Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Администрирование » Сети
Страницы: 1 2 След.
RSS
Борьба со спамом., методы.
 
#1
Это нравится:0Да/0Нет
03.03.2006 14:42:19
собственно интересно кто и как борется. всякие rbl и баесовые фильтры - эт понятно(кстати, кто что использует?).
А что вы думаете насчёт greylisting и всякого рода задержек(зависящих от HELO/хоста с которого к нам подключились) на разных стадиях?
 
 
 
#2
Это нравится:0Да/0Нет
03.03.2006 14:58:07
Использую свою зону NSBL (порядка 600К записей), статические фильтры на маршрутизаторе (блокировка сеетй кабельного телевидения, диалапа и т. п.), а также динамическую систему фильтрации на базе iptables + ipset
 
 
 
#3
Это нравится:0Да/0Нет
03.03.2006 15:23:35
Цитата
Николай Малых пишет:
а также динамическую систему фильтрации на базе iptables + ipset
Николай, а где можно почитать/узнать про реализацию?
 
 
 
#4
Это нравится:0Да/0Нет
04.03.2006 13:40:43
У меня все достаточно стандартно:

rbl - куча спам баз, в т.ч. и spamcop.net

spamassassin - методом проб и ошибок выставленны и оттюнены оценки по разным правилам.

bayes - закормлен spam`ом и ham`ом, далее у юзеров по imap`у есть две папки spam и no-spam куда они кладут свою почту либо ошибочно отмаркированую как спам либо пропущеную филттрами, ночью стартует скрипт забирающий письма из папок юзеров и скармливающие salearn`у для обучения баеса.

fw - так же на фаере заблокированы ip блоки Китая :) как самая большая страна ботнетов, ну и по наблюдениям из отчетов LogWatch`а самые частые спам сети...

Впринципе хватает, спама почти нет (для юзеров), а так за сутки почтовики отлавливают от 12 до 37 тыс. писем.
 
 
 
#5
Это нравится:0Да/0Нет
10.03.2006 11:28:20
Кроме стандартного антиспамового набора использую snort для тонкой резки.

Кроме банальных HELO мойдомен, HELO мойIP иногда можно блокировать спам по интересным особенностям. Например я заметил, что в одной базе рассылки в адресе отправителя стоит лишний пробел перед замыкающей '>': From: "foo" <foo@foohost.foo_>.

Опять же, у меня нет ящика sales@мойдомен и на этот ящик может придти только спам 99%. Если почтовик получит письмо с неслькими получателями, среди которых будет sales@мойдомен, то он обругает несуществующий, но пропустит его на остальные. Snort-ом же я могу разорвать это соединение не получая письмо по существующим ящикам.

Короче snort - сплошная экономия трафика.

По поводу greylist скажу, что штука это замечательная, но таковой будет только до тех пор, пока спамеры ею всерьез не заинтересуются. А это вопрос времени.
 
 
 
#6
Это нравится:0Да/0Нет
10.03.2006 17:28:07
Цитата
LIDS пишет:
Опять же, у меня нет ящика sales@мойдомен и на этот ящик может придти только спам 99%.
ну можно умышленно кинуть sales@крутойдомен в инет, а идущий на него спам скармливать dspam или sa.
Цитата
LIDS пишет:
По поводу greylist скажу, что штука это замечательная, но таковой будет только до тех пор, пока спамеры ею всерьез не заинтересуются.
ну грейлистинг сильно снижает эффективность спама, привязывая к определённым ip адресам. А сами ip блокируются весьма просто по всякого рода bl.
 
 
 
#7
Это нравится:0Да/0Нет
10.03.2006 21:16:55
Использую след. схему  rbl, blacklist on fw, context filter, log analys + IDS для апдейта группы спамеры на fw. В этом же порядке и отсекается большая часть спама.

2^rage^ умышленно можно не кидать, значительная часть спама идет на не существующие адреса, также адреса собраные роботами с ошибками (например адреса с точкой как ivan.ivanov@ в базах часто исковерканы), и адреса уволенных сотрудников сумевших засветить свои адреса перед спамерами. Надо просто немного времени чтоб присмотреться к почте.

Грейлистинг не использую т.к. платные мейнстрим продукты ентерпрайз уровня не хотят о нем знать.
 
 
 
#8
Это нравится:0Да/0Нет
16.03.2006 18:40:34
Как используются нейросети для фильтрации спама?
 
