Ну я нагнал… Есть у яндекса 587 порт.
Printable View
Ну я нагнал… Есть у яндекса 587 порт.
Флуд про авторизацию поскипан. :)
Примем как постулаты:
1. исходящие письма идут на 25 порт почтового сервера (своего или чужого - неважно).
2. различий в протоколе при отправке писем на почтовый сервер пользователем, трояном или другим почтовым сервером нет.
3. трояны могут отправлять почту как на почтовый сервер корпоративной почты (или Яндекса), так и на любой другой почтовый сервер.
4. трояны не подозревают о наличии Ваших схем работы. Сорри. ;)
Флуд про релей на smtp.yandex.ru поскипан. :)
Очень хотелось бы взглянуть на клуджи этого загадочного письма, поскольку "троян на компьютере smtp.yandex.ru", "промежуточный релей mail.yandex.ru" - это очередные непонятные мне умные слова. :)
[QUOTE=borka;148227]Механизм посылки спама с аккаунта клиента Яндекса - понимаю. Механизм посылки с левого айпишника и from *@yandex.ru - тоже понимаю.[QUOTE=kuznetz;148402]Это как это Вы «понимаете» механизм посылки с левого айпишника и from *@yandex.ru???!!! поделитесь. А то что-то неизвестное науке
Что за чудесный механизм, если это НЕ механизм с аккаунта клиента Яндекса?[/QUOTE][/QUOTE]
Если что-то неизвестно Вам, это не значит, что неизвестно науке. :P Все предельно просто. Нужно ли объяснять Вам, что такое [url=http://ru.wikipedia.org/wiki/%D0%A4%D0%B8%D1%88%D0%B8%D0%BD%D0%B3]фишинг[/url]? На всякий случай объясню на примере. Приходит мне в почту письмо с сабжем "Ваш аккаунт Яндекс-Деньги временно заблокирован", from=*@yandex.ru, в теле письма просьба проверить состояние аккаунта - фишинг в чистом виде. У меня никаких аккаунтов на Яндексе отродясь не было. :) Неужели Вы думаете, что письма действительно с Яндекса!? К сожалению, этих писем под рукой нету, а то показал бы клуджи. Поэтому немного не связанное с Яндексом - письмо от "Chase Online Banking" с требованием сменить пароль. Заголовок письма выглядит следующим образом:
Return-Path: <[email protected]>
Received: from ndiasb.kiev.ua ([unix socket])
by ndiasb.kiev.ua (Cyrus v2.2.12) with LMTPA;
Tue, 31 Jan 2006 04:07:00 +0200
X-Sieve: CMU Sieve 2.2
Received: from 192.168.0.111 (ont-cust-208.57.100.52.mpowercom.net [208.57.100.52])
by ndiasb.kiev.ua (8.13.5/8.13.4) with SMTP id k0V26vV9035958
for <[email protected]>; Tue, 31 Jan 2006 04:06:58 +0200 (EET)
(envelope-from [email][email protected][/email])
X-Envelope-To: <[email protected]>
X-Envelope-From: [email][email protected][/email]
Received: from 14.160.135.186 by ; Mon, 30 Jan 2006 23:03:31 -0300
Message-ID: <[email protected]>
From: "Chase Online Banking" <[email protected]>
Reply-To: "Chase Online Banking" <[email protected]>
To: [email][email protected][/email]
Subject: *SPAM* Password Change Required
Date: Tue, 31 Jan 2006 04:59:31 +0300
Из заголовков письма видно, что отправители (айпишники 14.160.135.186 и 208.57.100.52) ну ни разу не имеет отношения к "Chase" (159.53.х.х). Судя по Message-ID можно предположить, что отправитель на hotmail.com. [email][email protected][/email] - это я. ;) Как видите, все предельно просто и ясно. Если Вы этого не знали, то я не виноват. :) Это распространенная практика как в рассылке спама, так и в рассылке вирусов.
