Vratenie spamu...
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Středa Srpen 13 00:07:55 CEST 2003
On Tue, 12 Aug 2003, Ing. Pavel Janousek wrote:
> Pri tom vyjednavani je nutno uvest Mail from: - tomuto... -
> From: v "datove casti" mailu bych skutecne neveril...
From: v hlavicce je stejne (ne)duveryhodny jako adresa na obalce.
Jedina vyhoda obalky je v tom, ze je snaze a drive (v SMTP) k dispozici.
On Tue, 12 Aug 2003, Jan Kasprzak wrote:
> Praveze ne. Je treba neposilat spam zpatky, ale posilat
> zpravu "adresat neexistuje".
Nevim, nemam to podlozeno statistickymi daty, ale mam jiste pochybnosti o
tom, ze dostatecne velke procento spammeru prijima bouncy a pak je nejak
zpracovava, aby melo smysl vynakladat energii na posilani bouncu. Ucinne
by to mohlo byt v pripade, ze budou odmitnuti hned pri SMTP (coz pres
.qmail samozrejme udelat nelze), jenze po prikazu RCPT jeste nelze moc
dobre posoudit, jestli to bude spam, nebo ne.
> Nicemu tim neuskodite, protoze je-li obalkovy odesilatel
> zfalsovany, pak se na tuto adresu stejne vraceji nedorucitelne spamy
> i od jinych.
Pokud tyhle fiktivni bouncy budou tvorit 1/10 bouncu skutecnych, pak je
to jeste unosne. Pokud by se ale tak zacalo chovat hodne lidi a falesne
bouncy byly vzhledem ke skutecnym 1:1 nebo dokonce vic, pak by to bylo
dost zle prilevani oleje do ohne.
O duvod vic, proc antispam filtr nasadit i na bouncy. :)
On Tue, 12 Aug 2003, Ing. Pavel Janousek wrote:
> Jenze po DATA a tecce jste SPAM neodmitnul, ale naopak cely
> prijal a maximalne udelate MDA do /dev/null - neni to neco jineho?
Cely mail se sice prenesl (a u mne aspon docasne ulozil), nicmene
vracenim chyby po DATA jsem zodpovednost za dalsi osud zpravy vratil
zpet na odesilaci uzel. Takze nebudu ten zly, u koho se
> Zrovna minuly tyden jsem resil pripad konkretni IP adresy z atti.com,
> kdy dotycny posilal furt stejny spam na adresu, a ackoli pokazde uz u
> vyjednavani spojeni dostal kod 550, neodradilo ho to, aby denne
> nezkusil to same asi tak 10000x...
Nebyl to MS Exchange? ;)
Takove uzly lze resit jedinym zpusobem: zakazat IP a stezovat si u ISP.
Pokud pachatel meni adresy a ISP nereaguje, pak zakazat cely blok.
I kdyz...jestli "vyjednavani spojeni" znamena, ze 550 byl hned pozdrav od
serveru, pak je treba poznamenat, ze 5xx v teto situaci bylo podle stareho
RFC (821) takove poloilegalni.
> > Když na spamy vyhradím nějaké 2Kb/sec, tak mne to linku
> > žrát nebude.
>
> A jak vite, ze dalsi mail z toho slusneho MTA je opet SPAM?
Kdyz v poslednich N >> 1 mailech z urcite adresy bylo M spamu, pak lze
ocekavat, ze pristi z teze adresy bude s pravdepodobnosti M/N take
spam.
On Tue, 12 Aug 2003, Ing. Vlastimil Pospíchal wrote:
> Ano, skutečně jsem měl na mysli hlavičku From:, které věřit nelze a
> obálku "mail from:", které věřit lze a kterou lze úspěšně použít pro
> likvidaci spamu ještě před jeho přijetím.
Viz vyse. Verit ji nelze a pro likvidaci spamu lze pouzit jen nekdy.
On Tue, 12 Aug 2003, Ing. Pavel Janousek wrote:
> Pokud bude mit sanci vubec dojit - jakou ma sanci projit
> normalni mail, kdyz spamu je jiz vice jak 50% (celosvetove)? A co v
> pripade, ze Vas autodetekcni system oznaci za spamovy server nejaky
> hodne vyuzity stroj? (*.vol.cz, *.seznam.cz, *.kundenserver.de,
> *.linux.cz apod.) Co kdyz tam bude zrovna 1000 spamu a 5 regulernich
> mailu? Kdo ostrouha?
Ostrouhaji ti blbci, kteri pro svou postu pouzivaji stejny stroj, ze
ktereho chodi spousta spamu.
> Vite, ze v tom pripade jste spise obeti (D)DoS utoku - protoze Vam
> dojdou jednoduse vycerpatelne porty (rekneme, ze jich mate zhruba
> 60000)? Jdete timto proti sile, o ktere nemate presne poneti..., byt
> idea to byla hezka...
Na strane serveru nejsem omezeny poctem portu. Kdyz mi to kapacitni
omezeni meho OS dovoli, na jeden serverovy port muze vest treba
deset milionu ruznych spojeni (ktera jsou navzajem rozlisena IP adresou
a portem na strane klienta).
Jina vec je, ze je trochu hloupe omezit rychlost spojeni z urciteho zdroje
a zaroven neomezit maximalni povoleny pocet spojeni z tehoz zdroje.
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux