Vratenie spamu...

Pavel Janoušek janousek na fonet.cz
Středa Srpen 13 09:13:19 CEST 2003


	Zdravim,

	rad bych rozvinul nektere namety, ktere tu zaznely...

> -----Original Message-----
> From: Pavel Kankovsky [mailto:peak na argo.troja.mff.cuni.cz] 
> From: v hlavicce je stejne (ne)duveryhodny jako adresa na obalce.
> Jedina vyhoda obalky je v tom, ze je snaze a drive (v SMTP) k 
> dispozici.

	O duveryhodnosti se nepru, v soucasne dobe je to vsak docela dobry zpusob. Spamery rozdeluji (ja), dle zkusenosti, na 3 skupiny:

a) Uplne lamy
b) Poloprofesionalove, kteri vedi co delaji, ale nevi jak
c) Profici, co vedi co a jak delaji

	Odfiltrovat prvni skupinu je velmi jednoduche - 1. neumi se maskovat, 2. je jich hodne.

	Druha skupina je nejvetsi - zde zalezi na urovni MTA na strane spamera, vetsinu lze bez problemu odfiltrovat. Zpravidla klikaji a dodaji databazi, ale uz nevi, jak kvalitni software si poridili a z tech opravdu kvalitnich jsem zatim nevidel zadny...

	Proti treti skupine je velmi tezke bojovat - na kazdy lek je protilek, na kazdou akci existuje reakce...

	Skupina a) a vetsina ze skupiny b) neumi maskovani v obalkove adrese. A pokud umi, vetsina neumi krast IP adresy nebo se tvarit jako zcela jine...

> On Tue, 12 Aug 2003, Jan Kasprzak wrote:
> 
> > 	Praveze ne. Je treba neposilat spam zpatky, ale posilat
> > zpravu "adresat neexistuje".
> 
> Nevim, nemam to podlozeno statistickymi daty, ale mam jiste 
> pochybnosti o
> tom, ze dostatecne velke procento spammeru prijima bouncy a 
> pak je nejak
> zpracovava, aby melo smysl vynakladat energii na posilani 
> bouncu. Ucinne

	Ono je to jeste horsi - lidi jsou neskutecny trubky - ja sice zatim taky posilam zpet bouncy, ale uvazuji o tom, ze misto korektni odpovedi pujdou tyto maily do cerne diry (DISCARD) i za cenu, ze je jednou prijmu. Problem je v tom, ze na lidi pusobi jak cerveny hadr, pripadne vubec nerozumi tomu, co jim jako bounce zpet prijde...:-(

> by to mohlo byt v pripade, ze budou odmitnuti hned pri SMTP (coz pres
> .qmail samozrejme udelat nelze), jenze po prikazu RCPT jeste nelze moc
> dobre posoudit, jestli to bude spam, nebo ne.

	Presne - zde mame k dispozici pouze IP pripadne obalkove veci...

> > Zrovna minuly tyden jsem resil pripad konkretni IP adresy z 
> atti.com,
> > kdy dotycny posilal furt stejny spam na adresu, a ackoli 
> pokazde uz u
> > vyjednavani spojeni dostal kod 550, neodradilo ho to, aby denne
> > nezkusil to same asi tak 10000x...
> 
> Nebyl to MS Exchange? ;)

	Nebyl - zamerny podivuhodny MTA... (na atti.com je jich vice)

> Takove uzly lze resit jedinym zpusobem: zakazat IP a stezovat 
> si u ISP.
> Pokud pachatel meni adresy a ISP nereaguje, pak zakazat cely blok.

	Pro Vasi informaci, kdybyste to nevedeli, tak Casablanca hostuje temer 40% serveru v .CZ domene a pokud si jim jako ISP stezujete, sdeli Vam, ze to zkuseli a ze zakaznik tvrdi, ze vse jsou korektni adresy a lidi souhlasili se zasilanim... a ze si to mate se ZAKAZNIKEM vykomunikovat sami... (cesta e-mailu je - zakaznik (u EuroWebu) - MUA -> jeho hosting u Casablanky - MTA -> my MTA/MDA -> my MUA - v tomto pripade ISP se k odpovednosti naprosto nehlasi)

> I kdyz...jestli "vyjednavani spojeni" znamena, ze 550 byl 
> hned pozdrav od
> serveru, pak je treba poznamenat, ze 5xx v teto situaci bylo 
> podle stareho
> RFC (821) takove poloilegalni.

	550 po MAIL FROM nebo RCPT TO je spatne? A 443 je rozumnejsi (otazka predelani jednoho radku ve scriptu)?

> > 	A jak vite, ze dalsi mail z toho slusneho MTA je opet SPAM?
> 
> Kdyz v poslednich N >> 1 mailech z urcite adresy bylo M spamu, pak lze
> ocekavat, ze pristi z teze adresy bude s pravdepodobnosti M/N take
> spam.

	Ano - jak to vsak aplikovat pro verejne a zname "firmy" - treba v CR - Post, Seznam, VOL; ve svete Yahoo, MSN, AOL, Hotmail apod.?

> Ostrouhaji ti blbci, kteri pro svou postu pouzivaji stejny stroj, ze
> ktereho chodi spousta spamu.

	A ktera skupina je silnejsi - stovky tisic uzivatelu Seznam.cz nebo 500 zamestnancu firmy?

-------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)             FoNet, spol. s r. o.
Technicka podpora, Intranet/Internet     Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz         Tel.: +420  5  4324 4749
WWW:    http://WWW.FoNet.Cz/           E-mail: mailto:Info na FoNet.Cz
-------------------------------------------------------------------


Další informace o konferenci Linux