Ловушки для спамеров

Что значит каким боком? Если MX:DNS - это таже самая проверка о которой я говорил, то должно сработать. Этот 213.96.27.110 где-то зарегестрирован как MX какого-то домена? Какого? Какой параметр использовал 213.96.27.110 выполняя команду HELO?

> 1. Ты тоже фильтруешь почту по наличию *dsl в реверс-резолве? :-))

Где ты, умник, увидел фильтр по имени reverse name?

2. Не боись, отфильтрую :)

Lookup 192.117.102.102 (line102-102.adsl.actcom.co.il) in 21+11 Zones
AS: 192.117.96.0/21 AS4148 ACTCOM - Active Communication LT Haifa
Net 192.117.96-127 ACTCOM-BLOCK-4 Haifa, Haifa @actcom.co.il
Results: Negative=32, Positive=0 (2004-04-18 21:19:51 UTC)

> Кто тебе вообще сказал, что принадлежность хоста к классу dial-up или
> ADSL корректно проверять поиском каких-то ключевых слов в
> реверс-резолве?

Твоя тама савсэмь па рюсски читать разучилась?

Где ты увидел, что я по именам в reverse что-то фильтрую? Вот благодаря таким горе-админам, которые даже логи прочесть не могут всяческий спам и вирусы по сети и ходят. Хоть на UUCP обратно переходи!

P.S. То что ты предлагаешь не сложно, но глупо и неефективно. Посмотри как я предлагал выше фильровать по регистрации.

По регистрации это в Москве фильтруют. Правда, 100 рублей - и фильтр обойден :>

Что я тебе такого "несложного, но глупого и неэффективного" предложил?
Это стандартные логи CGPro, со включенными стандартными проверками.

А вот ты самодеятельностью занимаешься, причем - совершенно ненужной! Впрочем, мешать не буду - .il у меня вмнсте с .cn, .kr и .tw забанен, ибо кроме спама с тех доменов ничего не приходит :>

Так что от тебя я весточки не получу :>

Так по каким же признакам ты отфильруешь 192.117.102.102? Вырази свою мысль яснее.

<quote> А я, выше, предлагал фильтровать по отсутствию регистрации. Тоесть, например, подключился к тебе кто-то с хоста 12.23.34.45 и пытается что-то куда-то послать. Проверь, а записан ли в каком-то домене этот самый 12.23.34.45 или hostname (который в этот IP резолвится) в качестве MX. Чтобы не проверять домены во всём Интернете проверь только те, что получаются из HELO или EHLO. Ведь этот 12.23.34.45 должен в начале сессии сказать что-то типа HELO a.b.com. По моему так можно фильтровать около 90% спама, если не больше. </quote>

Чушь ты предлагаешь.

1. Что значит - проверить интернет? Взять .com например, и весь его перебирать? Так там бвза под гиг давно :>

2. Ну вот тебе ip 205.206.231.26. Ресолвится в outgoing.securityfocus.com. MX у него нет :> MX securityfocus.com: securityfocus.com. 600 IN MX 100 outgoing3.securityfocus.com. securityfocus.com. 600 IN MX 0 mail.securityfocus.com. securityfocus.com. 600 IN MX 100 outgoing2.securityfocus.com.

Правда, тут МОЖНО заметить, что у outgoing2.securityfocus.com. такой же IP адрес. А можно и не заметить :> Особенно - программе, ибо такую эвристику зае....ся програмировать. Не говоря уже о том, что я, как владелец spammer.com MX могу на кого угодно перевести :>

3. Или, например: почта приходит с:

mx2.freebsd.org. 2766 IN A 216.136.204.119

MX для freebsd.org:

freebsd.org. 600 IN MX 10 mx1.freebsd.org. mx1.freebsd.org. 3526 IN A 216.136.204.125

Твоим "гениальным" методом мы почту-то точно запорем :>

4. Ну, а про доставку через какой-нить backup MX вообще промолчу...

> Так по каким же признакам ты отфильруешь 192.117.102.102? Вырази свою мысль яснее.