[QUOTE=kuznetz;148402]Согласно приведенной Вами ранее схеме политик Яндекса, такого не может быть. Вы опять торопитесь неизвестно куда.[/QUOTE]
Вы будете смеяться, но Яндекс тут ни при чем. :)
[QUOTE=borka;148227]Еще раз - через опен релей на Яндексе!?
[QUOTE=kuznetz;148402]Нет, не на Яндексе. А до Яндекса. Это же само собой понятно.
упомянутый первый IP 89.184.6.34, следует полагать, и является тем самым открытым релеем.[/QUOTE][/QUOTE]
Показывайте клуджи!
[QUOTE=kuznetz;148402]письмо с адреса [email][email protected][/email] было доставлено по адресу [email][email protected][/email] через (судя по заголовкам) IP 89.184.6.34, потом mail.yandex.ru, потом sinecure.com[/QUOTE]
УжЕ два опен релея!? Показывайте клуджи! Яндекс - не опен релей. К сведению: если у письма [email protected], это не значит, что письмо отправлено с этого адреса.
[QUOTE=kuznetz;148402]Чем Вам не понравилась перечисленная мной схема распространения спам-троянов: полученный по почте почтовый вирус Warezov скачивает с интернета спам-трояна и запускает его.[/QUOTE]
Чем не понравилась? Своей нереальностью. Я не слышал, чтобы Лимар скачивал трояна и запускал его...
Остальной флуд про вирусы и трояны поскипан. :)
[QUOTE=kuznetz;148402]OK, правильно ли я Вас понял: Вы думаете, что
«программы почтовые-клиенты не умеют устанавливать SMTP-соединение с сервером»[/QUOTE]
Про почтовые клиенты разговора не было. Был разговор про пользователей. :) Это к вопросу точности формулировок.
[QUOTE=kuznetz;148402]Так или как? Если так, то вынужден будут опубликовать это «мнение» на данном форуме в разделе «Помогите», с тем чтобы квалифицированные специалисты могли нас рассудить.[/QUOTE]
Вам требуется помощь?
[QUOTE=kuznetz;148402]С Вас же требуется признать насчет «пользователи не умеют»,[/QUOTE]
Еще раз: думаю, что пользователи не умеют устанавливать SMTP-соединение с сервером. Что неясно? Почтовые клиенты, серверы и трояны - умеют.
[QUOTE=kuznetz;148402]и насчет почему почтовые сервера вдруг работают по схеме 2.[/QUOTE]
Еще раз: почтовые серверы не имеют ни малейшего представления о Ваших схемах. Вы исхОдите из того, что спам рассылается только клиентом какого-нибудь почтовика (корпоративного или Яндекса - неважно). Я же считаю, что трояны отсылают спам как почтовые серверы - напрямую.
[QUOTE=kuznetz;148402]Ну что за таинственные «спам-почтовики»? Где Вы их видели, что Вы под этим подразумеваете?
Спам рассылают спам-трояны, сидящие на компьютерах пользователей. Тем и сильны бот-сети, что они распределены — ботов много и они быстро меняются. Поэтому их трудно блокировать по черным спискам. Хотя это, разумеется, делается и приносит определенный эффект.[/QUOTE]
Спам-почтовик - это троян, сидящий на компьютере пользователя (возможно, входящий в состав ботнета) и рассылающий спам. С чего Вы взяли, что он может работать только по Вашей же схеме #2 - до сих пор понять не могу...
[QUOTE=kuznetz;148402]каким местом закрытие порта 25 влияет на справление провайдера с приходящим спамом? что за ахинею Вы несете, прошу прощения.[/QUOTE]
Вот и я удивляюсь, зачем провайдеру закрывать 25 порт и искать приключения на свою лысину, если у него в сети спама нет?
