PDA

Просмотр полной версии : Новый метод против спам-рассылок ?



Surfer
19.11.2006, 15:43
Я тут подумал , вроде нигде не встречался с таким способом :
Допустим спам идёт с какого-то домена , напр @spamfuck.net :)
Что если сделать форвардинг спамеру от mailer-daemon@почтовыйдомен.com
сообщение вроде этого :

Mail Delivery Subsystem
This is an automatically generated Delivery Status Notification

Delivery to the following recipient failed permanently:

[email protected] ([email protected])

----- Original message -----

Received: by 10.*.*.* (http://10.35.20.14/) with SMTP id x14mr6268627pyi.1163939323510;
Sun, 19 Nov 2006 04:28:43 -0800 (PST)
Received: by 10.*.*.* (http://10.35.116.20/) with HTTP; Sun, 19 Nov 2006 04:28:43 -0800 (PST)
Message-ID: <[email protected] (77a13e150611190428n6cb83ce9l2a9f494b81e8e9e6@mail .gmail.com)>
Date: Sun, 19 Nov 2006 17:28:43 +0500
From: "=?KOI8-R?B?78zFxyDzo9LGxdI=?=" <[email protected] ([email protected])>
To: [email protected] ([email protected])
Subject: sdfsdfsdf
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_Part_35448_16304235.1163939323459"

------=_Part_35448_16304235.1163939323459
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: 7bit
Content-Disposition: inline

dsfdsfdsfsd

------=_Part_35448_16304235.1163939323459
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: 7bit

----- Message truncated -----


Что :
1) Сильно нагрузит почтовый сервер спамера
2) Заставит рано или позно понять спамеру(даже при авторассылке) что почты не существует

Если это бред , не закидывайте помидорами :D

Синауридзе Александр
19.11.2006, 15:53
Здравствуйте!
Такой способ борьбы с нежелательными сообщениями является недостаточно эффективным, так как современные спамеры чаще всего используют несуществующие или чужие почтовые адреса.;)

Surfer
19.11.2006, 16:03
Безусловно , но не всегда.
Однажды я ответил на спам и получил многократное увеличение его на свой ящик :D

Синауридзе Александр
19.11.2006, 16:19
Безусловно , но не всегда.
Однажды я ответил на спам и получил многократное увеличение его на свой ящик :D

На самом деле, это является для спамера сигналом о том, что его письмо было прочитано, а значит, что на этот адрес можно присылать и присылать сообщения, а также вносить в базы и передавать другим спамерам. :)

pig
20.11.2006, 02:04
Рассылка сейчас вообще идёт в основном через ботнеты. С обычных домашних машин, имеющих более-менее постоянное подключение к сети и заражённых троянами.

Surfer
20.11.2006, 17:26
pig
Тогда вообще не понятно - зачем принимать от них сообщения , если 100% там спамеры..

pig
20.11.2006, 19:40
Да кто ж их разберёт - спам-бот ломится или мелкоофисный почтовый сервер? Провайдер всё-таки больше боится потерять почту, чем завалить вас мусором. Потому как опять же - кто вас знает, что для вас мусор?

el_griton
24.11.2006, 19:35
и так мой монохромный друг : помидоры!:P

RobinFood
24.11.2006, 21:13
Лови помидор :)
-------------------------------------------------
Это не новый метод, это старая уязвимость к атаке типа "reverse NRD attack". Работает эта атака следующим образом.

1) Спамер хочет отослать жертве [email protected] письмо со спамом. Однако на сервере жертвы IP-адрес спамера находится в черном списке.
2) Спамер отсылает письмо тебе на твой адрес [email protected], указывая, что отправителем письма является [email protected]
3) Твой мейлер-демон отсылает "отправителю" на адрес [email protected] ответ о том, что его письмо не было доставлено. Ответ мейлер-демона доставляется жертве.
4) Пользователь user видит, что письмо с его адреса не доставлено, пытается вспомнить, что же он отправлял, вспомнить не может, и лезет посмотреть возвращенное вложение. Открывает его - а там спам, который не только доставлен по нужному (нужному для спамера) адресу, но еще и с большой вероятностью обошел антиспам-фильтры жертвы, и открыт, и возможно даже прочитан.

По причине существования возможности такой атаки крайне нежелательно использовать описанный тобой метод для борьбы со спамом.

Также хочу обратить внимание на следующий нюанс. Согласно RFC сервер, который принял письмо, должен либо доставить его по назначению, либо вернуть письмо отправителю. Если прислано письмо на несуществующий адрес, и сервер его принял, то он обязан отправить NDR. Если сервер отказался принимать письмо - то обязанность отправлять NDR перекладывается на отправителя письма. В связи с этим сервер желательно конфигурировать так, чтобы не принимать письма для несуществующих пользователей, а во время соединения возвращать ошибку 550, т.е. отказываться принимать письмо для несуществующего адреса. Это не только снизит нагрузку на ваш сервер, но и уменьшит количество пересылок мусора от вашего сервера на другие сервера.

Здесь будут проблемы в том случае, если для большей надежности используется несколько почтовых серверов (и, соответственно MX-записей), но резервные сервера тупо перенаправляют всю почту на основной сервер - в этом случае, даже если основной сервер не подвержен уязвимости к reverse NDR attack, резервные серверы будут ей подвержены. Поэтому все резервные сервера должны иметь возможность самостоятельно проверять существование адресов еще на этапе SMTP-соединения.
------------------------------------------------
Собственно, все вышенаписанное есть не что иное как вольный пересказ следующей статьи:
http://support.microsoft.com/kb/909005
При чтении этой статьи также рекомендую обратить внимание на ссылки, которые даются в этой статье:
1) борьба с уязвимостью к reverse NDR attack легко приводит к уязвимости Directory Harvest Attack (http://support.microsoft.com/kb/842851/)
2) RBL-механизм (http://support.microsoft.com/kb/823866/) очень хорошо совмещается с фильтрацией по адресу получателя и по сути может являться развитием твоей идеи по борьбе со спамом.
------------------------------------------------
Короче говоря - читайте доки, они рулез :)

Surfer
24.11.2006, 21:59
Ну как я понимаю в этом-то и проблема современного спама ! :)

...указывая, что отправителем письма является... - ЗЛО
Не будь этой возможности , спам был бы легко искореним :D

Кстати это не я оказывается придумал :)) http://ru.wikipedia.org/wiki/Bounce