По блоку 192.117.96.0/21, который будет в одном из DUL листов :> (кстати, не забыть зарегистрировать там этот блок:>).

А лучше сразу:

192.114.40.0/21 192.114.80.0/22 192.115.16.0/20 192.115.56.0/21 192.115.128.0/21 192.117.96.0/21 192.117.104.0/21 192.117.112.0/21 192.117.120.0/21 217.194.192.0/24

person: Amir Plivatsky address: ACTCOM - Active Communication Ltd. address: P.O.Box 5402 address: Haifa 31054 address: Israel phone: +972 4 8676115 fax-no: +972 4 8676088 e-mail: amir@actcom.co.il nic-hdl: AP53 changed: hank@vm.tau.ac.il 19950129 changed: registrar@ns.il 19960704 source: RIPE

Это не ты, случаем :>?

1. Ты наверно сам читать не умеешь. Я такого не предлагал.

2. Это реверс резолвинг, которым я пользоваться не предлагал.

3. Согласен, порежет. Возможно на данный момент это недостаток моего метода. Но если проверка на наличие отправляющего MX в DNS будет общепринятой то mx2.freebsd.org пропишут и всё будет нормально. А вот спамер, все затрояненые им хосты, прописывать не будет.

192.114.40.0/21 ? Ты хорошо подумал прежде чем этот блок включать в DUL? :-)) А как же mx1.actcom.co.il ?

Я не Amir Plivatsky и вообще в Actcom не работаю, не переживай :-))

Кстати, я не единственный и далеко не первый, кому пришла идея проверять регистрацию outbound почтового сервера. Вот почитай:

http://www.circleid.com/print/151_0_1_0/

Кстати, один из следующих драфтов, очень похожий на мою идею,
может скоро стать RFC:

http://spf.pobox.com/draft-mengwong-spf-00.txt (новее)
http://www.ietf.org/internet-drafts/draft-danisch-dns-rr-smtp-03.txt

Первый (более новый) из них уже кое где применяется:

$ host -t TXT freebsd.org
freebsd.org descriptive text "v=spf1 ip4:216.136.204.119 -all"
$ host -t TXT jfitz.com
jfitz.com descriptive text "v=spf1 a mx -all"
$ host -t TXT gnu.org
gnu.org descriptive text "v=spf1 ip4:199.232.76.160/27 ip4:199.232.41.0/28 ?all"
$ host -t TXT google.com
google.com descriptive text "v=spf1 ptr ?all"
$ host -t TXT gmail.com
gmail.com descriptive text "v=spf1 a:mproxy.gmail.com a:rproxy.gmail.com ?all"
$ host -t TXT pobox.com
pobox.com descriptive text "v=spf1 mx mx:fallback-relay.pobox.com a:smtp.pobox.com a:emerald.pobox.com ?all"

2borisych:
>странно... у меня на этапе rcpt to проверяется есть 
>почтовый пользовеатель или нет ... 
Это от того, что у тебя один домен, один сервак и один MX ;-)
Каким предлагаешь "естественным" и "ненасильственным" способом 
проверять real destination на 3-ем или 4-ом MX-е ?  ;-)))  

2anonymous (*) (18.04.2004 22:46:22)
>А я, выше, предлагал фильтровать по отсутствию регистрации. 
>Тоесть, например, подключился к тебе кто-то с хоста 12.23.34.45 и
> пытается что-то куда-то послать. Проверь, а записан ли в каком-то
> домене этот самый 12.23.34.45 или hostname (который в этот IP
> резолвится) в качестве MX. Чтобы не проверять домены во всём 
>Интернете проверь только те, что получаются из HELO или EHLO. 
>Ведь этот 12.23.34.45 должен в начале сессии сказать что-то типа
> HELO a.b.com. По моему так можно фильтровать около 90% спама, 
>если не больше.
Блажен кто верует ...
Какая такая неимоверная сила не позволить спамеру, я уже не говорю про систему спам рассылки, прописать в каком-нибудь третьеуровневом
поддоменчике vasya.bla-bla-bla.haliava.uk  MX запись на этот IP  ?
И менять эти поддоменчики раз в 2 дня ? ;-)
А уж как можно "системно" прикрутить ваши любимые динамические 
DNS ....