[QUOTE=kuznetz;148402]RTFM. Вы читать умеете? Там было написано, сразу в первом посте: при закрытом порте 25 пользователи будут отправлять на порт MSA. Рекомендуемое значение порта — 587. Хотя конкретное значение без разницы. Либо через почтовик провайдера.[/QUOTE]
Если пользователи будут отправлять письма на порт MSA, то и трояны будут отправлять туда же. Вам ужЕ дважды ответили. Кроме того, почему Вы решили, что трояны будут прикидываться клиентами, а не серверами? А как выясняется:
[QUOTE=kuznetz;148402]При закрытии порта 25 обмен между почтовыми серверами никак не меняется.[/QUOTE]
И что с закрытия порта?
[QUOTE=borka;148227]Или я чего-то не понимаю? Пример блокирования приведите.
[QUOTE=kuznetz;148402]Хорошо. Сразу бы так и сказали. Сколько можно ходить вокруг одного места.
Вот пользователь в сети провайдера. У пользователя есть ящик [email][email protected][/email] на корпоративном сервере sinecure.com на работе.
Порт 25 вовне для пользователя закрыт. Порт 25 для пользователя открыт на почтовик провайдера. Поэтому пользователь может либо отправлять почту через почтовик провайдера. У провайдера при этом должна, очевидно, действовать либо политика б) и пользователь должен получить у провайдера какие-либо реквизиты для SMTP-авторизации. Либо вообще без авторизации — почтовик провайдера должен релеить со всех IP, принадлежащих этому провайдеру.
Либо пользователь может отправлять почту через почтовик sinecure.com через его порт MSA (пусть это порт 587). С реквизитами авторизации, полученными на работе.[/QUOTE][/QUOTE]
Ну я примерно так и предполагал... Весь разговор о [b]клиентах[/b], а троян рассылает спам как [b]сервер[/b].
Кроме того, рассмотрим такую схему. У провайдера, разумеется, не один клиент. У провайдера, естественно, не один корпоративный почтовик. Между собой, как выяснилось, почтовики работают напрямую. Что мешает трояну в сети одного корпоративного клиента рассылать спам на почтовик другого корпоративного клиента? Да ничего. Ведь правила запрета отправки на 25 порт настроены у провайдера, а корпоративные клиенты находятся с другой стороны FW. Получается, что спамооборот при закрытии 25 порта ограничивается доменными зонами одного провайдера. И смысл в закрытии?
[QUOTE=kuznetz;148402]Это Вы, Geser, DVi и другие — предлагаете не принимать мер против исходящего спама, а принимать меры исключительно против приходящего.[/QUOTE]
Вероятно потому, что приходящего в разы больше...
[QUOTE=kuznetz;148402]Поэтому будьте добры не перекладывать с больной головы на здоровую. И не перекладывать ответственность за свой спам на нигерийского дядю. Пока все будут перекладывать и никто не будет бороться с исходящим спамом — спамеры будут спамить спокойно, и объем спама будет ежегодно расти, как сейчас растет.[/QUOTE]
Млин! Ну как Вам объяснить, что не озабочен я проблемой исходящего спама. Мой админ - тоже, мой провайдер - тоже. Я - как и другие [b]пользователи[/b] - озабочен проблемой спама входящего. Источник которого находится в Нигерии, Франции, Польше, Бразилии и т. д. Какая может быть ответственность!? Чья?
КАК ВАМ ОБЪЯСНИТЬ, ЧТО ВЫ БОРЕТЕСЬ НЕ С ПРИЧИНОЙ, А СО СЛЕДСТВИЕМ!? Что эти меры ничего не дадут, кроме головной боли честным пользователям? Что без кампании по борьбе со спамом/вирусами в масштабах всех компьютерно развитых стран ничего не получится? Что сначала нужны организационные меры?
Поэтому, думается, Geser совершенно прав...
бopиc, cпpaвeдливocти paди - limar-warezov имeннo тeм и знaмeнит, чтo пo пoчтe paccылaeт тoлькo зaгpyзчикa. пoдpoбнocти ecть нa viruslist.ru. в ocтaльнoм жe я c вaми coглaceн - бopьбa c иcxoдящим cпaмoм нe дoлжнa быть бpeмeнeм юзepoв. нaличиe aнтивиpycoв нa вcex кoмпax в миpe IMHO избaвит миp oт спaмa. нo cлyчитcя этo нe cкopo.
