PDA

Просмотр полной версии : Борьба со спамом по черным спискам и закрытием портов



kuznetz
14.11.2007, 21:14
Первая часть темы, по подтеме «черные списки» находится здесь:
http://virusinfo.info/showthread.php?p=93917
Первая часть темы, по подтеме «закрытие порта 25» находится здесь:
http://virusinfo.info/showthread.php?p=146808
Комната отдыха, с бейсбольными битами и резиновыми куклами ваших оппонентов, находится здесь:
http://virusinfo.info/showthread.php?t=13987

Перед вступлением в дискуссию настоятельно рекомендуется освежить в памяти вузовский курс формальной логики.




Черные списки листят открытие релеи и прокси, совершенно верно. Когда открытые релеи БЫЛИ реально, черные списки листили их. Теперь открытых релеев реально практически НЕТ, и черные списки листят открытые прокси — представляющие собой сидящих на компьютерах пользователей спам-троянов.
Поясните значение слова "прокси" в своем предложении. Чем оно отличается от слова "open relay"?
В моем предложении эти понятия ничем не отличаются от общепринятых.
Открытый прокси — это открытый прокси: SMTP-прокси или SOCKS-прокси.
Открытый релей — это почтовый сервер, принимающий к доставке почту для несвоих доменов.

Отличие в том, что прокси не умеет доставлять почту — прокси и есть прокси. Проксе надо указать, куда толкать почту. При этом проксе можно указать и все остальное — поддельное имя хоста-отправителя в команде HELO, любые прочие левые и правые команды в диалоге SMTP.

Открытому релею не требуется (и нет возможности) указывать, куда толкать почту — это почтовый сервер, и он будет доставлять почту так, как задано его админом. Несмотря на то, что это открытый релей.

При этом почтовому серверу, естественно, невозможно указать и ничего остального — в том числе в команде HELO он будет говорить то, что задано его админом, диалог SMTP он будет вести так, как он будет его вести, и изменить это невозможно.

Почтовый сервер также отличается тем, что имеет обратный DNS, причем равный тому, что он говорит в команде HELO (иначе почту от него не примет значительное большинство действующих в настоящее время почтовых серверов).

Кроме того, самое главное в контексте нашей задачи отличие открытого релея: он работает на порту 25, и только. И он работает круглосуточно. И релеит он всех.

Открытые троянские прокси работают на произвольных портах — во всяком случае уж никогда НЕ на порту 25. И работают тогда, когда юзер сидит в интернете. То есть не круглосуточно. Кроме того, троянская прокся может быть такая, что она обслуживает только своего хозяина, то есть может иметь систему аутентификации. То есть даже если вы найдете где у нее порт, она может ваши команды не выполнить.



Если этого нет, то это не сервер, а обычный спам-троян, сидящий на клиенте. Клиентам порт 25 БУДЕТ ЗАКРЫТ, поэтому эти трояны не смогут рассылать спам. Поэтому Ваше возражение, что закрытие порта 25 ничего не даст, поскольку есть открытые релеи, для которых порт 25 будет не закрыт, — неправомерно.
Аргументируте это реальными цифрами, доступными публично. Я оперирую, возможно, устаревшими данными - но именно утверждение об активном использовании открытых релеев фигурирует в большинстве аналитических статей по спаму.
Хорошо, вот данные.

На SenderBase смотрю сеть kiev.ua:
http://www.senderbase.org/senderbase_queries/detaildomain?search_string=kiev.ua

Проверяю на открытый релей первые (или взятые случайным образом) 20 хостов из списка. Проверяю путем назначения этих хостов в моем почтовом сервере в качестве релея и отправки одного пробного письма, с адресом получателя [email protected]

Имеем следующую картину: все хосты, не являющиеся почтовыми серверами (например, custom-nat.wcomm.kiev.ua, 3d.n-line.kiev.ua и прочие), соединение просто не принимают. Все хосты, являющиеся почтовыми серверам (обычно это те, которые содержат mail в имени, например osnova-solsif.kiev.ua, mail.akels.kiev.ua), соединение принимают, но отвечают в духе Relaying denied.

