SMC anti-spam e-mail filter версия 2.0

imho куда эффективнее просто заворачивать pf`ом всё, что валится на 25-й порт с виндовых машин на отдельный mta с более строгими правилами фильтрации, работающий на другом порту
(идея не моя)

Мля, ну и теги. Давайте ещё добавим: program, plugin rpm, altlinux, deb, ubuntu.

Убрал часть.

Новость пугает.

Почитай в rfc о назначении порта 587

Можно пояснить как в данной схеме отделяются виндовые машины от невиндовых? Или ссылочку на оригинальную идею. А по поводу злого MTA, как показывает опыт(3 месяца жизни почтового сервера, на котором закручены все гайки, без мильтера) спам в нехилых кол-вах пролезает всё равно.

Passive OS fingerprinting

Угу, как и предполагалось. За proxy pOf не сработает и определит пакеты с proxy.

>Можно пояснить как в данной схеме отделяются виндовые машины от невиндовых?


cat /usr/ports/net-mgmt/p0f/pkg-descr
from the README:

Passive OS fingerprinting is based on information coming from a remote host
when it establishes a connection to our system. Captured packets contain
enough information to identify the operating system. In contrast to active
scanners such as nmap and QueSO, p0f does not send anything to the host being
identified.

For more information, read Spitzner's text at:
http://www.enteract.com/~lspitz/finger.html .

from the maintainer:

Use of this program requires read access to the packet filtering
device, typically /dev/bpf0. Granting such access allows the users
who have it to put your Ethernet device into promiscuous mode and
sniff your network. See
http://www.infoworld.com/articles/op/xml/00/05/29/000529opswatch.xml
if you do not understand how this can be harmful. Running p0f with
no options will cause it to analyse packets intended for other
hosts.

WWW: http://lcamtuf.coredump.cx/p0f.shtml

классная штука.

Да, я в курсе этой возможности, просто думал что какой-то ещё интересный алгоритм существует. :) А по поводу применимости см коммент выше. Ну и ещё стоит добавить что у подобного метода нет 100% гарантии определения типа OS, даже если ось не за роутеро/проксёй.

>Почитай в rfc о назначении порта 587

при чем тут submission?
разве оно не нужно лишь для того, чтобы принимать почту от _клиентов_, дабы разгрузить 25-й порт?
под smtp-трафиком от виндовых машин я имел в виду спам от ботнетов. они-то как раз ломяться на 25-й порт.
и всякие graylist`ы эффективны прежде всего против них.
так почему бы не отделить такой трафик из общего потока?

>Ну и ещё стоит добавить что у подобного метода нет 100% гарантии определения типа OS

100% и не нужно.
я же не предлагаю резать этот smtp-трафик целиком.. )
просто пропускать через какой-нить graylist.
imho так всяко лучше, чем делать это со всей почтой.

самое печальное, что после обычной фильтрации проходит как раз спам с nix релаев *умно-провайдеров или "белых" спамеров (которых я фильтрую по их MX). Идея красивая, p0f, но не эффективная. Лишнего релая не стоит.

А я вот свой постфикс перенес на нестандартный порт и спам перестал валиться....

Несколько лет пользуюсь этим фильтром - работает отлично. Фильтрует более 90% спама без контекстной проверки и антивируса. Добавление поддержки ClamAV и SMTP_AUTH - большой рулез, спасибо за релиз и за новость, пошёл обновлять.

Если будут проблемы(мало ли, могли что забыть), обязательно сообщайте.

Куда сообщать? Багрепорты на форже вы не читаете.

Теперь читаем. :) Некоторое время проект был в замороженном состоянии.