[QUOTE=DVi;148482]бopиc, cпpaвeдливocти paди - limar-warezov имeннo тeм и знaмeнит, чтo пo пoчтe paccылaeт тoлькo зaгpyзчикa. пoдpoбнocти ecть нa viruslist.ru.[/QUOTE]
Я в курсе. Но первые версии Лимара Варезовича paccылaли только свои копии, последующие - зaгpyзчикa своей же более новой версии. По поводу новых версий - несколько расплывчато написано, что это "Вирус-червь, распространяющийся в виде вложений в электронные письма. В них червь помещает не свою копию, а компонент, который может загружать из сети Интернет другие вредоносные программы." Если б это были бы спамботы, то, думаю, об этом написАли бы яснее. А так "может" и "другие"...
В целом, на мой взгляд, вирус с трояном никак не связаны. Сколько было случаев лечения вирусов (того же Лимара Варезовича), но троянов не было, сколько случаев изгнания троянов (например, Trojan.Spambot или Trojan-Proxy.*), но вирусов не было...
Разумеется, полностью такое "сотрудничество" исключить нельзя. Поэтому подчеркну еще раз - [b]я[/b] с таким не сталкивался.
[QUOTE=borka;148473]2. различий в протоколе при отправке писем на почтовый сервер пользователем, трояном или другим почтовым сервером нет.[/QUOTE]а аутентификация?
[QUOTE=borka;148473]2. различий в протоколе при отправке писем на почтовый сервер пользователем, трояном или другим почтовым сервером нет.
[QUOTE=maXmo;148569]а аутентификация?[/QUOTE][/QUOTE]
Насколько я понимаю, необходимость авторизации зависит от принимающего сервера. Если принимающий сервер это опен релей, то ему все равно, кто отправляет письмо - клиент, другой сервер или троян.
[QUOTE=borka] Флуд про авторизацию поскипан. :) [/QUOTE]
То есть Вы признаёте, что Вы ошибались? Иначе как это «проскипан»?!
[QUOTE=borka] Примем как постулаты:
1. исходящие письма идут на 25 порт почтового сервера (своего или чужого - неважно).
2. различий в протоколе при отправке писем на почтовый сервер пользователем, трояном или другим почтовым сервером нет.
3. трояны могут отправлять почту как на почтовый сервер корпоративной почты (или Яндекса), так и на любой другой почтовый сервер.
4. трояны не подозревают о наличии Ваших схем работы. Сорри. ;) [/QUOTE]
Похоже, что не признаёте. Понятно. Что же, тогда продолжим:
для начала, Леонид Ильич наш дорогой, объясните, что Вы хотели сказать вышепроцитированным фрагментом. Ничего не понятно. С чем из сказанного мной Вы этим фрагментом спорили и каким образом — разъясните.
Я пока уловил некий спор только во фразе «трояны не подозревают о наличии Ваших схем работы». Ну допустим, не подозревают (хотя можно предположить, что писатели троянов подозревают). Так или иначе, что Вы этим хотели сказать? Как это связано с моими схемами, их правильностью/неправильностью, маршрутами прохождения почты и спама, или каким-то другим образом связано с моими схемами, или с чем-то иным в нашем с Вами разговоре? короче говоря, с чем Вы спорили?
[QUOTE=borka] Флуд про релей на smtp.yandex.ru поскипан. :) [/QUOTE]
О, уважаемый, так Вы вообще, оказывается, неадекватная личность.
Как Вас начинают прижимать фактами, так Вы начинаете просто косить. Уж извините за выражение.
Большая просьба — не косите. Никто здесь не поверит, что Вы — разбитый инсультом Леонид Ильич, не могущий связать двух слов без помощи сторонних консультантов. Выражайте свои мысли ПО-ЧЕЛОВЕЧЕСКИ, будьте добры. Я почему-то себе ничего подобного (косить то есть) никогда не позволил в дискуссии ни с Вами, ни вообще в этой теме. Будьте добры процитировать все «проскипанные» Вами здесь и выше (выше — то есть «про авторизацию») фрагменты и дать четкий ответ, где с чем Вы не согласны и почему.