> MTU ничем не лучше. Попробуй попроси у них делегировать тебе домен > *.in-addr.arpa, если у тебя не класс С сеть.

Ну, не знаю, мне достаточно быстро удалось уговорить их на делегирование по rfc2317.

> Можно просто попросить провайдер сделать reverse resolving на выделеные вам IP адреса, но тогда ты будешь полностью зависеть от этого провайдера и если его DNS отвалится ты будешь лапу сосать, а если в reverse resolving захочишь что-то поменять, то опять придётся идти к провайдеру. В случае использования вышеописаного хака ты так же будешь зависеть от DNS провайдера, хотя и в чуть меньшей степени.

Если пров оотвалится ты по любому сосать будешь :)

2BaT:
>Ставишь сервер провайдера smart relay у себя и
А теперь возвращаемся с облаков на нашу грешную землю, в реальную
бизнес ситуацию :
Манагер послал письмо через твой майл-сервак. Сидит ждет ответа.
Ну ВАЖНО это для его работы.
Через час сидения на иголках он обратится к тебе.
Ты смотришь в лог и видишь, что его письмо через 3 сек. улетело на
релей ТВОЕГО прова.
А что там дальше ?

Предлагаешь пускать пузыри в ответ манагеру ?
Или отвечать, что его письмо по РЕКОМЕНДАЦИЯМ rfc может валяться
в очереди почтовика до пяти суток ?

P.S.
 Весь этот бред идет от того, что вы считаете, что в бАААльших провайдерах работают кРЮтЕйшие монстры. 
Там разные встречаются.

Гыгыгыг :))

>Есть же спам-бит в заголовке IP-пакета, на ЛОРе про это писали неоднократно. По нему фильтровать и все дела.

Вот приколист! :))))))))))

Издать закон, чтоб спамером считался толко тот, кто честно ставит этот бит :)) А те, кто эти биты не расставляют, те спамерами не считатются.

Ну ну... Хотелось бы посмотреть сколько такой спамерский домен или его поддомен вообще просуществует. Вот скажи мне, почему спамеры практически никогда не пользуются SMTP серверами своих затрояненых шестёрок?

Далеко не все провайдеры соглашаются на решение описаное в rfc2317.

Знаешь, мне "по долгу службы" приходится сталкиваться со всеми типами провайдеров и в немалом количестве. Так что иллюзий у меня нет - большинство провов так же безграмотны, как и анонимусы на этом сайте.

Я не понимаю вообще, что это за тряска насчет - придет манагер и будет стучать кулаком/плакать. Если у вас IT dept. подчинен Sales - это ваши проблемы. В нормальных организациях это отдельная ветв, которая выходит на рукрврдство организации.

По поводу провайдера - есть такая вещь, как Service agreement. И если пров не может обеспечить связь/почту/etc. в оговоренные сроки и с оговоренным какчеством, то его ждут штрафные санкции. В цивилизованном мире :>

Да, по поводу бреда. В отличие от тебя, я действительный ISOC member, участвую в IETF, ICANN, ARIN и RIPE meetings. И имею несколько больше представление, о том, ЧТО обсуждается на таком уровне и что думают те, кто РЕАЛЬНО интернетом в этом мире заправляет. А не то, что вообразит себе одмин конторы "Вася Пупкин и сыновья".

> Кстати, я не единственный и далеко не первый, кому пришла идея проверять регистрацию outbound почтового сервера. Вот почитай:

> http://www.circleid.com/print/151_0_1_0/

Ну, траву не ты один куришь.... ^%^

>почему спамеры практически никогда не пользуются SMTP серверами своих затрояненых шестёрок?

