# Форум на русском языке  > Решения по информационной безопасности  > Антиспам  >  Улыбнуло

## ScratchyClaws

Пришло вот такое письмо - 




> ОТ:учебную <[email protected]>
> КОМУ:sopulvbs <[email protected]>
> ТЕМА:викторовым
> совокупность кирена астропрогноз космическом архирея руский файлов разъяснении романова

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## pig

Это предвестники. Скоро грянет буря...

----------


## DoSTR

Цитата:



> *Пустые письма*
> 
> За 2003 год у спамеров сложилась практика периодически проводить рассылки содержательно 'пустых', т.е. нерекламных сообщений. Иногда это действительно пустые письма (нет контента), иногда письма с единственным словом 'привет' или 'тест', довольно часто рассылки содержат бессмысленные последовательности символов. В 2004 году таких писем было особенно много.
> 
> Такие рассылки преследуют сразу несколько целей. С одной стороны, это *обычное тестирование нового или модифицированного спамерского программного обеспечения*; *активности зомби-сети* и т.п. С другой стороны, 'пустые' рассылки довольно легко проходят антиспам-фильтры (не содержат спамерского контента), вызывая у пользователей понятное раздражение и скепсис по отношению к фильтрации спама.
> 
> Они также создают большую дополнительную нагрузку на каналы связи, что может выражаться в существенном снижении скорости обмена электронной корреспонденцией на время прохождения спамерской рассылки.

----------


## kuznetz

Что касается непрохождения пустого спама через спам-фильтры - если применять черные списки типа Spamhaus, NJABL и т.д., то не пройдет почти никакой спам, пустой он или непустой. Только следует поставить черным спискам бОльший приоритет. А то по умолчанию в MDaemon им стоит 3 балла, а зарубает только за 5 баллов. Я поставил черным спискам 10 баллов. И нормально. Раз отправитель в черном списке - значит спам

----------


## DVi

RBL inoqda falsit po-4ernomu. Po prihoti administratora, naprimer. (Vy govorili ob RBL?)

----------


## ALEX(XX)

> Это предвестники. Скоро грянет буря...


Да, Ктулху пробуждается  :Smiley:

----------


## kuznetz

Да, черные списки - это имелось в виду RBL
RBL иногда фолсит по-черному? например?

у меня такое было за все годы ОДИН раз, когда накрылся черносписочный сервер relaywatcher 2 года назад. Больше не было ни разу. Так что это вполне приемлемо, раз в пять лет.
То есть Spamhaus, CBL, NJABL, SORBS, SpamCop не накрывались (не фолсили) ни разу.

----------


## kuznetz

Кстати, насчет "по прихоти администратора" Вы упомянули. Вот об этом пожалуйста поподробнее. Это что-то новенькое

----------


## DVi

Прошу прощения, что предыдущее сообщение написал латиницей - писал с телефона.

Про плюсы и минусы RBL хорошо написано вот в этих статьях, в этих, в этом форуме. Особенное впечатление на меня произвели эти факты - тут, в частности, приводятся примеры "прихотей администратора". Фолсы упоминаемого Вами Spamhaus'а описываются, например, здесь. 

Вообще говоря, это типичный пример двух сторон одной медали: с одной стороны, публичные бесплатные сервисы могут пополняться любыми добровольцами; с другой - никто не несет ответственности за качество публичного бесплатного сервиса, и не отслеживает компетентность этих добровольцев. И еще один минус - на данный момент спам рассылается в абсолютном большинстве случаев с ботнетов, в связи с чем блокировка серверов становится просто бесполезной. Поэтой причине ORDB уже свернулся.

Собственно, поэтому родилось вот это объяснение: почему RBL не используется в KIS6. Конечно, для сервера с толковым администратором это не такая большая проблема - можно рулить приоритетами. Но, на основании изложенных фактов, я бы все равно не советовал поднимать приоритеты RBL'ям так намного, как Вы советуете.

----------


## rav

Ага, а ещё потом за удаление записи из RBL денег попросят (типа, бизнес такой- сначала сделать головную боль, а потом за денежку- убрать).

----------


## kuznetz

Спасибо DVi. Не так часто приходится получать конкретные, аргументированные ответы.

Надеюсь, что мой ответ (ниже) тоже достаточно аргументирован. Прошу его конкретно рассмотреть и дать аргументированный ответ.

Речь пойдет о данной Вами ссылке http://www.spamtest.ru/document?pubid=53&context=1
Прошу отметить, что это перепечатка статьи http://webinform.ru/comments/1012.html от 19.04.2004. Для точности вопроса — откуда ноги растут. К сожалению, сервер webinform уже не существует.

Разбор полетов будет подробный, чтобы ни у кого не осталось сомнений, о чем на самом деле эта статья. Прошу извинить за некоторую эмоциональность. Мне неприятно, когда меня держат за дурака. Итак:

1. SORBS’у пеняют что он требует денег за вывод из списков. Прошу прощения, а что же вы хотели? Провайдер проштрафился, как говорится по-русски. Если не брать штраф, то у провайдера НЕТ НИКАКИХ СТИМУЛОВ принимать меры. И принимать их заранее. А то пишешь прову «у вас спамер такой-то». Они в ответ «ой, а мы не знали. Сейчас пойдем строго предупредим». И так каждый раз. И меры так НИКОГДА и не принимаются. Ежу понятно, что это — уловка провайдера откосить от реального принятия мер, и только.

Правильно берут деньги. Если кто не согласен, что надо именно БРАТЬ ДЕНЬГИ, прошу разъяснить: ЧТО тогда делать, если не это. Если ничего не делать, то какой тогда смысл вести политический черный список? Ну залетел в него провайдер. Ну сходит такой пров на сайт SORBS, отпишется, и все дела. И пойдет дальше заниматься своим черным хостингом – спамеров хостить. И так раз за разом.

Но – если кого не устраивают политические списки SORBS, тот легко может ими не пользоваться. Как это сделать – подробнейшим образом написано в той самой статье Zenon, на которую имеется ссылка в разбираемой статье:
http://antispam.ru/sh?act=msg&id=1081337178
а именно: никто не мешает использовать только НЕполитические списки SORBS:
http.dnsbl.sorbs.net
socks.dnsbl.sorbs.net 
misc.dnsbl.sorbs.net
smtp.dnsbl.sorbs.net
web.dnsbl.sorbs.net
dul.dnsbl.sorbs.net
и не использовать политический spam.dnsbl.sorbs.net и консолидированный dnsbl.sorbs.net


2. Авторы статьи постоянно притягивают аргументы за уши и вешают на уши лапшу, в расчете на то что читать будут непрофессионалы. Вас это не оскорбляет? меня оскорбляет. Вот пожалуйста:



> у антиспамеров нет четких критериев занесения хостинг-провайдеров в черные списки. Причиной подобных мер может стать как спам, распространяемый с серверов хостера, так и реклама клиентов последнего посредством несанкционированных рассылок.


Какие еще автору нужны критерии, хочется его спросить? Он же сам их перечислил ТОЛЬКО ЧТО. Или спам с серверов хостера, или спам с рекламой сайтов его клиентов. Чего же еще-то, и какие еще критерии вообще могут быть?!! Явная лапша

Еще:



> Г-н Демидов пытался связаться с администраторами блок-листа (SORBS) по техническим адресам – [email protected] и [email protected], но не получил ответа


Хочется спросить господина Александра Демидова (а он не ламернутый лох. Он хоть и начальник, но профи, его посты в техподдержке Зенона я читал, и любой может прочитать http://mail.aha.ru/Lists/hosting-talk/List.html): с какого потолка он взял, что администратору блок-листа следует писать по адресам postmaster и abuse? Как известно (стандарты RFC), на postmaster пишут по вопросам почты, на abuse — по вопросам абьюза. У г-на Демидова что почтовый ящик на SORBS, или его атаковали или спам разослали с SORBS’а?

А г-ну Демидову как бы наплевать. Ему некогда, он самый занятый, а на SORBS’е людям, он полагает, нечем заняться, кроме как его почту сортировать. Он пишет постмастеру о черных списках, то есть отдельном приложении, размещающемся на сервере SORBS. Это как все равно постмастеру сайта РБК (rbc.ru) стали бы писать по вопросам бизнес-консалтинга, которым занимается РБК.
Ну с какого потолка?!

В то время как любому побывавшему на SORBS известно, что писать надо не туда. Куда писать, написано на сайте SORBS. И г-н Демидов, как выяснилось, эту форму там нашел (чего же тогда возмущался сначала). А форма «не работала» потому что г-н Демидов не зарегился на SORBS. На сайте это написано. Он читать умеет?
Нет сомнений, что г-н Демидов читать умеет, и всё ПРЕКРАСНО ЗНАЕТ. Он нас с вами держит за дураков, вот в чем дело.

Еще:



> Чуть дольше продолжались переговоры SORBS и технического директора компании «Мастерхост» Алексея Скрипки. 20 февраля в блок-лист попал один IP-адрес главного почтового SMTP-сервера фирмы, работающего исключительно на прием почты (разослать через него спам фактически невозможно).


Это совсем милое дело. Этак любой может сказать, как Ипполит Матвеич: «этого не может быть, потому что этого не может быть никогда». Лапша однозначно. По крайней мере приводить это как аргумент — неправомерно ни в коем случае

Еще:



> «акты мести» составители черных списков устраивали и раньше. Например, весной прошлого года в списки службы Spamhaus попала подсеть «РТКомм.ру». DNS-сервер одного из клиентов хостера, размещавшийся в дата-центре компании, содержал запись, которая указывала на сайт, где рекламировалось программное обеспечение для рассылки спама. Сам сайт также хостился на «РТКомм.ру». Узнав о наполнении ресурса, компания попросила его переехать, о чем и сообщила держателям черного списка. «Они сказали: "Ну, что ж. Мы одобряем, как “РТКомм.ру” борется со спамом, только этот DNS-сервер снесите". Заявление, более уместное при общении монарха со своими подданными, чем в беседе между провайдерами»


Ну конечно же, провайдер ничего не знал, и вообще был чистый как стеклышко. Хотя и DNS, и сайт хостились у него. И люди им об этом, нет сомнений, писали.
Хорошо, допустим, ничего не знал. Но раз факт неприглядной деятельности теперь известен, вы должны что-то сделать. А то «попросили переехать». А что запись на том DNS’е тоже теперь переехала, и указывает на новое местоположение того переехавшего сайта? То есть в результате спамер практически не пострадал, и его деятельность не прервалась. За дураков держите, что ли, господа? Я бы на месте Spamhaus так же возмутился, и устроил акт мести.

Если проштрафились, нечего права качать. Снесите DNS, тем более не провайдерский, а клиента. Это вообще проблема этого конкретного клиента. Не хотите, денег жалко — потому что клиент уйдет? ну тогда почему претензии к Spamhaus? им тоже влом зря байты гонять. Поймали спамера, а им в ответ пустышку — «сайт переехал». Не надо людей за дураков держать.

Еще:



> большинство хостеров отказываются выполнить указания администраторов черных списков. Основной аргумент – непрактичность такого решения проблемы. «У крупного хостера более 10 тыс. клиентов. Среди них раз в месяц находятся, естественно, и те, которые хотят рекламировать себя с помощью спама, потому что это недорого, а по эффективности чуть ли не самое действенное средство», – комментирует Александр Демидов


Господин Демидов лучше бы вообще помолчал, может быть сошел бы за умного. Он же только что показал, что СПАМ ОДОБРЯЕТ. Типа чего тут такого, что вы все так возмущаетесь.
Зашибись. После такого вы еще будете верить этому человеку?

По второму предикату в этом фрагменте, что среди многих клиентов найдется один со спамом — это конечно он прав. Но за одного никто и не блэклистит. Ведь не залетели же в политический список SORBS другие провайдеры — большинство. Да и у тех провайдеров кто залетел — залетели конкретные диапазоны, остальные не залетели.

Поэтому имеем простую картину: кто залетел — тот и кричит. То есть кто ворует, тот первый и кричит «держи вора». Это уж как обычно.


Еще:



> Другая причина – невозможность доказать вину клиента. Любой спамер способен подставить его адрес в несанкционированной рассылке. (Алексей Скрипка)


Здесь вообще расчет на ламеров. Однозначно. ВЕДЬ ЕЖУ ИЗВЕСТНО, что спамера определяют не по адресу отправителя (он всегда ненастоящий), а по IP-адресу. Его подделать невозможно. Всем присутствующим на форуме virusinfo.info — а здесь не ламеры собрались — это прекрасно известно.

То есть совсем уже людей за дураков держат. Ну вам не стыдно, господа? Одного этого пассажа в этой статье достаточно, чтобы всю статью дискардить как заказную.

Еще:



> Кроме того, реклама через спам может использоваться конкурентами проектов или самих хостеров. «А что, если SORBS сейчас начнут сами [от имени наших клиентов] рассылать спам, а потом будут требовать с нас денег? Судя по их способам работы, это вполне дееспособная схема», – предполагает Алексей Скрипка


Согласен на все 100%. Это возможно. Но:

- почему мы должны Вам, господин Скрипка, верить больше чем SORBS? Вы говорите (как бы) что SORBS подделывает, а SORBS говорит что ничего не подделывает. Обе стороны материально заинтересованы, согласен, но Вы заинтересованы, между прочим, намного больше чем SORBS. Спамеры Вам дают реальные клиентские платежи, то есть существенные суммы, а SORBS’у с Вас получить что-нибудь так же реально, как прошлогодний снег.
Это Ваше слово против их слова. И только

- примеры поддельных писем пожалуйста приведите. Не можете? тогда о чем разговор

- я и другие компьютерщики, никак не заинтересованные, МОЖЕМ привести сотни и тысячи примеров спама с рекламой сайтов спамеров, относящихся к хостингу того или иного конкретного провайдера. Тематика этого спама (и сайтов) известна — создание и раскрутка сайтов, рассылка спама, продажа закрытых баз данных, продажа удлинителей для полового члена, просто порнуха, и т.д. Иногда попадается понормальнее — продажа бытовой техники, установка кондиционеров и т.п. Но телефоны там те же (и фамилии зарегистрировавших эти сайты те же), что и на спамерских сайтах. Что Вы на это скажете, господин Скрипка? это всё подделки SORBS? и все на русском языке? Да только создание этих подделок, и в таком количестве, и их рассылка, обойдется значительно дороже, чем возможные дивиденды с таких хостеров как Вы.

Итого: приведите примеры свежих поддельных писем, в количестве нескольких тысяч штук — тогда есть о чем говорить. В противном случае — Вы пустослов, г-н Скрипка.

Еще:



> Кроме того, далеко не каждый хостер прописывает в своем договоре рекламу через спам в качестве возможной причины отказа в обслуживании клиента. А потому даже при подтверждении факта проведения несанкционированных рассылок для разрыва договора обычно нет достаточных оснований. (Алексей Скрипка)


Простой вопрос — а КТО МЕШАЕТ прописать? Например в нашем городе у провайдеров принято вообще без всяких спросов сбрасывать по эл.почте очередное Приложение к договору, в котором то-то и то-то. И все дела. Кто мешает так же дописать в договоры про спам, рекламу сайтов посредством спама и т.п., этим московским дядям? Если недостаточно в таком, согласен, серьезном случае сбросить по эл.почте, значит будьте любезны разослать письмами. Если сами вовремя, с самого начала то есть, не удосужились заключить толковые договоры. Вы косите. Рекомендуемые параграфы провайдерского договора разработаны соответствующими интернет-организациями и опубликованы в интернете еще в 80х годах прошлого века.

Простой ответ: никто не мешает. Эти дяди не хотят. То есть опять лапша нам на уши.

Еще:



> В большинстве российских хостинг-компаний понимают, что бороться с SORBS бесполезно. «Они не понимают, что такое Россия. Для них Россия – вообще неизвестно что. С одного адреса пришел спам, а они включают [в список] целую огромную сеть», – считает Игорь Ашманов


Но ведь это только Ваши слова, господин Ашманов, против слова держателей SORBS. Вы утверждаете, что в Вашей сети спам был только со считанных адресов, а они утверждают, что получили тонны с разных адресов. Причем, что интересно, они имеют на руках архивы этих писем.

Еще:



> Рустам Нарманов, системный администратор InfoBox, также пытался контактировать с компаниями, фильтрующими почту его клиентов. В частности, с "Мегафоном". Но в ответ получил предложение написать заявление и ждать ответа. Сейчас г-н Нарманов предлагает клиентам InfoBox самим обращаться к техническим специалистам фирм, почтовые сервера которых не принимают их почту. По его мнению, в данном случае нарушается закон "О связи" и решать вопрос надо кардинально - через суд.


Прошу господина Нарманова (и согласных с ним) сказать, какая статья закона О связи нарушается теми, кто не принимает почту с черносписочных серверов. Попробуйте порешайте через суд, конечно  :Smiley: )). Вместе посмеемся. А так что лапшу-то вешаете

Еще:



> системные администраторы, использующие блок-листы SORBS, фактически изолируют своих клиентов от остального мира и будут вынуждены отказаться от «черных списков». Такая участь постигла список SPEWS


Это кто же это такой крутой сказал, что «участь постигла SPEWS»? Ничего его не постигло, он есть, и он по-прежнему действует и используется, как и использовался. И в Америке его все боятся. Ну и нашим достается, и по заслугам. Вы выдаете желаемое за действительное, господа авторы. Как и во всей этой заказной статье.

Еще:



> «Сейчас происходит закат черных списков, они перестают работать. Почему? Потому что опытные спамеры не пользуются открытыми релеями. А [сисадминов] интересуют только опытные, только суперпрофессионалы, потому что шпану всякую зафильтровать нетрудно. А профессионалы сейчас использую сети из зараженных машин. У них адреса всякий раз новые», – считает Игорь Ашманов.


Господин Ашманов, Вы сами хоть понимаете, что говорите? я ничего не понял.
Опытные спамеры не пользуются открытыми релеями? да ну?!!!  :Smiley: ))
Ну ладно, допустим на минуту, что не пользуются. Пусть ими пользуются только неопытные спамеры. Но нам разве легче, если получать спам от неопытных? ну и лапша
А каким образом Вы предлагаете этих неопытных ловить, если не через черные списки? вот этого я совсем не понял. Потому что Вы этого и не сказали

У меня например через антиспам от 80 до 95% спама зарубается черными списками, что бы Вы там ни говорили про сети и профессионалов. Вы предлагаете эти 80% пропускать, так что ли?

Ну и под конец в этой статье говорится:



> о проблеме знают мало, и знают с каких-то странных сторон. Наоборот, надо о ней говорить, чтобы до системных администраторов, а главное, до их начальников дошло, что порой "борьба со спамом"– это не только борьба со спамом, но и с легитимной почтой иногда тоже. Или "часто тоже". Зависит от технологии», – полагает Алексей Тутубалин.


Под конец перекладывают просто с больной головы на здоровую, чего уж мелочиться, я понимаю.
Еще раз формулирую реальную суть дела: с легитимной почтой антиспамеры не борются. Они борются со спамом. В том числе с провайдерами, которые не принимают мер по борьбе со спамом из своей сети, и поэтому являются источником спама.

Всё.

Теперь хотелось бы перечислить имена участников этой заказной статьи, заказанной, иначе не скажешь, содружеством спамерских хостеров:
- Александр Демидов, Зенон НСП, нач.службы техподдержки
- Алексей Скрипка, Мастехост, технический директор
- Николай Федотов, руководитель группы защиты информации РТКомм.ру
- Алексей Тутубалин, фирма Ашманов и Партнеры, специалист по антиспам-технологиям
- Игорь Ашманов, фирма Ашманов и Партнеры, директор (следует полагать)
- Рустам Нарманов, системный администратор InfoBox (а тебе, брат, совсем стыдно присоединяться к горе-начальникам).


Жду Ваших аргументов

----------


## DVi

Уважаемый kuznetz, я никак не думал, что приведенные мною ссылки вызовут у Вас столько эмоций. Я не являюсь ни Ашмановым, ни Тутубалиным, ни Скрипкой, поэтому на Ваши вопросы типа "Господин Ашманов, Вы сами хоть понимаете, что говорите?", увы, ответить не могу. И после фразы "ежу понятно" я читал текст по диагонали - надеюсь, Вы меня извините.

Я искал, но, к сожалению, не смог найти упоминание о занесении всей зоны RU в блеклист одной из RBL обидчивым администратором в момент увольнения. Хотя моя дырявая память упорно твердит мне, что этот прискорбный факт имел место.

Могу лишь повторить свои слова: Конечно, для сервера с толковым администратором это не такая большая проблема - явно разбираясь в вопросе доверия конкретным RBL и внимательно отслеживая их поведение, можно рулить приоритетами и получать хорошие результаты детекта.

----------


## kuznetz

Спасибо, DVi. Прошу извинить за эмоции. Но ведь они были направлены не против Вас. Абсолютно. Это был не наезд на кого-либо из здесь присутствующих, абсолютно. Я разместил эти комментарии также там, к этой статье на spamtest. См. http://www.spamtest.ru/document?pubid=53&context=1

Поэтому они были так оформлены. А сюда просто скопировал, исправив в начале обращение. Вы можете в этом убедиться по дате-времени. Переделывать весь текст ну невозможно же было. 6 страниц шрифтом 12 пунктов.

Это было открытое письмо этим господам. Занимающимся сознательной дискредитацией черных списков. По вполне понятной причине - потому что эти черные списки начали СЕРЬЕЗНО МЕШАТЬ их спамерской деятельности.

Еще раз прошу извинить за наезды. Они не на Вас. Я ведь так и говорил "господин Ашманов", "господин Скрипка", и т.д.

Посудите: как же мне не возмущаться, если статья заказная? Как говорят в Америке, "it stinks"

Еще раз прошу извинить, если это было воспринято как личный наезд на Вас. ничего такого совершенно. Извините.

Но ни от одного слова в своем сообщении я не отказываюсь. Еще раз повторяю, - это против них, черных хостеров. Дискредитируя черные списки такими нечестными методами, они заставили в это поверить многих честных компьютерщиков. ВОТ ЧТО печально. Я с этой проталкиваемой обманом точкой зрения борюсь, по мере своих скромных возможностей. Только и всего

----------


## DVi

Насчет спамерской деятельности Ашманова не могу согласиться. 
Рядом со мной работает антиспам-лаборатория, костяк которой пришел к нам из ЗАО "Ашманов и Партнеры", и я точно знаю, чем они занимаются. Более того, я сам, в тесном сотрудничестве с ними, разрабатываю и сопровождаю антиспам-модуль в Kaspersky Internet Security.

----------


## kuznetz

Эмоции эмоциями, но в моем разборе статьи не только эмоции же. Там разбор их аргументов, по пунктам, показывающий где что там неправда.

Хорошо. Если Ашманов и Партнеры на самом деле непричастны к сознательной защите черных хостеров, то пусть объяснят те пункты моего обвинения, которые касаются их.

Я ведь ничего из ниоткуда не брал. Что было написано в статье - то и было процитировано, согласитесь. Слова господина Ашманова и господина Тутубалина содержат неправду, причем такую, которую трудно объяснить незнанием ими сути дела. Поэтому просим их объяснить

----------


## DVi

> Я ведь ничего из ниоткуда не брал. Что было написано в статье - то и было процитировано, согласитесь. Слова господина Ашманова и господина Тутубалина содержат неправду, причем такую, которую трудно объяснить незнанием ими сути дела. Поэтому просим их объяснить


Их на этом форуме нет. Поэтому открытое письмо, которое Вы написали, они не прочтут. Этот форум IMHO не то место, в котором должны подниматься религиозные войны.
Вы правильно сделали, что продублировали это на сервере spamtest.ru. Но - опять же, вряд ли это возымеет эффект, т.к. статья датирована 2004 годом, и Ашманов уже более года не является владельцем spamtest.ru.

По поводу "черных хостеров" я уже сказал в первом сообщении: спам сейчас рассылается с ботнетов, которые никак не привязаны к провайдеру. Т.е. вообще. Именно по этой причине сервис ORDB прекратил свою работу.

----------


## kuznetz

> Этот форум IMHO не то место, в котором должны подниматься религиозные войны.


Почему религиозные войны? там разбор их аргументов. Обычный, нерелигиозный. Их аргументы направлены были против применяемых в борьбе со спамом (тема данного форума) черных списков DNSBL. Поэтому это обсуждение — именно по теме данного форума.

Я был слишком эмоционален, признал это. но теперь всё же слишком эмоциональны Вы. 




> Вы правильно сделали, что продублировали это на сервере spamtest.ru. Но - опять же, вряд ли это возымеет эффект, т.к. статья датирована 2004 годом, и Ашманов уже более года не является владельцем spamtest.ru.


Спасибо. Вы правы, следует разместить это еще в других местах.
Но непонятно. Я и не знал, что господин Ашманов является или не является владельцем spamtest. Разве это имеет большое значение? На spamtest лежит эта статья. Я написал там комментарии к этой статье, именно там где предусмотрено штатное место для комментариев. Всё правильно.




> По поводу "черных хостеров" я уже сказал в первом сообщении: спам сейчас рассылается с ботнетов, которые никак не привязаны к провайдеру. Т.е. вообще


а) Но ведь с этим я и не спорил. К провайдеру “привязаны” сайты, которые рекламируются в спаме. Хостер хостит эти спамерские сайты — вот в чем наша претензия к нему. Только об этом идет речь. И черные хостеры не принимают мер против этих спамерских сайтов.

б) не понятно, как этот Ваш аргумент связан с отказом или неотказом от использования черных списков. Черные списки (неполитические) листят ИМЕННО ЭТИ БОТНЕТЫ. Я не понимаю, почему из-за наличия одного политического списка SORBS предлагается выкинуть все остальные черные списки, неполитические, и поэтому открыться ботнетам. Именно эта странная логика, кстати, была использована в разбираемой статье тоже. Господином Ашмановым. Могу конечно снова процитировать сейчас и его заявление, и мой на него ответ. Но я уверен, что не требуется.




> Именно по этой причине сервис ORDB (http://www.spamtest.ru/news?id=207508816) прекратил свою работу


Да, действительно, в прощальном послании ORDB написано именно так. Я читал это 18 декабря, как и все. Но от этого не становится более понятно. Я не вижу, как ботнеты или не ботнеты связаны с якобы непригодностью черных списков. На ORDB не было сказано тоже.

Я думаю, что реальная причина закрытия ORDB, о которой им просто не хочется говорить — отсутствие денег. Всё просто. Они не смогли найти спонсоров. В этом безусловно естественная проблема антиспамеров. Черных хостеров финансируют их клиенты обычными клиентскими хостинговыми платежами. А на какие деньги живут антиспамерские сайты, Вы задумывались? уж никак не на прошлогоднем снеге с российских хостеров. Тем более что ПОДАВЛЯЮЩЕЕ большинство черных списков — никаких денег с залетевших не требует. Большинство списков просто автоматические – листят того кто залетает в спам-ловушки, анлистят когда поток спама прекращается. Всё это автоматически, в течение 24 часов как туда, так и обратно. Вы ведь это знаете. 

Антиспамеры сами зарабатывают свои деньги (в основном, предполагаю, рекламой на сайтах антиспамерских программ, SpamCop например также предлагает платные аккаунты за мизерную плату 15$ в год, и т.п.), и не все это умеют. Поэтому, предполагаю, закрылся ORDB. Когда закрылся театр в Ист-Энде “Old Vic”, почему-то никто не кричал, что «пришла пора заката мюзиклов, конец Ллойду Веберу и всей их компании бездельников»

Я утрирую Ваши слова. Но согласитесь, похожая картина.

----------


## DVi

> Спасибо. Вы правы, следует разместить это еще в других местах.
> Но непонятно. Я и не знал, что господин Ашманов является или не является владельцем spamtest. Разве это имеет большое значение? На spamtest лежит эта статья. Я написал там комментарии к этой статье, именно там где предусмотрено штатное место для комментариев. Всё правильно.


Все правильно - просто Ваших комментариев к статье двухлетней давности там может никто не заметить. Именно это я и хотел сказать.
Вот уже больше года этот сервер принадлежит Лаборатории Касперского.



> а) Но ведь с этим я и не спорил. К провайдеру “привязаны” сайты, которые рекламируются в спаме. Хостер хостит эти спамерские сайты — вот в чем наша претензия к нему. Только об этом идет речь. И черные хостеры не принимают мер против этих спамерских сайтов.


Хостинг сайтов и RBL - это несколько разные вещи. Сайты и ботнеты располагаются на совершенно независимых друг от друга машинах. Поэтому я не вижу эффекта от блокирования на почтовом сервере писем с адреса 123.456.654.231, на котором расположен сайт "Супервиагра", если спам с его рекламой рассылается с адреса 654.321.123.456 (адреса, пароли и явки выдуманы для примера).




> б) не понятно, как этот Ваш аргумент связан с отказом или неотказом от использования черных списков. Черные списки (неполитические) листят ИМЕННО ЭТИ БОТНЕТЫ. Я не понимаю, почему из-за наличия одного политического списка SORBS предлагается выкинуть все остальные черные списки, неполитические, и поэтому открыться ботнетам. Именно эта странная логика, кстати, была использована в разбираемой статье тоже. Господином Ашмановым. Могу конечно снова процитировать сейчас и его заявление, и мой на него ответ. Но я уверен, что не требуется.


Скажу честно: я не знаю, что такое "политический" список, и чем он отличается от "неполитического". Мне важен сам принцип составления этих списков, и в этом принципе я вижу как плюсы, так и минусы. Минусы (для меня) превысили плюсы, и в персональном антиспаме я не стал делать поддержку RBL.

----------


## kuznetz

> Хостинг сайтов и RBL - это несколько разные вещи. Сайты и ботнеты располагаются на совершенно независимых друг от друга машинах. Поэтому я не вижу эффекта от блокирования на почтовом сервере писем с адреса 123.456.654.231, на котором расположен сайт "Супервиагра", если спам с его рекламой рассылается с адреса 654.321.123.456


Согласен в том, что «сайты и ботнеты располагаются на совершенно независимых друг от друга машинах». Согласен, что блокирование сайта Супервиагра физически не остановит спам с рекламой этого сайта. Это всё само собой разумеющиеся вещи, конечно.

