gmail[dot]com icq: 168712946 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
San_Sanych пишет: ну например закрыть на форвард 25 порт и открыть только на сервисы которыми пользуются внутри сети Все клиенты это разные компании, они используют общественные почтовые сервера типа mail.ru, rambler.ru и т.п... Закрывать им всем 25-й порт не хотелось бы. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом и з внутренней сети
On Fri, Jun 20, 2008 at 07:47:08PM +0300, Akkerman wrote: San_Sanych пишет: ну например закрыть на форвард 25 порт и открыть только на сервисы которыми пользуются внутри сети Все клиенты это разные компании, они используют общественные почтовые сервера типа mail.ru, rambler.ru и т.п... Закрывать им всем 25-й порт не хотелось бы. Все эти сервисы поддерживают авторизованный приём почты на порту 587. RFC 2476 скоро десять лет будет. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом
Kirill Frolov - debian-russian@lists.debian.org @ Sat, 27 May 2006 14:14:34
+0400:
KF Сколько не корми sa-learn спамом -- всё равно лезет. МНОГО.
KF Чего бы ещё такое не сильно нудное сделать?
KF Не, у него score BAYES_99 равно 3.5. Подкрутил до 4.9 стало лучше.
Его еще и хамом надо кормить. Столь же регулярно.
KF Где ж я его возьму? У емня самого не много. А юзеры не хотят.
KF Вот debian-russian скормил ему. Теперь везде где не про дебиан будет
KF спамом считать...
У меня на автопилоте кормится. В смысле - SA запущен с самообучением.
В результате автоматически все, что достаточно уверенно квалифицируется
как хам, пишется в базу как хам. Если потом письмо окажется спамом, его
еще раз скормить как спам - оно запоминает последнее состояние.
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
Может, тебе еще секретный ключ от шкатулки с сильмариллами?
(С)энта
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом
On Fri, May 19, 2006 at 11:54:03AM +0400, Artem Chuprina wrote: KF Сколько не корми sa-learn спамом -- всё равно лезет. МНОГО. KF Чего бы ещё такое не сильно нудное сделать? Не, у него score BAYES_99 равно 3.5. Подкрутил до 4.9 стало лучше. Его еще и хамом надо кормить. Столь же регулярно. Где ж я его возьму? У емня самого не много. А юзеры не хотят. Вот debian-russian скормил ему. Теперь везде где не про дебиан будет спамом считать... -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом
Kirill Frolov - debian-russian@lists.debian.org @ Thu, 18 May 2006 15:20:59
+0400:
KF Сколько не корми sa-learn спамом -- всё равно лезет. МНОГО.
KF Чего бы ещё такое не сильно нудное сделать?
Его еще и хамом надо кормить. Столь же регулярно.
--
Artem Chuprina
RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED]
Если ты не боишься синего экрана, то почему боишься черного?
(c) Д.Белявский
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом
On Thu, May 18, 2006 at 03:20:59PM +0400, Kirill Frolov wrote: Немедленно нажми на RESET, All! Наверное это лишнее... Сколько не корми sa-learn спамом -- всё равно лезет. МНОГО. Чего бы ещё такое не сильно нудное сделать? Вот у меня в другом месте немеряных размеров procmail есть. Я туда ip-адреса (с маской 255.255.255.0) записываю. Помогает неделю. Потом опять. Телефоны тоже туда записываю. Так они их, гады, теперь шифруют по-всякому. Да и сами телефоны всё время разные. :-( при наличии postfix можно сделать примерно так, навскидку: smtpd_recipient_restrictions = reject_unknown_sender_domain, reject_unverified_sender, permit_mynetworks, check_recipient_access hash:/etc/postfix/access-all, check_relay_domains ну и amavis+clamav+spamassassin прикрутить для верности. Можно в postfix еще с листами и spam-straps поиграться, помогает. -- Sova aka Ilya S. SapytskyDon't worry, be happy! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом
Kirill Frolov wrote: Немедленно нажми на RESET, All! Сколько не корми sa-learn спамом -- всё равно лезет. МНОГО. Чего бы ещё такое не сильно нудное сделать? Вот у меня в другом месте немеряных размеров procmail есть. Я туда ip-адреса (с маской 255.255.255.0) записываю. Помогает неделю. Потом опять. Телефоны тоже туда записываю. Так они их, гады, теперь шифруют по-всякому. Да и сами телефоны всё время разные. :-( Всё-таки с телефонами, наверное, самая верная затея... Сначала бы рассказал какой у тебя MTA. У меня postfix и я ему прописал в main.cf вот такую конструкцию. Правда до этого долго вкуривал No.Starch,.The.Book.of.Postfix.(2005).DDU.pdf smtpd_recipient_restrictions = check_client_access hash:/etc/mail/access, reject_non_fqdn_recipient, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_mynetworks, reject_unauth_destination, reject_multi_recipient_bounce, reject_rbl_client bl.spamcop.net, reject_rbl_client list.dsbl.org, reject_rbl_client dnsbl.njabl.org, reject_rbl_client dynablock.njabl.org, reject_rbl_client dul.dnsbl.sorbs.net, reject_rbl_client sbl-xbl.spamhaus.org, check_recipient_access hash:/etc/postfix/roleaccount_exeptions, reject_non_fqdn_hostname, reject_invalid_hostname, check_helo_access pcre:/etc/postfix/helo_checks, #check_sender_mx_access cidr:/etc/postfix/bogus_mx, permit Отвалилось сразу очень много спама. Остальное отправляется на MailScanner (aptitude show mailscanner) И сейчас практически полная тишина. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом
Peter Teslenko wrote: Kirill Frolov wrote: Сначала бы рассказал какой у тебя MTA. У меня postfix и я ему прописал в main.cf вот такую конструкцию. Правда до этого долго вкуривал No.Starch,.The.Book.of.Postfix.(2005).DDU.pdf smtpd_recipient_restrictions = check_client_access hash:/etc/mail/access, reject_non_fqdn_recipient, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_mynetworks, reject_unauth_destination, reject_multi_recipient_bounce, reject_rbl_client bl.spamcop.net, reject_rbl_client list.dsbl.org, reject_rbl_client dnsbl.njabl.org, reject_rbl_client dynablock.njabl.org, reject_rbl_client dul.dnsbl.sorbs.net, reject_rbl_client sbl-xbl.spamhaus.org, check_recipient_access hash:/etc/postfix/roleaccount_exeptions, reject_non_fqdn_hostname, reject_invalid_hostname, check_helo_access И вот у меня, например, половина всяких списков рассылки и прочих ВЕСЬМА полезных сообщений приходит с серверов, засвеченных в отстойниках типа list.dsbl.org и подобных. Если бы у меня была такая возможность, я бы руки (или чего похуже) пообрывал бы тем, кто эту гадость придумал и внедрил. Сервера в эти сервисы добавляются буквально по первому чиху, и не просто сервера, а целые подсети. Исключительно вредный подход. -- Sergei Stolyarov icq# 4099576 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом
On Thu, May 18, 2006 at 03:20:59PM +0400, Kirill Frolov wrote: Сколько не корми sa-learn спамом -- всё равно лезет. МНОГО. Чего бы ещё такое не сильно нудное сделать? Вот у меня в другом месте немеряных размеров procmail есть. Я туда ip-адреса (с маской 255.255.255.0) записываю. Помогает неделю. Потом опять. Телефоны тоже туда записываю. Так они их, гады, теперь шифруют по-всякому. Да и сами телефоны всё время разные. :-( Всё-таки с телефонами, наверное, самая верная затея... procmail обманывается с телефонами легче легкого. Например если письмо в html вместо телефона 1234567 пишем 1unexistant2/unexistant3notag4/notag... Парсер html обязан игнорировать неизвестные ему tags. Вообще необучаемость spamassassin кажется мне странной. Вроде народ пользуется и не жалуется. Сам для своей почты использую в качестве фильтра bogofilter. Обучаю на ошибках. Сегодня пропустил 2 сообщения спама (визуально одинаковых). Обычно - ни одного вообще (по ощущениям - не прикручивал статистику к своей обучалке, хотя и не проблема). Обучение через копирование ошибочно классифицированного как ham сообщения в папку INBOX.markspam (для spam INBOX.markham). Обучает скрипт, запускаемый cron (системный пользователь у папки courier, кладется все в maildir-ы, доставщик в моем случае courier maildrop, скрипт запускается с теми же правами). Скрипт просто обучает bogofilter по сообщениям в папке, после чего их удаляет. Запускается не то раз в час, не то раз в 15 минут (не суть важно, а смотреть лень). Учитывая не самый удачный формат базы у bogofilter раз в несколько недель её приходится пропускать через bogoutil -d база| bogoutil -l база.tmp . На скольки пользователях какую загрузку создаст такое решение - не знаю (пользуюсь один - юзерам пока хватает и mozilla :. У меня лично база порядка 5 мегабайт (была когда последний раз смотрел). А кормить прямиком procmail - IMHO дело дохлое (можно попробовать через bogolexer). WBR Dmitri Ivanov -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом
Sergei Stolyarov [EMAIL PROTECTED] wrote: Peter Teslenko wrote: Kirill Frolov wrote: Сначала бы рассказал какой у тебя MTA. У меня postfix и я ему прописал в main.cf вот такую конструкцию. Правда до этого долго вкуривал No.Starch,.The.Book.of.Postfix.(2005).DDU.pdf smtpd_recipient_restrictions = check_client_access hash:/etc/mail/access, reject_non_fqdn_recipient, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_mynetworks, reject_unauth_destination, reject_multi_recipient_bounce, reject_rbl_client bl.spamcop.net, reject_rbl_client list.dsbl.org, reject_rbl_client dnsbl.njabl.org, reject_rbl_client dynablock.njabl.org, reject_rbl_client dul.dnsbl.sorbs.net, reject_rbl_client sbl-xbl.spamhaus.org, check_recipient_access hash:/etc/postfix/roleaccount_exeptions, reject_non_fqdn_hostname, reject_invalid_hostname, check_helo_access И вот у меня, например, половина всяких списков рассылки и прочих ВЕСЬМА полезных сообщений приходит с серверов, засвеченных в отстойниках типа list.dsbl.org и подобных. Если бы у меня была такая возможность, я бы руки (или чего похуже) пообрывал бы тем, кто эту гадость придумал и внедрил. Колхоз - дело добровольное. Сервера в эти сервисы добавляются буквально по первому чиху, и не просто сервера, а целые подсети. Исключительно вредный подход. Ты часом со спамхаусом не попутал? Он да - невменяемый, все остальное - вполне. Еще в вышеприведенный список можно добавить rbl - cbl.abuseat.org -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом
Sergei Stolyarov wrote: Peter Teslenko wrote: Kirill Frolov wrote: Сначала бы рассказал какой у тебя MTA. У меня postfix и я ему прописал в main.cf вот такую конструкцию. Правда до этого долго вкуривал No.Starch,.The.Book.of.Postfix.(2005).DDU.pdf smtpd_recipient_restrictions = check_client_access hash:/etc/mail/access, reject_non_fqdn_recipient, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unknown_recipient_domain, permit_mynetworks, reject_unauth_destination, reject_multi_recipient_bounce, reject_rbl_client bl.spamcop.net, reject_rbl_client list.dsbl.org, reject_rbl_client dnsbl.njabl.org, reject_rbl_client dynablock.njabl.org, reject_rbl_client dul.dnsbl.sorbs.net, reject_rbl_client sbl-xbl.spamhaus.org, check_recipient_access hash:/etc/postfix/roleaccount_exeptions, reject_non_fqdn_hostname, reject_invalid_hostname, check_helo_access И вот у меня, например, половина всяких списков рассылки и прочих ВЕСЬМА полезных сообщений приходит с серверов, засвеченных в отстойниках типа list.dsbl.org и подобных. Если бы у меня была такая возможность, я бы руки (или чего похуже) пообрывал бы тем, кто эту гадость придумал и внедрил. Сервера в эти сервисы добавляются буквально по первому чиху, и не просто сервера, а целые подсети. Исключительно вредный подход. Дык не просто так в эти листы добавляют. Назови рассылку, которая приходит с серверов, перечисленных в этих листах. И во всех этих листах существует механизм изъятия сервера из списка. Заходим и заполняем соотв. форму. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом
On Thu, May 18, 2006 at 07:46:12PM +0400, Peter Teslenko wrote: Дык не просто так в эти листы добавляют. Не просто. По анономному доносу. Который может соответствовать действительности или нет. Во всех известных мне случаях -- нет. И во всех этих листах существует механизм изъятия сервера из списка. Заходим и заполняем соотв. форму. Угу. Когда заметишь, что один из твоих доменов туда какой-нибудь козел добавил. Если доменов много, то это, мягко говоря, неудобство. -- Иван Лох -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: борьба со спамом
Доброго времени суток, Pavel Kopylov ! Mon, 2 Jun 2003 17:19:20 +0300 Вы писали: Доброе время суток, подскажите кто-нибудь, кто боролся со спамом в Sendmail, как это сделать по ключевым словам, по открытым релеям уже сделано. spamassassin - Perl-based spam filter using text analysis -- Origin: Как бысто кончился диван ... mailto:[EMAIL PROTECTED]visit: http://pogudo.org
Re: борьба со спамом
On Пн 02 Июн 2003 16:42, Sergey Pogudo wrote: Доброго времени суток, Pavel Kopylov ! Mon, 2 Jun 2003 17:19:20 +0300 Вы писали: Доброе время суток, подскажите кто-нибудь, кто боролся со спамом в Sendmail, как это сделать по ключевым словам, по открытым релеям уже сделано. spamassassin - Perl-based spam filter using text analysis Тяжело это для сервера. Лучше использовать spamprobe или bogofilter. А вот в качестве учителя для этих фильтров неплохо подходит spamassassin. -- Sergey Sholokh SSH75-RIPE