То же самое, если смотрим сеть МТУ-Интел:
http://www.senderbase.org/senderbase_queries/detaildomain?search_string=mtu-net.ru
В этой сети вообще не показывает ни одного почтового сервера – все хосты являются клиентскими PPP-подключениями. Соответственно из проверенных навскидку 10 хостов ни один подключения на порт 25 не принял. То есть хост либо был не в сети, либо на 25м порту у него не было релея.

Вы можете это проверить самостоятельно. Вы НЕ НАЙДЕТЕ ни одного открытого релея среди хостов из списка. Аналогичным образом можно проверить большие источники спама сеть Bezeqint.net (Израиль), Verizon.Net (США), Telecomitalia.it (Италия), Giga.net.tw (Тайвань). Ни одного открытого релея нет.

Попробуйте — найдите хоть один релей. Если их «много», то это должно быть легко сделать. НЕ НАЙДЁТЕ не только много, а вообще ни одного.


Согласно отчетам ЛК, в первой тройке спам-ботнетов фигурируют США и Китай (про место России не помню навскидку). Я не думаю, что закрытие 25 порта у всех провайдеров города Москвы, например, окажет сколько-нибудь заметное воздействие на общее количество спама.
На общее количество спама где?
в Москве (то есть приходящего в Москву)? Разумеется.
Порт 25 закрывают не для уменьшения своего входящего спама, а для уменьшения своего исходящего спама.

Вообще, этот «аргумент» выглядит крайне странно. С этой точки зрения, например, ловить отсиживающихся в России зарубежных преступников, — бессмысленно. Зачем ловить — ведь они не у нас наколбасили. Зачем сотрудничать с Интерполом и т.п.? не надо сотрудничать. Согласно Вашей странной логике.

Согласно этой же странной логике, не следует ограничивать выброс в атмосферу веществ, разрушающих озоновый слой, — ведь страдает Чили и Антарктида, а не мы.

Не следует ограничивать вырубку лесов — ведь на наш век всё равно хватит, а что там будет с нашими потомками — пофик.

И т.д. Типичная логика ограниченного обывателя (причем умственно ограниченного).


kuznetz, Вы не могли бы озвучивать свои мысли несколько компактнее? Раз примерно в 10. Думаю, было бы логично создать новую тему в разделе "Борьба со спамом" и аккуратно "с нуля" расписать в ней свое предложение по "закрытию 25 порта" не более чем в 10 простых предложениях
Я изложил концепцию закрытия порта 25 совершенно компактно, без ничего лишнего. Изложена она была СРАЗУ, в первом посте, открывшем обсуждение. Ссылка на этот пост дана в начале данного сообщения.


Будет здорово, если Вы проиллюстрируете свое предложение картинками вместо многословных комментариев.
Какие уж там картинки. Всё настолько просто, что даже ума не приложу, чего там можно рисовать.

drongo
15.11.2007, 00:10
Ну картинки всегда понятней, на то они и картинки ;) А длинный текст мне лень читать, когда без картинок ;)

pig
15.11.2007, 02:24
Давайте сначала определимся с задачей. Имеется в виду борьба в мировом масштабе или локально? Мы хотим уменьшить уровень мирового зла или защитить от спама свой почтовый сервер?

Лично я в первую очередь решаю свою локальную задачу по минимизации трафика. Поэтому у меня нет open proxy и open relay. Поэтому у меня используется целая система чёрных списков (а также белых, чтобы пропускать к себе письма от партнёров), отсекающая кучу мусора ещё на подлёте. Различные RBL входят в эту систему, но их эффективность невысока, тем более, что какой-то из них блокирует сеть Зенона (и не только его, по-моему).
Поскольку я не провайдер, то закрывать 25 порт мне без надобности. А вот если провайдер вдруг перекроет кислород, я пойду качать права. У меня свой почтовый сервер со своими пользователями, мне отправлять их почту через провайдера неудобно (да и провайдеру тоже, он же их никого не знает, проверить всё равно не сможет).

kuznetz
15.11.2007, 11:58
Ну картинки всегда понятней, на то они и картинки
Тогда Вам сюда:
http://www.disney.fr
а не на VirusInfo.

:))) шутка


Давайте сначала определимся с задачей. Имеется в виду борьба в мировом масштабе или локально?
Давайте определимся.
А почему они противопоставляются? одно другому никак не мешает.