Но ведь в том и суть политических черных списков — посредством создания спам-хостеру препятствий в ежедневной работе (из-за неприема почты с его серверов и недоступа к сайтам его серверов, что вызывает недовольство его клиентов) его заставляют принять меры против хостимых им спамерских сайтов.

Я уже говорил, что не вижу, что здесь не так. И что я согласен с тем что держатели политических списков требуют деньги со спам-хостеров, потому что иначе это игрушки для спам-хостера, не более

Но (тоже уже говорилось): если нас не устраивают политические черные списки — это никак не причина не использовать неполитические черные списки. Связи между политическими и неполитическими черными списками — никакой нет. Если усматриваем связь, прошу пояснить




> Скажу честно: я не знаю, что такое "политический" список, и чем он отличается от "неполитического".


Но ведь это расписано подробнейшим образом в той самой статье на spamtest
http://www.spamtest.ru/document?pubid=53&context=1
, с которой начался этот разговор. Вы же сами ее предложили. Термин «политический черный список» я взял оттуда. Не я же его выдумал

Еще раз уточняю, в таком случае: политические черные списки — это те, которые листят ДИАПАЗОНЫ, а не отдельные IP, и листят за принадлежность этих диапазонов данному хостеру или провайдеру, против которого имеются конкретные улики в пособничестве спамерам. То есть НЕ за конкретные пролеты. 

Эти списки делаются руками админов черных списков. У админов хранятся все «вещдоки» по делам черных хостеров. Некоторые держатели политических списков предоставляют ЧАСТЬ этой информации в общий доступ, например см. http://www.spamhaus.org/rokso/. Некоторые не предоставляют ничего в общий доступ. Но всегда, и те и другие, готовы предоставить полные доказательства судам, прокуратурам и законодательным органам интернета.

Неполитические черные списки: это автоматические. Листинг осуществляет робот, на основе спам-ловушек, расставленных в инете и собирающих и анализирующих спам. Они листят конкретные IP-адреса, и только тогда, когда в данный момент с этого адреса наблюдается спам. Когда спам прекращается — листинг снимается тоже автоматически. При этом листинг может быть увеличен по времени в качестве штрафа за неоднократные повторные залеты, а также за попытки отписать ДЕЙСТВУЮЩИЕ ботнеты. Штрафы увеличиваются с увеличением количества залетов и попыток отписаться. Штрафы тоже назначает робот, на основе прописанного в нем алгоритма.

Пример политического списка: spam.sorbs.net. Пример неполитического списка: CBL (http://cbl.abuseat.org/lookup.cgi)

Широко известный Spamhaus является комбинацией политическог списка ROKSO (Register of Known Spam Operations, то есть список известных спамерских организаций) и обычного неполитического списка.




> Мне важен сам принцип составления этих списков, и в этом принципе я вижу как плюсы, так и минусы.


Понятно. Совершенно разумная позиция, безусловно. Но если Вы видите минусы в НЕПОЛИТИЧЕСКИХ черных списках, то прошу Вас их всё же перечислить. Насчет политических понятно что существенным минусом является постоянный человеческий фактор. А вот насчет неполитических — непонятно

----------


## DVi

> Но ведь в том и суть политических черных списков — посредством создания спам-хостеру препятствий в ежедневной работе (из-за неприема почты с его серверов и недоступа к сайтам его серверов, что вызывает недовольство его клиентов) его заставляют принять меры против хостимых им спамерских сайтов.


Проблема, кстати, в том, что в процессе этой борьбы страдает не хостер, а его пользователи. Хороший пример: найденное мной перманентное заражение серверов ValueHost. Администрация этого хостера была уведомлена о проблемах задолго до указанной публикации, но никаких действий не предпринимала. И до сих пор, как я понял, не предприняла - у хостеров совсем другие представления о том, что надо делать, а чего не надо, нежели у нас с Вами.

Другой пример: регистрация временных доменов для поддержки одной единственной спам-рассылки. На этом домене делается простой редирект на другой - уже живой. Вы полагаете, хостер будет проверять, куда ведут редиректы с зарегестрированных у него сайтов? Сильно сомневаюсь. Даже если он внемлет голосу разума и возьмет на себя обязательства не хостить спамеров, как он физически будет искать спамерские сайты среди своих клиентов? Вы предлагаете ему ежедневно натравливать робота на все файлы своих клиентов для анализа их содержимого и последовательно проходить по всем указанным в них ссылкам?




> Но если Вы видите минусы в НЕПОЛИТИЧЕСКИХ черных списках, то прошу Вас их всё же перечислить. Насчет политических понятно что существенным минусом является постоянный человеческий фактор. А вот насчет неполитических — непонятно


"Неполитический" - это в котором явно указан IP-адрес, я правильно понял? Пожалуйста: IMHO он неэффективен, потому что ботнеты большие и часто меняющиеся, и занесение всех адресов (так же как и своевременное удаление) маловерятно.

----------


## rav

> 1. SORBS’у пеняют что он требует денег за вывод из списков. Прошу прощения, а что же вы хотели? Провайдер проштрафился, как говорится по-русски.


Спрашивается- а при чём здесь провайдер? Если на машину установили спам-бот, то это провайдер виноват?

Мой пример (из жизни). Пользуюся для работы с почтой SMTP моего провайдера. Пришёл отлуп от RBL. Попытался написать на указанное мыло RBL-списка- пришёл аналогичный отлуп! И это называется "бизнес"? Это называется вымогательство! Бизнесом здесь и не пахнет...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## kuznetz

Спасибо. Вы снова предложили действительно существенные и правильные темы. Я постараюсь их разобрать, не допуская первоначальных ошибок по психологии




> Проблема, кстати, в том, что в процессе этой борьбы страдает не хостер, а его пользователи.


Разумеется, страдают. И поэтому предполагается, что они уйдут от этого хостера. К тому хостеру, который не попадает в черные списки, потому что своевременно принимает меры, и принимает их эффективно. А не делает вид что принимает меры.




> Хороший пример: найденное мной перманентное заражение серверов ValueHost. Администрация этого хостера была уведомлена о проблемах задолго до указанной публикации, но никаких действий не предпринимала.


Прошу прощения, но я не понял, что Вы хотели этим сказать. “Хороший пример” чего? страдания пользователей? безусловно. Об этом я уже сказал выше — да, пользователи страдают. И Вы сами сказали только что, что администрация Valuehost мер никаких не принимает, хотя давно была уведомлена. И не только была уведомлена, а ей даже объяснили, какую уязвимость следует вылечить (см. статью)

Каков вывод? — пользователям следует уйти от такого хостера. Который не в состоянии (точнее, в нежелании) защитить своих пользователей от хакерских атак.




> И до сих пор, как я понял, не предприняла - у хостеров совсем другие представления о том, что надо делать, а чего не надо, нежели у нас с Вами.


Не понятно. Естественно у хостящих спамеров (и не препятствующих хакерам) хостеров другие представления о порядочном ведении своего бизнеса, чем у антиспамеров. Ну и что? не понятно, почему антиспамеры должны с ними согласиться, принять как данное. Почему? 




> Другой пример: регистрация временных доменов для поддержки одной единственной спам-рассылки. На этом домене делается простой редирект на другой - уже живой. Вы полагаете, хостер будет проверять, куда ведут редиректы с зарегестрированных у него сайтов? Сильно сомневаюсь.


Во-первых, хостеру практически ничего перепроверять не приходится. О наличии редиректов, уязвимостей и прочей нечисти на его хостинге его почти сразу уведомляют как антиспамеры лично, так и антиспамерские роботы например со Spamhaus и SpamCop.

В подавляющем большинстве случаев проблема не в том, что хостер не знает. Обычно ситуация та, что хостер всё знает, но ничего не делает.

Во-вторых: кто размещает редиректы на сайтах? Это что, неизвестные люди, возникшие из мрака ночи? нет, конечно. Это те, кто купил тот или иной виртуальный хостинг, заплатил деньги, паспорт при этом показал, подписал договор. Согласно этому договору, такого клиента можно за такие дела привлечь к сколь угодно большой материальной отвественности — сколько хостер в договоре ЗАРАНЕЕ пропишет, столько и может требовать. Спамеры разорятся. Или сбегут.

Далее, размещение на хостинге того, что запрещено договором там размещать, подпадает под статью 274 УК — нарушение правил эксплуатации ЭВМ, приведшее к несанкционированному копированию, и т.д. и т.д. точно не помню.

Правила эксплуатации — в данном случае прописаны в договоре. Насколько мне известно, этого достаточно для возбуждения уголовного дела.
Спамеры сядут. Или опять же сбегут.




> Даже если он внемлет голосу разума и возьмет на себя обязательства не хостить спамеров, как он физически будет искать спамерские сайты среди своих клиентов? Вы предлагаете ему ежедневно натравливать робота на все файлы своих клиентов для анализа их содержимого и последовательно проходить по всем указанным в них ссылкам?


Согласно сказанному мною ранее, хостеру следует применять меры вовсе не программные, а организационные — репрессировать таких клиентов не до факта, а по факту, как перечислено выше. Если уж у хостера на профилактику не хватает ресурсов. Хотя если не хватает ресурсов — зачем беремся хостить?

Для осуществления этого самое главное – прописать в договоре. При наличии правильного договора — остальное не бог весть как сложно.
Провайдеры, известные таким отношением к спамерам, следует полагать, не будут в дальнейшем вызывать у спамеров желания захоститься.

Согласен — это вызовет отток спамеров в Китай. Ну туда им и дорога. По крайней мере, тогда можно будет уже без опасения недовольства клиентов Китай этот забанить на рутере прямо.

Или существует опасение, что утекших спамеров будет так много, что российские провайдеры обанкротятся? Только в том случае, если спамеров десятки тысяч.

Но если предположим спамеров действительно десятки тысяч уже, то наверное надо не такие как мы предлагаем, а гораздо более жесткие меры принимать?




> "Неполитический" - это в котором явно указан IP-адрес, я правильно понял? Пожалуйста: IMHO он неэффективен, потому что ботнеты большие и часто меняющиеся, и занесение всех адресов (так же как и своевременное удаление) маловерятно.


Прошу прощения, этот аргумент уже разбирался. Он выдвигался в разобранной статье господином Ашмановым:



> Сейчас происходит закат черных списков, они перестают работать. Почему? Потому что опытные спамеры не пользуются открытыми релеями. А [сисадминов] интересуют только опытные, только суперпрофессионалы, потому что шпану всякую зафильтровать нетрудно. А профессионалы сейчас использую сети из зараженных машин. У них адреса всякий раз новые», – считает Игорь Ашманов.


Ответ на это я уже давал, и прошу возразить по существу, если этот мой ответ вызывает возражения:




> Господин Ашманов, Вы понимаете, что Вы говорите? я ничего не понял.
> Опытные спамеры не пользуются открытыми релеями? неужели?
> Ну ладно, допустим на минуту, что не пользуются. Пусть ими пользуются только неопытные спамеры. Но нам разве легче, если получать спам от неопытных? это нонсенс
> А каким образом Вы предлагаете этих неопытных ловить, если не через черные списки? вот этого я совсем не понял. Потому что Вы этого и не сказали
> 
> У меня например через антиспам 80% спама зарубается черными списками, что бы Вы там ни говорили про сети и профессионалов. Вы предлагаете эти 80% пропускать, так что ли?


То есть привлекаю Ваше внимание 
1) по черным спискам по-прежнему зарубается 80% спама (плюс еще 15% зарубается по байесу, работающему по письмам, попадающим в папку Spam Trap по результатам зарубания опять же черными списками). Поэтому утверждения о неэффективности черных списков в текущей ситуации — противоречат, так сказать, эксперименту. 
2) даже если ими зарубалось бы, предположим, только 10% — то что, эти 10% пропускать?
странная логика. Если она Вам понятна, прошу разъяснить ее

Особо насчет «ботнетов больших и часто меняющихся»: 
следует ожидать, что против них будут эффективны те самые пресловутые ПОЛИТИЧЕСКИЕ черные списки. Посудите: где пресловутые «профессиональные спамеры» будут размещать ботнеты? Очевидно, там где им их дадут разместить с наименьшими усилиями. То есть либо там, где спамеров просто поддерживают открыто (в Китае), либо там, где тихо не препятствуют (увы, в сетях некоторых провайдеров России в том числе). 

ИМЕННО ТАКИЕ СЕТИ и находятся в политических черных списках. Поэтому фактор «своевременности» просто теряет актуальность. Эти сети были, есть и останутся в списках. То есть ботнеты уже, так сказать, залистованы. Все и заранее. Именно поэтому господа черные хостеры так активно выступают против политических черных списков

----------


## kuznetz

Спасибо, rav. Предлагаемые Вами вопросы тоже очень часто выдвигаются, да.




> Спрашивается- а при чём здесь провайдер? Если на машину установили спам-бот, то это провайдер виноват?


Спрашивается — а кто же еще виноват? Если провайдер будет: 
а) фильтровать спам — вирусняк приходит ведь по эл.почте, обычно с засвеченных ботов
б) включать на почте антивирус 
в) следить за своими хостами на www.senderbase.org — там все боты начинают светиться в течение одного часа после начала своей активности 
г) запрещать диал-апным юзерам (точнее юзерам с динамическими и NAT-адресами вообще) контакт на порт 25 — кроме как на свой штатный провайдерский почтовый сервер
д) на этом почтовом сервере включить защиту типа тарпит – бан юзера на короткое время (секунды, обычно 10 секунд) после попытки отправить подряд много писем (обычно 5 подряд)

— то никакие боты не выживут и не смогут реально действовать. Все вышеперечисленные меры общеизвестны.

Или Вы предполагаете, что за активностью вирусов в сети провайдера будут сами юзеры следить и сами наводить порядок?!! Если так, то как Вы это себе представляете?




> Мой пример (из жизни). Пользуюся для работы с почтой SMTP моего провайдера. Пришёл отлуп от RBL. Попытался написать на указанное мыло RBL-списка- пришёл аналогичный отлуп! И это называется "бизнес"? Это называется вымогательство! Бизнесом здесь и не пахнет


О, вот это крайне интересно. Уверяю Вас, что в подавляющем большинстве случаев из черного списка можно отписаться (если он не политический типа SORBS), это не очень трудное дело. Скорее всего Вы не совсем правильно стали действовать.
Прошу Вас дать более подробно, пока что Вы указали — это недостаточно информации. Скажите пожалуйста:

1) Какой именно RBL? например CBL, Spamhaus, NJABL, SORBS — что? и какой там был указан адрес RBL-списка, как Вы говорите? и что было именно написано в отлупе? там обычно что-то написано более конкретное

2) Отписываться из черных списков по эл.почте — такого порядка встречать в интернете мне не приходилось НИ РАЗУ. Откуда у Вас информация, что отписываться следовало путем отправки письма на тот адрес? то есть опять же — что именно было написано в письме от RBL?

То есть оптимально — если Вы дадите нам это письмо (конечно вырезав из него всю личную информацию, в том числе Ваш IP-адрес, почтовый адрес и прочее, если это там упоминается). Я уверен, что реально решить

----------


## DVi

В последний раз говорю: я не обязан находиться в чьем-то черном списке из-за того, что мой сосед заразился. Если с меня требуют денег за то, чтобы восстановить справедливость - это вымогательство. Если меня хотят втравить в междоусобицу хостеров и провайдеров - это терроризм.
Я не хочу участвовать ни в том, ни в другом. А ботнетам не мешает ни то, ни другое.
Именно поэтому я упомянул о религиозных войнах, и мне очень жаль, что Вам удалось меня втянуть в одну из них.
По-моему, я привел достаточно аргументов для своей позиции. Больше повторяться не буду.

----------


## kuznetz

Жаль. Но Вы не согласны с моей позицией, я не согласен с Вашей — это нормально. Это спор, в котором по идее должна рождаться истина.

Насчет религиозных войн Вы так и не разъяснили. Я не понял, почему это религиозные войны. Это не религиозные, и не войны. У нас идет спор о том, как решить проблему с абьюзом в интернете — устранением только последствий (то есть вирусов путем поимки их антивирусными программами, защита файерволлами и т.п.; — Ваша позиция) либо устранением И последствий И источников (моя позиция. Я ведь защиту антивирусами и файерволлами тоже ни в коем случае не отрицаю). Почему моя позиция обзывается «религиозной войной»?

Это то же самое, как Вы бы стали войну с наркомафией (тоже ведь война с источниками) называть религиозной войной, а правильной считать войну исключительно с самими наркоманами (тоже ведь: непосредственные неприятности людям — кражи, грабежи, семейный произвол — делают наркоманы, а не продавцы наркотиков). Понятно, что правильным в борьбе с наркотиками является комплексный подход — следует и воевать с наркомафией, и лечить наркоманов, и заниматься профилактикой наркомании. Вы же этого не отрицаете?

Поэтому непонятно, почему такой же подход к решению проблем интернет-абьюза Вы называете религиозной войной.

У нас с Вами шел обмен мнениями, вполне технический:

Вы задавали технические вопросы о том, как быть провайдеру в тех или иных случаях, при абьюзе его сайтов. Я дал четкие ответы. Я показал, что провайдер не беззащитен и может решить эти проблемы. Вы не опровергали этих моих предложений.

Вы задавали технические вопросы о том, что против ботнетов черные списки неэффективны. Я показал, что эффективны. Вы не выдвинули альтернативных данных и не усомнились в правильности моих данных.

Кроме того, я задал Вам в связи с этим вопрос: если черные списки предположим эффективны против ботнетов хотя бы на 10%, то с какой стати отказываться от этой эффективности? Вы ничего не ответили.

Вы сказали, что видите минусы неполитических черных списков. Я спросил Вас: каковы эти минусы? Вы ответили, что минусы в том что черные списки неэффективны против сильных ботнетов, то есть не ловят спам с таких ботнетов. И только. Но это утверждение уже получило мое опровержение см. выше. Кроме того, я указал, что против сильных ботнетов будут эффективны политические черные списки. Вы не возражали.

Таким образом, по техническим вопросам я Вам ответил.

И вот теперь именно Вы, а не я, начинаете выдвигать на первый план вопросы прав человека, справедливости и несправедливости, войны и мира. Прошу это заметить. Хорошо, вот что можно сказать по этим вопросам:




> я не обязан находиться в чьем-то черном списке из-за того, что мой сосед заразился


Солидарен с Вами. Я тоже не хочу находиться в черном списке из-за соседа. А нахожусь. Прямо сейчас нахожусь. У меня NAT-адрес. И все наружные реальные IP нашего провайдера, через которые мы, его клиенты, выходим в интернет — находятся в черном списке CBL. Находятся за то что с них осуществляется рассылка вирусов и спама. Об этом написано когда смотрю на CBL (http://cbl.abuseat.org/lookup.cgi) свой внешний IP.

Но почему Вы предъявляете претензии в таком положении вещей к держателю черного списка? Он зафиксировал ФАКТ рассылки вирусов. Факт есть или нет? Есть. Чем же держатель черного списка виноват?!

Я понимаю — Вы предлагаете лечить эту ситуацию тем, что убрать черные списки. А не правильнее убрать вирусы с соседа? Ведь от убирания черных списков вирусы не исчезнут. Вы предлагаете какие-то косметические меры. Не исправлять проблему, а спрятать от нее голову в песок (убрать черные списки) и тем самым дать ей возможность еще больше разростись. Никак не могу согласиться с такой позицией.

Следует предъявлять претензии не к держателям черных списков, а к своему провайдеру. За то что он не принимает антивирусных мер, которые перечислены в моем предыдущем посте.




> Если с меня требуют денег за то, чтобы восстановить справедливость - это вымогательство


Денег требуют не с Вас, а с Вашего провайдера. И не за справедливость (что Вы имели здесь в виду?), а за то, что провайдер сэкономил на принятии антивирусных мер. И поэтому его сеть причинила и причиняет ущерб сетям других провайдеров и ущерб конечным пользователям интернета — нам с Вами. Причем последнее время всё чаще встречается ситуация, что даже не то что провайдер сэкономил, а умышленно хостит спамеров. 

Деньги — это штраф с провайдера за то что он наделал (это я уже говорил при разборе статьи) и единственный способ реально стимулировать провайдера принять меры. Какое же вымогательство?




> Если меня хотят втравить в междоусобицу хостеров и провайдеров - это терроризм.


(Вы наверное ошиблись — имелось в виду “междоусобица хостеров и хакеров”?)

Неправда. Междоусобица здесь не между хостерами и хакерами, а между хакерами и конечными пользователями интернета. Именно нам с Вами достаются все конечные неприятности от хакеров и спамеров — спам, вирусы и их последствия, кража трафика.

А как раз у провайдеров и хостеров с хакерами и спамерами — любовь и дружба. В чем мы с Вами убедились при разборе нашего вопроса: хостеры не принимают мер против взлома, сознательно хостят спамерские сайты, провайдеры не ограничивают абьюзивные действия хакеров из своей сети и в свою сеть, и т.д.

То есть война идет между хакерами и нормальными пользователями интернета. И хакеры в этой войне уже начали серьезно угрожать существованию интернета, о чем Вы сами сказали, приведя ссылку на статью http://www.securitylab.ru/news/290127.php 

Вы можете, безусловно, предпочесть быть в стороне от этой войны. Но если ВСЕ останутся в стороне — то война, естественно, будет проиграна. Всё просто.

----------


## rav

> 1) Какой именно RBL?


Вот этот: http://www.mail-abuse.com/cgi-bin/lo...=195.34.34.227

----------


## Surfer

А разьве есть смысл банить айпишники , если спам рассылать может компьютер пользователя , у которого прописались трояны и другая нечесть  :Smiley: 
Нужно что-то кардинально новое, что-то типа распределённой системы ддоса спамеров посредством координированных усилий  :Smiley: )))
Кароче давить их их же методами.

----------


## kuznetz

Вот результаты разборок по листингу http://www.mail-abuse.com/cgi-bin/lo...=195.34.34.227, полученному от rav:

1) Черный список mail-abuse.com ведется известной фирмой Trend Micro, производящей в частности известный антивирусный пакет, ранее называвшийся PC Cillin. Фирма конечно всем известна. А мне этот черный список был до сих пор неизвестен

2) Это не SORBS, и за удаление из списка там денег не требуют. Требуют принять меры. Иначе никакими деньгами не откупишься (хотя не пробовал  :Smiley: )

3) По ходу дела обнаружил, что в этом списке с 2004 года находится один из серверов нашей фирмы. За действительно имевший место в 2004 году залет с открытой проксей. Заполнил форму по адресу http://ops.mail-abuse.com/cgi-bin/nph-ops-remove, жду результатов. Там написано что будет автоматический тест на открытую проксю, и если OK, то уберут.

4) С проблемным хостом 195.34.34.227 так легко не получится. Мой сервер залетел в неполитическую часть списка — за единичный случай открытой прокси. А хост 195.34.34.227, являющийся одним из штатных SMTP-серверов провайдера МТУ-Интел и носящий имя zotz.mtu.ru — залетел в политическую часть списка, в одной пачке с многими другими отдельными IP и диапазонами провайдера МТУ. Они перечислены на странице, где разъясняются причины залета: http://www.mail-abuse.com/cgi-bin/sh...ng.cgi?1587832
Впрочем, как я понял, Вы это читали и без меня. Уточняю, что там перечислено 605 отдельных адресов и мелких диапазонов.

Занесение в черный список произошло 19 сентября 2006. Уведомление о занесении в черный список было, как положено, отправлено американцами в МТУ, но там не дали никакого ответа.
Могу по этому поводу сообщить, что я например обнаружил сильное увеличение спама из сети МТУ 30 сентября 2006 года, о чем, кстати, написал на [email protected]. Мне тогда ответили, что претензии принимаются только по конкретным спам-письмам. Я тогда им отправил в архиве rar 2 раза по 150 штук.

Конкретно 30 сентября 2006 года в сети МТУ было ОКОЛО 50 ТЫСЯЧ БОТОВ — это я видел 30 сентября на senderbase:
http://www.senderbase.org/search?sea...AO%20MTU-Intel 
Должен сказать, что 50 тысяч — это много. Мягко говоря.
Как раз то, что называется «ботнеты большие и быстро меняющиеся»

Не знаю, принимались ли в МТУ меры, но факт что к декабрю количество ботов сократилось до 5 тысяч. Сегодня, как Вы сами можете увидеть по указанной ссылке на senderbase, количество ботов в сети МТУ составляет от 3 до 4 тысяч. Можно констатировать, что ситуация, по сравнению с сентябрем, нормализовалась. Хотя по-прежнему МТУ остается первым номером среди российских источников спама в моей почте. Возможно просто потому, что у них самая большая сеть домашних пользователей.

Хост 195.34.34.227 залетел потому, что релеил спам с этих ботов (которые были в его сети, то есть были его законными клиентами). Само по себе то что он релеит своих законных клиентов — это нормально. Ненормально то, что на нем не включен тарпит. Если бы был включен — не залетели бы.

Конкретно в черном списке на данный момент находятся ВСЕ (ну насколько я понял) почтовые сервера МТУ. Они расположены в диапазоне 195.34.34.224/28, то есть 14 адресов

5) Хост 195.34.34.227 не находится в черном списке Spamhaus. Это я к тому, что если бы в сети МТУ по-прежнему были тяжелые проблемы, то МТУ сидели бы в Spamhaus тоже. Раз нет, значит есть надежда что с mail-abuse.com удаление из черного списка можно решить. Наверно просто Ваш провайдер тоже считает черный список mail-abuse.com незначительным, и поэтому не пытается из него удаляться. Вам необходимо заявить своему провайдеру (то есть МТУ), что эта проблема Вам мешает. Пусть делают. Я сделать не могу — они попали в политический список, см. http://www.mail-abuse.com/removereq_rbl.html. Кстати, Вы тоже не можете — то есть отправлять Вам самостоятельно письмо на [email protected] не имело смысла. Сделать может только Ваш провайдер. И только если отправит свое письмо в mail-abuse.com через почтовый сервер, НЕ НАХОДЯЩИЙСЯ В ИХНЕМ ЧЕРНОМ СПИСКЕ. Иначе естественно придет автоматический отлуп, как пришло Вам. Либо там предлагается звонить по телефону +1.408.453.6277 (то есть в Америку). Думаю, нормальные условия. Найти незасвеченный почтовик, или позвонить — невелика трудность.

В общем, ситуация вполне обычная. Я когда залетал в черные списки, то потом тоже по три дня везде ходил и отписывался. Это было не очень приятно, но не надо было залетать. Теперь не залетаю. Очень надеюсь, что поднятая проблема с почтовыми серверами МТУ будет решена

----------


## Geser

Вы меня извените, моё мнение что все эти чёрные списки просто чушь. Неужели вы серьёзно думаете что крупный провайдер имеющий сотни тысячь пользователей будет заниматься отловом ботов у себя в сети? Если крупный провайдер что-то и сделает, то просто отрубит всем соединения на порт отличный от 80. А на почту поставит свой спам-фильтр, который будет рубить направо и налево всё подозрительное. Приблизительно так делает  AOL. Нафиг мне как пользователю такое счастье?
И главное, от бот-нетов это не избавит, т.к. и по 80 порту ими можно управлять без проблем.

----------


## kuznetz

Хорошо, Geser. Готов подумать и над этим мнением. Мнение «просто чушь» пожалуй является вообще номером один по распространенности  :Smiley: )




> Неужели вы серьёзно думаете что крупный провайдер имеющий сотни тысячь пользователей будет заниматься отловом ботов у себя в сети?


Не понятно. Что значит “я думаю”? Речь у нас идет о том, что черные списки способствуют, чтобы хоть мелкий хоть крупный провайдер, имеющий в сети хоть сколько тысяч пользователей, ОБЕСПЕЧИЛ отсутствие ботов в своей сети. Ловить он их будет, или что другое делать — это его проблемы (хотя рекомендуемые методы мы здесь обсуждаем, но вообще-то это его дело). Главное — чтобы ботов у него не было. Если у провайдера будет стимул (в лице черных списков, репутации или чего угодно другого) — то он найдет способы.




> Если крупный провайдер что-то и сделает, то просто отрубит всем соединения на порт отличный от 80


Не надо экстремизма. Я например ничего такого не предлагал. Я предлагал закрыть доступ только на порт 25, и только для пользователей с нестатическим IP. Потому что через 25 идет почта. Остальные виды интернет-абьюза пока что представляют меньшую угрозу.




> А на почту поставит свой спам-фильтр, который будет рубить направо и налево всё подозрительное


Опять экстремизм. Зачем? Я предлагаю поставить обычный спам-фильтр. Так ведь И ЭТОГО МНОГИЕ провайдеры не делают! не говоря уже о мере по закрытию порта 25




> Нафиг мне как пользователю такое счастье?


Естественно, антихакерские и антиспамерские меры приводят к некоторым неудобствам. Не понятно: а разве действия хакеров и спамеров не приводят к «некоторым» неудобствам?

Если меры разумные, а не экстремистские, то неудобства минимальны. Именно господа черные хостеры громче всех кричат, что неудобства огромны. То есть преднамеренно преувеличивают.




> И главное, от бот-нетов это не избавит, т.к. и по 80 порту ими можно управлять без проблем


Согласен, закрытием порта 25, или закрытием хоть всех портов кроме 80, проблемы управления ботами, в частности применения их для DoS-атак не решить. Но для этого существуют другие простейшие меры. Например, в сети одного из наших городских провайдеров действует уже не менее 5 лет такая мера: циска сечет, если с хоста идут подряд сессии длительностью менее 1 секунды (точное значение не помню. Может доли секунды). Такое поведение — явный индикатор деятельности трояна. И такой хост автоматически отрубается через 1 минуту от сети. И всё.

Это эффективная мера. Когда 20 июня 2005 года я связывался с администратором сервера registro.br (то есть в Бразилии) Hugo Kobayashi по вопросу: почему я не могу получить доступ к его whois, мне ответили, что сетка нашего провайдера забанена за распределенные сканы портов. Я попробовал через другого провайдера в нашем городе — тоже забанено у бразильцев. И только через того провайдера, у которого была защита на циске — не было забанено.

Что Вы думаете по этому поводу?

----------


## Geser

Провайдеры получают лицензию на работу. И если уж кто-то должен заниматься контролем защищённости сети, то именно те кто дают лицензию. А какие-то черные списки которые пытаются повлиять на провайдера наказывая рядовых пользователей это не решение.

----------


## rav

> И только если отправит свое письмо в mail-abuse.com через почтовый сервер, НЕ НАХОДЯЩИЙСЯ В ИХНЕМ ЧЕРНОМ СПИСКЕ. Иначе естественно придет автоматический отлуп, как пришло Вам. Либо там предлагается звонить по телефону +1.408.453.6277 (то есть в Америку). Думаю, нормальные условия. Найти незасвеченный почтовик, или позвонить — невелика трудность.


Вот-вот. Куча траха с неизвестным результатом, а у меня свободного времени- в обрез. Мне проще забить...

----------


## kuznetz

То есть Вы согласны, Geser, что проблема лежит НЕ в технической плоскости, а в морально-правовой? То есть что никаких непреодолимых технических препятствий, на которые ссылаются провайдеры, на самом деле не существует? (если я Вас неправильно понял, и есть какие-либо еще вопросы по технической части, прошу их сказать)

Я тоже, с самого начала, говорил что проблема лежит не в технической области. Было показано, что попытки господ черных хостеров (в той разобранной нами в начале статье) свалить вопрос на технические сложности — несостоятельны.

Вопрос действительно в том, КТО должен принимать меры. Вы совершенно правы в этом отношении. В остальном я согласиться не могу:




> Провайдеры получают лицензию на работу. И если уж кто-то должен заниматься контролем защищённости сети, то именно те кто дают лицензию


Контролем — разумеется. То есть те, кто дает лицензию, должны заниматься контролем за тем, что лицензированная организация в своей деятельности не нарушает лицензионных требований. Например, если банк, имеющий лицензию от Центробанка, начнет заниматься отмывание преступных денег, или подделывать свою годовую финансовую отчетность с целью повышения котировок своих акций, то Центробанк лишит его лицензии.

Поэтому да, Министерство связи контролирует провайдеров на предмет что они не нарушают закон «О связи» и прочие законодательные нормы и министерские инструкции. И куда бы министерство делось от этой обязанности.

Но каким образом это снимает с провайдеров обязанность контролировать свою сеть по поводу ее безопасности для своих пользователей, и по поводу непричинения ущерба другим сетям? Министерство контролирует провайдеров (на предмет выполнения требований лицензии), а провайдеры — свою сеть (на все предметы, в том числе на предмет см. выше). Это разные вещи.

То есть министерство за большое количество ботов в сети конкретного провайдера может лишить его лицензии (если захочет, конечно) — вот в этом заключается контроль министерства. Но никак не в том, чтобы сторожить провайдерские хосты чтобы они не стали ботами.




> А какие-то черные списки которые пытаются повлиять на провайдера наказывая рядовых пользователей это не решение


Здесь нельзя согласиться сразу по обоим утверждениям.

1) Черные списки наказывают провайдера, а не пользователей. Пользователь свободен — он может уйти к другому провайдеру (а провайдер никуда от своих IP не уйдет). Да, смена провайдера — это неудобства для пользователя, но разве хакеры и спамеры не приносят неудобств? вплоть до воровства гигабайт трафика на тысячи рублей (а вирусняк может и диск форматнуть). Впрочем, об этом я ведь уже говорил в предыдущем посте.

2) Это не решение? А что — решение? предложите другое решение. В том и проблема с противниками черных списков — они не предлагают другого решения. Они предлагают имеющееся готовое, уже работающее решение, которого спамеры боятся (черные списки) убрать, а взамен — ничего. То есть фактически предлагают сдаться спамерам. Зачем сдаваться, когда можно не сдаваться?





> Куча траха с неизвестным результатом, а у меня свободного времени- в обрез. Мне проще забить


Согласен, rav — отписываться из черного списка, который на самом деле Вам не мешает настолько чтобы — это трата времени ненужная. Но тогда зачем Вы привели в пример этот черный список? приводите настоящий пример, который реально достает

----------


## Geser

Представьте себе, Вы идёте по улице, к Вам подходят и бьют Вам морду. На вопрос за что Вам отвечают, мол тот кто тут вчера проходил украл у тех кто Вам бил морду кошелёк. А если Вы не хотите что бы Вам на этом месте били морду в будущем, Вам предлагают переехать в другой город. Мол когда  из города все уедут, правление очухается и заставит милицию работать. Логично?

----------


## SDA

Geser, респект. Лаконичный пример ответа, про битье морды. Устал читать kuznetz  :00000402:

----------


## Синауридзе Александр

> Geser, респект. Лаконичный пример ответа, про битье морды.


Это точно.



> Устал читать kuznetz


Аналогично. :Smiley:

----------


## kuznetz

Логично, Geser, то, что если бьют морду, то надо бить в ответ.

Но при чем здесь вопрос о черных списках?!

Ваша аналогия (красивая, не спорю) не подходит по следующим причинам:

В морду никто не бьет. Вы постоянно ударяетесь в экстремизм. Вам это не кажется странным? Вы обвиняете держателей черных списков в экстремизме, но сами постоянно прибегаете к экстремистским методам, при этом приписывая их сторонникам черных списков. Не хорошо, Geser.

По черным спискам от Вас не принимают почту. Не принимают не держатели черных списков, то есть не неизвестно кто, а Ваши корреспонденты — не посторонние Вам люди. Не принимают НЕ для того, чтобы заставить Вас идти ругаться к провайдеру, а потому что опасаются, что сеть Вашего провайдера доставит им слишком много неприятностей, раз она включена в черный список. И опасаются обоснованно.

Если они желают получать Вашу почту, Вы можете связаться с ними, чтобы они включили Вас в свой белый список.

А если они не пожелают включить Вас (то есть сеть или подсеть Вашего провайдера или только его SMTP) в белый список — то это их право. Вы должны его уважать. Что здесь не так? какие морды?

Выражаясь в терминах предложенной Вами аналогии, Geser,
другие пользователи интернета не хотят, чтобы им били морду на той улице,
и поэтому обходят ее стороной. И имеют на это полное право

----------


## maXmo

Не, господа эксперты, rav, DVi, Geser, SDA, Синауридзе Александр, нэ понимаю я вас.
Это широко используемая практика, когда нет других видов ответственности, кроме коллективной. И выход из этого – введение у себя нормальных правоохранительных органов, которые будут приводить нарушителей к индивидуальной ответственности. Пока такого нет – вся община беззакония привлекается к коллективной ответственности со стороны прогрессивного общества, потому что нет других средств привлечь их к порядку (да, это потребует от них приложения сил и их такого драгоценного времени, глядишь – сорганизуются как-нибудь). Они в своём праве? В своём. Когда устные призывы не действуют, начинают действовать силой.

Кстати, это идея, написать мин. связи телегу на МТУ, прижмут их?

----------


## kuznetz

Всё, убрали мой сервер из черного списка mail-abuse.com. Вот сегодня пришло:

Thanks for writing. I've removed 81.xxx.xx.xx from our list. Because some of our users cache a local copy of the OPS list, it may take anywhere from a few hours to a day for your site to completely disappear from all copies of the OPS list.

If in the near future, 81.xxx.xx.xx begins proxying messages, we may relist it in the OPS.

We retested this host before sending you this reply. A copy of that test can be found at http://www3.mail-abuse.org/cgi-bin/n...2?81.xxx.xx.xx

----------


## maXmo

раз уж пошла речь о закрытии портов, вот статейка 2003 года



> Сетевое сообщество не смогло до сих пор внедрить простейшие антиспамерские приемы, которые само же установило в качестве стандарта. Например, разделение портов SMTP-сервера на порт для MTA (25: прием почты от чужого сервера для сохранения своему пользователю; «общение между серверами») и MSA (587: прием письма от своего пользователя для отправки на чужой сервер; «общение между пользователем и сервером»). Эта идея, также как и SMTP-авторизация, появилась именно как реакция на появление спама.
> 
> Прошло уже немало времени, однако 587 порт так и не появился в популярных почтовых программах типа Outlook Express или The Bat! А ведь эта простейшая мера позволила бы провайдерам просто закрыть все исходящие соединения по 25 порту и полностью ликвидировала бы прямой спам «по карточкам» – спам с dialup-соединения.


Как видно, никакого сатанизма. К тому же большинство серверов сейчас предоставляет соединение по IMAP и нестандартным портам SMTP (к сожалению, кроме самого этого яндекса… борцы со спамом, блин…)

----------


## maXmo

вот ещё Нормы пользования Сетью



> Владелец любого информационного или технического ресурса Сети может установить для этого ресурса собственные правила его использования…
>     Правила использования ресурса, установленные владельцем, не должны нарушать права владельцев других ресурсов или приводить к злоупотреблениям в отношении других ресурсов…
>     В случае, если правила, установленные владельцем ресурса, противоречат тем или иным пунктам настоящего документа, в отношении данного ресурса применяются правила, установленные владельцем, *если* это не ведет к нарушениям в отношении *других* ресурсов…
> 
> 5. Настройка собственных ресурсов
> 
> При работе в сети Интернет пользователь (ну типа да, для пользователя, но, но, но…) становится ее полноправным участником, что создает потенциальную возможность для использования сетевых ресурсов, принадлежащих пользователю, *третьими* лицами. В связи с этим пользователь *должен* принять надлежащие меры по такой настройке своих ресурсов, которая препятствовала бы недобросовестному использованию этих ресурсов третьими лицами, а при обнаружении случаев такого использования *принимать* оперативные меры по их прекращению.
>     Примерами *потенциально* проблемной настройки сетевых ресурсов являются:
>     - открытые ретрансляторы электронной почты (open SMTP-relays);
>     - …


по идее провайдер тоже должен пресекать недобросовестное использование его ресурсов. Во избежание.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## kuznetz

Об этой рекомендации (насчет порта 587 для приема писем от своего пользователя) я не знал. Спасибо! надо же, всё еще проще, чем я расписывал

----------


## maXmo

http://www.drbl.ofisp.org/
да… сам сайтец дохленький…

----------


## kuznetz

Вот новый SpamAssassin от MDaemon 9.5 в обладминистрации зарубил мое письмо за нечто, что сам админ не смог мне объяснить:
MIME encoded twice

В письме был обычный аттач из вордовского файла. Аттачи кодировались MIME base64, самый обычный метод, который по умолчанию стоит и в TheBat, и в Outlook.

Это я к тому, что если кто скажет, что с черными списками много мороки, 
то со спам-фильтрами, увы, не меньше.

----------


## Surfer

Поэтому я считаю что програмные методы - бред , всегда будут ложняки.

----------


## kuznetz

Мы не будем впадать в крайности. Как уже говорилось, правильнее всего применять и то, и другое - и фильтры, и черные списки. Большинство почтовых серверов, я думаю, так и работают.

Это - обычная наша работа. И отписываться из черных списков, и отмазываться от спам-фильтров. :Smiley:   Надо подходить ко всему позитивно.

----------


## maXmo

> Об этой рекомендации (насчет порта 587 для приема писем от своего пользователя) я не знал. Спасибо! надо же, всё еще проще, чем я расписывал


кстати, к вопросу о блокировке 25 порта. Спам ведь льётся по так называемому серверному смтп-протоколу, его ведь можно отличать от юзерского? Хмм… сделать фильтр, который будет пропускать юзерский смтп и блочить серверный?.. Таких ещё нет?

----------


## DVi

Нет такого понятия "серверный smtp-протокол".

----------


## maXmo

хмм… но они же письма шлют без авторизации? А на всех смтп-версерах сейчас авторизация требуется. Попробуй через mail.yandex.ru:25 отправить фиг знает от кого фиг знает кому письмо любого содержания.

----------


## borka

> Попробуй через mail.yandex.ru:25 отправить фиг знает от кого фиг знает кому письмо любого содержания.


Яндекс - не опен релей, потому и фиг получится.

----------


## maXmo

значит есть в чём-то разница, пишешь ли ты тундрой через яндекс от своего аккаунта или шлёшь туда письмо а ля спам-бот.

----------


## borka

> значит есть в чём-то разница, пишешь ли ты тундрой через яндекс от своего аккаунта или шлёшь туда письмо а ля спам-бот.


Ключевое слово - "от своего аккаунта".

----------


## maXmo

Ну да от своего. Разница-то в чём?

----------


## borka

> Ну да от своего. Разница-то в чём?


Разница для кого? Для того, кто отправляет? Кто получает? Для Яндекса?  :Wink: 
Если я правильно понимаю, происходит следующее. 
Вы пытаетесь отправить письмо со своего домена на домен получателя, пользуясь Яндексом. Это не получается, потому что Яндекс не опен релей, поэтому письмо на чужой домен он не принимает, поскольку отправлено оно не с Яндексового домена. То есть оно реджектится на входе в Яндекс.
Когда Вы заходите "от своего аккаунта", то Яндекс знает, что это именно Вы, и письмо, которое Вы отправляете, уходит из Яндексового домена с Вашим from, и получатель его принимает.
При этом все "общение" почтовых серверов идет по тем же почтовым протоколам POP3/SMTP, а авторизация нужна Яндексу, чтобы удостовериться, что отправляет письмо его клиент (Вы в данном случае), а не спамбот.

----------


## maXmo

и на периметре факт авторизации можно отловить и определить, кто шлёт, клиент или спамбот и в зависимости от этого зарезать пакет?

*Добавлено через 2 минуты*




> Вы пытаетесь отправить письмо со своего домена на домен получателя, пользуясь Яндексом. Это не получается, потому что Яндекс не опен релей, поэтому письмо на чужой домен он не принимает, поскольку отправлено оно не с Яндексового домена.


так, а что происходит, когда письмо шлётся не на чужой домен, а на яндекс?

----------


## borka

> и на периметре факт авторизации можно отловить и определить, кто шлёт, клиент или спамбот и в зависимости от этого зарезать пакет?так, а что происходит, когда письмо шлётся не на чужой домен, а на яндекс?


Представим так: есть станция ж/д (Яндекс), есть две ветки - по одной вагоны с почтой приходят (POP3), по другой уходят (SMTP). Есть диспетчерская, чтобы попасть туда нужно ввести код доступа. Есть правила (на уровне раздвижных ворот): 
1. Если приходящее письмо имеет целью назначения НЕ нашу ж/д станцию - отказать, завернуть обратно, сбросить под откос.  :Wink: 
2. Если нашу - принять, разгрузить.  :Smiley:  Рассортировать!
3. Без Вашего ведома отправку вагонов с почтой запретить.
Поэтому, ИМХО, на периметре факт авторизации определять незачем - на то это и периметр. Авторизация же позволяет пользователю (честному) попасть в диспетчерскую и использовать службы Яндекса в своих корыстных целях.  :Wink:  Например отправлять почту куда угодно или смотреть, что там грузчики разгрузили или не ошиблись ли сортировщики.  :Smiley: 
Вот.

----------


## kuznetz

> кстати, к вопросу о блокировке 25 порта


Предлагается, что провайдер должен блокировать исходящие на порт 25.
Минимальная рекомендация — для всех кто за NAT,
средняя — для всех динамических,
максимальная — для всех, кроме согласованных с провайдером SMTP-серверов.

Чтобы обеспечить в таких условиях работу по взаимодействию с пользователями по отправке почты пользователей, почтовые сервера должны иметь второй порт — порт MSA. Например 587. На этом порту должна быть обязательная SMTP-авторизация для всех, то есть в том числе и для писем, поступающих на адреса на этом самом почтовике. Только тогда это всё имеет смысл.

Говорят, что порт MSA теперь есть даже в виндовом MDaemon версии 9.

Из-за непоняток с рекомендацией по закрытию порта 25 (особенно непоняток пользователями) провайдеры до сих пор успешно косят — не применяют закрытие порта 25. А это эффективная мера.




> значит есть в чём-то разница, пишешь ли ты тундрой через яндекс от своего аккаунта или шлёшь туда письмо а ля спам-бот


Здесь конечно borka уже объяснил всё, но я постараюсь тоже. Речь пока что идет о схеме без доп.порта MSA.

1) Если на почтовик (пусть это Яндекс) пытаются протолкнуть письмо, адресованное на yandex.ru, то есть на тот домен, который почтовик обслуживает, — то это письмо принимается без авторизации.

2) Если же письмо, адресованное не на yandex.ru — то почтовик требует авторизоваться. Иначе бы почтовик стал открытым релеем. То есть через него кто угодно мог бы рассылать почту куда хочет.

3) Если же пытаются протолкнуть письмо, адресованное неважно куда, но с адресом отправителя [email protected], то тоже просит авторизоваться. Это делается уже по ДРУГИМ ПРИЧИНАМ: чтобы предотвратить рассылки от имени пользователей Яндекса. То есть борются с тем самым прирожденным пороком эл.почты — что любой может подставить любой адрес отправителя.

Если провайдеры закроют порт 25, то спам-трояны не смогут проталкивать письма по схеме 1.  А протолкнуть на порт MSA (например 587) трояны не смогут, потому что на этом порту будет требовать авторизацию для всех, то есть неважно кому письма адресованы и от кого.

----------


## Geser

А когда перейдут на работу по порту 587 более широко распространение получат трояны крадущие у пользователей данные авторизации.

----------


## kuznetz

А толку красть данные авторизации?
протолкнуть письмо по схеме 1 ведь всё равно троян не сможет.

Имея данные авторизации, троян сможет протолкнуть письмо ТОЛЬКО на тот почтовик, от которого данные авторизации. А это значит:

а) рассылки трояна попадают под тарпит на почтовике
б) рассылки трояна попадают под антивирус на почтовике
в) рассылки трояна почтовик дает осуществлять только с адресом отправителя, указанным в SMTP-авторизации. Что кстати дает администратору почтовика эффективнейшую возможность отслеживать, кто из его пользователей подцепил трояна.

Всё предусмотрено.

----------


## borka

> 2) Если же письмо, адресованное не на yandex.ru — то почтовик требует авторизоваться. Иначе бы почтовик стал открытым релеем. То есть через него кто угодно мог бы рассылать почту куда хочет.


Кого почтовик потребует авторизоваться? Другой почтовик? Как Вы это себе представляете?




> 3) Если же пытаются протолкнуть письмо, адресованное неважно куда, но с адресом отправителя [email protected], то тоже просит авторизоваться. Это делается уже по ДРУГИМ ПРИЧИНАМ: чтобы предотвратить рассылки от имени пользователей Яндекса.


Он это письмо принять не должен, потому что оно пришло а) из необслуживаемого домена (от другого почтовика) и б) имеет from с yandex.ru (с обслуживаемого домена).




> Если провайдеры закроют порт 25, то спам-трояны не смогут проталкивать письма по схеме 1.  А протолкнуть на порт MSA (например 587) трояны не смогут, потому что на этом порту будет требовать авторизацию для всех, то есть неважно кому письма адресованы и от кого.


Если я правильно понимаю, то 25 порт смотрит наружу, а 587 - внутрь. Так что севший к пользователю спамбот будет отправлять на сервер по 587 порту тот же спам, предварительно авторизовавшись стыренным у этого же пользователя логином/паролем...

*Добавлено через 10 минут*




> Имея данные авторизации, троян сможет протолкнуть письмо ТОЛЬКО на тот почтовик, от которого данные авторизации.


Только не *на* почтовик, а *через* почтовик.




> б) рассылки трояна попадают под антивирус на почтовике


Только если почтовый вирус.




> в) рассылки трояна почтовик дает осуществлять только с адресом отправителя, указанным в SMTP-авторизации. Что кстати дает администратору почтовика эффективнейшую возможность отслеживать, кто из его пользователей подцепил трояна.


Это да. Да толку? Что сделает админ на бесплатном почтовом сервере? Максимум - отключит пользователя...

----------


## kuznetz

Не торопитесь, пожалуйста, ломать копья.
Вы, к сожалению, торопитесь и поэтому путаете там, где, я не сомневаюсь, Вы всё хорошо представляете:




> Сообщение от kuznetz
> 
>  2) Если же письмо, адресованное не на yandex.ru — то почтовик требует авторизоваться. Иначе бы почтовик стал открытым релеем.
> 
> 
> Кого почтовик потребует авторизоваться? Другой почтовик? Как Вы это себе представляете?


О “других почтовиках” шла речь в схеме 1.
Здесь же речь идет, очевидно, о троянах либо спамерах. Потому что с какой стати другой почтовик будет толкать письмо, адресованное не на yandex.ru, на сервер Яндекса?! не торопитесь, я Вас прошу.




> Сообщение от kuznetz
> 
>  3) Если же пытаются протолкнуть письмо, адресованное неважно куда, но с адресом отправителя [email protected], то тоже просит авторизоваться. Это делается уже по ДРУГИМ ПРИЧИНАМ: чтобы предотвратить рассылки от имени пользователей Яндекса.
> 
> 
> Он это письмо принять не должен, потому что оно пришло а) из необслуживаемого домена (от другого почтовика) и б) имеет from с yandex.ru (с обслуживаемого домена).


Вы опять торопитесь:
а) Яндекс «обслуживает» любые диапазоны IP. О каких «обслуживаемых доменах» Вы в данном случае говорите вообще? Пользователь подключается к Яндексу откуда угодно, авторизуется, и может отправлять свою почту через Яндекс. Разве не так?
б) Ну да, «имеет From с yandex.ru (с обслуживаемого домена)». Не понял, что в этом экстраординарного? Пользователь подключается к Яндексу и пытается отправить почту, со своим адресом отправителя [email protected]. А как еще может быть?!   Как же Яндекс «не должен» принять эту почту к отправке?!!




> Если я правильно понимаю, то 25 порт смотрит наружу, а 587 - внутрь. Так что севший к пользователю спамбот будет отправлять на сервер по 587 порту тот же спам, предварительно авторизовавшись стыренным у этого же пользователя логином/паролем


Здесь не совсем понял, что Вы имеете в виду под «наружу, внутрь». Оба порта «смотрят» в интернет. Если нужно, то порт MSA смотрит еще и внутрь (то есть во внутреннюю сеть белых адресов типа 192.168.*.*)

Безусловно, спамбот, севший к пользователю и завладевший реквизитами доступа к почте, сможет отправлять тот же спам. Но делать это, при закрытом порте 25, он сможет ТОЛЬКО через тот почтовик, от которого реквизиты авторизации. Напрямую, как раньше, — не сможет. Чем это хуже для спамеров — было сказано в первом посте.




> Только не на почтовик, а через почтовик


Да.




> Только если почтовый вирус


Не понятно.
Что значит «почтовый»? Троян пытается разослать себя. Антивирус на почтовике его ловит. Что Вы хотели сказать, я не понял.




> Это да. Да толку? Что сделает админ на бесплатном почтовом сервере? Максимум - отключит пользователя


А что еще-то требуется?!
отключит, и троян не сможет дальше рассылать совсем.
Что еще-то надо?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## maXmo

> Чтобы обеспечить в таких условиях работу по взаимодействию с пользователями по отправке почты пользователей, почтовые сервера должны иметь второй порт — порт MSA. Например 587.


ты это *мне* объясняешь?  :Wink: 



> Если провайдеры закроют порт 25, то спам-трояны не смогут проталкивать письма по схеме 1.


дык вот, мне было интересно, можно ли на периметре LAN детектировать, по какой схеме шлётся письмо и блочить первую схему (которую я назвал «серверным smtp») и разрешать вторую и третью («клиентский smtp»), формально оставляя 25 порт открытым, но бесполезным для спам-ботов. Интерес скорее чисто теоретический, потому что дешевле и лучше перейти на imap и на стороне клиента забыть про smtp вообще.

----------


## borka

> О “других почтовиках” шла речь в схеме 1.
> Здесь же речь идет, очевидно, о троянах либо спамерах. Потому что с какой стати другой почтовик будет толкать письмо, адресованное не на yandex.ru, на сервер Яндекса?! не торопитесь, я Вас прошу.


ЦЫтата: "2) Если же письмо, адресованное не на yandex.ru — то почтовик требует авторизоваться. Иначе бы почтовик стал открытым релеем."
Кого почтовик потребует авторизоваться? Другой почтовик? Как Вы это себе представляете? Объясните свои же слова, пожалуйста.




> Вы опять торопитесь:
> а) Яндекс «обслуживает» любые диапазоны IP. О каких «обслуживаемых доменах» Вы в данном случае говорите вообще? Пользователь подключается к Яндексу откуда угодно, авторизуется, и может отправлять свою почту через Яндекс. Разве не так?
> б) Ну да, «имеет From с yandex.ru (с обслуживаемого домена)». Не понял, что в этом экстраординарного? Пользователь подключается к Яндексу и пытается отправить почту, со своим адресом отправителя [email protected]. А как еще может быть?!   Как же Яндекс «не должен» принять эту почту к отправке?!!


Яндекс *принимает* почту с любого диапазона. Но обслуживаемый домен - домен, для которого принимает почту. В данном случае - yandex.ru. И если письмо приходит с другого домена, но имеет from [email protected], то это не пользователь Яндекса его послал, а спамер. Если же пользователь авторизовался на Яндексе, то Яндекс сам знает, кто это, что это и что с ним сделать. Поэтому никакого "Если же пытаются протолкнуть письмо" быть не может в принципе. Поскольку "протолкнуть письмо" может только другой почтовик.




> Здесь не совсем понял, что Вы имеете в виду под «наружу, внутрь». Оба порта «смотрят» в интернет. Если нужно, то порт MSA смотрит еще и внутрь (то есть во внутреннюю сеть белых адресов типа 192.168.*.*)


По 25 порту идет "общение" с другими почтовиками (т.е. "наружу"), а по 587 - с клиентом (т. е. "внутрь"). Или я неправ?




> Безусловно, спамбот, севший к пользователю и завладевший реквизитами доступа к почте, сможет отправлять тот же спам. Но делать это, при закрытом порте 25, он сможет ТОЛЬКО через тот почтовик, от которого реквизиты авторизации. Напрямую, как раньше, — не сможет. Чем это хуже для спамеров — было сказано в первом посте.


Я уже ответил - севший к пользователю спамбот будет отправлять на сервер по 587 порту тот же спам, предварительно авторизовавшись стыренным у этого же пользователя логином/паролем...




> Не понятно.
> Что значит «почтовый»? Троян пытается разослать себя. Антивирус на почтовике его ловит. Что Вы хотели сказать, я не понял.


Терминологическая путаница, вероятно. Троян сам себя не рассылает. Он может рассылать спам. Рассылает себя только почтовый вирус (Win32.HLLM.* по Доктору, Email-Worm.Win32.* по касперу).




> А что еще-то требуется?!
> отключит, и троян не сможет дальше рассылать совсем.
> Что еще-то надо?


А пользователь зарегистрируется снова...

----------


## kuznetz

> ты это мне объясняешь?


Я просто излагаю концепцию, всю подряд.
Из песни слова не выкинешь.
А если выкинешь, то потом того и гляди придется доказывать, что не верблюд. Что имел в виду именно это, а не то, и т.д.

Поэтому за научно-популярное изложение заранее прошу извинить. Это необходимость.




> дык вот, мне было интересно, можно ли на периметре LAN детектировать, по какой схеме шлётся письмо и блочить первую схему (которую я назвал «серверным smtp») и разрешать вторую и третью («клиентский smtp»), формально оставляя 25 порт открытым, но бесполезным для спам-ботов


С одной стороны, возможно всё.
С другой стороны, смотря что имелось в виду под «детектировать».
Чтобы отличить контакт спам-трояна на порт 25 от контакта нормального SMTP-сервера, можно например ориентироваться по наличию у IP-контактера корректной PTR и/или MX, проверять SPF и т.п.  Но это и получается почти то же, что спам-фильтр.

Что касается — есть ли различия в протоколе, то их нет. А если бы и были, то спам-троян, без сомнения, не затруднился бы подделать “серверный” протокол.




> Интерес скорее чисто теоретический, потому что дешевле и лучше перейти на imap и на стороне клиента забыть про smtp вообще.


Не понятно, какое отношение это имеет к вопросам антиспама вообще.

Вроде бы никакого. Перейдут клиенты на IMAP или не перейдут — какая разница. Спамеры всё равно будут слать спам по SMTP на порт 25.

Если же имеется в виду, что перевод клиентов на IMAP — это альтернатива вводу порта 587 MSA — то разумеется так и есть. Хоть MSA, хоть IMAP, хоть чего угодно другое — главное, не то же, что порт 25. Работа почтовика с клиентом должна быть отделена от работы с другими почтовиками — тогда можно закрывать порт 25.




> ЦЫтата: "2) Если же письмо, адресованное не на yandex.ru — то почтовик требует авторизоваться. Иначе бы почтовик стал открытым релеем."
> Кого почтовик потребует авторизоваться? Другой почтовик?


Требует авторизоваться того, кто пытается протолкнуть письмо.
Не понял, какие тут могут быть вопросы.

Кто пытается протолкнуть, того и требует авторизоваться. Будь это другой почтовик, троян, спамер или пользователь Яндекса. Если письмо адресовано не на yandex.ru — то требует авторизоваться.




> Яндекс принимает почту с любого диапазона. Но обслуживаемый домен - домен, для которого принимает почту. В данном случае - yandex.ru


Всё верно. Тогда тем более не понятно, что Вы имеете в виду:




> И если письмо приходит с другого домена, но имеет from [email protected], то это не пользователь Яндекса его послал, а спамер.


Не понятно, что здесь имеется в виду под «другим доменом».
Письмо толкают на Яндекс с какого-то IP.
Почему “домен”?




> Если же пользователь авторизовался на Яндексе, то Яндекс сам знает, кто это, что это и что с ним сделать.


Так если авторизовался.

Разговор шел о том, что происходит с письмом, которое пытаются протолкнуть на Яндекс. Не авторизовавшись. То есть говорилось, в каких случаях Яндекс потребует авторизации. То есть откажется принимать письмо, если не было авторизации.




> Поэтому никакого "Если же пытаются протолкнуть письмо" быть не может в принципе. Поскольку "протолкнуть письмо" может только другой почтовик.


Ну это уже спор о словах.
Я назвал “протолкнуть”. Согласен назвать иначе — какая разница.




> По 25 порту идет "общение" с другими почтовиками (т.е. "наружу"), а по 587 - с клиентом (т. е. "внутрь"). Или я неправ?


