Vratenie spamu...

Honza Pazdziora adelton na fi.muni.cz
Čtvrtek Srpen 21 13:34:17 CEST 2003 

On Tue, Aug 12, 2003 at 01:35:54PM +0000, Pavel Janoušek wrote:
> > Mate nekdo nejakou zkusenost s greylistingem,
> > 	http://projects.puremagic.com/greylisting/
> > ? Vyhoda je v tom, ze spojeni je zavreno hned po odpovedi na RCPT TO
> > a odpada parsovani obsahu. To se da koneckoncu udelat vzdy pozdeji, na
> > tech, kteri pokud o doruceni zopakuji.
> 
> 	Mozna jsem neco nepochopil, ale pokud jsem dobre cetl, tak je to v podstate to same, co ma sendmail jiz davno v sobe - access.db... - to, ze ja tam cpu 550 (We do'n like spammers!) a ni 443 (Try again later) IMHO neni podstatne, protoze zalezi na odesilatelove MTA, co pro nej "later" je...
> 
> 	Navic, ten filtr filtruje az po rcpt to:, zatimco access.db muze i podle mail from ci IP adres (to maji oba)...
> 
> 	Je tam nejaka funkcionalita, kterou jsem nepodchytil?

Ano (predpokladam ;-).

Access.db je seznam IP adres. Greylisting pracuje s trojici IP adresa,
adresa (obalkova) odesilatele, adresa (obalkova) prijemce. Pokud
prijde dopis s trojici, ktera nedavno nebyla videna, vrati 443 a tuto
trojici si poznamena. Jakmile ponejake dobe odesilajici MTA provede
pokus o doruceni znovu, je uz ta trojice v databazi a dopis normalne
projde.

Myslenky jak jsem je pochopil jsou asi takovehle:

1) spamer se nebude obtezovat zkouset tu zpravu dorucit podruhe;
2) pokud ano, tak v tom mezicase (5 minut, nebo hodina, kolik si
   nastavite, nez se zmeni 443 na 250) uz bude ta IP adresa nebo ten
   spam v jinych databazich (open relay, razor, atp.), takze to
   zablokujete dodatecnymi prostredky;
3) pokud si s nekym dopisujete casto, tak ho budete mit v databazi
   a dopis prijde hned;
4) pouze pokud vam nekdo pise poprve, bude jeho dopis nejakou dobu
   cekat.

Ten clanek navrhuje jako cekaci dobu jednu hodinu. Vetsina diskuse na
slashdotu se motala kolem toho, ze jedna hodina je moc. Je to ale IMO
cele o tom, jaky to bude mit frontend. Dokazu ji predstavit, ze pokud
se s nekym telefonicky domluvim, ze mi neco posle, tak ze budu mit
moznost rict retezec odesilatele, od ktereho v nasledujicich 15
minutach prijmu cokoli, nebo si holt otevru na 15 minut prijem uplne,
nebo se do te databaze budou davat i trojice pro odchozi postu
(pochopitelne s prohozenymi adresami lidi a s IP adresou MX, kam ta
posta sla), nebo jakykoli jiny finetuning, ktery zajisti, ze
legitimni posta (tedy ta, o ktere jsem jenom trosku schopen rict,
jak ma vypadat), projde hned. A dale whitelisting IP adres, od kterych
chci brat bez omezeni, napriklad interni servery nebo sekundarni MX
nebo tak.

Oproti access.db je to dynamicke a nema to jako primarni cil nekoho
odriznout. Primarni myslenka je neprijmout dopis na poprve a doufat,
ze to spamer uz podruhe nezkusi. Sekundarne pak tim zpozdenim ziskat
nejaky cas na to, aby se o tom spamu (ktery urcite nepujde jenom mne)
dozvedely jine sluzby, ktere se spamem zabyvaji. Abych pak ten spam
mohl zahodit ve druhem sledu.

-- 
------------------------------------------------------------------------
 Honza Pazdziora | adelton na fi.muni.cz | http://www.fi.muni.cz/~adelton/
 .project: Perl, mod_perl, DBI, Oracle, auth. WWW servers, XML/XSL, ...
		Only self-confident people can be simple.

Další informace o konferenci Linux