Я уже назвал это логикой умственно ограниченного обывателя. Прошу за это извинить (я так понял, что сразу все и обиделись, потому и молчат), но почему обижаемся, когда вещи начинают называть своими именами? Прошу не обижаться. Ничего личного тут нет, это вовсе НЕ флейм.

Обыватель не способен мыслить глобальными категориями — ему бесполезно доказывать, что надо ограничить выбросы фреонов, например. Чего же мы уподобляемся таким обывателям?


Различные RBL входят в эту систему, но их эффективность невысока
Какова именно, Вы можете сказать?
у меня, как я говорил ранее, по черным спискам зарубается не менее 80% спама.


тем более, что какой-то из них блокирует сеть Зенона (и не только его, по-моему).
Есть такие, очевидно.
Вы правы, работать с такими списками не получается. Политический список SORBS я был вынужден исключить (при этом неполитические списки SORBS по-прежнему использую). Но Зенон, как я неоднократно говорил на этом форуме, действительно жестоко виновен в спаме. К Зенону надо принимать меры морального воздействия. Бойкот. При всяком поминании Зенона следует упоминать, что они спамеры. И не иметь с ними дел.


Поскольку я не провайдер, то закрывать 25 порт мне без надобности.
Но для своих пользователей, на Вашем сервере инет-доступа, через который Ваши пользователи выходят в инет? Надо закрывать, по идее. Иначе если Ваш юзер залетит на трояна, он будет рассылать спам. Пока Вы этого не заметите, естественно. А как Вы заметите?


А вот если провайдер вдруг перекроет кислород, я пойду качать права.
Поэтому я и говорил, что именно системные администраторы мешают закрытию порта 25 провайдерами. Мешают зачастую от непонимания сути. А кто мешает понимать?


У меня свой почтовый сервер со своими пользователями, мне отправлять их почту через провайдера неудобно
А никто и не говорил, что Вам придется отправлять через провайдера.
Вы, как и некоторые другие, почему-то не даете себе труда ПРОЧИТАТЬ концепцию закрытия порта 25, прежде чем обсуждать ее. Ссылка на концепцию была дана в начале этой темы. Прочитайте, пожалуйста.

Добавлено через 26 минут

Для интересующихся:
проблемы американского антиспамерского (или спамерского?) законодательства обсуждаются здесь:
http://forum.spamcop.net/forums/index.php?showtopic=8882&view=getlastpost

Вопрос об отсутствии открытых релеев обсуждается здесь:
http://forum.spamcop.net/forums/index.php?showtopic=8932&view=getlastpost

Зайцев Олег
15.11.2007, 12:45
Пора и мне встрять в дискуссию :)
1. Провайдер не может что-то там открывать или закрывать в плане портов, хостов и т.п. Провайдер предоставляет мне в аренду канал в Инет с заданными характеристиками и получает за это оговоренную копеечку. Не ему решать, что там должно быть закрыто или открыто.
2. Если предположить, что порт 25 перекрыт провайдером (что нереально в плане п.п. 1), то необходимо будет либо отправлять почту по более защищенному чем SMTP протоколу (и все поголовно почтовые сервера будут обязаны его поддерживать), или слать почту через некий SMTP-прокси или релей у провайдера, который будет принимать почту только от своих клиентов и в разумных (по мнению провайдера) количествах (причем термин "разумное количество" тоже растяжим). На это мало кто пойдет, особенно с учетом того, согласно различным внутренним положениям о защите информации мало кто согласится запустить весь свой почтовый трафик через некий релей/прокси провайдера - где гарантия, что он отрелеит все как надо, а нечаянно не потеряет ...
3. Многие почтовые сервера имеют альтернативные порты SMTP (например, какой-нибудь 2525). Если провайдеры начнут закрывать порты, почтари начнут открывать альтернативные :)
4. Если брать грамотно построенную корпоративную сеть, то там не только порт 25 закрыт, а вообще закрыто все и для всех (юзеры ходят в Инет через прокси, а почту шлют через корпоративного почтаря и никак иначе, все это протоколируется, есть ограничения на трафик Инет в мегабайтах и в случае надобности на почту в штуках писем и их объеме - максимальный размер письма, максимальный суммарный объем отправляемой почты и т.п.).