Опять спор о словах.
Вы в данном случае не «правы» и не «неправы» (так же как и я).
Если Вы под «внутрь» имели в виду это, то и ради бога. Я подумал, что «внутрь» означает белые адреса внутренней сети.




> Сообщение от kuznetz
> 
>  Безусловно, спамбот, севший к пользователю и завладевший реквизитами доступа к почте, сможет отправлять тот же спам. Но делать это, при закрытом порте 25, он сможет ТОЛЬКО через тот почтовик, от которого реквизиты авторизации. Напрямую, как раньше, — не сможет. Чем это хуже для спамеров — было сказано в первом посте.
> 
> 
> Я уже ответил - севший к пользователю спамбот будет отправлять на сервер по 587 порту тот же спам, предварительно авторизовавшись стыренным у этого же пользователя логином/паролем


Не понятно. Да, Вы ответили. А я на это — ответил то, что процитировано выше. То есть ответил, что ДА, троян сможет отправлять тот же спам,
но делать это он будет намного менее эффективно. Вот на это Вы НЕ ответили.

Причины, по которым намного менее эффективно, были перечислены в первоначальном посте. Раз такое дело, перечисляю их снова:

1) на почтовике по своим пользователям работает тарпит. Троян просто не сможет разослать письма в существенном количестве — его тормознёт.
2) на почтовике рассылку трояном себя засечет антивирус
3) что дает возможность админу определить пользователя, зараженного трояном, и принять по нему меры.




> Терминологическая путаница, вероятно. Троян сам себя не рассылает. Он может рассылать спам. Рассылает себя только почтовый вирус (Win32.HLLM.* по Доктору, Email-Worm.Win32.* по касперу).


Троян рассылает то, что ему скажут разослать хозяева.
Конечно, они могут не использовать трояна для дальнейшего распространения своих троянов путем рассылки по эл.почте. Но они будут использовать, куда они денутся. А если не будут, то тем лучше — тогда значит станет одним путём распространения троянов меньше.

Вообще я не понял, чем с точки зрения нашей задачи троян, рассылающий себя сам, отличается от трояна, рассылающего себя (или не себя, а совсем другого трояна) по приказу хозяина.




> А пользователь зарегистрируется снова


Понятно, что если захочет, то зарегистрируется.

Нормальный пользователь (не спамер то есть, а подхвативший трояна) ведь не может менять адреса эл.почты как перчатки. Ведь на свой адрес он ждет писем, они ему нужны. Получив отключение и его причину, пользователь займется ловлей трояна.

Ну или даже если не займется — всё равно на повторные регистрации требуется время. Это уже само по себе снижает эффективность трояна у этого пользователя. Кроме того, когда его поотключают раза три, он поймет, что это, мягко говоря, неудобно, и всё-таки займется ловлей трояна.

И самое главное — как Вы себе представляете картину, когда все спам-трояны вместо прямой отправки будут вынуждены слать через почтовики? Ведь почтовиков гораздо меньше, чем затрояненных пользователей сейчас. Почтовики физически не смогут обеспечить тот объем спама, который сейчас обеспечивают затрояненные пользователи. Даже безо всяких там тарпитов на почтовиках

----------


## borka

> Требует авторизоваться того, кто пытается протолкнуть письмо.
> Не понял, какие тут могут быть вопросы.
> Кто пытается протолкнуть, того и требует авторизоваться. Будь это другой почтовик, троян, спамер или пользователь Яндекса. Если письмо адресовано не на yandex.ru — то требует авторизоваться.


Объясните, пожалуйста, как происходит авторизация почтового сервера у другого почтового сервера?




> Не понятно, что здесь имеется в виду под «другим доменом».
> Письмо толкают на Яндекс с какого-то IP.
> Почему “домен”?


"Толкать письмо" на Яндекс может либо другой почтовый сервер, либо троян. Или Вы считаете, что пользователь Яндекса может "толкать письмо" непосредственно на 25 порт Яндекса?  :Wink: 
В любом случае для Яндекса это другой домен, потому что он не свой. 




> Разговор шел о том, что происходит с письмом, которое пытаются протолкнуть на Яндекс. Не авторизовавшись. То есть говорилось, в каких случаях Яндекс потребует авторизации. То есть откажется принимать письмо, если не было авторизации.


Еще раз задаю вопрос - как происходит авторизация почтового сервера у другого почтового сервера?




> 2) на почтовике рассылку трояном себя засечет антивирус


Если бы антивирус был в состоянии засечь "рассылку трояном себя", то ни о каких троянах мы бы и не слышали.  :Smiley:  Вот в случае почтового вируса ситуация другая - антивирь его ловит и не дает распространиться.




> И самое главное — как Вы себе представляете картину, когда все спам-трояны вместо прямой отправки будут вынуждены слать через почтовики? Ведь почтовиков гораздо меньше, чем затрояненных пользователей сейчас. Почтовики физически не смогут обеспечить тот объем спама, который сейчас обеспечивают затрояненные пользователи. Даже безо всяких там тарпитов на почтовиках


Да никак - как все было, так и останется.

----------


## kuznetz

> Сообщение от kuznetz
> 
>  Требует авторизоваться того, кто пытается протолкнуть письмо.
> Не понял, какие тут могут быть вопросы.
> Кто пытается протолкнуть, того и требует авторизоваться. Будь это другой почтовик, троян, спамер или пользователь Яндекса. Если письмо адресовано не на yandex.ru — то требует авторизоваться.
> 
> 
> Объясните, пожалуйста, как происходит авторизация почтового сервера у другого почтового сервера?


Никак не происходит! это же само собой понятно.
То есть письмо не будет принято, и всё.




> Сообщение от kuznetz
> 
>  Не понятно, что здесь имеется в виду под «другим доменом».
> Письмо толкают на Яндекс с какого-то IP.
> Почему “домен”?
> 
> 
> "Толкать письмо" на Яндекс может либо другой почтовый сервер, либо троян. Или Вы считаете, что пользователь Яндекса может "толкать письмо" непосредственно на 25 порт Яндекса?


Не понял: почему пользователь не может толкать письмо непосредственно на 25 порт Яндекса?!!
пользователи именно туда и толкают. Вы разве Яндексом не пользовались?




> В любом случае для Яндекса это другой домен, потому что он не свой.


Так Вы поясните наконец, что Вы здесь понимаете под “доменом”.
Вот кто-то пытается отправить письмо на Яндекс с IP 89.184.6.34 (реальный адрес, из недавнего спама), с адресом отправителя [email protected], на адрес получателя [email protected]. Что здесь Вы понимаете под «другим доменом» и какой именно это домен?

И что в случае, если адрес получателя [email protected].
а то мы с Вами что-то долго вокруг одного места бегаем.




> Сообщение от kuznetz
> 
>  2) на почтовике рассылку трояном себя засечет антивирус
> 
> 
> Если бы антивирус был в состоянии засечь "рассылку трояном себя", то ни о каких троянах мы бы и не слышали.  Вот в случае почтового вируса ситуация другая - антивирь его ловит и не дает распространиться.


Ну что Вы такое говорите!

С каких это пор антивирусы не берут троянов?! они даже SpyWare и AdWare берут. Что за ерунда, в конце концов?!




> Сообщение от kuznetz
> 
>  И самое главное — как Вы себе представляете картину, когда все спам-трояны вместо прямой отправки будут вынуждены слать через почтовики? Ведь почтовиков гораздо меньше, чем затрояненных пользователей сейчас. Почтовики физически не смогут обеспечить тот объем спама, который сейчас обеспечивают затрояненные пользователи. Даже безо всяких там тарпитов на почтовиках
> 
> 
> Да никак - как все было, так и останется.


Так Вы объясните — почему.

Я объяснил, почему считаю, что НЕ останется, как было. Потому что почтовики физически не способны обработать такое количество. Вы же ничего не объяснили. Объясните, иначе Вашего аргумента всё равно что нет.

В подтверждение своего аргумента могу привести такие факты:
согласно данным SenderBase (http://www.senderbase.org/home/detail_spam_volume), мировой объем спама на 1 ноября составил 148.8 миллиардов писем в день.

Согласно данным того же SenderBase, объем почты, рассылаемой Mail.ru, составляет 10 в степени 6.5, то есть примерно 3 миллиона писем в день. Нетрудно подсчитать, что для выполнения работы по спаму потребуется 49600 интернет-фирм такой мощности, как Mail.ru (то есть имеющих большое число почтовых серверов большой мощности и широких интернет-каналов).

???

----------


## borka

> Объясните, пожалуйста, как происходит авторизация почтового сервера у другого почтового сервера?
> 
> 
> 
> 
> 
>  Сообщение от kuznetz
> 
> 
> ...


Надо же... А как почта ходит? И уходит без авторизации, и приходит...




> Не понял: почему пользователь не может толкать письмо непосредственно на 25 порт Яндекса?!!
> пользователи именно туда и толкают. Вы разве Яндексом не пользовались?


В моем понимании для того чтобы "толкать письмо непосредственно на 25 порт Яндекса", нужно установить соединение по SMTP-протоколу с сервером. Иначе почтовый сервер не поймет, что от него хотят. Думаю, что пользователи этого не умеют. Это умеют делать либо почтовые серверы, либо трояны, которые выступают таковыми.




> Так Вы поясните наконец, что Вы здесь понимаете под “доменом”.
> Вот кто-то пытается отправить письмо на Яндекс с IP 89.184.6.34 (реальный адрес, из недавнего спама), с адресом отправителя [email protected], на адрес получателя [email protected]. Что здесь Вы понимаете под «другим доменом» и какой именно это домен?


Домен Яндекса - @yandex.ru, если IP 89.184.6.34 резолвится в другое имя (а оно таки резовится в другое имя), то это не домен Яндекса. Как я понимаю, Яндекс это письмо принять не должен. Или Вы думаете, что оно Вам с Яндекса пришло?  :Wink:  По клуджам этого письма можно посмотреть весь путь его прохождения. И что интересно, в спаме from/to не играют никакой роли - все равно письмо пришло не оттуда и не туда, а Вам.




> И что в случае, если адрес получателя [email protected].


Адрес получателя не имеет значения. Яндекс - не опен релей, поэтому письмо не со своего домена принимать не должен.




> Если бы антивирус был в состоянии засечь "рассылку трояном себя", то ни о каких троянах мы бы и не слышали.  Вот в случае почтового вируса ситуация другая - антивирь его ловит и не дает распространиться.
> 
> 
> 
> 
> 
>  Сообщение от kuznetz
> 
> 
> ...


Еще раз: трояны по почте не ходят (по крайней меря, я о таких не слышал. Ссылки на трояны в почте - это не то). А если бы трояны ходили по почте, то антивирус на почтовом сервере (если есть антивирус, разумеется) их убивал бы, как он это делает с почтовыми вирусами.




> Так Вы объясните — почему.
> Я объяснил, почему считаю, что НЕ останется, как было. Потому что почтовики физически не способны обработать такое количество. Вы же ничего не объяснили. Объясните, иначе Вашего аргумента всё равно что нет.


Будем считать, что аргументов нет. Есть мнение.  :Wink:  Я считаю, что *только* технические меры не изменят ситуацию.

----------


## kuznetz

> Надо же... А как почта ходит? И уходит без авторизации, и приходит...


Как, как...
Вы бы читали посты, а не делали глубокомысленных замечаний попусту.

Почта между серверами ходит по схеме 1.
А Вы, прошу прощения, привязались к схеме 2, и всё долбите меня, как же несчастные почтовые сервера в ней авторизуются. НИКАК! они тут ни при чем. Их место — в схеме 1. Это, прошу прощения, первокласснику понятно.




> Сообщение от kuznetz
> 
>  Не понял: почему пользователь не может толкать письмо непосредственно на 25 порт Яндекса?!!
> пользователи именно туда и толкают. Вы разве Яндексом не пользовались?
> 
> 
> В моем понимании для того чтобы "толкать письмо непосредственно на 25 порт Яндекса", нужно установить соединение по SMTP-протоколу с сервером


Ну да, всё верно.




> Думаю, что пользователи этого не умеют.


Смеяться можно?
 :Smiley: ) ))))))

Тут даже и думать не надо.
Разумеется, УМЕЮТ. Не пользователи, надо сказать, а их программы — почтовые клиенты. Outlook, TheBat, и проч. — надеюсь, они Вам известны? Они именно устанавливают соединение по SMTP-протоколу с сервером, и т.д. и т.п.

За наезд, конечно, извините, но Вы крайне лихо загнули, так что я не удержался.




> Сообщение от kuznetz
> 
>  Так Вы поясните наконец, что Вы здесь понимаете под “доменом”.
> Вот кто-то пытается отправить письмо на Яндекс с IP 89.184.6.34
> 
> 
> Домен Яндекса - @yandex.ru, если IP 89.184.6.34 резолвится в другое имя (а оно таки резовится в другое имя), то это не домен Яндекса. Как я понимаю, Яндекс это письмо принять не должен


Спасибо. Слава богу, становится понятно, о чем речь.

Да, разумеется, Вы правы, этот IP не относится к домену Яндекса (на всякий случай напоминаю, что тут мы разбирали схему 3).

Насчет того, что Яндекс это письмо уж совсем принять не должен, — тут Вашей категоричности не понял. Письмо адресовано на [email protected] — как же он не должен его принять?! Разумеется, должен. Только если отправитель будет кто угодно, но НЕ кто-то с yandex.ru. Тогда это будет схема 1, и письмо будет принято без вопросов.

Но речь идет о схеме 3. Там акцент делался не на получателе, а на отправителе. Там рассматривалось, что будет с письмом, если получатель неважно кто ([email protected] или [email protected] или кто угодно), а адрес отправителя [email protected]. И говорилось, что Яндекс такое письмо примет только в том случае, если отправитель авторизуется. То есть Яндекс потребует авторизацию даже в том случае, если получатель [email protected]

В этом отличие схемы 1 и схемы 3.
Вот о чем я говорил.




> Или Вы думаете, что оно Вам с Яндекса пришло?  По клуджам этого письма можно посмотреть весь путь его прохождения. И что интересно, в спаме from/to не играют никакой роли - все равно письмо пришло не оттуда и не туда, а Вам.


Откуда пришло письмо, и как следует смотреть путь его прохождения,
и какую роль играют/не играют From/To, — это я знаю. Как бы я иначе со всем этим работал. Это всё совершенно базовые вещи, начального уровня.




> Сообщение от kuznetz
> 
>  И что в случае, если адрес получателя [email protected].
> 
> 
> Адрес получателя не имеет значения. Яндекс - не опен релей, поэтому письмо не со своего домена принимать не должен


Ну да, все правильно. Только нельзя сказать, что адрес получателя не имеет значения. То есть я хочу сказать, что если бы получатель был [email protected], то письмо было бы принято без авторизации, по схеме 1,
за исключением случая если отправитель [email protected] (схема 3).




> Еще раз: трояны по почте не ходят (по крайней меря, я о таких не слышал. Ссылки на трояны в почте - это не то).


А как же тогда они ходят? поясните. Это что-то новенькое




> А если бы трояны ходили по почте, то антивирус на почтовом сервере (если есть антивирус, разумеется) их убивал бы, как он это делает с почтовыми вирусами.


Ну так я о чем и говорю.
Что при закрытом порте 25 трояны будут рассылать спам и себя через почтовик, и антивирус на этом почтовике-отправителе будет ловить этих троянов, и таким образом админу этого почтовика легко засечь, кто из его юзеров залетел на трояна.

Тогда не понятно, чему Вы возражаете. Поясните




> Сообщение от kuznetz
> 
>  Я объяснил, почему считаю, что НЕ останется, как было. Потому что почтовики физически не способны обработать такое количество
> 
> 
> Будем считать, что аргументов нет. Есть мнение


Мнение было у Л.И.Брежнева. Он как произнесет нечленораздельно «Тут есть такое мнение» — все сразу всё понимали.

Но Вы не Брежнев, а мы здесь — не президиум ЦК. Будьте добры мнения аргументировать, иначе зачем их высказывать вообще?




> Я считаю, что только технические меры не изменят ситуацию.


Вы хотите сказать, что обязательно требуются законодательные меры? закон против спама, и т.п.? Или что? раз не технические

----------


## borka

> А Вы, прошу прощения, привязались к схеме 2, и всё долбите меня, как же несчастные почтовые сервера в ней авторизуются. НИКАК! они тут ни при чем. Их место — в схеме 1. Это, прошу прощения, первокласснику понятно.


Вы меняете правила по ходу игры.  :Smiley:  В оригинале ничего не было сказано, про то, кто работает по Вашей схеме #2 - почтовик, клиент или троян:




> 1) Если на почтовик (пусть это Яндекс) пытаются протолкнуть письмо, адресованное на yandex.ru, то есть на тот домен, который почтовик обслуживает, — то это письмо принимается без авторизации.
> 
> 2) Если же письмо, адресованное не на yandex.ru — то почтовик требует авторизоваться. Иначе бы почтовик стал открытым релеем. То есть через него кто угодно мог бы рассылать почту куда хочет.
> 
> 3) Если же пытаются протолкнуть письмо, адресованное неважно куда, но с адресом отправителя [email protected], то тоже просит авторизоваться. Это делается уже по ДРУГИМ ПРИЧИНАМ: чтобы предотвратить рассылки от имени пользователей Яндекса. То есть борются с тем самым прирожденным пороком эл.почты — что любой может подставить любой адрес отправителя.


Возможно, здесь и первокласснику все ясно. А мне - нет. Некий почтовик/троян пытается отправить через Яндекс письмо, адресованное не на домен Яндекса. Нормальная ситуация? Вполне - тот, кто отправляет, не знает, что Яндекс не опен релей. Я считаю, что Яндекс просто отреджектит это письмо нафик.




> Насчет того, что Яндекс это письмо уж совсем принять не должен, — тут Вашей категоричности не понял. Письмо адресовано на [email protected] — как же он не должен его принять?! Разумеется, должен. Только если отправитель будет кто угодно, но НЕ кто-то с yandex.ru. Тогда это будет схема 1, и письмо будет принято без вопросов.
> 
> Но речь идет о схеме 3. Там акцент делался не на получателе, а на отправителе. Там рассматривалось, что будет с письмом, если получатель неважно кто ([email protected] или [email protected] или кто угодно), а адрес отправителя [email protected]. И говорилось, что Яндекс такое письмо примет только в том случае, если отправитель авторизуется. То есть Яндекс потребует авторизацию даже в том случае, если получатель [email protected]


То, о чем Вы говорите - SMTP с авторизацией - насколько я знаю, применяется только между клиентом и сервером *до* попыток отправить письмо, еще на стадии установления соединения. Еще раз: мой _почтовик_ - smtp.borka.ua пытается "протолкнуть письмо" кому-то через Яндекс, но при этом говорит, что письмо отсылает [email protected] - как Яндекс попросит мой почтовик авторизоваться? Или мой почтовик скажет, что он и есть Яндекс? Нет, для Яндекса любое письмо, пришедшее извне, это письмо не с Яндекса. Он не знает, кто его послал. Ему это и не интересно. И никого авторизоваться не просит, авторизация происходит до передачи письма. Поэтому письмо просто отфутболивается.




> Откуда пришло письмо, и как следует смотреть путь его прохождения, и какую роль играют/не играют From/To, — это я знаю. Как бы я иначе со всем этим работал. Это всё совершенно базовые вещи, начального уровня.


Ну и слава богу. Тогда Вы легко выясните, что адрес отправителя from с *@yandex.ru никакого отношения к реальному отправителю не имеет. Думаю, что и Яндекс тоже.  :Smiley: 
И to не совпадает.  :Wink: 




> Еще раз: трояны по почте не ходят (по крайней меря, я о таких не слышал. Ссылки на трояны в почте - это не то).
> 
> 
> 
> 
> 
>  Сообщение от kuznetz
> 
> 
> А как же тогда они ходят? поясните. Это что-то новенькое


Новенькое или нет - не знаю. Мне неизвестен троян, который ходит по почте. По почте ходят почтовые вирусы - Нетскаи, Лимары и прочие Варезовы. Опять же - вопрос терминологии. Приведите, пожалуйста, пример трояна, который ходит по почте. Его имя.




> Ну так я о чем и говорю.
> Что при закрытом порте 25 трояны будут рассылать спам и себя через почтовик, и антивирус на этом почтовике-отправителе будет ловить этих троянов, и таким образом админу этого почтовика легко засечь, кто из его юзеров залетел на трояна.


При закрытом 25 порте почта работать перестанет! Как два почтовых _сервера_ будут обмениваться письмами? Или они будут авторизовываться? У кого?




> Но Вы не Брежнев, а мы здесь — не президиум ЦК. Будьте добры мнения аргументировать, иначе зачем их высказывать вообще?


Хм... Я так считаю - Вам недостаточно?  :Wink: 




> Вы хотите сказать, что обязательно требуются законодательные меры? закон против спама, и т.п.? Или что? раз не технические


Да. Целый комплекс мер - и законодательные (в масштабах всех государств), и социальные, и просветительские, если угодно.  :Wink:  Нужно изменить мнение многих людей, заставить посмотреть на проблему спама другими глазами. Думаю, это нереально. Поэтому только технические меры ничего не дадут.  Посему и вывод - ничего не изменится. Такой ответ устроит?

----------


## kuznetz

> Сообщение от kuznetz
> 
>  А Вы, прошу прощения, привязались к схеме 2, и всё долбите меня, как же несчастные почтовые сервера в ней авторизуются. НИКАК! они тут ни при чем. Их место — в схеме 1
> 
> 
> Вы меняете правила по ходу игры.  В оригинале ничего не было сказано, про то, кто работает по Вашей схеме #2 - почтовик, клиент или троян


?? вот-те раз.
разумеется, не было сказано. Потому что это не имеет значения в рассматриваемом вопросе. Яндексу абсолютно без разницы, кто именно толкает письмо.

Собственно, Яндекс никак и узнать не может, кто толкает. Он работает на уровне протокола SMTP, а не фейс-контроля.

Про схему 2 было сказано: письмо с адресом получателя не на yandex.ru.
Что тут еще надо говорить? понятно, что почтовый сервер не будет толкать письмо на yandex.ru, если оно адресовано не на yandex.ru. Вы же почему-то решили, что почтовые сервера именно этим и занимаются.




> Некий почтовик/троян пытается отправить через Яндекс письмо, адресованное не на домен Яндекса. Нормальная ситуация? Вполне - тот, кто отправляет, не знает, что Яндекс не опен релей. Я считаю, что Яндекс просто отреджектит это письмо нафик


Спасибо, что Вы прочитали схемы снова. Надеюсь, теперь взаимонепонимания станет меньше.

Тем не менее я не понял, что Вы хотели сказать предыдущим абзацем.
Да, Яндекс не примет это письмо. Я так и говорил.
Не примет, если отправитель не авторизуется. Если авторизуется, то примет.




> То, о чем Вы говорите - SMTP с авторизацией - насколько я знаю, применяется только между клиентом и сервером *до* попыток отправить письмо, еще на стадии установления соединения


Ну да. Если из-за этого весь сыр-бор, то прошу извинить. Я не думал, что так может быть понято.
То, что SMTP-авторизация происходит до попыток отправить письмо — это само собой.

Когда я говорил «требует, потребует» и т.п., то имелось в виду, что не примет, если не было авторизации. «Потребовать» было сказано потому, что принимающий почтовик так и может сказать в своем отказе Authentication required.   Хотя может и сказать просто Relaying denied. Но суть все равно та же — он хочет авторизации.




> И никого авторизоваться не просит, авторизация происходит до передачи письма. Поэтому письмо просто отфутболивается


Да, всё верно.




> Тогда Вы легко выясните, что адрес отправителя from с *@yandex.ru никакого отношения к реальному отправителю не имеет. Думаю, что и Яндекс тоже.


Это еще почему?!
письмо реально приходит с Яндекса, и реально от отправителя на Яндексе. Вы что думаете, спамеры Яндекс не используют для своих рассылок?! И Яндекс, и Mail.ru, и остальные. Держателям этих служб следовало бы озаботиться ужесточением тарпита. Если он у них вообще действует. 

О чем я и говорил с самого начала. А то халява для спамеров. Хотя через соксы, конечно, можно разослать больше и быстрее, но зато почтовики почтовых служб — не в черных списках на Спамхаус, и с MX/PTR у них всё в порядке. Скоро дойдет до того, что мне придется занести их в свои черные списки. А может быть, если так пойдет такими же темпами, то и Спамхаус пересмотрит свои политики.




> Мне неизвестен троян, который ходит по почте. По почте ходят почтовые вирусы - Нетскаи, Лимары и прочие Варезовы. Опять же - вопрос терминологии


Вот именно!
Не понял — Warezov не используется что ли спамерами в качестве спам-трояна? используется, разумеется. Так о чем спор? вот этих троянов антивирус на почтовике-отправителе и будет ловить.

Насчет других примеров — не понял, о чем речь. Спамеры могут любые файлы послать через бот по эл.почте, в том числе любых своих троянов. Что значит «который ходит»? любые, таким образом, могут ходить.




> Сообщение от kuznetz
> 
>  Ну так я о чем и говорю.
> Что при закрытом порте 25 трояны будут рассылать спам и себя через почтовик, и антивирус на этом почтовике-отправителе будет ловить этих троянов, и таким образом админу этого почтовика легко засечь, кто из его юзеров залетел на трояна.
> 
> 
> При закрытом 25 порте почта работать перестанет! Как два почтовых _сервера_ будут обмениваться письмами? Или они будут авторизовываться? У кого?


Что-то Вы уж совсем, прошу прощения. Таких непоняток мне еще ни разу видеть не приходилось. Всегда ведь одинаково объясняю.

Так вот: почему перестанет? ничего такого.
Для почтовых серверов порт 25 у провайдера на исходящие не будет закрыт. Закрыт будет только для обычных пользователей. См. первоначальный пост. Там это сразу было сказано. Что минимум – закрыть для NATов, среднее — для динамических, и т.д. Понятно, что если вообще закрыть порт 25 всем и везде, то почты не будет.

Никакой авторизации, и вообще никаких изменений в обмене между почтовыми серверами — из-за закрытия порта 25 не будет.




> Хм... Я так считаю - Вам недостаточно?


Нет, не достаточно. Не сомневаюсь, что никому здесь не достаточно. На то и форум, а не президиум ЦК.

Почему-то я себе не позволяю подобного «высказывания мнений».
Если кто-либо высказывает мнение, он должен его агрументировать. Если не может аргументировать, то берет свои слова обратно. Что не так, непонятно.




> Да. Целый комплекс мер - и законодательные (в масштабах всех государств), и социальные, и просветительские, если угодно.  Нужно изменить мнение многих людей, заставить посмотреть на проблему спама другими глазами.


Слава богу, есть взаимопонимание.

Я полностью за это.




> Думаю, это нереально. Поэтому только технические меры ничего не дадут. Посему и вывод - ничего не изменится. Такой ответ устроит?


Если ничего не делать, а только и говорить «нереально»,
и при этом косить от принятия любых мер, на основании того что «нереально»,
то точно будет нереально, Вы правы 100%

Поэтому такой Ваш ответ устроит. Спамеров.

О чем и говорю всю дорогу. Все наезды на черные списки — на руку спамерам. Наезды против закрытия порта 25 — тоже. А им только того и надо, чтобы админы друг с другом спорили, а они бы спамили себе спокойно

----------


## Geser

Прошу прощения, не прочитал всё. Просто хочу сказать что сегодня есть трояны отлично отправляющие спам через веб интерфейс, с реквизитами пользователя на компе которого они поселились. Так что никакие ухищерения не избавят от спама полностью.

----------


## borka

> Вы меняете правила по ходу игры.  В оригинале ничего не было сказано, про то, кто работает по Вашей схеме #2 - почтовик, клиент или троян:
> 
> 
> 
> 
> 
>  Сообщение от kuznetz
> 
> 
> ...


А давайте Вы не будете придумывать, что я решил?  :Wink:  Расскажите, почему троянский почтовый сервер не попытается "толкать письмо" на Яндекс, и как Яндекс попросит его авторизоваться?




> Да, Яндекс не примет это письмо. Я так и говорил.
> Не примет, если отправитель не авторизуется. Если авторизуется, то примет.


Он просто его не примет.




> Это еще почему?!
> письмо реально приходит с Яндекса, и реально от отправителя на Яндексе. Вы что думаете, спамеры Яндекс не используют для своих рассылок?! И Яндекс, и Mail.ru, и остальные. Держателям этих служб следовало бы озаботиться ужесточением тарпита. Если он у них вообще действует.


Значит, в Вашем случае совпало.  :Wink:  Насчет используют ли Яндекс спамеры - не знаю, нет такой информации. Думается, что проще поставить левый smtp-сервер и не зависеть ни от Яндекса, ни от кого бы то ни было еще. Либо воспользоваться опен релеем, которых в достатке.




> Не понял - Warezov не используется что ли спамерами в качестве спам-трояна? используется, разумеется.


Господи, да объясните наконец, что такое спам-троян!? Варезов и прочие Лимары - это почтовые вирусы! НЕ ТРОЯНЫ!




> Насчет других примеров - не понял, о чем речь. Спамеры могут любые файлы послать через бот по эл.почте, в том числе любых своих троянов. Что значит <который ходит>? любые, таким образом, могут ходить.


"Которй ходит" - это тот, который вылавливается антивирусом на почтовом сервере. In Wild. Могут ходить любые, поэтому прошу последний раз - *пожалуйста, приведите пример трояна, который ходит, то есть рассылает сам себя по электронной почте.* Не спам, а сам себя. Иначе просто неинтересно теоретизировать, и вопрос будет закрыт.




> Так вот: почему перестанет? ничего такого.
> Для почтовых серверов порт 25 у провайдера на исходящие не будет закрыт. Закрыт будет только для обычных пользователей. См. первоначальный пост. Там это сразу было сказано. Что минимум - закрыть для NATов, среднее - для динамических, и т.д. Понятно, что если вообще закрыть порт 25 всем и везде, то почты не будет.
> Никакой авторизации, и вообще никаких изменений в обмене между почтовыми серверами - из-за закрытия порта 25 не будет.