[QUOTE=borka] Очень хотелось бы взглянуть на клуджи этого загадочного письма, поскольку "троян на компьютере smtp.yandex.ru", "промежуточный релей mail.yandex.ru" - это очередные непонятные мне умные слова. [/QUOTE]
Пожалуйста. Вот:
Return-path: <[email protected]>
Received: from smtp4.yandex.ru ([213.180.223.136])
by sinecure.com with ESMTP id 0003468C.45B30EB2.000071C2
for <[email protected]>; Mon, 08 Oct 2007 14:57:11 +0300
Received: from ll034.i6.mi.ru ([89.184.6.34]:32548 "EHLO R4C1"
smtp-auth: "ag5qmcr" TLS-CIPHER: <none> TLS-PEER-CN1: <none>)
by mail.yandex.ru with ESMTP id S240243AbXKHLlB (ORCPT
<rfc822;[email protected]>);
Mon, 8 Oct 2007 14:41:01 +0300
X-Comment: RFC 2476 MSA function at smtp4.yandex.ru logged sender identity as: ag5qmcr
Date: Mon, 8 Oct 2007 14:40:59 +0300
From: "=?windows-1251?B?VmxhZA==?=" <[email protected]>
Reply-To: <[email protected]>
Message-ID: <[email protected]>
To: <[email protected]>
Subject: =?windows-1251?B?0ODn8OX45e3o5Q==?=
MIME-Version: 1.0
Content-Type: multipart/related;
Type="multipart/alternative";
boundary="----=_NextPart_000_0090_01C2A9A6.57108D9A"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Return-Path: [email][email protected][/email]
Я утверждаю, что это означает, что троян на компе 89.184.6.34 (открытый прокси, SOCKS или SMTP) рассылает спам через Яндекс путем авторизации, по зарегенному на Яндексе аккаунту [email][email protected][/email]
Да там в заголовках это открытым текстом написано даже.
[QUOTE=borka] [QUOTE=kuznetz] Это как это Вы «понимаете» механизм посылки с левого айпишника и from *@yandex.ru???!!! поделитесь. А то что-то неизвестное науке
Что за чудесный механизм, если это НЕ механизм с аккаунта клиента Яндекса? [/QUOTE]
Приходит мне в почту письмо с сабжем "Ваш аккаунт Яндекс-Деньги временно заблокирован", from=*@yandex.ru, в теле письма просьба проверить состояние аккаунта - фишинг в чистом виде. У меня никаких аккаунтов на Яндексе отродясь не было. :) Неужели Вы думаете, что письма действительно с Яндекса!? [/QUOTE]
В отличие от Вас, уважаемый borka, я не «думаю», а смотрю заголовки. Откуда, по-вашему, я вообще узнал, что письмо с адреса 89.184.6.34? ведь этот IP был озвучен мною в самом начале разговора о письме. Вы же в ответ на это начали меня учить смотреть заголовки. Спасибо за ценные советы, уважаемый borka :)
Ваше письмо с приведенными Вами заголовками к разбираемому нами примеру имеет весьма малое отношение. Оно пришло НЕ через Яндекс.
Я во втором посте про мое письмо уже сказал, что письмо РЕАЛЬНО пришло через Яндекс — что это написано в заголовках. Потом повторял это каждый раз. Вы посты читать умеете?
[QUOTE=borka] Из заголовков письма видно, что отправители (айпишники 14.160.135.186 и 208.57.100.52) ну ни разу не имеет отношения к "Chase" [/QUOTE]
Из этого видно еще и то, что Вы, уважаемый, имеете лишь НАЧАЛЬНЫЕ представления о существующей практике рассылки спама. Каждому понятно, что IP 14.160.135.186 вообще не имеет отношения к прохождению письма. Это подделанный заголовок Received. На всякий случай (если Вы опять “думаете”) пробейте этот IP по WhoIs. Будет очень смешно, обещаю.