Причем эффект от закрытия порта 25 будет только при его закрытии во всемирном масштабе ! тогда нужно уже ставить проблему шире - нужно не порты глушить, а запрещать протокол типа SMTP и глобально переходить на некий протокол X с жесткой идентификацией отправителя, механизмом цифровых подписей и т.п.

kuznetz
15.11.2007, 12:56
Уважаемый Олег,
Вы читали тему?
ссылки на первую часть даны в начале темы.

Вы повторяете абсолютно те же аргументы, которые уже обсуждались и получили ответ. Вы не могли бы прочитать тему, и начинать спорить уже с теми ответами, а не начинать сказку про белого бычка? Согласитесь, это неуважение к Вашим оппонентам.

DVi
15.11.2007, 12:59
Вообще, этот «аргумент» выглядит крайне странно. С этой точки зрения, например, ловить отсиживающихся в России зарубежных преступников, — бессмысленно. Зачем ловить — ведь они не у нас наколбасили. Зачем сотрудничать с Интерполом и т.п.? не надо сотрудничать. Согласно Вашей странной логике.

Согласно этой же странной логике, не следует ограничивать выброс в атмосферу веществ, разрушающих озоновый слой, — ведь страдает Чили и Антарктида, а не мы.

Не следует ограничивать вырубку лесов — ведь на наш век всё равно хватит, а что там будет с нашими потомками — пофик.

Опять много слов не по теме.


И т.д. Типичная логика ограниченного обывателя (причем умственно ограниченного).

Вот с этого момента читать очередную порцию помоев человек в здравом уме прекращает.


Я изложил концепцию закрытия порта 25 совершенно компактно, без ничего лишнего. Изложена она была СРАЗУ, в первом посте, открывшем обсуждение. Ссылка на этот пост дана в начале данного сообщения.

Я Вас просил не ссылки давать, а кратко в 10 предложений описать свое предложение, проиллюстрировав их картинками. Вы опять не поняли, почему были закрыты предыдущие Ваши темы. В этой теме Вы опять не последовали моему совету.

kuznetz
15.11.2007, 13:04
to Зайцев Олег:

Более того, Ваш последний пункт (назовем его 5) обсуждался непосредственно ПЕРЕД Вашим постом. То есть Вы даже ЭТУ тему не читали, прежде чем высказаться? это никуда не годится, согласитесь.

Добавлено через 3 минуты

Господин DVi, ответы на Ваши возражения будут даны в комнате отдыха. В начале данной темы она упоминалась, и я весьма удивлен, что Вы не высказываете Ваши претензии там. Такого рода претензии должны высказываться там, а не здесь. Будьте добры соблюдать правила. Иначе, Вы правы, тема опять может быть закрыта - по Вашей вине.

DVi
15.11.2007, 13:25
Разумеется, kuznetz, я являюсь главным приспешником спамеров и умственно ограниченным обывателем. И именно по моей вине умственно продвинутый эксперт kuznetz не может уничтожить поголовно руководство Зенона.

Увы, kuznetz, мне так и не удалось получить от Вас ничего, кроме эмоциональных криков. Остается лишь поставить Вас в игнор.

P.S. "Я теперь добрый. Я всех сделаю счастливыми. А кто не захочет быть счастливым - того я поколочу" (с) Бармалей из к/ф "Айболит-66".

Зайцев Олег
15.11.2007, 14:12
to Зайцев Олег:

Более того, Ваш последний пункт (назовем его 5) обсуждался непосредственно ПЕРЕД Вашим постом. То есть Вы даже ЭТУ тему не читали, прежде чем высказаться? это никуда не годится, согласитесь.
Я не участвовал в данных обсуждениях, я просто высказал свое мнение, не более того ... было бы гораздо больше толку (и меньше флейма), если бы
1. четко было бы сформулировано "рацпредложение", раз уж обсуждение выносится в отдельную ветку
2. затем все эксперты форума и все желающие высказали бы свое мнение по этому поводу. Кратко высказали и по сути ... как они видят эту проблему и предложенный путь ее решения, особенно если они опираются на свой практический/теоретический опыт
3. К теме прицепить голосование для визуальной оценки п.п. 2
Вот тогда толк был-бы, а не по 50 экранов флейма (уже три темы организовалось вокруг этого вопроса, и во всех 90% флейма и споров о формулировках в этом флейме)