О как интересно. Значит, провайдер должен будет озаботиться базой пользователей, у которых есть свои почтовики, поддерживать эту базу актуальной, провести целый ряд технических работ? А также реагировать на сообщения об этих серверах, например, о вирусной или спамерской активности? И все это даром?  :Wink:  А оно провайдеру надо? Единственное (наверное) заинтересованное лицо в том, чтобы не убывал траффик, который его кормит, - это провайдер.  :Smiley:  Ничего не хочу сказать насчет всех провайдеров, но, глядя на топ-10 у разных вендоров, выводы напрашиваются сами.




> Хм... Я так считаю - Вам недостаточно?  
> 
> 
> 
> 
> 
>  Сообщение от kuznetz
> 
> 
> ...


Определимся так: что Вы [не] позволяете себе - это целиком Ваше право. Если я высказываю свое мнение, то я его аргументировать не обязан ни разу. Форум - это обмен мнениями. Я так считаю. Все. Если Вам интересно, можете спросить, но я не обязан ответить. 




> Если ничего не делать, а только и говорить <нереально>,
> и при этом косить от принятия любых мер, на основании того что <нереально>,
> то точно будет нереально, Вы правы 100%
> Поэтому такой Ваш ответ устроит. Спамеров.
> О чем и говорю всю дорогу. Все наезды на черные списки - на руку спамерам. Наезды против закрытия порта 25 - тоже. А им только того и надо, чтобы админы друг с другом спорили, а они бы спамили себе спокойно


Гм... Воистину страшнее спама только борцы с ним.  :Stick Out Tongue:  Делайте! Кто ж Вам не дает? Начните, например, с законодательного закрытия опен релеев, скажем, в Сингапуре. Или проведите рейд по спамерам в Нигерии. Или предложите мне, что _я_ могу в этой ситуации сделать?

----------


## kuznetz

> Прошу прощения, не прочитал всё


Вы ничего от этого не потеряли. Разговор шел в духе велогонок на треке — крутимся вокруг одного и того же места, наступая друг другу на хвост




> сегодня есть трояны отлично отправляющие спам через веб интерфейс, с реквизитами пользователя на компе которого они поселились.


Есть, разумеется.
Ну и что?
Отправка спама в обход порта 25 через веб — это эквивалентно отправке на порт MSA со стыренными реквизитами доступа к почте. Вы об этом уже говорили: что при закрытии порта 25 следует ожидать изменения троянов — они будут отправлять почту на порт MSA, используя реквизиты доступа пользователя. Ответ на это я сразу же и дал. См. там




> Так что никакие ухищерения не избавят от спама полностью.


Вот америку открыли.
Полностью вообще никакие проблемы не решаются. Это само собой разумеется.
Надо делать, что можно сделать. А не ничего не делать. Вы как бы предлагаете ничего не делать. Почему – не понятно. Прошу разъяснить




> Сообщение от kuznetz
> 
>  Что тут еще надо говорить? понятно, что почтовый сервер не будет толкать письмо на yandex.ru, если оно адресовано не на yandex.ru. Вы же почему-то решили, что почтовые сервера именно этим и занимаются.
> 
> 
> А давайте Вы не будете придумывать, что я решил?


Давайте.
Я не придумываю. Люди добрые, посудите:
если borka спрашивает «как почтовики будут ТАМ авторизоваться», то можно считать что borka «решил, что почтовики будут отправлять ТУДА почту»?

других вариантов — ведь просто нет. Разумеется, Вы решили. Почему — остается загадкой.




> Расскажите, почему троянский почтовый сервер не попытается "толкать письмо" на Яндекс, и как Яндекс попросит его авторизоваться?


Будет троянский почтовый сервер пытаться толкать на Яндекс письмо, адресованное не на Яндекс, или не будет, — КАКАЯ РАЗНИЦА?!

Вы задаете прямо странные вопросы.

Я, разумеется, считаю, что не будет. Спамеры, может быть, и нехорошие люди, но они не дебилы. Открытые релеи не ищут методом научного тыка. Их ищут специальной машинкой, и лишь потом используют троянами.

С другой стороны, давайте предположим на секунду, что троянский почтовик будет толкать на Яндекс письмо, адресованное не на Яндекс. НУ И ЧТО?
письмо не будет принято, и всё. В чем Ваш вопрос, и какое отношение он имеет к обсуждаемой задаче, совершенно не понятно.




> Сообщение от kuznetz
> 
>  Да, Яндекс не примет это письмо. Я так и говорил.
> Не примет, если отправитель не авторизуется. Если авторизуется, то примет.
> 
> 
> Он просто его не примет.


Это зависит от политики на Яндексе.
Если пользователь авторизовался, то ему может быть разрешено:
а) минимум — отправлять письмо от своего имени, то есть с адресом отправителя [email protected]
б) максимум — отправлять письмо от любого имени, то есть с любым адресом отправителя.

Разумеется, Яндексу более приличествует политика а).
Корпоративные же почтовики, и почтовики провайдеров, зачастую придерживаются политики б)




> Сообщение от kuznetz
> 
>  Это еще почему?!
> письмо реально приходит с Яндекса
> 
> 
> Значит, в Вашем случае совпало.


Как это могло “совпасть”? Яндекс подхватил спам-трояна, Вы хотите сказать?! или что? опять торопитесь

Это не случайность, а к сожалению уже тактика спамеров.
Какие преимущества она имеет, я разъяснил в предыдущем посте.




> Думается, что проще поставить левый smtp-сервер и не зависеть ни от Яндекса, ни от кого бы то ни было еще. Либо воспользоваться опен релеем, которых в достатке.


Опять же — см. предыдущий пост. Там о выгодах было сказано.
Кроме того, не понятно, почему Вы говорите «зависеть». Спамеры в этом случае ни от чего не «зависят». Когда аккаунт, с которого они отправляют, закроют за спам, они зарегят новый. Если Яндекс в данный момент не работает, можно использовать Mail.ru. И т.п. Какая уж тут зависимость.




> Сообщение от kuznetz
> 
>  Не понял - Warezov не используется что ли спамерами в качестве спам-трояна? используется, разумеется.
> 
> 
> Господи, да объясните наконец, что такое спам-троян!?


Это программа, работающая на компьютере пользователя без его ведома, и осуществляющая рассылку спама. Что, разве бывали другие определения?




> Варезов и прочие Лимары - это почтовые вирусы! НЕ ТРОЯНЫ!


Да. Я понимаю, что проникновением на компьютер пользователя обычно занимается один компонент трояна (пусть он будет называться вирус), а работой по рассылке спама занимается другой компонент, скачиваемый например вирусом потом через инет.

Но какая это разница, с точки зрения нашей задачи?
Речь шла о чем? о том, что зараженные компы будут рассылать троянов (ну пусть «вирусов»), и по этим рассылкам админ сможет вычислить, кто из пользователей залетел. Оттого, что непосредственно антивирусу попадает не та программа, которая рассылает спам, а загрузчик (червь) — это конечного результата никак не меняет, согласитесь.




> приведите пример трояна, который ходит, то есть рассылает сам себя по электронной почте. Не спам, а сам себя


Хорошо, Вы правы, таких нет.
Разделение труда.
Но это дела не меняет, см. выше.




> О как интересно. Значит, провайдер должен будет озаботиться базой пользователей, у которых есть свои почтовики, поддерживать эту базу актуальной, провести целый ряд технических работ?


Ну какой базы, каких работ?!

Вы представляете себе, как такие вещи делаются, физически? вряд ли не представляете. Так зачем эти пугалки?

Так вот: если шлюз софтовый, Линукс какой-нибудь, то пишут в IPTables. То есть сначала пишут кому разрешить, потом пишут всем запрет. Собственно, если шлюз хардовый, то делается то же самое, только называться может не IPTables, а иначе.

Что касается “базы пользователей”, то непонятно — разве провайдер и так не вынужден вести базу пользователей? Тем более таких серьезных клиентов, у которых есть свои почтовики. Это обычно корпоративные клиенты, на корпоративных тарифах. По сравнению со всей остальной информацией о клиентах, которую провайдер вынужден держать в базе — наименование, адреса, телефоны, ФИО контактов, текущие тарифы, логины доступа, диапазоны выделенных IP, состояние взаиморасчетов, — чего революционного добавит список почтовых серверов? Не изобретайте велосипед наоборот, пожалуйста.




> А также реагировать на сообщения об этих серверах, например, о вирусной или спамерской активности?


Не понял — какое отношение это имеет к закрытию порта 25?

провайдер и так реагирует (или не реагирует) на жалобы на клиентов. При чем тут закрытие порта 25?




> И все это даром?  А оно провайдеру надо? Единственное (наверное) заинтересованное лицо в том, чтобы не убывал траффик, который его кормит, - это провайдер.  Ничего не хочу сказать насчет всех провайдеров, но, глядя на топ-10 у разных вендоров, выводы напрашиваются сами.


Вы совершенно правы. Кто бы спорил.

Я именно в этой теме с самого начала говорю, что спамеры — выгодны провайдерам. И что именно поэтому провайдеры косят от антиспамерских мер — не закрывают порт 25, не вводят тарпит, проплачивают заказные статьи против черных списков.

Поэтому неясно, что Вы этим хотели сказать.
Понятно, что провайдеры не очень хотят принимать меры, мягко говоря. Речь у нас идет о том, правильны ли предлагаемые антиспамерские меры или нет. То есть о том, чтобы обязать провайдеров на эти меры морально (если получится, то и законодательно, конечно).




> Определимся так: что Вы [не] позволяете себе - это целиком Ваше право. Если я высказываю свое мнение, то я его аргументировать не обязан ни разу. Форум - это обмен мнениями. Я так считаю. Все. Если Вам интересно, можете спросить, но я не обязан ответить.


Ну да. Не спорю. С чего бы спорить.
Только на самом деле на форумах существует вполне определенное определение для этого неаргументированного «обмена мнениями» — флуд.




> Делайте! Кто ж Вам не дает?


Вы не даете. Вы и прочие квалифицированные антиспамеры, создающие общественное мнение против этих мер.




> Или предложите мне, что _я_ могу в этой ситуации сделать?


Не высказывать неаргументированных «мнений». Вы де-факто облегчаете спамерам жизнь. Странная позиция

----------


## DVi

нy вoт, бopиc, и вac пocчитaли...

----------


## borka

> Вы ничего от этого не потеряли. Разговор шел в духе велогонок на треке — крутимся вокруг одного и того же места, наступая друг другу на хвост


Пожалуйста, оставьте в покое мой хвост!  :Wink: 




> Полностью вообще никакие проблемы не решаются. Это само собой разумеется.
> Надо делать, что можно сделать. А не ничего не делать. Вы как бы предлагаете ничего не делать. Почему – не понятно. Прошу разъяснить


Надо! Только вопрос - что? Рассуждения на уровне тарпитов и прочих умных слов, типа "закрыть 25 порт", никак на существующем положении дел не скажется.




> А давайте Вы не будете придумывать, что я решил?  Расскажите, почему троянский почтовый сервер не попытается "толкать письмо" на Яндекс, и как Яндекс попросит его авторизоваться?
> 
> 
> 
> 
> 
>  Сообщение от kuznetz
> 
> 
> ...


Во-первых, не *будут*, а *могут*. Во-вторых, Вы считаете, что кроме клиентов Яндекса, никто не может "толкать письма" на его 25 порт. И все время говорите про авторизацию. В-третьих, так и не ответили, как Яндекс будет их авторизовывать. 




> Будет троянский почтовый сервер пытаться толкать на Яндекс письмо, адресованное не на Яндекс, или не будет, — КАКАЯ РАЗНИЦА?!
> Вы задаете прямо странные вопросы.
> Я, разумеется, считаю, что не будет. Спамеры, может быть, и нехорошие люди, но они не дебилы. Открытые релеи не ищут методом научного тыка. Их ищут специальной машинкой, и лишь потом используют троянами.


Опять же вопрос теоретический. То Вы утверждали, что почтовые серверы работают только по схеме #1, потом оказалось, что и по другим схемам тоже. То Вы утверждаете, что Ядекс потребует авторизации у того, кто "толкает письмо" на него. Теперь это оказывается неважно. Вы определитесь, что ли...




> Значит, в Вашем случае совпало.  
> 
> 
> 
> 
> 
>  Сообщение от kuznetz
> 
> 
> Как это могло “совпасть”? Яндекс подхватил спам-трояна, Вы хотите сказать?! или что? опять торопитесь


Чем дальше, тем меньше я начинаю понимать, о чем идет речь... Что значит "Яндекс подхватил спам-трояна"? Вы же, надеюсь, не думаете, что если письмо имеет from *@yanex.ru, то оно действительно пришло с Яндекса!?  :Stick Out Tongue:  




> Кроме того, не понятно, почему Вы говорите «зависеть». Спамеры в этом случае ни от чего не «зависят». Когда аккаунт, с которого они отправляют, закроют за спам, они зарегят новый. Если Яндекс в данный момент не работает, можно использовать Mail.ru. И т.п. Какая уж тут зависимость.


Зависимость прямая. Или Вы не понимаете, что значит зависеть? Сами же сказали - "если закроют аккаунт", то... Или "если Яндекс в данный момент не работает", то... Это и есть зависимость.  :Smiley:  Нет, уж проще опен релей поднять.




> Да. Я понимаю, что проникновением на компьютер пользователя обычно занимается один компонент трояна (пусть он будет называться вирус), а работой по рассылке спама занимается другой компонент, скачиваемый например вирусом потом через инет.


М-да... У меня комментарии закончились. 




> Но какая это разница, с точки зрения нашей задачи?
> Речь шла о чем? о том, что зараженные компы будут рассылать троянов (ну пусть «вирусов»), и по этим рассылкам админ сможет вычислить, кто из пользователей залетел. Оттого, что непосредственно антивирусу попадает не та программа, которая рассылает спам, а загрузчик (червь) — это конечного результата никак не меняет, согласитесь.


Что интересно, так оно и есть. Вирусы отлавливаются, пользователи наказываются. Но какое отношение это имеет к спаму - просто не представляю. И какой в этом случае должен быть конечный результат - тоже.  :Smiley: 




> Ну какой базы, каких работ?!
> Вы представляете себе, как такие вещи делаются, физически? вряд ли не представляете. Так зачем эти пугалки?


Именно что не представляю. Я не провайдер и не админ в одном лице. Но по работе общаться приходилось.




> Так вот: если шлюз софтовый, Линукс какой-нибудь, то пишут в IPTables. То есть сначала пишут кому разрешить, потом пишут всем запрет. Собственно, если шлюз хардовый, то делается то же самое, только называться может не IPTables, а иначе.


Вобще говоря, файерволлы настраивают в обратной последовательности - сначала всем запрет, а потом - "этому дала, этому дала, а этому нет". (с)




> Что касается “базы пользователей”, то непонятно — разве провайдер и так не вынужден вести базу пользователей? Тем более таких серьезных клиентов, у которых есть свои почтовики. Это обычно корпоративные клиенты, на корпоративных тарифах. По сравнению со всей остальной информацией о клиентах, которую провайдер вынужден держать в базе — наименование, адреса, телефоны, ФИО контактов, текущие тарифы, логины доступа, диапазоны выделенных IP, состояние взаиморасчетов, — чего революционного добавит список почтовых серверов? Не изобретайте велосипед наоборот, пожалуйста.


Пример. Маленькая контора поднимает свой веб-сервер, свой почтовик и пр. По Вашей схеме как минимум они должны поставить провайдера в известность, что у них появился почтовый сервер. Провайдер должен выполнить соответствующие манипуляции со своим файерволлом, внести его в базу и прочее. Зачем провайдеру этот геморрой?




> Не понял — какое отношение это имеет к закрытию порта 25?
> провайдер и так реагирует (или не реагирует) на жалобы на клиентов. При чем тут закрытие порта 25?


Вот и я не понимаю, при чем здесь закрытие 25 порта, которое Вы к месту и не к месту употребляете?




> И все это даром?  А оно провайдеру надо? Единственное (наверное) заинтересованное лицо в том, чтобы не убывал траффик, который его кормит, - это провайдер.  Ничего не хочу сказать насчет всех провайдеров, но, глядя на топ-10 у разных вендоров, выводы напрашиваются сами.
> 
> 
> 
> 
> 
>  Сообщение от kuznetz
> 
> 
> ...


Очень хочется посмотреть, как Вы будете "обязать провайдеров на эти меры морально".




> Только на самом деле на форумах существует вполне определенное определение для этого неаргументированного «обмена мнениями» — флуд.


Если Вас не устраивает мое мнение - тогда продолжим флудить.  :Wink: 




> Делайте! Кто ж Вам не дает? 
> 
> 
> 
> 
> 
>  Сообщение от kuznetz
> 
> 
> Вы не даете. Вы и прочие квалифицированные антиспамеры, создающие общественное мнение против этих мер.


О как... Я, стало быть... Простите, а Вы ужЕ законодательного закрыли опен релеи в Сингапуре? А перекрыли поток "нигерийских писем"?




> Или предложите мне, что _я_ могу в этой ситуации сделать?
> 
> 
> 
> 
> 
>  Сообщение от kuznetz
> 
> 
> Не высказывать неаргументированных «мнений». Вы де-факто облегчаете спамерам жизнь. Странная позиция


Ага, спамеры припали к экранам мониторов и смотрят, чем у них там - на ВирусИнфо - закончится. Кто - кого. 




> нy вoт, бopиc, и вac пocчитaли...


И не говорите... То на хвост наступают, то считают...  :Stick Out Tongue:

----------


## kuznetz

> Сообщение от kuznetz
> 
>  если borka спрашивает «как почтовики будут ТАМ авторизоваться», то можно считать что borka «решил, что почтовики будут отправлять ТУДА почту»?
> 
> 
> Во-первых, не будут, а могут.


Хорошо, могут. Какая разница?

То есть почему Вы решили, что почтовики могут хотеть там авторизоваться?
(там – на Яндексе, в случае когда почтовики доставляют письмо, адресованное НЕ на Яндекс). Ответьте, пожалуйста




> Во-вторых, Вы считаете, что кроме клиентов Яндекса, никто не может "толкать письма" на его 25 порт


Это откуда такая цитата?!
Ничего подобного я, разумеется, не говорил и сказать не мог.

На 25й порт Яндекса, кроме клиентов Яндекса, толкают письма все на свете почтовые сервера, которые имеют к доставке в своей очереди письма, адресованные на Яндекс. На всякий случай во второй раз напоминаю, что это схема 1. См. первоначальный пост со схемами.

А не схема 2. А вопрос с авторизацией Вы подняли по поводу схемы 2. Почему подняли — по-прежнему остается загадкой. См. выше




> И все время говорите про авторизацию. В-третьих, так и не ответили, как Яндекс будет их авторизовывать.


(их — имеется в виду почтовые сервера? то есть не клиентов Яндекса)
Ответил 2 раза. Первый раз ответил «Никак»
второй раз ответил «НИКАК!»

в третий раз как я должен это сказать, чтобы Вы поняли?




> Сообщение от kuznetz
> 
>  Будет троянский почтовый сервер пытаться толкать на Яндекс письмо, адресованное не на Яндекс, или не будет, — КАКАЯ РАЗНИЦА?!
> 
> 
> Опять же вопрос теоретический. То Вы утверждали, что почтовые серверы работают только по схеме #1, потом оказалось, что и по другим схемам тоже.


Это откуда такая цитата?
ничего подобного, опять же, я не говорил, и сказать не мог.
Почтовые сервера работают только по схеме 1. То есть толкают на Яндекс письмо только в том случае, если письмо адресовано на Яндекс.




> То Вы утверждаете, что Ядекс потребует авторизации у того, кто "толкает письмо" на него. Теперь это оказывается неважно. Вы определитесь, что ли...


Вы врубитесь, что ли...
Прошу прощения, но как же еще сказать. Анекдот уже, натуральный.

Яндекс потребует… Нет, «потребует» вызывает возражения, значит, не будем.
Яндекс не примет без предварительной авторизации почту по схеме 2 (то есть если письмо адресовано не на Яндекс). Яндекс не примет без предварительной авторизации почту по схеме 3 (то есть если письмо имеет адрес отправителя [email protected]). Яндекс примет без предварительной авторизации почту по схеме 1 (то есть если письмо адресовано на Яндекс), за исключением случая, когда это подпадает под схему 3 (адрес отправителя [email protected])

Всё это было сказано в самом первоначальном посте, где были перечислены схемы.




> Сообщение от kuznetz
> 
>  Как это могло “совпасть”? Яндекс подхватил спам-трояна, Вы хотите сказать?! или что?
> 
> 
> Чем дальше, тем меньше я начинаю понимать, о чем идет речь...


Сожалею.

Разъясняю:
Я сказал, что письмо с IP 89.184.6.34 ко мне пришло через Яндекс.
Вы сказали, что если в письме стоит FROM с Яндекса, то это еще не значит, что пришло через Яндекс, и посоветовали посмотреть заголовки, чтобы определить реальный путь прохождения письма.
Я сказал, что я и так смотрю по заголовкам, и что по заголовкам действительно пришло через Яндекс.

Вот на это Вы сказали, что «случайно совпало».
???
вот и вопрос — что совпало-то?! Яндекс «случайно» отрелеил левое письмо? Как Вы это себе представляете, иначе чем через спам-трояна, поселившегося на нём?

А, осенило.
Вы думаете, что письмо, о котором речь, пришло ко мне в ящик, который у меня на Яндексе?
Нет.
Оно пришло ко мне в ящик совсем на другом почтовике, а именно на моем на работе.
Поэтому ничего не «совпало». Это рассылка спамеров через Яндекс, путем использования зарегенного ими на Яндексе аккаунта.




> Зависимость прямая. Или Вы не понимаете, что значит зависеть? Сами же сказали - "если закроют аккаунт", то... Или "если Яндекс в данный момент не работает", то... Это и есть зависимость.  Нет, уж проще опен релей поднять.


Спор о словах.
Решается практикой: если бы было проще, то так бы и делали.
Раз шлют через Яндекс (вообще-то намного чаще — через Mail.ru), значит им — не проще.

Кроме того, ведь шлют именно через опен-релей. То есть не прямо со своего компьютера через Mail.ru (там же не полные идиоты сидят, а умные люди). То есть так же через соксы работают, но под конец цепочки задействуют Mail.ru, несмотря на “зависимость”. Значит, это действительно имеет смысл.




> Сообщение от kuznetz
> 
>  Да. Я понимаю, что проникновением на компьютер пользователя обычно занимается один компонент трояна (пусть он будет называться вирус), а работой по рассылке спама занимается другой компонент, скачиваемый например вирусом потом через инет.
> 
> 
> М-да... У меня комментарии закончились.


Вы прямо вылитый Леонид Ильич. По части высказывания глубокомысленных мнений.
Будьте добры разъяснить, что Вы хотели сказать, этим отсутствующим комментарием.




> Сообщение от kuznetz
> 
>  Оттого, что непосредственно антивирусу попадает не та программа, которая рассылает спам, а загрузчик (червь) — это конечного результата никак не меняет, согласитесь.
> 
> 
> Что интересно, так оно и есть. Вирусы отлавливаются, пользователи наказываются. Но какое отношение это имеет к спаму - просто не представляю.


То, что спам рассылают всегда именно те же компьютеры, которые рассылают вирусов. Вы этого не знали?

Если не понятно (хотя куда уж очевиднее), откуда берется это соответствие, то вот:
Спам-троян на компьютер пользователя попадает после того, как компьютер заразится вирусом. Вирус скачивает трояна и запускает его. Вирус между тем не перестает работать — он продолжает размножаться, рассылая себя по эл.почте (и по локальной сети тоже, если умеет). Кроме того, в последнее время офигенная скорость нарастания эпидемий вирусов, предполагаю, вызвана тем, что спамеры уже не занимаются мазохическими «впрысками» первой порции вируса через одно-единственное место, с целью избежать преследований. Впрыск в наше время делается с размахом — сразу через ботнет. Когда текущий ботнет у спамера иссякает (пользователи выводят вирусняка), то спамер, по мере необходимости, делает очередные рассылки вируса через имеющийся ботнет, чтобы набрать новых ботов.

Это я к тому, что вирусняк в наше время валит не только с компьютеров, зараженных этим самым вирусняком. Он валит с компьютеров, зараженных ранее любых другим вирусняком, — короче, с тех компьютеров, где у спамера есть сокс. Через сокс спамер рассылает и спам, и вирусов.

Поэтому антивирус на почтовике-отправителе выявляет именно те самые компьютеры, которые занимаются рассылкой спама.




> Именно что не представляю. Я не провайдер и не админ в одном лице. Но по работе общаться приходилось.


Если не представляете, то почему беретесь судить об этом?
Вы уже попробовали «думать, что пользователи не умеют устанавливать соединение по SMTP с сервером». Может, следует всё же более тщательно подходить к обсуждаемым вопросам?




> Сообщение от kuznetz
> 
>  пишут в IPTables. То есть сначала пишут кому разрешить, потом пишут всем запрет
> 
> 
> Вобще говоря, файерволлы настраивают в обратной последовательности - сначала всем запрет, а потом - "этому дала, этому дала, а этому нет".


Опять спор о словах.

Где настраивают запрет в начале, там настраивают в начале.
Где в конце — там в конце.

Очевидно, зависит от программы.
В IPTables настраивают именно так, как я сказал. В WinRoute тоже так.
В WinGate идеология вообще другая, — там пожалуй можно сказать, что сначала запрет.

И т.д. Спор о словах




> Пример. Маленькая контора поднимает свой веб-сервер, свой почтовик и пр. По Вашей схеме как минимум они должны поставить провайдера в известность, что у них появился почтовый сервер. Провайдер должен выполнить соответствующие манипуляции со своим файерволлом, внести его в базу и прочее.


Совершенно верно.
Сначала контора еще должна озаботиться получением у провайдера статического IP и записей DNS для почтовика — прямого, обратного и MX. Может еще и SPF.

Не вижу, какие проблемы конторе поставить провайдера в известность, а провайдеру занести в базу и в разрешения на шлюзе. Это совершенно обычная работа, то же самое что выдать дополнительный логин, или IP, или увеличить дисковое пространство на хостинге. Не изобретайте велосипед, прошу Вас.




> Зачем провайдеру этот геморрой?


Ваш вопрос равноценен вопросу вообще «зачем провайдеру геморрой с закрытием порта 25». Ответ на это уже был: провайдеру это невыгодно, но необходимо для борьбы со спамом. О том и речь, чтобы обязать провайдера, морально и/или законодательно.




> Сообщение от kuznetz
> 
>  Не понял — какое отношение это имеет к закрытию порта 25?
> провайдер и так реагирует (или не реагирует) на жалобы на клиентов. При чем тут закрытие порта 25?
> 
> 
> Вот и я не понимаю, при чем здесь закрытие 25 порта, которое Вы к месту и не к месту употребляете?


Сожалею.

Разъясняю:
Вы сказали, что если закрыть порт 25 и открыть его только для почтовиков, то надо вести учет почтовиков, и реагировать на жалобы на эти почтовики.

Я и спрашиваю: каким образом эти «жалобы на почтовики» связаны с собственно закрытием порта 25? Вы только что сказали, что никаким. Зачем же Вы про реагирование говорили?




> Очень хочется посмотреть, как Вы будете "обязать провайдеров на эти меры морально".


Каким, каким...
Каким образом вообще в обществе со временем внедряются одни моральные нормы, а другие исчезают? Вот точно таким же.

В советское время было неприлично не уступить старшим место в общественном транспорте. С началом перестройки на это постепенно забили практически все. Сейчас, слава богу, начинаем наблюдать, что по крайней мере школьники начинают уступать место старшим. Как-то ведь внедряют?

Так и с борьбой со спамом.
Создается общественное мнение. Чем оно более распространено, тем с ним больше начинают считаться. Постепенно становится неприлично хостить спамеров (хотя где как, конечно). Если общественное мнение достаточно сильно, к нему начинает прислушиваться и законодатель. И т.д. Всё как обычно.




> Если Вас не устраивает мое мнение - тогда продолжим флудить.


Меня не устраивает Ваше мнение, но в данном случае речь о том, что меня не устраивает, что Вы флудите. Никто не запрещает (и не может запретить) Вам ни высказывать свое мнение, ни флудить. Вот какова ситуация.




> Ага, спамеры припали к экранам мониторов и смотрят, чем у них там - на ВирусИнфо - закончится. Кто - кого.


Разумеется, нет.
Это деловые люди, они ни на чтение моралей, ни на флуд на форумах время не тратят.
Они просто спамят спокойно, пока мы с вами ломаем копья. И пока будем так вот ломать, они так и будут спамить.




> О как... Я, стало быть... Простите, а Вы ужЕ законодательного закрыли опен релеи в Сингапуре? А перекрыли поток "нигерийских писем"?


А почему, позвольте Вас спросить, борьба со спамом должна начинаться в Нигерии?
Вы разберитесь со своим спамом, а нигерийцам (или ICAAN, или APNIC, или уж кто сподобится) предоставьте разбираться с ихним спамом.

Из России и Украины валит не меньше спама, чем с других мест. У себя в глазу бревнА почему-то не хотим видеть. На украинском хостинге Cyborg, например, хостится Куваев (или Поляков, точно не помню. Да может уже оба хостятся). И в России наверняка тоже есть у них площадки.

А главное — везде есть ботнеты, в сети любого и каждого провайдера. Речь о том, чтобы перекрыть ботнетам кислород. Тем которые у себя в сети. А не в Нигерии. Не надо перекладывать свою ответственность на заграничного дядю.

----------


## borka

> Во-вторых, Вы считаете, что кроме клиентов Яндекса, никто не может "толкать письма" на его 25 порт. И все время говорите про авторизацию.
> 
> 
> 
> 
> 
>  Сообщение от kuznetz
> 
> 
> ...


Я сделал такой вывод, судя по тому, что нужно авторизоваться. Почтовик этого не может сделать. Стало быть, это клиент. Имеем: троян рассылает почту. Пытается отправить письмо куда-то, используя Яндекс как опен релей (Ваша схема #2). Я считаю, что ни о какой авторизации речи быть не может, Яндекс в этом случае просто отреджектит письмо вне зависимости от того, откуда оно пришло и какие имеет реквизиты. Хотя бы потому, что авторизация происходит до попытки "толкнуть письмо".