Но то, что заголовок подделан, видно БЕЗО всякого WhoIs, повторяю.
Это еще один пример того, что Вы беретесь судить о вещах, в которых разбираетесь мало.
[QUOTE=borka] [QUOTE=kuznetz] Согласно приведенной Вами ранее схеме политик Яндекса, такого не может быть. Вы опять торопитесь неизвестно куда. [/QUOTE]
Вы будете смеяться, но Яндекс тут ни при чем. [/QUOTE]
Как можно было видеть из приведенных мною заголовкой, Яндекс тут при чем.
[QUOTE=borka] [QUOTE=kuznetz] Чем Вам не понравилась перечисленная мной схема распространения спам-троянов: полученный по почте почтовый вирус Warezov скачивает с интернета спам-трояна и запускает его. [/QUOTE]
Чем не понравилась? Своей нереальностью. Я не слышал, чтобы Лимар скачивал трояна и запускал его [/QUOTE]
Перефразируя Вас, можно сказать, что если Вы чего-то не слышали — то не значит, что этого нет.
Итак, на всякий случай начну с напоминания, что Limar — это Warezov.
Теперь ссылки по теме:
[QUOTE=Вирусная энциклопедия Касперского] Email-Worm.Win32.Warezov.et («Лаборатория Касперского») также известен как: W32/Stration.gen.dldr (McAfee), Win32.HLLM.Limar.based (Doctor Web), WORM/Stration.AF (H+BEDV), Win32:Warezov-AAP (ALWIL), Trojan.Dropper.Stration.VD (SOFTWIN), Worm.Stration.WR (ClamAV)
Вирус-червь, распространяющийся посредством электронной почты. В письма червь помещает не свою копию, а компонент, обладающий функцией загрузки из Интернета ДРУГИХ вредоносных программ.
Деструктивная активность
Вирус имеет возможность завершать различные процессы, а также останавливать и удалять службы антивирусных программ и персональных брандмауэров.
Также основной исполняемый файл червя скачивает с сайтов злоумышленника различное ВРЕДОНОСНОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ и инсталлирует его в систему пользователя. [/QUOTE]
Выше процитированное взято отсюда:
[url]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=140652[/url]
Далее:
[QUOTE=SpamTest Лаборатории Касперского] Эксперты по сетевой безопасности продолжают фиксировать экспансию семейства троянцев Dorf и червя-спамера Warezov, он же Stration, по каналам электронной почты. Кибертеррористы заменили сообщения о мировых сенсациях и катаклизмах любовными посланиями и предупреждениями об угрозах компьютерной безопасности, но цель их атак остается неизменной – расширение СЕТИ ПОДКОНТРОЛЬНЫХ КОМПЬЮТЕРОВ. [/QUOTE]
[QUOTE=SpamTest Лаборатории Касперского] По мнению специалистов F-Secure, наиболее уязвимым звеном троянских атак кибертеррористов являются пользователи домашних компьютеров, так как системы безопасности бизнес-структур обычно вычищают все файлы .exe из входящей электронной почты. В Sophos предвидят дальнейшее наращивание «ТРОЯНСКОГО наступления», нацеленного на расширение армии ЗОМБИ для автоматизированной рассылки СПАМА и нелегитимной рекламы или для проведения DoS-атак [/QUOTE]
Выше процитированное взято отсюда:
[url]http://www.spamtest.ru/news?id=207508834[/url]
Надеюсь, это удовлетворительные источники?
[QUOTE=borka] Остальной флуд про вирусы и трояны поскипан. [/QUOTE]
Будьте так любезны процитировать его, и дать ответ. То есть либо согласиться с тем что было сказано, либо аргументированно возразить.