borka
15.11.2007, 15:04
Я уже назвал это логикой умственно ограниченного обывателя. Прошу за это извинить (я так понял, что сразу все и обиделись, потому и молчат), но почему обижаемся, когда вещи начинают называть своими именами? Прошу не обижаться. Ничего личного тут нет, это вовсе НЕ флейм.
Встряну и я на правах резиновой куклы оппонента. :)
Конечно же, это не флейм. Вы просто объявляете всех несогласных с Вашей точкой зрения дебилами, после чего спрашиваете, а почему это кто-то обижается, когда вещи называют своими именами. И никакого флейма! :(


А никто и не говорил, что Вам придется отправлять через провайдера.
Вы, как и некоторые другие, почему-то не даете себе труда ПРОЧИТАТЬ концепцию закрытия порта 25, прежде чем обсуждать ее. Ссылка на концепцию была дана в начале этой темы. Прочитайте, пожалуйста.
Читали. Вы же и говорили: http://virusinfo.info/showpost.php?p=148402&postcount=79:
"RTFM. Вы читать умеете? Там было написано, сразу в первом посте: при закрытом порте 25 пользователи будут отправлять на порт MSA. Рекомендуемое значение порта — 587. Хотя конкретное значение без разницы. Либо через почтовик провайдера."
Вы уж определитесь, что ли, что говорили, а что имели в виду...


Вопрос об отсутствии открытых релеев обсуждается здесь:
Особенно порадовало вот это: "ISPs could probably cut spam rates in half on their networks if they just gave end users out a CD with a copy of AVG Anti-Virus Free and a few other freeware security tools (granted that the user installed this)." :P


Причем эффект от закрытия порта 25 будет только при его закрытии во всемирном масштабе ! тогда нужно уже ставить проблему шире - нужно не порты глушить, а запрещать протокол типа SMTP и глобально переходить на некий протокол X с жесткой идентификацией отправителя, механизмом цифровых подписей и т.п.
Коллеге kuznetz'у это было объяснено не раз...


Разумеется, kuznetz, я являюсь главным приспешником спамеров и умственно ограниченным обывателем. И именно по моей вине умственно продвинутый эксперт kuznetz не может уничтожить поголовно руководство Зенона.
Ну, DVi, приспешники спамеров и умственно ограниченные обыватели, похоже, мы все, так что не берите на себя слишком многого. :P

maXmo
15.11.2007, 15:11
Давайте сначала определимся с задачей. Имеется в виду борьба в мировом масштабе или локально? Мы хотим уменьшить уровень мирового зла или защитить от спама свой почтовый сервер?можно для начала защитить свой сервер от своих бот-нетов. :)

borka
15.11.2007, 15:16
можно для начала защитить свой сервер от своих бот-нетов. :)
О "своих" вопрос не стоИт. Как правильно сказал пан Зайцев:

4. Если брать грамотно построенную корпоративную сеть, то там не только порт 25 закрыт, а вообще закрыто все и для всех (юзеры ходят в Инет через прокси, а почту шлют через корпоративного почтаря и никак иначе, все это протоколируется, есть ограничения на трафик Инет в мегабайтах и в случае надобности на почту в штуках писем и их объеме - максимальный размер письма, максимальный суммарный объем отправляемой почты и т.п.).
Вопрос в том, что нужно заставить всех поступить так же.

maXmo
15.11.2007, 15:24
Причем эффект от закрытия порта 25 будет только при его закрытии во всемирном масштабе !А что в Москве мало ботов, забивающих наши ящики? Думаю, локальные меры очень даже дадут эффект.


тогда нужно уже ставить проблему шире - нужно не порты глушить, а запрещать протокол типа SMTP и глобально переходить на некий протокол X с жесткой идентификацией отправителя, механизмом цифровых подписей и т.п.эмм… Ну будет спам сыпаться весь подписанный как на подбор. Кому-то от этого легче станет?

Добавлено через 2 минуты


О "своих" вопрос не стоИт.О своих вопрос перестанет стоять, когда порт закроют, чего и добиваемся.


