LINUX.ORG.RU

Спам. Ловля на живца


0

0

В общем возникла такая идея по борьбе со спамом на уровне почтового сервера. Заводим несколько почтовых ящиков без пользователей. Их адреса активно раскидываем по Инету, чтобы они попали в спамерские базы. Получаем, что вся приходящая на эти адреса почта --- спам, то есть под рукой все время, и адреса, и содержимое спам писем. Остается только организовать блокировку адресов и чистку почтовых ящиков...

В инете подобного не нашел, если это известная идея, ткните носом, если нет, то как и с помощью чего ее можно реализовать?

И второй вопрос, существует ли для MTA Postfix или Sendmail детекторы почтовых рассылок? Под детектором рассылок я подразумеваю обнаружение того, что за некий небольшой промежуток времени приходят письма с одинаковым содержимым.

★★★★★

А идея прикольная!
Но, применима, если трафа не жалко =(

ManJak ★★★★★
()

Поиск в гуле по словам spam и honeypot.
VirpulRazor подобным пользуется в глобальном масштабе.
Делать на маленьком серваке -- смысла особого нет.
Лучше spamassassin с VirpulRazor прикрутить.

Ростислав

anonymous
()

>А идея прикольная! Но, применима, если трафа не жалко =(

Почтовый трафик бесплатный, канал достаточно широкий. А тарфик может даже упадет, если почтавик будет сразу отшибать письма со спам адресов.

>Поиск в гуле по словам spam и honeypot.

Спасибо. Поищу.

>Делать на маленьком серваке -- смысла особого нет.

Сервак примерно на 1500 ящиков, 200 на нем, для остальный он relay (10 почтовых доменов (поддоменов)). Сервер принимает все письма для его почтовых поддоменов (x.y.ru) и проверяет их на вирусы, но больше половины идет на несуществующие адреса (типа aauwlewcd@x.y.ru или fxfxfxfxfxxfxfxfxfxfxfxfxfxfxfxfxfxfxfxfxffxfxfxfxfxfxfxfx@x.y.ru). Но о том, что такого адреса нет сервер узнает позже, когда пытается передать почту в поддомен.

mky ★★★★★
() автор топика

Получаем, что вся приходящая на эти адреса почта --- спам, то есть под рукой все время, и адреса, и содержимое спам писем

Не Фак ... иногда в качестве обратных адрессов пишутся уже существующие имена ( т е подбираются сочетания в виде ivan@yandex.ru, vadim@km.ru etc ) - в этом случае будет пропадать и почта с эдих адрессов ...

anonymous
()
Ответ на: комментарий от anonymous

>иногда в качестве обратных адрессов пишутся уже существующие имена

У нас есть поля SMTP протокола (HELO, MAIL FROM) и ip-адрес с которого идет письмо. Рубить коннект только если эти поля совпали с уже существующим письмом. А принятые писма сравнивать по содержимому.

mky ★★★★★
() автор топика
Ответ на: комментарий от mky

1. В HELO/EHLO может попадать все что угодно для нормальной вполне почты (например машина за nat)

2. В mail from спамеры пишут все, что им в голову взбредет. Проверка на существование такого адреса на отправляющем сервере возможна, но есть нюансы с пересылаемой через .forward и т. п. почтой (там mail from остается оригинальным). Один из способов такой проверки активно обсуждается в новостях (SPF). Есть и другие.

3. Изрядная доля спама идет с dial-up адресов: ip почти при каждом соединении оказывается новым (есть список dial-up адресов по России www.dul.ru). С другой стороны некоторые имея dial up подключение не пользуются релеем провайдера, а пытаются отсылать письма по mx записям напрямую.

В результате обрубать письма сразу (базируясь только на ip сервера, отсылающего вам письмо или на сочетании ip и mail from) оказывается чреватым потерями почты.

Есть ограниченное число спамеров, которые используют свои "честные" адреса и домены. Часть из них перечислена в dns блоклисте sbl.spamhaus.org (более полная информация на www.spamhaus.org). Все остальное можно использовать лишь как дополнительную информацию для spamassassin или чего-то похожего. Вот такое IMHO....

Dimai
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.