> То есть почему Вы решили, что почтовики могут хотеть там авторизоваться?
> (там - на Яндексе, в случае когда почтовики доставляют письмо, адресованное НЕ на Яндекс). Ответьте, пожалуйста


Раз Вы упоминаете к месту и не к месту "авторизация", то логично предположить, что захотят.

Резюмируем весь предшествующий флуд.  :Smiley:  Мой коллега провел ряд экспериментов и установил, что происходит. Спасибо ему за потраченное время.  :Smiley: 
* почтовик отправляет письмо на Яндекс - письмо приходит.
* но если отправка идет не с сервера, а с клиента, то письмо реджектится по причине "Mail from dynamic/unassigned IP is not accepted". Это для блокировки спама, приходящего клиентам Яндекса с с динамически полученных айпишников.
* неавторизовавшийся клиент Яндекса пытается отправить письмо - оно реджектится по причине "Policy rejection on the target address: не-домен-Яндекса". Стало быть Яндекс точно не опен релей.  :Smiley: 
* авторизовавшийся клиент Яндекса пытается отправить письмо куда-либо - оно доходит. 
* авторизовавшийся клиент Яндекса пытается отправить письмо, используя данные авторизации другого клиента, - письмо реджектится по причине "authentication login and e-mail belongs to different users".
То есть:
отправитель         получатель   авторизация действие

*@yandex.ru        *@yandex.ru     Yes          Deliver/Reject
*@yandex.ru        *@yandex.ru     No           Rejected

*@yandex.ru        *@noyandex      Yes          Deliver
*@yandex.ru        *@noyandex      No           Rejected

*@noyandex         *@yandex.ru     Yes          Rejected
*@noyandex         *@yandex.ru     No           Deliver
*@noyandex         *@noyandex     Yes/No      Rejected




> Разъясняю:
> Я сказал, что письмо с IP 89.184.6.34 ко мне пришло через Яндекс.
> Вы сказали, что если в письме стоит FROM с Яндекса, то это еще не значит, что пришло через Яндекс, и посоветовали посмотреть заголовки, чтобы определить реальный путь прохождения письма.
> Я сказал, что я и так смотрю по заголовкам, и что по заголовкам действительно пришло через Яндекс.
> Вот на это Вы сказали, что <случайно совпало>.
> ???
> вот и вопрос - что совпало-то?! Яндекс <случайно> отрелеил левое письмо? Как Вы это себе представляете, иначе чем через спам-трояна, поселившегося на нём?


Никак не представляю. Что значит "троян, поселившийся на Яндексе"? Где конкретно? Письмо пришло с айпишника IP 89.184.6.34 через Яндекс, при чем здесь спам-троян на Яндексе!? Или речь идет о том, что у одного из клиентов Яндекса настроен опен релей? 
Я-то думал, что у письма from *@yandex.ru и источник сидит там же, на Яндексе (что и есть "совпало"). Но если айпишник левый...




> Вы думаете, что письмо, о котором речь, пришло ко мне в ящик, который у меня на Яндексе?
> Нет.
> Оно пришло ко мне в ящик совсем на другом почтовике, а именно на моем на работе.
> Поэтому ничего не <совпало>. Это рассылка спамеров через Яндекс, путем использования зарегенного ими на Яндексе аккаунта.


Опять ничего не понял... Это как? Механизм посылки спама с аккаунта клиента Яндекса - понимаю. Механизм посылки с левого айпишника и from *@yandex.ru - тоже понимаю. Но как это совмещается - никак понять не могу. Либо с левого айпишника, либо с Яндекса...




> Кроме того, ведь шлют именно через опен-релей. То есть не прямо со своего компьютера через Mail.ru (там же не полные идиоты сидят, а умные люди). То есть так же через соксы работают, но под конец цепочки задействуют Mail.ru, несмотря на "зависимость". Значит, это действительно имеет смысл.


Еще раз - через опен релей на Яндексе!? Неужели Вы думаете, что спам рассылают люди со своих компьютеров? Вы что-нибудь про спам-боты слышали?




> Вы прямо вылитый Леонид Ильич. По части высказывания глубокомысленных мнений.
> Будьте добры разъяснить, что Вы хотели сказать, этим отсутствующим комментарием.


Ну... Как бы не могу слов подобрать...  :Smiley: 




> То, что спам рассылают всегда именно те же компьютеры, которые рассылают вирусов. Вы этого не знали?
> Если не понятно (хотя куда уж очевиднее), откуда берется это соответствие, то вот:
> Спам-троян на компьютер пользователя попадает после того, как компьютер заразится вирусом. Вирус скачивает трояна и запускает его. Вирус между тем не перестает работать - он продолжает размножаться, рассылая себя по эл.почте (и по локальной сети тоже, если умеет). Кроме того, в последнее время офигенная скорость нарастания эпидемий вирусов, предполагаю, вызвана тем, что спамеры уже не занимаются мазохическими <впрысками> первой порции вируса через одно-единственное место, с целью избежать преследований. Впрыск в наше время делается с размахом - сразу через ботнет. Когда текущий ботнет у спамера иссякает (пользователи выводят вирусняка), то спамер, по мере необходимости, делает очередные рассылки вируса через имеющийся ботнет, чтобы набрать новых ботов.


Не то чтобы не знал, даже с трудом могу поверить, что это так. По-прежнему слов подобрать не могу. Но попытаюсь. В общем случае наличие вируса на компьютере и трояна никак не связано. Схема заражения почтовым вирусом в 99% случаев одна и та же - получение по почте вируса, запуск его на компьютере пользователя. Еще один процент - почтово-сетевой вирус, который может перемещаться и по почте, и по сети (например, Win32.HLLM.Rancheg или Email-Worm.Win32.Banwarum). Троян (обычно даунлоадер) в подавляющем большинстве случаев либо впигвинивается со взломанного сайта, либо приходит по почте/icq/etc. в виде ссылки на "интересный" ресурс. Вторая фаза - скачивание даунлоадером компонента спам-бота (не только его, конечно) и установка его на компьютер. Поэтому утверждение о том, что "спам-троян на компьютер пользователя попадает после того, как компьютер заразится вирусом" также слегка не то.




> Это я к тому, что вирусняк в наше время валит не только с компьютеров, зараженных этим самым вирусняком. Он валит с компьютеров, зараженных ранее любых другим вирусняком, - короче, с тех компьютеров, где у спамера есть сокс. Через сокс спамер рассылает и спам, и вирусов.


Опять непонятный мне умный термин...  :Wink:  




> Поэтому антивирус на почтовике-отправителе выявляет именно те самые компьютеры, которые занимаются рассылкой спама.


Мое непонимание продолжается. "Поэтому" - это почему? Потому что антивирус не ловит спам? Или потому что на почтовике-отправителе установлен какой-нибудь антиспам, но тогда при чем тут вирусы и трояны? 




> Вы уже попробовали <думать, что пользователи не умеют устанавливать соединение по SMTP с сервером>. Может, следует всё же более тщательно подходить к обсуждаемым вопросам?


Вы же пытались авторизоваться после попытки "толкнуть письмо" - и ничего. А я и сейчас так думаю - пользователи не умеют. А что научились?  :Wink:  Может, нужно все же формулировки давать правильные? Например, про smtp с авторизацией?




> Ваш вопрос равноценен вопросу вообще <зачем провайдеру геморрой с закрытием порта 25>. Ответ на это уже был: провайдеру это невыгодно, но необходимо для борьбы со спамом. О том и речь, чтобы обязать провайдера, морально и/или законодательно.


Возвращаемся к Вашему предложению:



> Предлагается, что провайдер должен блокировать исходящие на порт 25.
> Минимальная рекомендация — для всех кто за NAT,
> средняя — для всех динамических,
> максимальная — для всех, кроме согласованных с провайдером SMTP-серверов.
> Чтобы обеспечить в таких условиях работу по взаимодействию с пользователями по отправке почты пользователей, почтовые сервера должны иметь второй порт — порт MSA. Например 587. На этом порту должна быть обязательная SMTP-авторизация для всех, то есть в том числе и для писем, поступающих на адреса на этом самом почтовике. Только тогда это всё имеет смысл.


На мой взгляд, закрытие 25 порта ничего не даст (кроме геморроя, разумеется). Этот способ годится только для зарезания "своего" для провайдера спама (спама, который рассылается из обслуживаемых доменов). Но ничего не даст для блокирования спама, который приходит.  Работая по Вашей схеме #1, спам-почтовики по-прежнему будут "толкать письма". В том числе на тот корпоративный сервер, который находится за "закрытым" 25 портом, поскольку для почтовиков 25 порт будет по-прежнему открыт. И в чем смысл? Думаю, со "своим" спамом провайдер как-то справится, а с приходящим? Закрытие же для обслуживаемых адресов клиентов исходящих на 25 порт - это почта у клиента не работает на отправку. А если "SMTP-авторизация для всех", то опять же возникает вопрос - как почтовый сервер будет авторизовываться и у кого?
Или я чего-то не понимаю? Пример блокирования приведите.




> Меня не устраивает Ваше мнение, но в данном случае речь о том, что меня не устраивает, что Вы флудите. Никто не запрещает (и не может запретить) Вам ни высказывать свое мнение, ни флудить. Вот какова ситуация.


Вот и слава богу!  :Stick Out Tongue: 




> Из России и Украины валит не меньше спама, чем с других мест. У себя в глазу бревнА почему-то не хотим видеть. На украинском хостинге Cyborg, например, хостится Куваев (или Поляков, точно не помню. Да может уже оба хостятся). И в России наверняка тоже есть у них площадки.
> А главное - везде есть ботнеты, в сети любого и каждого провайдера. Речь о том, чтобы перекрыть ботнетам кислород. Тем которые у себя в сети. А не в Нигерии. Не надо перекладывать свою ответственность на заграничного дядю.


Правильно! "Своему" спаму - бой, а "чужой" пусть ходит! Так?  :Wink:  Кстати, ко мне преимущественно приходит зарубежный спам.

----------


## maXmo

> С другой стороны, смотря что имелось в виду под «детектировать».
> Чтобы отличить контакт спам-трояна на порт 25 от контакта нормального SMTP-сервера


от контакта нормального смтп-клиента. Я рассматриваю возможность умного блока 25 порта на периметре LAN, ибо например на яндексе нет MSA и IMAP и с тупо заблоченным 25 портом с яндексом общаться… как бы это выразиться помягче… тяжко  :Smiley: 




> спам-троян, без сомнения, не затруднился бы подделать “серверный” протокол.


именно так они и работают.




> Не понятно, какое отношение это имеет к вопросам антиспама вообще.


жосский блок 25 порта в моём случае напряжен.




> Перейдут клиенты на IMAP или не перейдут — какая разница. Спамеры всё равно будут слать спам по SMTP на порт 25.


вот я и рассматривал возможность открыть 25 порт, но так, чтобы спамеры не могли слать по нему спам.




> Прошу прощения, не прочитал всё. Просто хочу сказать что сегодня есть трояны отлично отправляющие спам через веб интерфейс, с реквизитами пользователя на компе которого они поселились. Так что никакие ухищерения не избавят от спама полностью.


имхо, в качестве первого шага избавить от 99.999% спама будет очень неплохо, не?

зы и оставьте хвосты друг друга в покое.

----------


## kuznetz

> жосский блок 25 порта в моём случае напряжен


Естественно.
Не у всех почтовиков в данный момент есть порт MSA.
Так речь о том и идет, что они будут вынуждены его заиметь.
У Mail.ru тоже раньше не было порта MSA, а теперь есть. Порт 2025, см. Help. Сделали, потому что возникла необходимость — очевидно, есть провайдеры, которые уже закрыли порт 25.

И Яндекс сделает, если будет многим нужно.





> Сообщение от kuznetz
> 
>  Ничего подобного я, разумеется, не говорил и сказать не мог.
> На 25й порт Яндекса, кроме клиентов Яндекса, толкают письма все на свете почтовые сервера, которые имеют к доставке в своей очереди письма, адресованные на Яндекс. На всякий случай во второй раз напоминаю, что это схема 1.
> 
> 
> Я сделал такой вывод, судя по тому, что нужно авторизоваться


А кто где говорил, что «нужно авторизоваться»?!
прочитайте пожалуйста что было сказано про схему 1. Где там сказано, что нужно авторизоваться?




> Имеем: троян рассылает почту. Пытается отправить письмо куда-то, используя Яндекс как опен релей (Ваша схема #2). Я считаю, что ни о какой авторизации речи быть не может,


С чего бы это? (кстати, всё это Вы уже говорили, и я Вам ответ, который нижеследует, тоже уже говорил. Вы редкостный любитель велогонок на треке)

Вот кто-то (троян или пользователь) пытается отправить через Яндекс письмо, адресованное не на Яндекс. Если этот кто-то авторизуется, то Яндекс примет это письмо к отправке

(с поправкой на то, что, как Вы четко установили, Яндекс придерживается политики а), то есть принимает к отправке не на Яндекс только письма с адресов [email protected]. Но это политика именно Яндекса, а корпоративные почтовики и почтовики провайдеров могут придерживаться политики б)).




> Яндекс в этом случае просто отреджектит письмо вне зависимости от того, откуда оно пришло и какие имеет реквизиты.


нет, в общем случае нет. См. выше




> Хотя бы потому, что авторизация происходит до попытки "толкнуть письмо"


никто не говорил, что авторизация происходит после. Авторизуется до. И отправит.




> Сообщение от kuznetz
> 
>  То есть почему Вы решили, что почтовики могут хотеть там авторизоваться?
> (там - на Яндексе, в случае когда почтовики доставляют письмо, адресованное НЕ на Яндекс). Ответьте, пожалуйста
> 
> 
> Раз Вы упоминаете к месту и не к месту "авторизация", то логично предположить, что захотят.


Нет, не логично.
Согласно сказанному выше, в схеме 2 захотят авторизоваться либо пользователи, либо трояны. В описании схемы 2 ничего не говорилось о том, кто будет пытаться авторизоваться. С чего Вы решили, что это будут почтовики — остается загадкой.




> Мой коллега провел ряд экспериментов и установил, что происходит. Спасибо ему за потраченное время.


Респект, однозначно. Четкая, полная схема.

Если сравнить ее с моими схемами 1, 2, 3, то видно, что нет никаких различий по сути. Есть только уточнения, заключающиеся в том, что политки на Яндексе строже, чем я думал.
а) по схеме 1 не примет, если IP отправителя динамический
б) по схеме 3 не примет, если реквизиты авторизации не соответствуют адресу отправителя.




> Сообщение от kuznetz
> 
>  вот и вопрос - что совпало-то?! Яндекс «случайно» отрелеил левое письмо? Как Вы это себе представляете, иначе чем через спам-трояна, поселившегося на нём?
> 
> 
> Никак не представляю. Что значит "троян, поселившийся на Яндексе"? Где конкретно?


Там, где происходит релей, очевидно. То есть троян на компьютере smtp.yandex.ru, если предполагать что «совпало».




> Письмо пришло с айпишника IP 89.184.6.34 через Яндекс, при чем здесь спам-троян на Яндексе!?


При том, что иначе с какого перепугу Яндекс принял это письмо к отправке? если, как Вы говорите, «просто совпало». Согласно приведенной Вами схеме политик Яндекса, принять был не должен.

Оно ведь адресовано было (и доставлено было) не на [email protected], а на [email protected]

через промежуточный релей mail.yandex.ru (грубо говоря. Какой точно почтовик на Яндексе обработал это конкретное письмо, какая разница. В заголовках точно указано, какой).




> Или речь идет о том, что у одного из клиентов Яндекса настроен опен релей?


А вот это мы с Вами можем только гадать. Я не знаю — откуда знать. Могу предполагать — см. ниже.




> Я-то думал, что у письма from *@yandex.ru и источник сидит там же, на Яндексе (что и есть "совпало"). Но если айпишник левый...


Где «там же на Яндексе»?
в серверной Яндекса сидит админ и шлет мне письма с горячими приветами? Вы думайте пожалуйста, опять торопитесь непонятно

То, что айпишник первого отправителя 89.184.6.34, было сказано сразу. То есть до того, как Вы предположили, что «совпало». Поэтому что с чем могло совпасть — непонятно.




> Сообщение от kuznetz
> 
>  Это рассылка спамеров через Яндекс, путем использования зарегенного ими на Яндексе аккаунта.
> 
> 
> Опять ничего не понял... Это как? Механизм посылки спама с аккаунта клиента Яндекса - понимаю. Механизм посылки с левого айпишника и from *@yandex.ru - тоже понимаю. Но как это совмещается - никак понять не могу. Либо с левого айпишника, либо с Яндекса


Это как это Вы «понимаете» механизм посылки с левого айпишника и from *@yandex.ru???!!! поделитесь. А то что-то неизвестное науке

Что за чудесный механизм, если это НЕ механизм с аккаунта клиента Яндекса?

Согласно приведенной Вами ранее схеме политик Яндекса, такого не может быть. Вы опять торопитесь неизвестно куда.




> Сообщение от kuznetz
> 
>  Кроме того, ведь шлют именно через опен-релей. То есть не прямо со своего компьютера через Mail.ru (там же не полные идиоты сидят, а умные люди). То есть так же через соксы работают, но под конец цепочки задействуют Mail.ru, несмотря на "зависимость". Значит, это действительно имеет смысл.
> 
> 
> Еще раз - через опен релей на Яндексе!?


Нет, не на Яндексе. А до Яндекса. Это же само собой понятно.
упомянутый первый IP 89.184.6.34, следует полагать, и является тем самым открытым релеем.




> Неужели Вы думаете, что спам рассылают люди со своих компьютеров?


А я кажется только что и сказал (см. выше черным по белому): «То есть не прямо со своего компьютера через Mail.ru».

Что Вы теперь хотите сказать, не понятно.




> Вы что-нибудь про спам-боты слышали?


Разумеется, слышал. Я ведь только что и сказал «То есть так же через соксы работают» (см. выше черным по белому).

??? то есть что Вы хотите сказать, вообще не понятно.

Итак, снова перечисляю ситуацию с письмом, которое «совпало»:
письмо с адреса [email protected] было доставлено по адресу [email protected] через (судя по заголовкам) IP 89.184.6.34, потом mail.yandex.ru, потом sinecure.com

Что здесь с чем «совпало» — не понятно.
Я утверждаю, что это рассылка путем зарегенного на Яндексе аккаунта [email protected], путем SMTP-авторизации на Яндексе, через открытый релей (точнее, открытый прокси) 89.184.6.34. Ничего нигде не совпало.




> Ну... Как бы не могу слов подобрать...


А Вы подбирайте, уж постарайтесь. Вы же не Леонид Ильич, разбитый параличом и инсультом, в конце-то концов. Чем Вам не понравилась перечисленная мной схема распространения спам-троянов: полученный по почте почтовый вирус Warezov скачивает с интернета спам-трояна и запускает его.




> Сообщение от kuznetz
> 
>  То, что спам рассылают всегда именно те же компьютеры, которые рассылают вирусов. Вы этого не знали?
> 
> 
> Не то чтобы не знал, даже с трудом могу поверить, что это так. Схема заражения почтовым вирусом в 99% случаев одна и та же - получение по почте вируса, запуск его на компьютере пользователя


Я что, что-то говорил против этого?




> Троян (обычно даунлоадер) в подавляющем большинстве случаев либо впигвинивается со взломанного сайта, либо приходит по почте/icq/etc. в виде ссылки на "интересный" ресурс. Вторая фаза - скачивание даунлоадером компонента спам-бота (не только его, конечно) и установка его на компьютер


Все правильно. Такая схема тоже реально действует. Но с чего Вы взяли, что перечисленная мной схема не действует? Тоже действует. Получаемый по почте вирус Warezov или другой, скачивает через инет спам-бота и запускает его.




> Сообщение от kuznetz
> 
>  Через сокс спамер рассылает и спам, и вирусов
> 
> 
> Опять непонятный мне умный термин...


Вы бы своей неграмотностью не хвалились, а посмотрели бы в поисковике любом.

Сокс — это SOCKS-прокси.




> Сообщение от kuznetz
> 
>  Поэтому антивирус на почтовике-отправителе выявляет именно те самые компьютеры, которые занимаются рассылкой спама.
> 
> 
> Мое непонимание продолжается. "Поэтому" - это почему?


Потому, что «спам рассылают всегда именно те же компьютеры, которые рассылают вирусов. Вы этого не знали?»

Хорошо, согласен, что существуют схемы заражения спам-трояном, не связанные с пересылками вируса по эл.почте. Но существуют и схемы, где заражение трояном происходит именно посредством вируса, размножающегося по эл.почте.

Хорошо, ввиду вышесказанного согласен, что антивирус на почтовике-отправителе не выявит все компьютеры, рассылающие спам. Вы правы — выявит только часть.

Значит, остальных надо ловить другими методами. Особо мудрить тут не требуется: спам-трояны можно засекать просто по большому числу отправляемых писем.




> Сообщение от kuznetz
> 
>  Вы уже попробовали «думать, что пользователи не умеют устанавливать соединение по SMTP с сервером». Может, следует всё же более тщательно подходить к обсуждаемым вопросам?
> 
> 
> Вы же пытались авторизоваться после попытки "толкнуть письмо" - и ничего


Нет, я нигде не говорил, что SMTP-авторизация происходит после попытки толкнуть письмо. Приведите пожалуйста цитату и ссылку на пост, если Вы утверждаете, что говорил. Не говорил.




> А я и сейчас так думаю - пользователи не умеют. А что научились?


OK, правильно ли я Вас понял: Вы думаете, что
«программы почтовые-клиенты не умеют устанавливать SMTP-соединение с сервером»

Так или как? Если так, то вынужден будут опубликовать это «мнение» на данном форуме в разделе «Помогите», с тем чтобы квалифицированные специалисты могли нас рассудить.

Если не так, то сформулируйте сами, что Вы имели в виду под «Думаю, что пользователи не умеют устанавливать SMTP-соединение с сервером». При необходимости это, опять же, будет обсуждено в разделе «Помогите».




> Может, нужно все же формулировки давать правильные? Например, про smtp с авторизацией?


Я уже признал, что моя формулировка «требует авторизации, потребует авторизации» некорректна. Почтовик не требует авторизации, он просто не принимает почту, если авторизации не было. Больше мне признавать нечего.

С Вас же требуется признать насчет «пользователи не умеют»,
и насчет почему почтовые сервера вдруг работают по схеме 2.

Будьте добры, решите так или иначе эти вопросы.




> На мой взгляд, закрытие 25 порта ничего не даст. Этот способ годится только для зарезания "своего" для провайдера спама (спама, который рассылается из обслуживаемых доменов). Но ничего не даст для блокирования спама, который приходит


Вы долго думали над этим выводом?

Это же, прошу прощения, но ежу понятно, сразу и без размышлений!!!
Что не понятно — какое отношение это имеет к обсуждаемому вопросу. См. ниже




> Работая по Вашей схеме #1, спам-почтовики по-прежнему будут "толкать письма"


Ну что за таинственные «спам-почтовики»? Где Вы их видели, что Вы под этим подразумеваете?

Спам рассылают спам-трояны, сидящие на компьютерах пользователей. Тем и сильны бот-сети, что они распределены — ботов много и они быстро меняются. Поэтому их трудно блокировать по черным спискам. Хотя это, разумеется, делается и приносит определенный эффект.

Кроме того, бот-сети рассылают спам бесплатно для спамера. За спам-почтовики надо, во-первых, платить, во-вторых, нормальные провайдеры (не китайские то есть, и не открыто-спамерские) не позволят в своей сети держать спам-почтовик. Ненормальных провайдеров — блокируют по черным спискам, сразу целыми подсетями. И всё.




> Думаю, со "своим" спамом провайдер как-то справится, а с приходящим?


А ему кто-то запрещает справляться?!!
каким местом закрытие порта 25 влияет на справление провайдера с приходящим спамом? что за ахинею Вы несете, прошу прощения.




> Закрытие же для обслуживаемых адресов клиентов исходящих на 25 порт - это почта у клиента не работает на отправку.


RTFM. Вы читать умеете? Там было написано, сразу в первом посте: при закрытом порте 25 пользователи будут отправлять на порт MSA. Рекомендуемое значение порта — 587. Хотя конкретное значение без разницы. Либо через почтовик провайдера.

Вы редкостный любитель бегать вокруг одного и того же места — уже говорилось.




> А если "SMTP-авторизация для всех", то опять же возникает вопрос - как почтовый сервер будет авторизовываться и у кого?


Третий раз говорю — НИКАК и ни у кого. Вы по-русски понимаете? извините, конечно, но как еще, сколько уж можно. При закрытии порта 25 обмен между почтовыми серверами никак не меняется.




> Или я чего-то не понимаю? Пример блокирования приведите.


Хорошо. Сразу бы так и сказали. Сколько можно ходить вокруг одного места.

Вот пользователь в сети провайдера. У пользователя есть ящик [email protected] на корпоративном сервере sinecure.com на работе.

Порт 25 вовне для пользователя закрыт. Порт 25 для пользователя открыт на почтовик провайдера. Поэтому пользователь может либо отправлять почту через почтовик провайдера. У провайдера при этом должна, очевидно, действовать либо политика б) и пользователь должен получить у провайдера какие-либо реквизиты для SMTP-авторизации. Либо вообще без авторизации — почтовик провайдера должен релеить со всех IP, принадлежащих этому провайдеру.

Либо пользователь может отправлять почту через почтовик sinecure.com через его порт MSA (пусть это порт 587). С реквизитами авторизации, полученными на работе.




> Сообщение от kuznetz
> 
>  Не надо перекладывать свою ответственность на заграничного дядю.
> 
> 
> Правильно! "Своему" спаму - бой, а "чужой" пусть ходит! Так?  Кстати, ко мне преимущественно приходит зарубежный спам.


Это, уважаемый, с больной головы на здоровую.

Это Вы, Geser, DVi и другие — предлагаете не принимать мер против исходящего спама, а принимать меры исключительно против приходящего.

Я же предлагаю принимать меры против исходящего спама, но где я возражал против защиты от приходящего спама, хоть полслова сказал на этот счет? ПРИВЕДИТЕ ЦИТАТУ И ССЫЛКУ НА ПОСТ. Не сможете, разумеется. Поэтому будьте добры не перекладывать с больной головы на здоровую. И не перекладывать ответственность за свой спам на нигерийского дядю. Пока все будут перекладывать и никто не будет бороться с исходящим спамом — спамеры будут спамить спокойно, и объем спама будет ежегодно расти, как сейчас растет.

Насчет того, что к Вам приходит преимущественно зарубежный спам — так это зависит от адреса эл.почты. На адреса в зоне .ru приходит преимущественно русский спам. Причем процентов 15-20 всего спама приходит с ботнетов в сетях СНГ. Именно им и предлагается перекрыть кислород, путем закрытия портов 25.

----------


## Geser

> Вот америку открыли.
> Полностью вообще никакие проблемы не решаются. Это само собой разумеется.
> Надо делать, что можно сделать. А не ничего не делать. Вы как бы предлагаете ничего не делать. Почему – не понятно. Прошу разъяснить


Единственный способ борьбы со СПАМом и ДДоС это борьба с троянами которые для этого используются.
И борьба эта должан проводиться нескольких плоскостях.
1. За СПАМ наказываться должны в равной мере заказчик и рассылающий. А найти заказчика намного проще.
2. Правоохранительные органы должны начать серьёзную борьбу с хакерами и вирусописателями.
3. НУжно повышать образованность пользователей в плане защиты от вредоносных программ.

----------


## maXmo

Ну я нагнал… Есть у яндекса 587 порт.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## borka

Флуд про авторизацию поскипан.  :Smiley: 

Примем как постулаты:
1. исходящие письма идут на 25 порт почтового сервера (своего или чужого - неважно).
2. различий в протоколе при отправке писем на почтовый сервер пользователем, трояном или другим почтовым сервером нет.
3. трояны могут отправлять почту как на почтовый сервер корпоративной почты (или Яндекса), так и на любой другой почтовый сервер.
4. трояны не подозревают о наличии Ваших схем работы. Сорри.  :Wink: 


Флуд про релей на  smtp.yandex.ru поскипан.  :Smiley: 

Очень хотелось бы взглянуть на клуджи этого загадочного письма, поскольку "троян на компьютере smtp.yandex.ru", "промежуточный релей mail.yandex.ru" - это очередные непонятные мне умные слова.  :Smiley: 




> Механизм посылки спама с аккаунта клиента Яндекса - понимаю. Механизм посылки с левого айпишника и from *@yandex.ru - тоже понимаю.
> 
> 
> 
> 
>  Сообщение от kuznetz
> 
> 
> Это как это Вы «понимаете» механизм посылки с левого айпишника и from *@yandex.ru???!!! поделитесь. А то что-то неизвестное науке
> Что за чудесный механизм, если это НЕ механизм с аккаунта клиента Яндекса?


Если что-то неизвестно Вам, это не значит, что неизвестно науке.  :Stick Out Tongue:  Все предельно просто. Нужно ли объяснять Вам, что такое фишинг? На всякий случай объясню на примере. Приходит мне в почту письмо с сабжем "Ваш аккаунт Яндекс-Деньги временно заблокирован", from=*@yandex.ru, в теле письма просьба проверить состояние аккаунта  - фишинг в чистом виде. У меня никаких аккаунтов на Яндексе отродясь не было.  :Smiley:  Неужели Вы думаете, что письма действительно с Яндекса!? К сожалению, этих писем под рукой нету, а то показал бы клуджи. Поэтому немного не связанное с Яндексом - письмо от "Chase Online Banking" с требованием сменить пароль. Заголовок письма выглядит следующим образом:

Return-Path: <[email protected]>
Received: from ndiasb.kiev.ua ([unix socket])
         by ndiasb.kiev.ua (Cyrus v2.2.12) with LMTPA;
         Tue, 31 Jan 2006 04:07:00 +0200
X-Sieve: CMU Sieve 2.2
Received: from 192.168.0.111 (ont-cust-208.57.100.52.mpowercom.net [208.57.100.52])
        by ndiasb.kiev.ua (8.13.5/8.13.4) with SMTP id k0V26vV9035958
        for <[email protected]>; Tue, 31 Jan 2006 04:06:58 +0200 (EET)
        (envelope-from [email protected])
X-Envelope-To:          <[email protected]>
X-Envelope-From:        [email protected]
Received: from 14.160.135.186 by ; Mon, 30 Jan 2006 23:03:31 -0300
Message-ID: <[email protected]>
From: "Chase Online Banking" <[email protected]>
Reply-To: "Chase Online Banking" <[email protected]>
To: [email protected]
Subject: *SPAM* Password Change Required
Date: Tue, 31 Jan 2006 04:59:31 +0300

Из заголовков письма видно, что отправители (айпишники 14.160.135.186 и 208.57.100.52) ну ни разу не имеет отношения к "Chase" (159.53.х.х). Судя по Message-ID можно предположить, что отправитель на hotmail.com. [email protected] - это я.  :Wink:  Как видите, все предельно просто и ясно. Если Вы этого не знали, то я не виноват.  :Smiley:  Это распространенная практика как в рассылке спама, так и в рассылке вирусов.




