Vratenie spamu...

Pavel Janoušek janousek na fonet.cz
Čtvrtek Srpen 21 14:33:28 CEST 2003 

	Zdravim,

> -----Original Message-----
> From: Honza Pazdziora [mailto:adelton na fi.muni.cz] 
> Access.db je seznam IP adres. Greylisting pracuje s trojici IP adresa,

	ne neni - to je pouze jeho zakladni vyuziti, moznosti jsou rozsahlejsi (viz prislusna dokumentace)...

> adresa (obalkova) odesilatele, adresa (obalkova) prijemce. Pokud
> prijde dopis s trojici, ktera nedavno nebyla videna, vrati 443 a tuto
> trojici si poznamena. Jakmile ponejake dobe odesilajici MTA provede

	Asi jsem se spatne dival, ale jak nadefinuji opravdu tu trojici? Tedy pokud IP adresa A a zaroven obalkovy odesilatel B a zaroven obalkovy prijemce C, pak a) zdrz, b) black, c) pust... - mluvite tu o trojici, ale v tech white a black listech jsem tyto vyrazove prostredky nenasel, proto jsem se ozval, ze je to to same co access.db v MTA Sendmail...

> Myslenky jak jsem je pochopil jsou asi takovehle:
> 
> 1) spamer se nebude obtezovat zkouset tu zpravu dorucit podruhe;

	Ne, ten to mezitim posle pres zalozni MX...:-) (nekteri to delaji zamerne...)

> 2) pokud ano, tak v tom mezicase (5 minut, nebo hodina, kolik si
>    nastavite, nez se zmeni 443 na 250) uz bude ta IP adresa nebo ten
>    spam v jinych databazich (open relay, razor, atp.), takze to
>    zablokujete dodatecnymi prostredky;

	To je v akademickem prostredi dobra vec, ale v komercnim dodnes tezko lidem vysvetlujete, jaky status ma dorucovani posty a ze to neni garantovana sluzba... (az z principu by mohla byt) - ale budiz...

> 3) pokud si s nekym dopisujete casto, tak ho budete mit v databazi
>    a dopis prijde hned;

	Vyjmenovavat seznam minimalne dvojic B:C, neli A:B je fakt uchvatna prace - zejmena pro firemni mailserver nebo poskytovatele ASP (kde je hlavni vychozim bod spamu? - zodpovezeni teto otazky by mozna bylo vhodne na zacatku - ja tvrdim, ze jsou to ASP - od poskytovatelu Free pripojeni, pres freemaily az po provozovatele metropolitnich siti - tedy vesmes pro Internet anonymni entity misto kategorizovatelnych entit ve smyslu firem apod.)...

> 4) pouze pokud vam nekdo pise poprve, bude jeho dopis nejakou dobu
>    cekat.

	Jak to? Pokud ho nebudu mit ve white listu, pak se situace opakuje treba kazdy den...

> cele o tom, jaky to bude mit frontend. Dokazu ji predstavit, ze pokud
> se s nekym telefonicky domluvim, ze mi neco posle, tak ze budu mit
> moznost rict retezec odesilatele, od ktereho v nasledujicich 15
> minutach prijmu cokoli, nebo si holt otevru na 15 minut prijem uplne,
> nebo se do te databaze budou davat i trojice pro odchozi postu

	Mluvil jste o dynamicnosti celeho procesu - neni toto prave to manualni? Stejne jako ja si manualne sestavuji blacklist a pomerne uspesne snizuji mnozstvi obdrzeneho spamu?

> jak ma vypadat), projde hned. A dale whitelisting IP adres, od kterych
> chci brat bez omezeni, napriklad interni servery nebo sekundarni MX
> nebo tak.

	A prave v tom je problem - sekundarni MX-ko je primarnim cilem utoku trochu zdatnejsich spameru...

> Oproti access.db je to dynamicke a nema to jako primarni cil nekoho

	Kde? Pokud tim nechci byt "obtezovan" a vnaset nesystemove podminky do SMTP komunikace (byt z normy korektni), pak musim tu praci delat rucne - sestavovat dvojice, trojice apod....

> odriznout. Primarni myslenka je neprijmout dopis na poprve a doufat,
> ze to spamer uz podruhe nezkusi. Sekundarne pak tim zpozdenim ziskat

	Dival jste se na hlavicky bezneho spamu? Tam nejde o to, zda-li to spamer zkusi nebo ne, on to totiz bohuzel zkusi MTA pred Vasich MX-kem na zaklade svych pravidel pro prochazeni fronty... - neprochazi mi mnoho spamu, kdy mezi src a mym MX-kem neni zadny MTA...

> nejaky cas na to, aby se o tom spamu (ktery urcite nepujde jenom mne)
> dozvedely jine sluzby, ktere se spamem zabyvaji. Abych pak ten spam
> mohl zahodit ve druhem sledu.

	A vite, ze toto je docela odvazny a zbozny predpoklad? Divejte se na to komplexne - jak by ten mail mohl byt takto klasifikovan (jako spam), kdyz nikdo o nem nic nevi, protoze vsichni "rozumni" na nej odpovi 443 (a tedy tvrdne po cestach ve frontach) a ti ostatni "nerozumni" ho uz dostali (a tezko u nich budeme predpokladat, ze to zverezni na nejakem anti-spam systemu).

	Takze si kladu otazku, k cemu to vlastne vsechno je a jak se to odlisuje od soucasnych vice mene standardnich vyrazovych prostredku jednotlivych MTA?

	Stale predpokladam, ze jsem neco zasadniho prehledl, zatim mi to vsak nikdo neukazal...

-------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)             FoNet, spol. s r. o.
Technicka podpora, Intranet/Internet     Sokolova 67, 619 00 Brno
E-mail: mailto:Janousek na FoNet.Cz         Tel.: +420  5  4324 4749
WWW:    http://WWW.FoNet.Cz/           E-mail: mailto:Info na FoNet.Cz
-------------------------------------------------------------------

Další informace o konferenci Linux