kuznetz
14.11.2007, 21:14
Первая часть темы, по подтеме «черные списки» находится здесь:
http://virusinfo.info/showthread.php?p=93917
Первая часть темы, по подтеме «закрытие порта 25» находится здесь:
http://virusinfo.info/showthread.php?p=146808
Комната отдыха, с бейсбольными битами и резиновыми куклами ваших оппонентов, находится здесь:
http://virusinfo.info/showthread.php?t=13987
Перед вступлением в дискуссию настоятельно рекомендуется освежить в памяти вузовский курс формальной логики.
Черные списки листят открытие релеи и прокси, совершенно верно. Когда открытые релеи БЫЛИ реально, черные списки листили их. Теперь открытых релеев реально практически НЕТ, и черные списки листят открытые прокси — представляющие собой сидящих на компьютерах пользователей спам-троянов.
Поясните значение слова "прокси" в своем предложении. Чем оно отличается от слова "open relay"?
В моем предложении эти понятия ничем не отличаются от общепринятых.
Открытый прокси — это открытый прокси: SMTP-прокси или SOCKS-прокси.
Открытый релей — это почтовый сервер, принимающий к доставке почту для несвоих доменов.
Отличие в том, что прокси не умеет доставлять почту — прокси и есть прокси. Проксе надо указать, куда толкать почту. При этом проксе можно указать и все остальное — поддельное имя хоста-отправителя в команде HELO, любые прочие левые и правые команды в диалоге SMTP.
Открытому релею не требуется (и нет возможности) указывать, куда толкать почту — это почтовый сервер, и он будет доставлять почту так, как задано его админом. Несмотря на то, что это открытый релей.
При этом почтовому серверу, естественно, невозможно указать и ничего остального — в том числе в команде HELO он будет говорить то, что задано его админом, диалог SMTP он будет вести так, как он будет его вести, и изменить это невозможно.
Почтовый сервер также отличается тем, что имеет обратный DNS, причем равный тому, что он говорит в команде HELO (иначе почту от него не примет значительное большинство действующих в настоящее время почтовых серверов).
Кроме того, самое главное в контексте нашей задачи отличие открытого релея: он работает на порту 25, и только. И он работает круглосуточно. И релеит он всех.
Открытые троянские прокси работают на произвольных портах — во всяком случае уж никогда НЕ на порту 25. И работают тогда, когда юзер сидит в интернете. То есть не круглосуточно. Кроме того, троянская прокся может быть такая, что она обслуживает только своего хозяина, то есть может иметь систему аутентификации. То есть даже если вы найдете где у нее порт, она может ваши команды не выполнить.
Если этого нет, то это не сервер, а обычный спам-троян, сидящий на клиенте. Клиентам порт 25 БУДЕТ ЗАКРЫТ, поэтому эти трояны не смогут рассылать спам. Поэтому Ваше возражение, что закрытие порта 25 ничего не даст, поскольку есть открытые релеи, для которых порт 25 будет не закрыт, — неправомерно.
Аргументируте это реальными цифрами, доступными публично. Я оперирую, возможно, устаревшими данными - но именно утверждение об активном использовании открытых релеев фигурирует в большинстве аналитических статей по спаму.
Хорошо, вот данные.
На SenderBase смотрю сеть kiev.ua:
http://www.senderbase.org/senderbase_queries/detaildomain?search_string=kiev.ua
Проверяю на открытый релей первые (или взятые случайным образом) 20 хостов из списка. Проверяю путем назначения этих хостов в моем почтовом сервере в качестве релея и отправки одного пробного письма, с адресом получателя [email protected].
Имеем следующую картину: все хосты, не являющиеся почтовыми серверами (например, custom-nat.wcomm.kiev.ua, 3d.n-line.kiev.ua и прочие), соединение просто не принимают. Все хосты, являющиеся почтовыми серверам (обычно это те, которые содержат mail в имени, например osnova-solsif.kiev.ua, mail.akels.kiev.ua), соединение принимают, но отвечают в духе Relaying denied.
То же самое, если смотрим сеть МТУ-Интел:
http://www.senderbase.org/senderbase_queries/detaildomain?search_string=mtu-net.ru
В этой сети вообще не показывает ни одного почтового сервера – все хосты являются клиентскими PPP-подключениями. Соответственно из проверенных навскидку 10 хостов ни один подключения на порт 25 не принял. То есть хост либо был не в сети, либо на 25м порту у него не было релея.