направда ваша, батенька
последнее время анализируюю много приходящего спама. Слать спам через smtp-сервер провайдера лопухастого dsl'щика - очень распространённый приём - потому что у того smtp и с dns всё в порядке, и в dul'ах он не светится - почту от него с бОльшей вероятностью примут. А провайдер часто не чешется (или не может справиться). Вон, возьмём того же adelphia.net - крупный кабельный провайдер и спам прёт прямо с их mtaX.adelphia.net постоянно. Пришлось заблокировать целиком. А что делать? Благо мы сними не переписываемся.

Ну, с такими только так и поступать. К сожалению, особых мер воздействия на сторонних провайдеров на данный момент нет...

Теоретически, можно подавать в суд, но занятие это хлопотное, зависит от законодательства страны провайдера и вообще гемморой :>

Внос в RBL ИНОГДА все-таки помогает вразумить таких ISP :>

2 BaT:

>В отличие от тебя, я действительный ISOC member, участвую в IETF, ICANN, ARIN и RIPE meetings

О, это я удачно зашёл. У меня вопросик: я тут с ftp.apnic.net утянул файл delegated-apnic-20040101.txt и там такая иформация:

....
apnic|JP|ipv4|129.60.0.0|65536|19870826|allocated
apnic|AU|ipv4|129.78.0.0|65536|19871002|allocated
apnic|AU|ipv4|129.94.0.0|65536|19871022|allocated
apnic|AU|ipv4|129.96.0.0|65536|19871025|allocated
....

Я так понимаю, из него можно узнать к какой стране какая сеть относится. Вопрос такой: насколько это можно использовать? Насколько это а) полная б) свежая в) достоверная информация? Как с этим у других NIC? Спасибо. P.S. GeoIP смотрел.

>Ну ну... Хотелось бы посмотреть сколько такой спамерский домен
> или его поддомен вообще просуществует. 
Хм прочти мой пост еще раз.
Напомню ;-) я бы поставил 2-3 суток.

>Вот скажи мне, почему спамеры практически никогда не пользуются
> SMTP серверами своих затрояненых шестёрок?
Их логику не знаю, но IMHO проще написать чтобы комп сам ломился на
25 порт в мир, чем рыскать по регистори, а потом ВСЕ РАВНО ломиться
на 25 порт местного SMTP-шника ;-)
Мнебы было лениво писать ДВА куска вместо ОДНОГО ;-)

P.S.
 Хвала богам, меня сии проблемы не касаются :-)))

Я вообще не курю :-)) Моя идея возникла тут, во время чтения этого обсуждения. Естественно она совсем сырая и содержит изьяны. Но подобные идеи приходили в голову не мне одному и далеко не вчера. Что ты скажешь о SPF, о SRS? Почему ты этого кандидата в RFC не прокоментировал?

Насчёт твоих рассуждений о том, что посылать почту нужно только через сервер провайдера - это обыкновенный снобизм. Нигде не сказано, что делать нужно так и только так. Ты наверно плохо себе представляешь реалии мелких контор. Если ты член ISOC и участвуешь в IETF, ICANN, ARIN и RIPE meetings, расскажи нам о вышеназваном требовании с точки зрения перечисленых организаций. Неужели они хотят и могут сделать это требование реальным?

Да ничего они не сделают. Ситуация вышла из-под контроля уже давно и имхо в результате она похоронит под собой smtp в его нынешнем виде. Единого пространства e-mail уже давно не существует и распад только усугубляется, благодоря экстримистам от филтрации.

>Насчёт твоих рассуждений о том, что посылать почту нужно только через
>сервер провайдера - это обыкновенный снобизм. Нигде не сказано, что
>делать нужно так и только так. Ты наверно плохо себе представляешь
>реалии мелких контор.

Ну да, плох тот солдат, который не мечтает стать генералом... Даешь
каждому по свечному заводику... Вот от таких реалий и приходится
применять зверские фильтрации, а с BaT'ом я полностью согласен, ибо
нехрен ставить почтовик, если не заботишся заранее как будет выглядить твое имя хоста и какие услуги предоставляет тебе провайдер...