[QUOTE=borka] [QUOTE=kuznetz] OK, правильно ли я Вас понял: Вы думаете, что
«программы почтовые-клиенты не умеют устанавливать SMTP-соединение с сервером» [/QUOTE]
Про почтовые клиенты разговора не было. Был разговор про пользователей. :) Это к вопросу точности формулировок. [/QUOTE]
Чьих формулировок? Ваших? (за свои я ответил в прошлом и позапрошлом посте)
О пользователях-робокопах, умеющих/не умеющих выходить в интернет без помощи компьютера у нас, естественно, разговора с Вами не было. Разговор был про пользователей, троянов и почтовые сервера.
Не валяйте дурака, пожалуйста. Пользователь, в контексте обсуждаемого вопроса, — это программа, работающая у пользователя, и тут не может быть двух толкований. Поэтому я был вынужден вынести этот вопрос на рассмотрение в разделе «Помогите», как и обещал:
Надеюсь, что эксперты выскажут там свое мнение.
[url]http://virusinfo.info/showthread.php?t=13987[/url]
[QUOTE=borka] [QUOTE=kuznetz] и насчет почему почтовые сервера вдруг работают по схеме 2. [/QUOTE]
Еще раз: почтовые серверы не имеют ни малейшего представления о Ваших схемах. Вы исхОдите из того, что спам рассылается только клиентом какого-нибудь почтовика (корпоративного или Яндекса - неважно). Я же считаю, что трояны отсылают спам как почтовые серверы - напрямую. [/QUOTE]
Опять начинаются уроки в стиле Леонида Ильича.
Спам рассылают трояны — я это говорил в этой теме множество раз.
Речь о том, что ПРИ ЗАКРЫТОМ ПОРТЕ 25 трояны не смогут рассылать спам «как почтовые серверы — напрямую». Это тоже было сказано множество раз. Вы читать посты умеете?
И трояны будут вынуждены (при условии соответствующей переделки троянов спамерами, надо полагать) рассылать почту не напрямую, а только через почтовые сервера («корпоративные или Яндекса», как Вы сказали) путем использования реквизитов SMTP-авторизации, взятых тут же на компьютере клиента. Все это уже говорилось, и не раз. Вы читать умеете?
[QUOTE=borka] [QUOTE=kuznetz] Ну что за таинственные «спам-почтовики»? Где Вы их видели, что Вы под этим подразумеваете?
Спам рассылают спам-трояны, сидящие на компьютерах пользователей. [/QUOTE]
Спам-почтовик - это троян, сидящий на компьютере пользователя (возможно, входящий в состав ботнета) и рассылающий спам [/QUOTE]
???
а я только что, в процитированном Вами фрагменте, — не это же самое сказал разве?!
[QUOTE=borka] С чего Вы взяли, что он может работать только по Вашей же схеме #2 - до сих пор понять не могу... [/QUOTE]
С чего Вы взяли, что я это говорил? (про «только» то есть.)
где, когда? приведите цитату и ссылку на пост. Что за ерунда опять?
Трояны работают по всем трем схемам. Спамеры всегда используют все возможности. Это умные люди.
Трояны, в настоящее время, работают преимущественно по схеме 1 — то есть напрямую посылают письмо на Яндекс. Яндекс, как Вы выяснили, такие письма часто не принимает — поскольку на Яндексе проверяется IP на то что он должен иметь корректный PTR.
Но подавляющее большинство почтовых серверов (далеко ходить не надо — Mail.ru) таких проверок не делает. Кроме того, трояны сидят и на адресах, имеющих корректный PTR (как в приведенном мною примере с IP 89.184.6.34). Поэтому трояны на данный момент успешно работают по схеме 1.
Кроме того, трояны работают по схеме 2. То есть отправляют письма через открытые релеи.