Вы можете это проверить самостоятельно. Вы НЕ НАЙДЕТЕ ни одного открытого релея среди хостов из списка. Аналогичным образом можно проверить большие источники спама сеть Bezeqint.net (Израиль), Verizon.Net (США), Telecomitalia.it (Италия), Giga.net.tw (Тайвань). Ни одного открытого релея нет.
Попробуйте — найдите хоть один релей. Если их «много», то это должно быть легко сделать. НЕ НАЙДЁТЕ не только много, а вообще ни одного.
Согласно отчетам ЛК, в первой тройке спам-ботнетов фигурируют США и Китай (про место России не помню навскидку). Я не думаю, что закрытие 25 порта у всех провайдеров города Москвы, например, окажет сколько-нибудь заметное воздействие на общее количество спама.
На общее количество спама где?
в Москве (то есть приходящего в Москву)? Разумеется.
Порт 25 закрывают не для уменьшения своего входящего спама, а для уменьшения своего исходящего спама.
Вообще, этот «аргумент» выглядит крайне странно. С этой точки зрения, например, ловить отсиживающихся в России зарубежных преступников, — бессмысленно. Зачем ловить — ведь они не у нас наколбасили. Зачем сотрудничать с Интерполом и т.п.? не надо сотрудничать. Согласно Вашей странной логике.
Согласно этой же странной логике, не следует ограничивать выброс в атмосферу веществ, разрушающих озоновый слой, — ведь страдает Чили и Антарктида, а не мы.
Не следует ограничивать вырубку лесов — ведь на наш век всё равно хватит, а что там будет с нашими потомками — пофик.
И т.д. Типичная логика ограниченного обывателя (причем умственно ограниченного).
kuznetz, Вы не могли бы озвучивать свои мысли несколько компактнее? Раз примерно в 10. Думаю, было бы логично создать новую тему в разделе "Борьба со спамом" и аккуратно "с нуля" расписать в ней свое предложение по "закрытию 25 порта" не более чем в 10 простых предложениях
Я изложил концепцию закрытия порта 25 совершенно компактно, без ничего лишнего. Изложена она была СРАЗУ, в первом посте, открывшем обсуждение. Ссылка на этот пост дана в начале данного сообщения.
Будет здорово, если Вы проиллюстрируете свое предложение картинками вместо многословных комментариев.
Какие уж там картинки. Всё настолько просто, что даже ума не приложу, чего там можно рисовать.
http://virusinfo.info/showthread.php?p=93917
Первая часть темы, по подтеме «закрытие порта 25» находится здесь:
http://virusinfo.info/showthread.php?p=146808
Комната отдыха, с бейсбольными битами и резиновыми куклами ваших оппонентов, находится здесь:
http://virusinfo.info/showthread.php?t=13987
Перед вступлением в дискуссию настоятельно рекомендуется освежить в памяти вузовский курс формальной логики.
Черные списки листят открытие релеи и прокси, совершенно верно. Когда открытые релеи БЫЛИ реально, черные списки листили их. Теперь открытых релеев реально практически НЕТ, и черные списки листят открытые прокси — представляющие собой сидящих на компьютерах пользователей спам-троянов.
Поясните значение слова "прокси" в своем предложении. Чем оно отличается от слова "open relay"?
В моем предложении эти понятия ничем не отличаются от общепринятых.
Открытый прокси — это открытый прокси: SMTP-прокси или SOCKS-прокси.
Открытый релей — это почтовый сервер, принимающий к доставке почту для несвоих доменов.
Отличие в том, что прокси не умеет доставлять почту — прокси и есть прокси. Проксе надо указать, куда толкать почту. При этом проксе можно указать и все остальное — поддельное имя хоста-отправителя в команде HELO, любые прочие левые и правые команды в диалоге SMTP.
Открытому релею не требуется (и нет возможности) указывать, куда толкать почту — это почтовый сервер, и он будет доставлять почту так, как задано его админом. Несмотря на то, что это открытый релей.
При этом почтовому серверу, естественно, невозможно указать и ничего остального — в том числе в команде HELO он будет говорить то, что задано его админом, диалог SMTP он будет вести так, как он будет его вести, и изменить это невозможно.
Почтовый сервер также отличается тем, что имеет обратный DNS, причем равный тому, что он говорит в команде HELO (иначе почту от него не примет значительное большинство действующих в настоящее время почтовых серверов).
Кроме того, самое главное в контексте нашей задачи отличие открытого релея: он работает на порту 25, и только. И он работает круглосуточно. И релеит он всех.