2McMCC: ага, двое за, два десятка - против. Угадай, кто куда пойдет? :)

>ага, двое за, два десятка - против. Угадай, кто куда пойдет? :)

Да совершенно плевать, кто куда пойдет, зато мы банда, а не мелочь
пузатая....

Бывают сети, где нет почтовых серверов и вообще серверов которые держит пров.

Зачем ему сервера - его дело таскать трафик.

>Бывают сети, где нет почтовых серверов и вообще серверов которые
>держит пров.

На Чукотке? Или Берег Слоновой Кости?

2McMCC: ага... банда... сборище дешевых понтовщиков. :)

>2McMCC: ага... банда... сборище дешевых понтовщиков. :)

Почему дешевых? Даже очень дорогих....

<quote>

Я так понимаю, из него можно узнать к какой стране какая сеть относится. Вопрос такой: насколько это можно использовать? Насколько это а) полная б) свежая в) достоверная информация? Как с этим у других NIC? Спасибо. P.S. GeoIP смотрел.

</quote>

Это так называемые RIR stats. Строятся по внутренним базам, поэтому В ПРИНЦИПЕ, чуть точнее. Ноб например у RIPE используется EU в некоторых случаях, хотя в Whois есть информация и по странам.

В среднем, точность ~ 90-95%. Эта информация необязательна к заполнению, поэтому некоторые LIRs ее не оставляют.

Смотреть например, ftp://ftp.ripe.net/pub/stats/ . Там копии по всем RIRам. Полностью им доверять не следует но как первое приближение сойдет.

Как вариант, там рядом есть дампы whois DB - оттуда можно получить подобную информацию. Что, собственно всякие GeoIP и делают... Опять же, эта инфа на совести заполнявшего...

Как ни обидно, но Irsi прав - все эти организации могут РЕКОМЕНДОВАТЬ, но не могут насильно всех перевести на новый протокол/способ проверки. Если появитсф sendmail с этими проверками, то есть шанс, что они приживутся(любители qmail могут не стараться возражать - пока у sendmail 70% рынка почтовиков, он задает тон).

Ничего, скоро Интернет отдадут Телекомам(ITU) и комиссии при ООН - тогда-то уж все попляшут :((((

А что комментировать? Общего с твоей "идеей" только то, что в обоих слово DNS упоминается. Так на DNS столько проверок уже накрученно, что скоро оно лопнет. (Вот к примеру, скоро будет RFC про "Secure DNS". Подпись средней тяжести зоны занимает пару часов. Ну, и память, проц, и т.п. - вот уж где посмеетесь).

Из кандидатов на RFC 90% умирают на стадии drafts. Про этот конкретно ничего не скажу, ибо не слежу за ним, но смысл в нем есть, так что может и выйдет.

У "этих организаций" никаких требований к организации почты нет. Не тот уровень.

Не понимаю, в чем логика для мелкой конторы заводить всю почтовую инфраструктуру и кормить красноглазого одмина, который либо open relay из нее сделает, либо начнет спам и хосты по orbs.org резать, так что вообще ничего ходить не будет... Умнее было бы оутсорснуть всю эту бодягу провайдеру, у которого как есть и ресурсы и (априори) необходимые знания.

Понятно, что одмины против. А что скажет менеджмент? (MLM и R-Style не предлягать :>).

А очень просто, шеф конторы не контролирует постмастера прова, который

вполне может принять рассылку нового прайса дилерам за спам.

Плюс к этому задержки в доставке могут весьма различаться.

Нет уж, либо шашечки, либо кататься. Если ты всерьез занимаешься рассылками и при этом - не спамом, то либо сервачок свой ставь в коло, либо договорчик с провом инетки подчирикай :>

А - да я сейчас со своего диалапа всем напишу, какой у нас модный новый удлинитель пениса вышел - это в сад, пожалуйста.

Да, Sun-ch, ты почему PHK денег не дал :)?

> пока у sendmail 70% рынка почтовиков

Очнулся. Уже давно меньше 50%. qmail - почти 30%. Так шта... любителям
сендмыл просьба подвинуться ;)

О, покажи откуда такие данные, плиз :)?