> Согласно приведенной Вами ранее схеме политик Яндекса, такого не может быть. Вы опять торопитесь неизвестно куда.


Вы будете смеяться, но Яндекс тут ни при чем.  :Smiley: 




> Еще раз - через опен релей на Яндексе!?
> 
> 
> 
> 
> 
>  Сообщение от kuznetz
> 
> 
> ...


Показывайте клуджи!




> письмо с адреса [email protected] было доставлено по адресу [email protected] через (судя по заголовкам) IP 89.184.6.34, потом mail.yandex.ru, потом sinecure.com


УжЕ два опен релея!? Показывайте клуджи! Яндекс - не опен релей. К сведению: если у письма [email protected], это не значит, что письмо отправлено с этого адреса.




> Чем Вам не понравилась перечисленная мной схема распространения спам-троянов: полученный по почте почтовый вирус Warezov скачивает с интернета спам-трояна и запускает его.


Чем не понравилась? Своей нереальностью. Я не слышал, чтобы Лимар скачивал трояна и запускал его...

Остальной флуд про вирусы и трояны поскипан.  :Smiley: 





> OK, правильно ли я Вас понял: Вы думаете, что
> «программы почтовые-клиенты не умеют устанавливать SMTP-соединение с сервером»


Про почтовые клиенты разговора не было. Был разговор про пользователей.  :Smiley:  Это к вопросу точности формулировок.




> Так или как? Если так, то вынужден будут опубликовать это «мнение» на данном форуме в разделе «Помогите», с тем чтобы квалифицированные специалисты могли нас рассудить.


Вам требуется помощь?




> С Вас же требуется признать насчет «пользователи не умеют»,


Еще раз: думаю, что пользователи не умеют устанавливать SMTP-соединение с сервером. Что неясно? Почтовые клиенты, серверы и трояны - умеют.




> и насчет почему почтовые сервера вдруг работают по схеме 2.


Еще раз: почтовые серверы не имеют ни малейшего представления о Ваших схемах. Вы исхОдите из того, что спам рассылается только клиентом какого-нибудь почтовика (корпоративного или Яндекса - неважно). Я же считаю, что трояны отсылают спам как почтовые серверы - напрямую.





> Ну что за таинственные «спам-почтовики»? Где Вы их видели, что Вы под этим подразумеваете?
> Спам рассылают спам-трояны, сидящие на компьютерах пользователей. Тем и сильны бот-сети, что они распределены — ботов много и они быстро меняются. Поэтому их трудно блокировать по черным спискам. Хотя это, разумеется, делается и приносит определенный эффект.


Спам-почтовик - это троян, сидящий на компьютере пользователя (возможно, входящий в состав ботнета) и рассылающий спам. С чего Вы взяли, что он может работать только по Вашей же схеме #2 - до сих пор понять не могу...




> каким местом закрытие порта 25 влияет на справление провайдера с приходящим спамом? что за ахинею Вы несете, прошу прощения.


Вот и я удивляюсь, зачем провайдеру закрывать 25 порт и искать приключения на свою лысину, если у него в сети спама нет?




> RTFM. Вы читать умеете? Там было написано, сразу в первом посте: при закрытом порте 25 пользователи будут отправлять на порт MSA. Рекомендуемое значение порта — 587. Хотя конкретное значение без разницы. Либо через почтовик провайдера.


Если пользователи будут отправлять письма на порт MSA, то и трояны будут отправлять туда же. Вам ужЕ дважды ответили. Кроме того, почему Вы решили, что трояны будут прикидываться клиентами, а не серверами? А как выясняется:



> При закрытии порта 25 обмен между почтовыми серверами никак не меняется.


И что с закрытия порта?





> Или я чего-то не понимаю? Пример блокирования приведите.
> 
> 
> 
> 
> 
>  Сообщение от kuznetz
> 
> 
> ...


Ну я примерно так и предполагал... Весь разговор о *клиентах*, а троян рассылает спам как *сервер*.
Кроме того, рассмотрим такую схему. У провайдера, разумеется, не один клиент. У провайдера, естественно, не один корпоративный почтовик. Между собой, как выяснилось, почтовики работают напрямую. Что мешает трояну в сети одного корпоративного клиента рассылать спам на почтовик другого корпоративного клиента? Да ничего. Ведь правила запрета отправки на 25 порт настроены у провайдера, а корпоративные клиенты находятся с другой стороны FW. Получается, что спамооборот при закрытии 25 порта ограничивается доменными зонами одного провайдера. И смысл в закрытии?




> Это Вы, Geser, DVi и другие — предлагаете не принимать мер против исходящего спама, а принимать меры исключительно против приходящего.


Вероятно потому, что приходящего в разы больше...




> Поэтому будьте добры не перекладывать с больной головы на здоровую. И не перекладывать ответственность за свой спам на нигерийского дядю. Пока все будут перекладывать и никто не будет бороться с исходящим спамом — спамеры будут спамить спокойно, и объем спама будет ежегодно расти, как сейчас растет.


Млин! Ну как Вам объяснить, что не озабочен я проблемой исходящего спама. Мой админ - тоже, мой провайдер - тоже. Я - как и другие *пользователи* - озабочен проблемой спама входящего. Источник которого находится в Нигерии, Франции, Польше, Бразилии и т. д. Какая может быть ответственность!? Чья? 
КАК ВАМ ОБЪЯСНИТЬ, ЧТО ВЫ БОРЕТЕСЬ НЕ С ПРИЧИНОЙ, А СО СЛЕДСТВИЕМ!? Что эти меры ничего не дадут, кроме головной боли честным пользователям? Что без кампании по борьбе со спамом/вирусами в масштабах всех компьютерно развитых стран ничего не получится? Что сначала нужны организационные меры?
Поэтому, думается, Geser совершенно прав...

----------


## DVi

бopиc, cпpaвeдливocти paди - limar-warezov имeннo тeм и знaмeнит, чтo пo пoчтe paccылaeт тoлькo зaгpyзчикa. пoдpoбнocти ecть нa viruslist.ru. в ocтaльнoм жe я c вaми coглaceн - бopьбa c иcxoдящим cпaмoм нe дoлжнa быть бpeмeнeм юзepoв. нaличиe aнтивиpycoв нa вcex кoмпax в миpe IMHO избaвит миp oт спaмa. нo cлyчитcя этo нe cкopo.

----------


## borka

> бopиc, cпpaвeдливocти paди - limar-warezov имeннo тeм и знaмeнит, чтo пo пoчтe paccылaeт тoлькo зaгpyзчикa. пoдpoбнocти ecть нa viruslist.ru.


Я в курсе. Но первые версии Лимара Варезовича paccылaли только свои копии, последующие - зaгpyзчикa своей же более новой версии. По поводу новых версий - несколько расплывчато написано, что это "Вирус-червь, распространяющийся в виде вложений в электронные письма. В них червь помещает не свою копию, а компонент, который может загружать из сети Интернет другие вредоносные программы." Если б это были бы спамботы, то, думаю, об этом написАли бы яснее. А так "может" и "другие"...
В целом, на мой взгляд, вирус с трояном никак не связаны. Сколько было случаев лечения вирусов (того же Лимара Варезовича), но троянов не было, сколько случаев изгнания троянов (например, Trojan.Spambot или Trojan-Proxy.*), но вирусов не было...
Разумеется, полностью такое "сотрудничество" исключить нельзя. Поэтому подчеркну еще раз - *я* с таким не сталкивался.

----------


## maXmo

> 2. различий в протоколе при отправке писем на почтовый сервер пользователем, трояном или другим почтовым сервером нет.


а аутентификация?

----------


## borka

> 2. различий в протоколе при отправке писем на почтовый сервер пользователем, трояном или другим почтовым сервером нет.
> 
> 
> 
> 
> 
>  Сообщение от maXmo
> 
> 
> а аутентификация?


Насколько я понимаю, необходимость авторизации зависит от принимающего сервера. Если принимающий сервер это опен релей, то ему все равно, кто отправляет письмо - клиент, другой сервер или троян.

----------


## kuznetz

> Флуд про авторизацию поскипан.


То есть Вы признаёте, что Вы ошибались? Иначе как это «проскипан»?!




> Примем как постулаты:
> 1. исходящие письма идут на 25 порт почтового сервера (своего или чужого - неважно).
> 2. различий в протоколе при отправке писем на почтовый сервер пользователем, трояном или другим почтовым сервером нет.
> 3. трояны могут отправлять почту как на почтовый сервер корпоративной почты (или Яндекса), так и на любой другой почтовый сервер.
> 4. трояны не подозревают о наличии Ваших схем работы. Сорри.


Похоже, что не признаёте. Понятно. Что же, тогда продолжим:

для начала, Леонид Ильич наш дорогой, объясните, что Вы хотели сказать вышепроцитированным фрагментом. Ничего не понятно. С чем из сказанного мной Вы этим фрагментом спорили и каким образом — разъясните.

Я пока уловил некий спор только во фразе «трояны не подозревают о наличии Ваших схем работы». Ну допустим, не подозревают (хотя можно предположить, что писатели троянов подозревают). Так или иначе, что Вы этим хотели сказать? Как это связано с моими схемами, их правильностью/неправильностью, маршрутами прохождения почты и спама, или каким-то другим образом связано с моими схемами, или с чем-то иным в нашем с Вами разговоре? короче говоря, с чем Вы спорили?




> Флуд про релей на smtp.yandex.ru поскипан.


О, уважаемый, так Вы вообще, оказывается, неадекватная личность.
Как Вас начинают прижимать фактами, так Вы начинаете просто косить. Уж извините за выражение.

Большая просьба — не косите. Никто здесь не поверит, что Вы — разбитый инсультом Леонид Ильич, не могущий связать двух слов без помощи сторонних консультантов. Выражайте свои мысли ПО-ЧЕЛОВЕЧЕСКИ, будьте добры. Я почему-то себе ничего подобного (косить то есть) никогда не позволил в дискуссии ни с Вами, ни вообще в этой теме. Будьте добры процитировать все «проскипанные» Вами здесь и выше (выше — то есть «про авторизацию») фрагменты и дать четкий ответ, где с чем Вы не согласны и почему.




> Очень хотелось бы взглянуть на клуджи этого загадочного письма, поскольку "троян на компьютере smtp.yandex.ru", "промежуточный релей mail.yandex.ru" - это очередные непонятные мне умные слова.


Пожалуйста. Вот:

Return-path: <[email protected]>
Received: from smtp4.yandex.ru ([213.180.223.136])
	by sinecure.com with ESMTP id 0003468C.45B30EB2.000071C2
	for <[email protected]>; Mon, 08 Oct 2007 14:57:11 +0300
Received: from ll034.i6.mi.ru ([89.184.6.34]:32548 "EHLO R4C1"
        smtp-auth: "ag5qmcr" TLS-CIPHER: <none> TLS-PEER-CN1: <none>)
        by mail.yandex.ru with ESMTP id S240243AbXKHLlB (ORCPT
        <rfc822;[email protected]>);
        Mon, 8 Oct 2007 14:41:01 +0300
X-Comment: RFC 2476 MSA function at smtp4.yandex.ru logged sender identity as: ag5qmcr
Date: Mon, 8 Oct 2007 14:40:59 +0300
From:  "=?windows-1251?B?VmxhZA==?=" <[email protected]>
Reply-To: <[email protected]>
Message-ID: <[email protected]>
To: <[email protected]>
Subject:  =?windows-1251?B?0ODn8OX45e3o5Q==?=
MIME-Version: 1.0
Content-Type: multipart/related;
        Type="multipart/alternative";
        boundary="----=_NextPart_000_0090_01C2A9A6.57108D9A"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Return-Path: [email protected]

Я утверждаю, что это означает, что троян на компе 89.184.6.34 (открытый прокси, SOCKS или SMTP) рассылает спам через Яндекс путем авторизации, по зарегенному на Яндексе аккаунту [email protected]

Да там в заголовках это открытым текстом написано даже.




> Сообщение от kuznetz
> 
>  Это как это Вы «понимаете» механизм посылки с левого айпишника и from *@yandex.ru???!!! поделитесь. А то что-то неизвестное науке
> Что за чудесный механизм, если это НЕ механизм с аккаунта клиента Яндекса?
> 
> 
> Приходит мне в почту письмо с сабжем "Ваш аккаунт Яндекс-Деньги временно заблокирован", from=*@yandex.ru, в теле письма просьба проверить состояние аккаунта - фишинг в чистом виде. У меня никаких аккаунтов на Яндексе отродясь не было.  Неужели Вы думаете, что письма действительно с Яндекса!?


В отличие от Вас, уважаемый borka, я не «думаю», а смотрю заголовки. Откуда, по-вашему, я вообще узнал, что письмо с адреса 89.184.6.34? ведь этот IP был озвучен мною в самом начале разговора о письме. Вы же в ответ на это начали меня учить смотреть заголовки. Спасибо за ценные советы, уважаемый borka  :Smiley: 

Ваше письмо с приведенными Вами заголовками к разбираемому нами примеру имеет весьма малое отношение. Оно пришло НЕ через Яндекс.
Я во втором посте про мое письмо уже сказал, что письмо РЕАЛЬНО пришло через Яндекс — что это написано в заголовках. Потом повторял это каждый раз. Вы посты читать умеете?




> Из заголовков письма видно, что отправители (айпишники 14.160.135.186 и 208.57.100.52) ну ни разу не имеет отношения к "Chase"


Из этого видно еще и то, что Вы, уважаемый, имеете лишь НАЧАЛЬНЫЕ представления о существующей практике рассылки спама. Каждому понятно, что IP 14.160.135.186 вообще не имеет отношения к прохождению письма. Это подделанный заголовок Received. На всякий случай (если Вы опять “думаете”) пробейте этот IP по WhoIs. Будет очень смешно, обещаю.

Но то, что заголовок подделан, видно БЕЗО всякого WhoIs, повторяю.
Это еще один пример того, что Вы беретесь судить о вещах, в которых разбираетесь мало.




> Сообщение от kuznetz
> 
>  Согласно приведенной Вами ранее схеме политик Яндекса, такого не может быть. Вы опять торопитесь неизвестно куда.
> 
> 
> Вы будете смеяться, но Яндекс тут ни при чем.


Как можно было видеть из приведенных мною заголовкой, Яндекс тут при чем.




> Сообщение от kuznetz
> 
>  Чем Вам не понравилась перечисленная мной схема распространения спам-троянов: полученный по почте почтовый вирус Warezov скачивает с интернета спам-трояна и запускает его.
> 
> 
> Чем не понравилась? Своей нереальностью. Я не слышал, чтобы Лимар скачивал трояна и запускал его


Перефразируя Вас, можно сказать, что если Вы чего-то не слышали — то не значит, что этого нет.

Итак, на всякий случай начну с напоминания, что Limar — это Warezov.

Теперь ссылки по теме:




> Email-Worm.Win32.Warezov.et («Лаборатория Касперского») также известен как: W32/Stration.gen.dldr (McAfee),   Win32.HLLM.Limar.based (Doctor Web),   WORM/Stration.AF (H+BEDV),   Win32:Warezov-AAP (ALWIL),   Trojan.Dropper.Stration.VD (SOFTWIN),   Worm.Stration.WR (ClamAV)  
> 
> Вирус-червь, распространяющийся посредством электронной почты. В письма червь помещает не свою копию, а компонент, обладающий функцией загрузки из Интернета ДРУГИХ вредоносных программ.
> 
> Деструктивная активность
> Вирус имеет возможность завершать различные процессы, а также останавливать и удалять службы антивирусных программ и персональных брандмауэров.
> Также основной исполняемый файл червя скачивает с сайтов злоумышленника различное ВРЕДОНОСНОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ и инсталлирует его в систему пользователя.


Выше процитированное взято отсюда:
http://www.viruslist.com/ru/viruses/...virusid=140652 

Далее:



> Эксперты по сетевой безопасности продолжают фиксировать экспансию семейства троянцев Dorf и червя-спамера Warezov, он же Stration, по каналам электронной почты. Кибертеррористы заменили сообщения о мировых сенсациях и катаклизмах любовными посланиями и предупреждениями об угрозах компьютерной безопасности, но цель их атак остается неизменной – расширение СЕТИ ПОДКОНТРОЛЬНЫХ КОМПЬЮТЕРОВ.





> По мнению специалистов F-Secure, наиболее уязвимым звеном троянских атак кибертеррористов являются пользователи домашних компьютеров, так как системы безопасности бизнес-структур обычно вычищают все файлы .exe из входящей электронной почты. В Sophos предвидят дальнейшее наращивание «ТРОЯНСКОГО наступления», нацеленного на расширение армии ЗОМБИ для автоматизированной рассылки СПАМА и нелегитимной рекламы или для проведения DoS-атак


Выше процитированное взято отсюда:
http://www.spamtest.ru/news?id=207508834

Надеюсь, это удовлетворительные источники?




> Остальной флуд про вирусы и трояны поскипан.


Будьте так любезны процитировать его, и дать ответ. То есть либо согласиться с тем что было сказано, либо аргументированно возразить.




> Сообщение от kuznetz
> 
>  OK, правильно ли я Вас понял: Вы думаете, что
> «программы почтовые-клиенты не умеют устанавливать SMTP-соединение с сервером»
> 
> 
> Про почтовые клиенты разговора не было. Был разговор про пользователей.  Это к вопросу точности формулировок.


Чьих формулировок? Ваших? (за свои я ответил в прошлом и позапрошлом посте)
О пользователях-робокопах, умеющих/не умеющих выходить в интернет без помощи компьютера у нас, естественно, разговора с Вами не было. Разговор был про пользователей, троянов и почтовые сервера.

Не валяйте дурака, пожалуйста. Пользователь, в контексте обсуждаемого вопроса, — это программа, работающая у пользователя, и тут не может быть двух толкований. Поэтому я был вынужден вынести этот вопрос на рассмотрение в разделе «Помогите», как и обещал:

Надеюсь, что эксперты выскажут там свое мнение.
http://virusinfo.info/showthread.php?t=13987




> Сообщение от kuznetz
> 
>  и насчет почему почтовые сервера вдруг работают по схеме 2.
> 
> 
> Еще раз: почтовые серверы не имеют ни малейшего представления о Ваших схемах. Вы исхОдите из того, что спам рассылается только клиентом какого-нибудь почтовика (корпоративного или Яндекса - неважно). Я же считаю, что трояны отсылают спам как почтовые серверы - напрямую.


Опять начинаются уроки в стиле Леонида Ильича.
Спам рассылают трояны — я это говорил в этой теме множество раз.

Речь о том, что ПРИ ЗАКРЫТОМ ПОРТЕ 25 трояны не смогут рассылать спам «как почтовые серверы — напрямую». Это тоже было сказано множество раз. Вы читать посты умеете?

И трояны будут вынуждены (при условии соответствующей переделки троянов спамерами, надо полагать) рассылать почту не напрямую, а только через почтовые сервера («корпоративные или Яндекса», как Вы сказали) путем использования реквизитов SMTP-авторизации, взятых тут же на компьютере клиента. Все это уже говорилось, и не раз. Вы читать умеете?




> Сообщение от kuznetz
> 
>  Ну что за таинственные «спам-почтовики»? Где Вы их видели, что Вы под этим подразумеваете?
> Спам рассылают спам-трояны, сидящие на компьютерах пользователей.
> 
> 
> Спам-почтовик - это троян, сидящий на компьютере пользователя (возможно, входящий в состав ботнета) и рассылающий спам


???
а я только что, в процитированном Вами фрагменте, — не это же самое сказал разве?!




> С чего Вы взяли, что он может работать только по Вашей же схеме #2 - до сих пор понять не могу...


С чего Вы взяли, что я это говорил? (про «только» то есть.)
где, когда? приведите цитату и ссылку на пост. Что за ерунда опять?

Трояны работают по всем трем схемам. Спамеры всегда используют все возможности. Это умные люди.

Трояны, в настоящее время, работают преимущественно по схеме 1 — то есть напрямую посылают письмо на Яндекс. Яндекс, как Вы выяснили, такие письма часто не принимает — поскольку на Яндексе проверяется IP на то что он должен иметь корректный PTR.

Но подавляющее большинство почтовых серверов (далеко ходить не надо — Mail.ru) таких проверок не делает. Кроме того, трояны сидят и на адресах, имеющих корректный PTR (как в приведенном мною примере с IP 89.184.6.34). Поэтому трояны на данный момент успешно работают по схеме 1.

Кроме того, трояны работают по схеме 2. То есть отправляют письма через открытые релеи.

Кроме того, трояны работают по схеме 3 (то есть с авторизацией) — опять же см. приведенный мною пример с письмом с IP 89.184.6.34




> Сообщение от kuznetz
> 
>  каким местом закрытие порта 25 влияет на справление провайдера с приходящим спамом? что за ахинею Вы несете, прошу прощения.
> 
> 
> Вот и я удивляюсь, зачем провайдеру закрывать 25 порт и искать приключения на свою лысину, если у него в сети спама нет?


У КОГО В СЕТИ НЕТ СПАМА? назовите конкретную сеть (не очень маленькую только, хотя бы /17)

Я взял на себя смелость посмотреть на SenderBase ситуацию в сети kiev.ua:
http://www.senderbase.org/senderbase...string=kiev.ua

Как все могут убедиться, на данный момент в сети значится 322 источника почты. Из них часть является, конечно, штатными почтовыми серверами, но подавляющее большинство — боты на компьютерах пользователей, И выставляющиеся в инет интерфейсы серверов NAT-доступа (за которыми во внутренней сети сидят тоже боты на компьютерах пользователей).

Суммарная magnitude оценивается в 6.2
То есть миллион с небольшим писем в день, из которых 80-90% составляет спам.

При это следует еще сделать поправку на то, что SenderBase берет свои данные только с заграничных провайдеров. То есть весь спам, поступающий в сети СНГ и прочих неучаствующих в системе стран — здесь еще не учтен. Значит, на самом деле спама из этой сети еще больше.

Поэтому будьте добры не косить, что у вас «нет спама».

По поводу спама из России можно пробить данные по сети МТУ (Москва):
магнитуда 7.9. То есть почти 100 млн. штук спама в день.

Вот что по поводу размеров российского спама думают на Западе:



> Однако за последние два месяца уровень спама российского происхождения вырос втрое; в настоящее время нелегитимные сообщения из России составляют 9% от общего объема спама в Интернете. В рейтинге стран-источников спама, регулярно обновляемом Marshal, Россия в настоящий момент занимает 2 место.


ВТОРОЕ место в мире!
взято отсюда:
http://www.spamtest.ru/news?id=207509032




> Сообщение от kuznetz
> 
>  RTFM. Вы читать умеете? Там было написано, сразу в первом посте: при закрытом порте 25 пользователи будут отправлять на порт MSA. Рекомендуемое значение порта — 587. Хотя конкретное значение без разницы. Либо через почтовик провайдера.
> 
> 
> Если пользователи будут отправлять письма на порт MSA, то и трояны будут отправлять туда же. Вам ужЕ дважды ответили


А я уже столько же раз (если не больше) ответил на это:
ДА, БУДУТ. Но это гораздо менее эффективно. В этом разница.

Вы на это ответили, что у Вас «мнение», что это без разницы. И вот это мнение Вы не желаете аргументировать, в точности как незабвенный Леонид Ильич.




> Кроме того, почему Вы решили, что трояны будут прикидываться клиентами, а не серверами?


Что значит «прикидываться клиентами, прикидываться серверами»? Поясните что Вы под этим подразумеваете.
Трояны ничем не прикидываются. Они отправляют почту.

«Прикидываться серверами», то есть отправлять почту наружу через порт 25 — они не смогут, потому что для клиентов (а трояны сидят на клиентах) порт 25 будет вовне закрыт.




> Сообщение от kuznetz
> 
>  При закрытии порта 25 обмен между почтовыми серверами никак не меняется.
> 
> 
> И что с закрытия порта?


То, что прекращается отправка почты троянами, сидящими на клиентах. А это главный путь рассылки спама. Уже говорилось это, множество раз.




> Ну я примерно так и предполагал


Тогда чего же Вы, прошу прощения, ваньку валяли столько времени?!!




> Весь разговор о *клиентах*, а троян рассылает спам как *сервер*.


Нет, не как сервер, потому что ему будет недоступен наружу порт 25.  Порт 25 будет для клиентов наружу закрыт — в этом и заключается мера по закрытию порта 25. Это было сказано В САМОМ НАЧАЛЕ, и потом множество раз повторял. Хватит ваньку валять, господин borka!




> рассмотрим такую схему. У провайдера, разумеется, не один клиент. У провайдера, естественно, не один корпоративный почтовик. Между собой, как выяснилось, почтовики работают напрямую. Что мешает трояну в сети одного корпоративного клиента рассылать спам на почтовик другого корпоративного клиента?


Вот опять аргумент в пользу мнения о Вашей низкой компетентности в обсуждаемых вопросах. Вы путаетесь в трех соснах, в совершенно элементарных схемах.

Трояну мешать будет то, что порт 25 будет закрыт для него наружу СОВСЕМ, то есть в том числе закрыт на все корпоративные сервера, находящиеся в сети этого провайдера, и всех остальных провайдеров. Разве не так было сказано С САМОГО НАЧАЛА?

Порт 25 для клиента провайдера будет открыт только на почтовик этого провайдера. Да и то это делается в качестве костыльной временной меры — поскольку не все почтовики смогут разом заиметь у себя отдельный порт MSA. На этот переходный период некоторым клиентам провайдера и потребуется отправлять почту через почтовик провайдера.




> Сообщение от kuznetz
> 
>  Это Вы, Geser, DVi и другие — предлагаете не принимать мер против исходящего спама, а принимать меры исключительно против приходящего.
> 
> 
> Вероятно потому, что приходящего в разы больше


Во-первых, каким образом Вы это определяете? То есть каким образом Вы определяете объем исходящего спама?

Вы (и провайдер вообще, любой) не можете знать, сколько спама исходит из Вашей сети. Ведь спам идет напрямую, не через почтовые сервера провайдера. Он нигде не фиксируется, ни в каких логах.

Во-вторых, раз Россия занимает второе место в мире по исходящему спаму, то это доказывает именно то, что приходящего НЕ больше. Ведь спам не рассылается из ниоткуда.




> Млин! Ну как Вам объяснить, что не озабочен я проблемой исходящего спама. Мой админ - тоже, мой провайдер - тоже.


Так о том и речь, чтобы Вы, и Ваш провайдер — озаботились. Морально обязать, уже говорилось. И законодательно, если получится. Опять начинаете бегать вокруг одного места? Ведь все это уже говорилось, и я дал на это ответ.




> Я - как и другие *пользователи* - озабочен проблемой спама входящего. Источник которого находится в Нигерии, Франции, Польше, Бразилии и т. д. Какая может быть ответственность!? Чья?


Во-первых, согласно приведенным мною ранее данным, источник получаемого россиянами спама находится преимущественно в России. За Украину сказать не могу — но не вижу причин, по которым ситуацию на Украине следует ожидать менее печальной.

Во-вторых, на нас ответственность перед Францией, Нигерией, Польшей, Бразилией и остальным миром за тот спам, который идет к ним из нашей сети. Чего тут непонятного?




> КАК ВАМ ОБЪЯСНИТЬ, ЧТО ВЫ БОРЕТЕСЬ НЕ С ПРИЧИНОЙ, А СО СЛЕДСТВИЕМ!?


Согласен.
А Вы разве предлагаете не то же самое (только на еще более далекой от источника точке маршрута) — борьбу со следствием, когда предлагаете ограничиться только борьбой с приходящим спамом?!!




> Что эти меры ничего не дадут, кроме головной боли честным пользователям? Что без кампании по борьбе со спамом/вирусами в масштабах всех компьютерно развитых стран ничего не получится? Что сначала нужны организационные меры?
> Поэтому, думается, Geser совершенно прав


Geser (и Вы) совершенно прав в том, что организационные, законодательные и пропагандистские меры нужны. Я разве с этим спорю или спорил? нет конечно. Вы это прекрасно знаете. Я несколько раз в этой теме про это говорил, открытым текстом.

С этим я не спорю — я спорю с тем, что Вы предлагаете ЖДАТЬ, пока эти меры будут осуществлены. То есть фактически ждать, пока рак на горе свистнет. Именно такая точка зрения объективно устраивает спамеров.

Поэтому я предлагаю СЕЙЧАС делать то, что можно сделать. То есть всем порядочным провайдерам — закрыть порт 25.

----------


## DVi

в этoм тoпикe нe oтмeтилcя ни oдин пpoвaйдep. лyчшe пooбщaйтecь c ними нaпpямyю, kuznetz, чтoбы пpeдcтaвить, гeмoppoй кaкoгo paзмepa вы им пpeдлaгaeтe.

*Добавлено через 12 минут*

и eщe: я xopoшo пoмню, кaк aвтopoв aнaлитичecкиx cтaтeй нa spamtest.ru вы нaзывaли @пocoбникaми cпaмepoв@. бyдьтe пocлeдoвaтeльны, нe пepexoдитe нa cтopoнy spamtest

----------


## Alexey P.

> Поэтому я предлагаю СЕЙЧАС делать то, что можно сделать. То есть всем порядочным провайдерам — закрыть порт 25.