 
 
#9
Это нравится:0Да/0Нет
11.04.2006 09:09:27
А ктонибудь слышал про голубой клуб? (это не то что вы подумали)....регестрируешся, и когда в клуб поступает адрес какого либо спамера, все члены клуба (а их ужо много) начинают закидывать серв письмами типа: "Пожалуйста, перестаньте рассылать спам!"....по сути борьба со спамом, самим спамом...говорят эффективно :)
 
 
 
#10
Это нравится:0Да/0Нет
11.04.2006 10:05:09
Цитата
svolo4 пишет:
А ктонибудь слышал про голубой клуб? (это не то что вы подумали)....регестрируешся, и когда в клуб поступает адрес какого либо спамера, все члены клуба (а их ужо много) начинают закидывать серв письмами типа: "Пожалуйста, перестаньте рассылать спам!"....по сути борьба со спамом, самим спамом...говорят эффективно

А если кто-либо заведомо кинет туда ложный адрес?
 
 
 
#11
Это нравится:0Да/0Нет
11.04.2006 11:57:41
Цитата
Kalashmat пишет:
А если кто-либо заведомо кинет туда ложный адрес?
Там все продуманно...делается через администрацию клуба...т.е. проверяют, а не верят на слово....
 
 
 
#12
Это нравится:0Да/0Нет
11.05.2006 04:11:27
LIDS , а подробнее про snort можно... как и  чего?
 
 
 
#13
Это нравится:0Да/0Нет
14.05.2006 00:31:22
Цитата
LIDS пишет:
Snort-ом же я могу разорвать это соединение не получая письмо по существующим ящикам.
это можно делать и без снорта.
 
 
 
#14
Это нравится:0Да/0Нет
16.05.2006 05:40:27
Цитата
это можно делать и без снорта.
Можно подробнее?
 
 
 
#15
Это нравится:0Да/0Нет
24.05.2006 16:42:40
Цитата
_magic пишет:
Можно подробнее?
======кусок exim.conf===========
SPAMMERS=\
bezeqint\\.net|net\\.il|dialup|dsl|adsl|pool|t-online.de|aol.com|rr.com|mchsi|peer|dhcp|comcast.net|cable\
|dynamic|net.pl|proxad.net|noos.fr|mexico|.fuse.net|.cox.net

acl_check_connect:

accept hosts = +relay_from_hosts

deny    message       = You are spammer.
       condition     = ${if match{$sender_host_name}{SPAMMERS}{yes}{no}}
======кусок exim.conf===========
 
 
 
#16
Это нравится:0Да/0Нет
04.07.2006 17:52:48
Рекомендую использовать одновременно
1. white/black листы
2. списки ключевых слов
3. признаки массовости сообщения: razor / dcc
4. DNSBL (spamcop...)
5. проверку заголовков на "правильность"
6. и байес конечно

Затем всё это "взвешивать" и принимать решение СПАМ / НЕ СПАМ /  ВЕРОЯТНО СПАМ

;-)
 
 
 
#17
Это нравится:0Да/0Нет
04.07.2006 21:04:31
Цитата
A007 пишет:
1. white/black листы
sa
Цитата
A007 пишет:
2. списки ключевых слов
с русскими словами - облом.
Цитата
A007 пишет:
3. признаки массовости сообщения: razor / dcc
sa
Цитата
A007 пишет:
4. DNSBL (spamcop...)
sa, exim =) но лучше не юзать.
Цитата
A007 пишет:
5. проверку заголовков на "правильность"
exim ;]
Цитата
A007 пишет:
6. и байес конечно
sa
 
 
 
#18
Это нравится:0Да/0Нет
05.07.2006 13:51:07
да, sa

DNSBL работает хорошо, ложных срабатываний почти нет. Бывает, что DNSBL добавляет веса сообщению (повышает вероятность, что сообщение СПАМ), но другие методы, например Байес или auto-whitelist... её уменьшают, в результате СПАМ - режется, а нормальные сообщения принимаются.
 
 
 
#19
Это нравится:0Да/0Нет
05.07.2006 18:22:18
Я до сих пор боролся через access, вписывад новые адреса...
Но уже замучился этим заниматься, и подумал: я тоже склоняюсь к вайтсписку, а все остальное вообще не принимать, и если кто-то хочет мне прислать, то пусть позвонит, и я его включу в белый список...
Только вот как ето сделать... ?
Где и как надо прописать?
Почему напр. нельзя создать файл (типа access), написать список всех адресов, откуда хочу принимать, а все остальное - плиз нафиг....
 
 
 
#20
Это нравится:0Да/0Нет
06.07.2006 09:51:07
Подскажите (поподробнее) где прописать белые и черные списки.
Я вписываю адреса в access.
Потом
makemap hash /etc/mail/access.db</etc/mail/access
killall -1 sendmail

Но с каждым приходом спама, его опять нужно вписать в access.
А как сделать, чтобы запретить всю почту, кроме той, что прописана в access?
 
 
 
Страницы: 1 2 След.
Читают тему