2BaT: менеджмент только за, чтоб контролировать все на своей площадке. Ибо ты сам сказал как падает уровень админов, даже у крупных ISP... Своему админу можно и по шапке надавать, а как повлиять на ленивого админа ISP? Реально - никак. К тому же договор не запрещает организацию своего полнофункционального почтового сервера - rfc2505 да документ N8 ОФИСПовский знай и соблюдай как отче наш и проблем не будет. Не будешь соблюдать - накатают на abuse@ твоего ISP кучку жалоб и он тебе закроет 25й порт на своем фаерволе, пока все не приведешь в порядок и всех делов-то.
Вообщем экстремисты - в сад, это точно. Сегодня ты же сам наблюдал как пламенного борца со спамом такие экстремисты в спамеры зачислили, на основании его имени хоста к слову :) Это я про санчеса...:)

Думаю, что тебе не удастся его переубедить. BaT относится к той категории людей, которые считают своё мнение единственно правильным. Вместо того чтобы признать несовершенство SMTP и необходимость его улучшения или замены он предлагает чисто администратиное решение. Его не интересует как такое решение будет работать на практике. И этот человек является действительным членом ISOC!

anonymous (*) (19.04.2004 22:38:27): именно из таких людей всегда и состоят различные бюрократические институты и без разницы какие - государственные, корпоративные, инетовские, фидошные... Единственный способ что-то сделать - забить на них и начать делать что-то свое. Если сделал - то люди начинают этим пользоваться, забивают на старое и старое постепенно помирает вместе со своей бюрократией. А вокруг нового наростает своя, новая бюрократия и все повторяется сначала...:)

> На Чукотке? Или Берег Слоновой Кости?

Москва, две минуты от Садового. Правда через месячишко-другой они все таки завели свой почтарь... С хостнеймом напрочь отличным от собственного ;-)))))))

Вот вы тут говорите: RBL, WL, и проч.

Просто к сведению: в один из известнейших free RBL (bl.spamcop.net) попал smtp.wplus.net :( Т.ч. включайте bl.spamcop.net в ваши rbl списки, и почта с ADSL (по крайней мере питерская) вам не страшна :)

Так я чего-то не догоняю - есть вообще rbl, которой можно пользоваться? А ordb.org ?

> Так я чего-то не догоняю - есть вообще rbl, которой можно пользоваться? А ordb.org ?

Выбирай. Но осторожно. Но выбирай. (с)

Главное - не ставить обобщенных списков на проверку, где все скопом. Я вот беру обычно списки открытых прокси и dialup.

Но вообще, если не следишь за всеми событиями в этой среде - лучше не пользоваться... Или анализируй логи :)))

http://www.spamcop.net/w3m?action=blcheck&ip=195.131.52.143

Например, так:

list.dsbl.org, http.dnsbl.sorbs.net, socks.dnsbl.sorbs.net, smtp.dnsbl.sorbs.net, dul.dnsbl.sorbs.net, misc.dnsbl.sorbs.net, rhsbl.sorbs.net

А spamcop тоже известная зараза, не лучше sorbs.net...

Приколись:

http://www.blackholes.us/

argentina.blackholes.us 
brazil.blackholes.us 	
china.blackholes.us 	
cn-kr.blackholes.us 	  
hongkong.blackholes.us
japan.blackholes.us 	
korea.blackholes.us 	
malaysia.blackholes.us 	
mexico.blackholes.us 	
nigeria.blackholes.us 	
russia.blackholes.us 	
singapore.blackholes.us 	
taiwan.blackholes.us 	
thailand.blackholes.us
turkey.blackholes.us 	


Вот в таком мы списочке, спасибо Irsi и прочим рассылателям спама с ADSL :>

Прикололся - у этих черных дыр 2/3 всего мира в списках. :) А помнится были еще идиоты, которые заносили сеть в черный список, если оттуда хоть один раз приходил спам и хрен его оттуда удаляли... :)

Пошел на хуй, спамер ебаный !