Открытые троянские прокси работают на произвольных портах — во всяком случае уж никогда НЕ на порту 25. И работают тогда, когда юзер сидит в интернете. То есть не круглосуточно. Кроме того, троянская прокся может быть такая, что она обслуживает только своего хозяина, то есть может иметь систему аутентификации. То есть даже если вы найдете где у нее порт, она может ваши команды не выполнить.
Если этого нет, то это не сервер, а обычный спам-троян, сидящий на клиенте. Клиентам порт 25 БУДЕТ ЗАКРЫТ, поэтому эти трояны не смогут рассылать спам. Поэтому Ваше возражение, что закрытие порта 25 ничего не даст, поскольку есть открытые релеи, для которых порт 25 будет не закрыт, — неправомерно.
Аргументируте это реальными цифрами, доступными публично. Я оперирую, возможно, устаревшими данными - но именно утверждение об активном использовании открытых релеев фигурирует в большинстве аналитических статей по спаму.
Хорошо, вот данные.
На SenderBase смотрю сеть kiev.ua:
http://www.senderbase.org/senderbase_queries/detaildomain?search_string=kiev.ua
Проверяю на открытый релей первые (или взятые случайным образом) 20 хостов из списка. Проверяю путем назначения этих хостов в моем почтовом сервере в качестве релея и отправки одного пробного письма, с адресом получателя [email protected].
Имеем следующую картину: все хосты, не являющиеся почтовыми серверами (например, custom-nat.wcomm.kiev.ua, 3d.n-line.kiev.ua и прочие), соединение просто не принимают. Все хосты, являющиеся почтовыми серверам (обычно это те, которые содержат mail в имени, например osnova-solsif.kiev.ua, mail.akels.kiev.ua), соединение принимают, но отвечают в духе Relaying denied.
То же самое, если смотрим сеть МТУ-Интел:
http://www.senderbase.org/senderbase_queries/detaildomain?search_string=mtu-net.ru
В этой сети вообще не показывает ни одного почтового сервера – все хосты являются клиентскими PPP-подключениями. Соответственно из проверенных навскидку 10 хостов ни один подключения на порт 25 не принял. То есть хост либо был не в сети, либо на 25м порту у него не было релея.
Вы можете это проверить самостоятельно. Вы НЕ НАЙДЕТЕ ни одного открытого релея среди хостов из списка. Аналогичным образом можно проверить большие источники спама сеть Bezeqint.net (Израиль), Verizon.Net (США), Telecomitalia.it (Италия), Giga.net.tw (Тайвань). Ни одного открытого релея нет.
Попробуйте — найдите хоть один релей. Если их «много», то это должно быть легко сделать. НЕ НАЙДЁТЕ не только много, а вообще ни одного.
Согласно отчетам ЛК, в первой тройке спам-ботнетов фигурируют США и Китай (про место России не помню навскидку). Я не думаю, что закрытие 25 порта у всех провайдеров города Москвы, например, окажет сколько-нибудь заметное воздействие на общее количество спама.
На общее количество спама где?
в Москве (то есть приходящего в Москву)? Разумеется.
Порт 25 закрывают не для уменьшения своего входящего спама, а для уменьшения своего исходящего спама.
Вообще, этот «аргумент» выглядит крайне странно. С этой точки зрения, например, ловить отсиживающихся в России зарубежных преступников, — бессмысленно. Зачем ловить — ведь они не у нас наколбасили. Зачем сотрудничать с Интерполом и т.п.? не надо сотрудничать. Согласно Вашей странной логике.
Согласно этой же странной логике, не следует ограничивать выброс в атмосферу веществ, разрушающих озоновый слой, — ведь страдает Чили и Антарктида, а не мы.
Не следует ограничивать вырубку лесов — ведь на наш век всё равно хватит, а что там будет с нашими потомками — пофик.
И т.д. Типичная логика ограниченного обывателя (причем умственно ограниченного).
kuznetz, Вы не могли бы озвучивать свои мысли несколько компактнее? Раз примерно в 10. Думаю, было бы логично создать новую тему в разделе "Борьба со спамом" и аккуратно "с нуля" расписать в ней свое предложение по "закрытию 25 порта" не более чем в 10 простых предложениях
Я изложил концепцию закрытия порта 25 совершенно компактно, без ничего лишнего. Изложена она была СРАЗУ, в первом посте, открывшем обсуждение. Ссылка на этот пост дана в начале данного сообщения.
Будет здорово, если Вы проиллюстрируете свое предложение картинками вместо многословных комментариев.
Какие уж там картинки. Всё настолько просто, что даже ума не приложу, чего там можно рисовать.