Вопрос в том, что нужно заставить всех поступить так же.вот я пытаюсь к этому склонить пана pig'a :D Поможешь?

Добавлено через 2 минуты


Вопрос в том, что нужно заставить всех поступить так же.думаю, сделать так, как описал Зайцев – оверкилл. Достаточно закрыть порт. (кстати, я даже предлагал, как его закрыть только для ботов)

borka
15.11.2007, 15:28
О своих вопрос перестанет стоять, когда порт закроют, чего и добиваемся.
Нет. О "своих" вопрос даже не стоИт - "своих" нет. Потому что тот, кто понимает, что к чему, закрывает/настраивает/регулирует сам. Даже если руководствуется своими личными мотивами (например, минимизция траффика, как у моего админа).


вот я пытаюсь к этому склонить пана pig'a :D Поможешь?
У пана pig'а все настроено и работает. Или я чего-то не понял?

DVi
15.11.2007, 15:36
Достаточно закрыть порт.
Если я правильно понял - этого недостаточно, ибо сразу же перестанет ходить вообще вся почта из этой локальной сети. И чтобы она все-таки не была уничтожена, нужно поднять свой собственный SMTP-сервер и всем своим юзерам популярно объяснить, как им перенастроить свои почтовые программы.

В корпоративной сети так и делается (в моем офисе, по крайней мере).

maXmo
15.11.2007, 15:58
"своих" нет.откуда такая уверенность? :) Вон были ссылки на список заблоченных спамеров в русских локальных сетях – это всё свои.


У пана pig'а все настроено и работает. Или я чего-то не понял?я не сомневаюсь, что у него всё работает. Проблема в том, что боты работают так же прекрасно, как и всё остальное.


Если я правильно понял - этого недостаточноя имел в виду, этого достаточно, чтобы зарезать спам. У юзеров же в таких условиях всё равно останется возможность отправлять письма.

Зайцев Олег
15.11.2007, 16:16
я имел в виду, этого достаточно, чтобы зарезать спам. У юзеров же в таких условиях всё равно останется возможность отправлять письма.
Бот может все, что может юзер - это аксиома. Если допустить, что пойдет масовая блокировка порта 25, то тут-же будут созданы боты нового поколения, которые будут посылать почту другими методами ...

kuznetz
15.11.2007, 17:58
Олег, Вы все-таки прочитали бы тему. Вы только что (как и все разы перед этим) высказались о том, что в теме уже отвечено. Ну как Вы себе представляете: я должен КАЖДОМУ новому участнику дискуссии всё снова с начала объяснять? Так же никогда не делается. Будьте добры читать что было написано до Вас.

Синауридзе Александр
15.11.2007, 19:39
Внимательно прочитайте 5 пост. В нем Зайцев Олег высказался четко, кратко и главное правильно тем самым подведя черту под данной темой. Если Вы не поняли о чем этот пост, то прочитайте его еще раз пока не поймете всю суть дела.

kuznetz
15.11.2007, 21:21
Сожалею, Александр,
но если Вы не читали тему,
то с какой стати Вы оправдываете других, кто тоже не читал ее?

Зайцев Олег в пятом посте (я его прочитал внимательно и сразу) высказал все ТЕ ЖЕ САМЫЕ аргументы, которые в предыдущем обсуждения высказывали господа DVi, Geser и borka. Все эти аргументы получили ответ от меня.

Поэтому Ваше предыдущее замечание совершенно необоснованно.

Добавлено через 31 минуту

может быть, обсуждение этических вопросов перенесем на независимый форум?
например, здесь:
http://forum.spamcop.net/forums/index.php?s=&showtopic=8882&view=findpost&p=61125

anton_dr
15.11.2007, 21:52
Это ресурс тоже независим, и мы открыты для любой точки зрения. Но не в таком виде, как её высказываете и навязываете вы.
Давайте на этом и остановимся. Если наши уважаемые эксперты решат продолжить с вами беседу, они откроют новое обсуждение.
Тему закрываю, все последующие по данной тематике _начатые Вами_ будут удаляться, а вы будете ограничены в средствах общения на вирусинфо.
Моё решение окончательное, и не стоит пытаться его изменить и переубедить. В этом случае вы также будете ограничены в средствах общения.