 У меня 25 порт закрыт, кроме сервера провайдера.
99% из виденных мной спамботов действительно рассылать спам в такой негуманной обстановке не могут. В их репортах хозяевам встречается "smtp=bad".

 Но как только это станет массово используемой мерой - всего-то будет сменена тактика спамеров, т.к. и с закрытым наглухо 25 портом 1% троянов (к примеру, червь MedBod) прекрасно рассылает спам через веб-интерфейсы почты гугля, яху, а также сообщения через аську, MSN и реже в форумы.
 Т.е. с закрытием порта 25 сменятся спамботы, не более того. Так они и без того меняются порой по нескольку раз в день.
 Пока за спам платят деньги - способ рассылки будет найден.
Закрытие 25 порта будет действенным лишь до тех пор, пока оно не применено массово и никого особо не беспокоит.

----------


## kuznetz

> в этoм тoпикe нe oтмeтилcя ни oдин пpoвaйдep. лyчшe пooбщaйтecь c ними нaпpямyю, kuznetz, чтoбы пpeдcтaвить, гeмoppoй кaкoгo paзмepa вы им пpeдлaгaeтe.


Спасибо за ценный совет, господин DVi.
Я общался с провайдерами, как путем непосредственной переписки с техподдержкой и администраторами почты и администраторами доступа, так и на форумах.

Поэтому прекрасно представляю как «размер геморроя», так и причины, по которым этот размер неизменно преувеличивается этими провайдерами. Всё это (и причины геморроя, и причины переразмера) обсуждалось, кстати, в этой теме. Вы же знаете. Так зачем же Вы снова делаете далеко идущие (якобы далеко идущие) предложения?




> и eщe: я xopoшo пoмню, кaк aвтopoв aнaлитичecкиx cтaтeй нa spamtest.ru вы нaзывaли @пocoбникaми cпaмepoв@. бyдьтe пocлeдoвaтeльны, нe пepexoдитe нa cтopoнy spamtest


Извините, господин DVi, но
«стороны» здесь занимаете Вы и господин Geser. По этим причинам Вы высказываете мнения, которые иначе как отмазкой не назвать (имеется в виду то, что Вы сказали в моей теме Помогите рассудить спор), а господин Geser делает то, что он делает (обсуждать это нельзя, поэтому не буду).

Я ничью сторону не занимаю, а оперирую в своих постах объективными (насколько это возможно) фактами.

Аналитики, писавшие против черных списков на webinform (собственно, это были не аналитики, а конкретно господа Демидов, Ашманов, Скрипка, Тутубалин и др.), и аналитики, писавшие статьи на SpamTest (а тем более на Marshal — ведь взято с сайта Marshal, на SpamTest только обзор этой статьи) — это разные люди. У Вас странная логика.

*Добавлено через 5 минут*




> У меня 25 порт закрыт, кроме сервера провайдера.


Респект.




> Но как только это станет массово используемой мерой - всего-то будет сменена тактика спамеров


Да, Вы правы. Это очевидное соображение, и оно, конечно, уже обсуждалось в данной теме.

Ответ заключался в том, что рассылка троянами через сервера неспособна выполнить тот объем спама, который имеем сейчас. Потому что а) не хватит мощности всех почтовых серверов в мире б) на почтовых серверах ПО СВОИМ пользователям ничто не мешает применять тарпит, IP-Screen и прочие меры для ограничения спам-рассылок.

Вот на это соображение господин borka наотрез отказывается давать ответ, только леонид-ильичевское «мнение».

Прошу Вас рассудить наш спор, раз на то пошло.

----------


## ALEX(XX)

> Ответ заключался в том, что рассылка троянами через сервера неспособна выполнить тот объем спама, который имеем сейчас. Потому что а) не хватит мощности всех почтовых серверов в мире б) на почтовых серверах ПО СВОИМ пользователям ничто не мешает применять тарпит, IP-Screen и прочие меры для ограничения спам-рассылок.


Проблема в том, что есть масса криво настроенных почтовых серверов где возможен открытый relay. В частности у нашего местного прова обнаружилась колоссальная утечка траффика. Оказался криво настроенный postfix и через него пробрасывали оочень много почты, канал был забит полностью.

----------


## borka

> короче говоря, с чем Вы спорили?


Поскольку раздвоением личности не страдаю, то явно не с собой.  :Stick Out Tongue: 

Флуд о моей неадекватной личности поскипан.  :Smiley: 




> Очень хотелось бы взглянуть на клуджи этого загадочного письма, поскольку "троян на компьютере smtp.yandex.ru", "промежуточный релей mail.yandex.ru" - это очередные непонятные мне умные слова. 
> 
> 
> 
> 
> 
>  Сообщение от kuznetz
> 
> 
> ...


Значит, точно совпало!  :Smiley:  

Отличия borka от kuznetz поскипаны.  :Smiley: 




> Ваше письмо с приведенными Вами заголовками к разбираемому нами примеру имеет весьма малое отношение. Оно пришло НЕ через Яндекс.


Маленькая поправка - "к разбираемому *Вами* примеру". Мне, честно говоря, абсолютно до с... спины, откуда пришло письмо - с Яндекса, не с Яндекса. Это спам. Он пришел.




> Я во втором посте про мое письмо уже сказал, что письмо РЕАЛЬНО пришло через Яндекс — что это написано в заголовках. Потом повторял это каждый раз. Вы посты читать умеете?


Ну и слава богу. Вы ответы читать умеете? Я сразу сказал, что совпало - адрес отправителя и реальный адресант.  :Smiley:  И с чем Вы спорили - непонятно.




> Из этого видно еще и то, что Вы, уважаемый, имеете лишь НАЧАЛЬНЫЕ представления о существующей практике рассылки спама. Каждому понятно, что IP 14.160.135.186 вообще не имеет отношения к прохождению письма. Это подделанный заголовок Received. На всякий случай (если Вы опять “думаете”) пробейте этот IP по WhoIs. Будет очень смешно, обещаю.


Кому смешно и по какому поводу? После получения письма я смотрел все айпишники. Почему-то смешно не было. Расскажете? Вместе посмеемся. Зато теперь, надеюсь,  Вы будете немного знать про фишинг и про поддельные from в письмах. 




> Будьте так любезны процитировать его, и дать ответ. То есть либо согласиться с тем что было сказано, либо аргументированно возразить.


Печатаю медленно-медленно: Я о таких случаях не слышал. Подтверждаю. У меня достаточный опыт вычищения компьютеров от вирусов, троянов и прочих мальварей. В моей практике такого не встречалось. Поэтому для меня такая схема нереальна. Как еще ответить? Опять же если бы Вы прочитали мой ответ коллеге DVi, то наверняка бы вопроса не возникло.




> Поэтому я был вынужден вынести этот вопрос на рассмотрение в разделе «Помогите», как и обещал:
> Надеюсь, что эксперты выскажут там свое мнение.
> http://virusinfo.info/showthread.php?t=13987


М-да... Почему в двойном "Оффтопе"? А обещали в "Помогите"...




> И трояны будут вынуждены (при условии соответствующей переделки троянов спамерами, надо полагать) рассылать почту не напрямую, а только через почтовые сервера («корпоративные или Яндекса», как Вы сказали) путем использования реквизитов SMTP-авторизации, взятых тут же на компьютере клиента. Все это уже говорилось, и не раз. Вы читать умеете?


Так это Вам приводились эти аргументы. Наконец-то Вы их прочитали.

Схемы поскипаны.  :Smiley: 

Магнитуды тоже поскипаны.  :Smiley: 

Еще много чего поскипано.  :Smiley: 




> А Вы разве предлагаете не то же самое (только на еще более далекой от источника точке маршрута) — борьбу со следствием, когда предлагаете ограничиться только борьбой с приходящим спамом?!!


А вот тут не передергивайте! Я говорил о комплексной системе. Как эта Ваша цитата соотносится со следующей:



> Geser (и Вы) совершенно прав в том, что организационные, законодательные и пропагандистские меры нужны. Я разве с этим спорю или спорил? нет конечно. Вы это прекрасно знаете. Я несколько раз в этой теме про это говорил, открытым текстом.


Зачем же так передергивать-то?

*Добавлено через 10 минут*




> Ответ заключался в том, что рассылка троянами через сервера неспособна выполнить тот объем спама, который имеем сейчас. Потому что а) не хватит мощности всех почтовых серверов в мире б) на почтовых серверах ПО СВОИМ пользователям ничто не мешает применять тарпит, IP-Screen и прочие меры для ограничения спам-рассылок.
> Вот на это соображение господин borka наотрез отказывается давать ответ, только леонид-ильичевское «мнение».


Этот флудер borka Вам объяснил, что его (borka) больше интересуют вопросы входящего спама, что предлагаемая мера никоим образом не снизит его объем. Что такие меры нужно принимать по всему миру, точнее, по компьютерно развитым странам. Что моему провайдеру/админу закрытие порта не поможет, если объем входящего спама многократно превосходит исходящий. 
Но ответы, которые не подпадают под концепцию закрытия 25 порта, Вас не устраивают.

*Добавлено через 6 минут*




> Проблема в том, что есть масса криво настроенных почтовых серверов где возможен открытый relay.


Так это ж надо знать, что это такое. Вот Вы знаете, а кто-то даже понятия не имеет. Потому что почтовик мог быть когда-то настроен ужЕ ушедшим админом, оно как-то работает, и никто его и трогать не будет. Либо обслуживаться приходящим админом, для которого лишние заморочки ни к чему.

----------


## kuznetz

> ...


поскипано.



> ...


опять поскипано



> ...


поскипано тоже.

Извините, господин borka, но весь Ваш пост поскипан. Если Вы не желаете вести диалог, а желаете валять ваньку — валяйте. Но я валять не намерен




> Проблема в том, что есть масса криво настроенных почтовых серверов где возможен открытый relay. В частности у нашего местного прова обнаружилась колоссальная утечка траффика. Оказался криво настроенный postfix и через него пробрасывали оочень много почты, канал был забит полностью.


Без сомнения, такое бывает. Я сам залетал за время своей работы 2 раза (с открытым релеем). Каждый раз точно помню.

Но Вы ведь не хотите сказать, что кривонастроенные почтовики поставляют хоть сколько-нибудь заметную часть спама в интернете? Почему Вы говорите «масса»?
Доля кривонастроенных почтовиков совершенно незначительна. И она никогда не будет значительна — потому что с чего?

Наибольшую часть спама производят спам-трояны на компьютерах пользователей. Именно с этой частью предлагается бороться путем закрытия порта 25.

----------


## borka

> поскипано.
> опять поскипано
> поскипано тоже.
> Извините, господин borka, но весь Ваш пост поскипан. Если Вы не желаете вести диалог, а желаете валять ваньку — валяйте. Но я валять не намерен


Не вопрос. Со своей стороны я закончил.

----------


## ALEX(XX)

> Наибольшую часть спама производят спам-трояны на компьютерах пользователей. Именно с этой частью предлагается бороться путем закрытия порта 25.


Вот насчёт массового закрытия 25 порта... Вряд ли такое возможно, потому что это заложено с самого начала начал, это вроде фундамента в здании. Невозможно переделать фундамент без разборки здания...  Не факт, что не придумают иной способ. Ведь как говорится, на каждую хитрую ж... найдётся кой-чего с резьбой.

----------


## kuznetz

> Со своей стороны я закончил


Закончили валять ваньку?




> Вот насчёт массового закрытия 25 порта... Вряд ли такое возможно, потому что это заложено с самого начала начал, это вроде фундамента в здании. Невозможно переделать фундамент без разборки здания


Почему фундамент, почему разборка? Поясните, Алекс.

Порт 25 для клиентов закрыть, клиенты будут вместо него отправлять на порт MSA (порт 587). Больше ничего. Какая разборка?




> Не факт, что не придумают иной способ.


Иной способ чего?!

----------


## borka

> Закончили валять ваньку?


Переписку с Вами.

----------


## ALEX(XX)

> Почему фундамент, почему разборка? Поясните, Алекс. Порт 25 для клиентов закрыть, клиенты будут вместо него отправлять на порт MSA (порт 587). Больше ничего. Какая разборка?


Ну как показывает общемировая практика, люди - существа ленивые и не любят ломать привычные устои, поэтому массового закрытия 25 порта ожидать не следует в ближайшее время, хотя проблему спама надо было решать активно уже вчера.



> Иной способ чего?!


Рассылки спама, извините, мысль не закончил.

----------


## kuznetz

> Переписку с Вами


А ваньку, стало быть, валять не закончили?




> массового закрытия 25 порта ожидать не следует в ближайшее время, хотя проблему спама надо было решать активно уже вчера.


Не понятно: из-за того, что решения проблемы не следует ожидать скорым и легким, предлагается проблему не решать вообще?

Я ведь и не говорю, что провайдеры прямо кинутся все с радостью закрывать порт 25.
Алекс, прочитайте пожалуйста тему, иначе смысл обсуждать?

----------


## borka

> А ваньку, стало быть, валять не закончили?


Это Вы о чем, простите?

----------


## ALEX(XX)

Почему же не надо решать? Где я такое говорил? Моё видение решения, возможно не совсем верное, переход на SMTP SSL, установка на серверах эффективных спам-фильтров, установка у пользователей эффективного антивирусного ПО (и др. средств защиты). Вот в этом случае, проблема, думаю, будет решена.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## kuznetz

> Это Вы о чем, простите?


Не о чем, а о ком.
О Вас, разумеется. Вы не закончили валять ваньку?

----------


## ALEX(XX)

Вот что пишут в нете



> Именно по причине протокола SMTP спам валится тоннами в наши почтовые ящики. Существуют анонимные открытые smtp серверы, через которые любой может отправить любые письма куда угодно. Это так называемые "open smtp relay" - промежуточные серверы которые передают почту от одного сервера к другому. Благодаря тому, что такой relay не проверяет отправителя почты то злоумышленники получают доступ к рассылке спама в больших количествах, причем сами спаммеры не засвечиваются, поскольку отправители в
> письмах прописаны как правило левые. Получив в руки список smtp серверов, спамеры начинают атаковать нас днем и ночью. Такая рассылка SMTP спама может быть остановлена применением честных фильтров наподобие kaspersky smtp gateway, что представляет собой такой же промежуточный сервер, но с проверкой передаваемой почты на верность данных отправителя.

----------


## kuznetz

> Почему же не надо решать? Где я такое говорил?


Вы говорили, что закрывать порт 25 не следует потому, что не приходится ожидать, что провайдеры его закроют. Вот это я и охарактеризовал как странную логику.

Что касается перечисленных Вами сейчас мер борьбы со спамом — то Вы опять не прочитали тему. Все эти меры никто не отрицает, а наоборот всецело поддерживаю. Но поскольку эти меры до сих пор не возымели должного действия (поскольку спам есть, и растет), то предлагается озаботиться закрытием порта 25

----------


## borka

> Где я такое говорил?


Сейчас Вам расскажут.  :Stick Out Tongue:

----------


## kuznetz

Что касается упоминаемых Вами "open smtp relay", то
а) дайте пожалуйста ТОЧНУЮ ссылку, где это написано
б) доля этих открытых релеев совершенно ничтожна. Чтобы убедиться - посмотрите свой приходящий спам. Вы там не найдете НИ ОДНОГО прошедшего через такой релей.

----------


## ALEX(XX)

> Вы говорили, что закрывать порт 25 не следует потому, что не приходится ожидать, что провайдеры его закроют.


Вообще то, я говорил о том, что не следует ожидать быстрого массового закрытия данного порта.
По поводу того где прочитал http://www.zemskov.ru/smtp.html
По поводу open-relay http://en.wikipedia.org/wiki/Open_mail_relay



> Many ISPs use DNSBLs (DNS-based Blocking Lists) to disallow mail from open relays Once a mail server is detected or reported that allows third parties to send mail through them, they will be added to one or more such lists, and other e-mail servers using those lists will reject any mail coming from those sites.

----------


## kuznetz

> Вообще то, я говорил о том, что не следует ожидать быстрого массового закрытия данного порта.


Согласен с Вами в этом.
Но Вы не возражаете, что эта мера правильная — то есть приведет к заявленным результатм: уменьшению спама в десятки и сотни раз?




> По поводу open-relay http://en.wikipedia.org/wiki/Open_mail_relay


Понятно. Вы заметили, что там было написано:
“In the mid-1990s”
???

То есть эти данные — об использоании спамерами открытых почтовых серверов — устарели ДАВНЫМ-ДАВНО. В наше время релеев нет — за исключением ошибок админов, естественно. Но эта доля ничтожно мала.




> Many ISPs use DNSBLs (DNS-based Blocking Lists) to disallow mail from open relays Once a mail server is detected or reported that allows third parties to send mail through them, they will be added to one or more such lists, and other e-mail servers using those lists will reject any mail coming from those sites.


Так, здесь говорится что открытые релеи блокируют по черным спискам. Это Вы к чему?

----------


## ALEX(XX)

Даю ответ и иду спать.  :Smiley: 



> Но Вы не возражаете, что эта мера правильная — то есть приведет к заявленным результатам: уменьшению спама в десятки и сотни раз?


Не возражаю. Но во сколько раз уменьшит спам, не знаю, будущее для меня туманно.



> Так, здесь говорится что открытые релеи блокируют по черным спискам. Это Вы к чему?


Ну если блокируют по спискам, значит они есть, по-моему так, или я не прав? Интересно бы знать статистику по открытым релеям и их долю в спамерском деле

----------


## kuznetz

> Сейчас Вам расскажут.


Именно, господин borka.
В отличие от Вас, я говорю всё толком, что и почему,
а не высказываю «мнений» без аргументов к ним, и не отделываюсь идиотским Вашим «просто слов нет».




> Не возражаю. Но во сколько раз уменьшит спам, не знаю, будущее для меня туманно.


Спасибо. По меркам этого форума, Вы смелый человек. Извните, если это звучит несолидно, но я вполне серьезно, в самом деле.
Многие в этой теме от прямых ответов на прямые вопросы — уходят, и всё.




> Сообщение от kuznetz
> 
>  Так, здесь говорится что открытые релеи блокируют по черным спискам. Это Вы к чему?
> 
> 
> Ну если блокируют по спискам, значит они есть, по-моему так, или я не прав?


Вы правы, но это было в середине 90х годов. С тех пор открытые почтовые сервера поисчезали, и уже давно их как таковых нет. Есть только случайные ошибки конфигурирования.

В наше время по черным спискам блокируют спам-троянов. Это, можно сказать, тоже открытые релеи (чаще – открытые прокси), но НЕ НА ПОЧТОВЫХ СЕРВЕРАХ, а на компьютерах пользователей. С точки зрения закрытия порта 25 — это две большие разницы.




> Интересно бы знать статистику по открытым релеям и их долю в спамерском деле


Я уже предложил: можно посмотреть спам в своем спамосборнике. Наугад выбрать выборку, предположим, из 20 штук. Если есть время, то и из большего количества. 

Вы из них не найдете НИ ОДНОГО через открытый почтовый сервер. Почтовый сервер от спам-трояна отличать, естественно, следует по наличию MX (MX, соответствующего PTR или HELO, если уж вести речь о том, как это смотреть практически).

----------


## DVi

1. Наибольшую часть спама производят спам-трояны на компьютерах пользователей, paccылaющиe eгo чepeз кpивo нacтpoeнныe пoчтoвыe cepвepa, т.н. @open [email protected] cпиcки open-relays coбиpaютcя cпaмepaми нe мeнee тщaтeльнo, чeм пoчтовыe aдpeca. 
2. г-дa aшмaнoв, тyтyбaлин и т.д., нaзвaныe вышe - ocнoвaтeли spamtest.ru

----------


## borka

> Именно, господин borka.
> В отличие от Вас, я говорю всё толком, что и почему,
> а не высказываю «мнений» без аргументов к ним, и не отделываюсь идиотским Вашим «просто слов нет».


Вы флудер, флеймер, демагог и "проффесионал", для которого есть два мнения - свое и неправильное. Если кто-либо высказывает мнение, отличное от Вашего, то ни ответов, ни аргументов не читаете и не воспринимаете.




> В наше время по черным спискам блокируют спам-троянов. Это, можно сказать, тоже открытые релеи (чаще – открытые прокси), но НЕ НА ПОЧТОВЫХ СЕРВЕРАХ, а на компьютерах пользователей. С точки зрения закрытия порта 25 — это две большие разницы.


С точки зрения трояна, он и есть ПОЧТОВЫЙ СЕРВЕР. А с точки зрения НЕЗАКРЫТОГО 25 порта в Свазиленде, закрытие порта у моего провайдера ничего не даст мне как пользователю для снижения входящего спама.

----------


## maXmo

> Если принимающий сервер это опен релей, то ему все равно, кто отправляет письмо - клиент, другой сервер или троян.


про опен релеи, думаю, можно забыть. Я говорил про разрешение нормальным клиентам общаться с нормальными почтовыми серверами по 25 порту. Среди нормальных почтовых серверов (типа mail.ru, yandex.ru, gmail.com, newmail.ru) сейчас нет опен релеев, везде нужна аутентификация. То есть если с рабочего места вылетает письмо без аутентификации, его можно смело резать. Это можно детектировать и резать. Это уменьшит количество *исходящего* спама.




> Но как только это станет массово используемой мерой - всего-то будет сменена тактика спамеров, т.к. и с закрытым наглухо 25 портом 1% троянов (к примеру, червь MedBod) прекрасно рассылает спам через веб-интерфейсы почты гугля, яху, а также сообщения через аську, MSN и реже в форумы.
>  Т.е. с закрытием порта 25 сменятся спамботы, не более того. Так они и без того меняются порой по нескольку раз в день.
>  Пока за спам платят деньги - способ рассылки будет найден.
> Закрытие 25 порта будет действенным лишь до тех пор, пока оно не применено массово и никого особо не беспокоит.


вот у меня тоже устойчивое впечатление, что ты этим хотел сказать «Не имеет смысла бороться, потому что всё равно ничего не получится». Как сказал один мой знакомый, может хватит бояться и начать жить?!




> Ну как показывает общемировая практика, люди - существа ленивые и не любят ломать привычные устои


жаль, что майкрософт, выпуская висту, забыла проконсультироваться с тобой на этот счёт.




> поэтому массового закрытия 25 порта ожидать не следует в ближайшее время, хотя проблему спама надо было решать активно уже вчера.


так и давайте решать, а не твердить, что всё это бесполезно, т.к. спамеры всё равно найдут другой способ рассылки спама. Я лично от всех присутствующих кроме kuznetza слышу второе. Почему???




> Почему же не надо решать? Где я такое говорил? Моё видение решения, возможно не совсем верное, переход на SMTP SSL, установка на серверах эффективных спам-фильтров, установка у пользователей эффективного антивирусного ПО (и др. средств защиты). Вот в этом случае, проблема, думаю, будет решена.


А как же «на каждую хитрую ж...»? Оно всё прекрасно, но у меня вопрос, почему мы сначала изобрели колесо, потом построили телегу, потом паровой двигатель, потом – внутренего сгорания? А? Нет чтоб сразу сделать машину на антиграве – и дело в шляпе. О как всё просто-то!!! Истина состоит в том, что прогресс идёт потстепенно, поступательно, а не туннелированием неизвестно куда.




> Не возражаю. Но во сколько раз уменьшит спам, не знаю, будущее для меня туманно.


а настоящее? Какой процент спама сейчас идёт по 25 порту без аутентификации?

----------


## kuznetz

> 1. Наибольшую часть спама производят спам-трояны на компьютерах пользователей, paccылaющиe eгo чepeз кpивo нacтpoeнныe пoчтoвыe cepвepa, т.н. @open [email protected] cпиcки open-relays coбиpaютcя cпaмepaми нe мeнee тщaтeльнo, чeм пoчтовыe aдpeca.


Хорошо, господин DVi.
Прошу Вас подтвердить Ваши слова описанным выше мной образом. То есть посмотреть в своем спамосборнике. Архив найденных Вами писем с открытых релеев прошу Вас выложить в данную тему.

Либо как-то иначе подтвердите. Надеюсь, что Ваш статус эксперта не позволяет Вам кидаться голословными мнениями, подобно господину borkе?




> 2. г-дa aшмaнoв, тyтyбaлин и т.д., нaзвaныe вышe - ocнoвaтeли spamtest.ru


Да, мне это известно. Вы в этой теме в начале этого года сказали это сразу.

Я уважаю профессионализм Тутубалина, который можно наблюдать в его статьях по вопросам антиспама. Я не уважаю его предвзятое мнение, там где оно есть.

Хорошо, готов согласиться на подразумеваемую Вами формулировку, что аналитики SpamTest, процитированные мною в моих аргументах — это пусть ТЕ САМЫЕ, которых я обвиняю в пособничестве спамерам. Пусть даже так (хотя на самом деле в процитированных мною статьях SpamTest лишь процитированы выводы аналитиков Marshal, Sophos и F-Secure).

Не вижу, почему по этой причине я обязан отказаться от использования статей этих аналитиков.




> Сообщение от kuznetz
> 
>  Именно, господин borka.
> В отличие от Вас, я говорю всё толком, что и почему,
> а не высказываю «мнений» без аргументов к ним, и не отделываюсь идиотским Вашим «просто слов нет»
> 
> 
> Вы флудер, флеймер, демагог и "проффесионал", для которого есть два мнения - свое и неправильное. Если кто-либо высказывает мнение, отличное от Вашего, то ни ответов, ни аргументов не читаете и не воспринимаете.


Это Вы перекладываете с больной головы на здоровую, господин borka. Вы, например, сказали, что я некоррекно сказал, что почтовики “требуют авторизации”. Я это признал. Вы же НИЧЕГО нигде не признали, а начали “скИпать”.

Именно Вы не читаете, и не воспринимаете аргументов. В этом каждый может убедиться, прочитав Ваши посты в данной теме:
http://virusinfo.info/showthread.php...473#post148473 
http://virusinfo.info/showthread.php...779#post148779 
где Вы, нисколько не смущаясь, «поскипали» все мои аргументы. Я себе такого по отношению к Вам никогда не позволял. Вообще не пропустил ни одного Вашего слова.

Поэтому это Вы перекладываете с больной головы на здоровую.




> Сообщение от kuznetz
> 
>  В наше время по черным спискам блокируют спам-троянов. Это, можно сказать, тоже открытые релеи (чаще – открытые прокси), но НЕ НА ПОЧТОВЫХ СЕРВЕРАХ, а на компьютерах пользователей. С точки зрения закрытия порта 25 — это две большие разницы.
> 
> 
> С точки зрения трояна, он и есть ПОЧТОВЫЙ СЕРВЕР.


Ну и что? пусть троян ведет себя как почтовый сервер — но это никак не облегчает ему задачу рассылки спама, если порт 25 для компьютера клиента, на котором троян сидит — наружу закрыт. Что Вы хотели сказать своим пламенным изречением?




> А с точки зрения НЕЗАКРЫТОГО 25 порта в Свазиленде, закрытие порта у моего провайдера ничего не даст мне как пользователю для снижения входящего спама.


Совершенно верно.
Вы это уже сто раз сказали, а я сто раз ответил.
Я ответил, что если никто не будет снижать свой исходящий спам — то каким образом спам вообще будет снижен? Господин Geser уже перечислил законодательные и пропагандистские меры, которые следует предпринять для снижения исходящего спама. Вы, как я понял, в этом вопросе к господину Geser’у присоединились. Так чего же Вы теперь опять возражаете?

Мера по закрытию порта 25 — это мера по снижению своего исходящего спама. Она не является альтернативой мер, предлагаемых господином Geser’ом, а является дополнительной к ним. Следует внедрять все возможные меры по снижению исходящего спама. А Вы их ПРОТИВОПОСТАВЛЯЕТЕ. На каком основании?

господин maXmo — спасибо за Ваш четкий взгляд на вещи. Респект.

----------


## DVi

любимыe вaми rbl и dnsbl этo и ecть cпиcки open-relays. нeпoлныe cпиcки, ecтecтвeннo. ..... пoпpoшy кoнтpoлиpoвaть эмoции. paзгoвop в тaкoм тoнe нe пpивeдeт к peшeнию вoпpoca.

*Добавлено через 13 минут*

кcтaти, я нe пoнял, кaк тexничecки вы пpeдлaгaeтe @зaкpыть 25 пopт@? дo пocлeднeгo вaшeгo пocтa вpoдe peчь шлa o пoчтoвoм cepвepe. a тeпepь - o клиeнтcкoм кoмпьютepe - чтo paвнocильнo пpинyдитeльнoй инcтaляции фaйpвoллa нa нeгo - я пpaвильнo пoнял?

----------


## borka

> Это Вы перекладываете с больной головы на здоровую, господин borka. Вы, например, сказали, что я некоррекно сказал, что почтовики “требуют авторизации”. Я это признал. Вы же НИЧЕГО нигде не признали, а начали “скИпать”.


Господи, что Вы хотите, чтобы я признал!?




> Ну и что? пусть троян ведет себя как почтовый сервер — но это никак не облегчает ему задачу рассылки спама, если порт 25 для компьютера клиента, на котором троян сидит — наружу закрыт. Что Вы хотели сказать своим пламенным изречением?


Млин, разговор слепого с глухим.  :Stick Out Tongue:  25 порт закрыт у Вашего провайдера (например), а у провайдера в Буркино-Фасо он открыт. Чем *мне* от этого легче?




> Так чего же Вы теперь опять возражаете?


Чему!?




> Мера по закрытию порта 25 — это мера по снижению своего исходящего спама. Она не является альтернативой мер, предлагаемых господином Geser’ом, а является дополнительной к ним. Следует внедрять все возможные меры по снижению исходящего спама. А Вы их ПРОТИВОПОСТАВЛЯЕТЕ. На каком основании?


Ну и где Вы увидели противопоставление? Вы придумываете слова оппонента, а потом с жаром их опровергаете. Вам ужЕ неоднократно было указано, что предлагаемые Вами меры трудоемки, геморройны и т. п. С моей точки зрения, этот способ нереален, но Вы не же слушаете, истолковывая слова на свой лад...

----------


## Синауридзе Александр

Скатились в злостный оффтоп. Тема закрыта.

P. S. Для тех кто еще не закончил спорить прошу сюда http://virusinfo.info/showthread.php?t=13987

----------