Кроме того, трояны работают по схеме 3 (то есть с авторизацией) — опять же см. приведенный мною пример с письмом с IP 89.184.6.34
[QUOTE=borka] [QUOTE=kuznetz] каким местом закрытие порта 25 влияет на справление провайдера с приходящим спамом? что за ахинею Вы несете, прошу прощения. [/QUOTE]
Вот и я удивляюсь, зачем провайдеру закрывать 25 порт и искать приключения на свою лысину, если у него в сети спама нет? [/QUOTE]
У КОГО В СЕТИ НЕТ СПАМА? назовите конкретную сеть (не очень маленькую только, хотя бы /17)
Я взял на себя смелость посмотреть на SenderBase ситуацию в сети kiev.ua:
[url]http://www.senderbase.org/senderbase_queries/detaildomain?search_string=kiev.ua[/url]
Как все могут убедиться, на данный момент в сети значится 322 источника почты. Из них часть является, конечно, штатными почтовыми серверами, но подавляющее большинство — боты на компьютерах пользователей, И выставляющиеся в инет интерфейсы серверов NAT-доступа (за которыми во внутренней сети сидят тоже боты на компьютерах пользователей).
Суммарная magnitude оценивается в 6.2
То есть миллион с небольшим писем в день, из которых 80-90% составляет спам.
При это следует еще сделать поправку на то, что SenderBase берет свои данные только с заграничных провайдеров. То есть весь спам, поступающий в сети СНГ и прочих неучаствующих в системе стран — здесь еще не учтен. Значит, на самом деле спама из этой сети еще больше.
Поэтому будьте добры не косить, что у вас «нет спама».
По поводу спама из России можно пробить данные по сети МТУ (Москва):
магнитуда 7.9. То есть почти 100 млн. штук спама в день.
Вот что по поводу размеров российского спама думают на Западе:
[QUOTE=Marshal Ltd] Однако за последние два месяца уровень спама российского происхождения вырос втрое; в настоящее время нелегитимные сообщения из России составляют 9% от общего объема спама в Интернете. В рейтинге стран-источников спама, регулярно обновляемом Marshal, Россия в настоящий момент занимает 2 место. [/QUOTE]
ВТОРОЕ место в мире!
взято отсюда:
[url]http://www.spamtest.ru/news?id=207509032[/url]
[QUOTE=borka] [QUOTE=kuznetz] RTFM. Вы читать умеете? Там было написано, сразу в первом посте: при закрытом порте 25 пользователи будут отправлять на порт MSA. Рекомендуемое значение порта — 587. Хотя конкретное значение без разницы. Либо через почтовик провайдера. [/QUOTE]
Если пользователи будут отправлять письма на порт MSA, то и трояны будут отправлять туда же. Вам ужЕ дважды ответили [/QUOTE]
А я уже столько же раз (если не больше) ответил на это:
ДА, БУДУТ. Но это гораздо менее эффективно. В этом разница.
Вы на это ответили, что у Вас «мнение», что это без разницы. И вот это мнение Вы не желаете аргументировать, в точности как незабвенный Леонид Ильич.
[QUOTE=borka] Кроме того, почему Вы решили, что трояны будут прикидываться клиентами, а не серверами? [/QUOTE]
Что значит «прикидываться клиентами, прикидываться серверами»? Поясните что Вы под этим подразумеваете.
Трояны ничем не прикидываются. Они отправляют почту.
«Прикидываться серверами», то есть отправлять почту наружу через порт 25 — они не смогут, потому что для клиентов (а трояны сидят на клиентах) порт 25 будет вовне закрыт.
[QUOTE=borka] [QUOTE=kuznetz] При закрытии порта 25 обмен между почтовыми серверами никак не меняется. [/QUOTE]
И что с закрытия порта? [/QUOTE]
То, что прекращается отправка почты троянами, сидящими на клиентах. А это главный путь рассылки спама. Уже говорилось это, множество раз.
[QUOTE=borka] Ну я примерно так и предполагал [/QUOTE]
Тогда чего же Вы, прошу прощения, ваньку валяли столько времени?!!
[QUOTE=borka] Весь разговор о *клиентах*, а троян рассылает спам как *сервер*. [/QUOTE]
Нет, не как сервер, потому что ему будет недоступен наружу порт 25. Порт 25 будет для клиентов наружу закрыт — в этом и заключается мера по закрытию порта 25. Это было сказано В САМОМ НАЧАЛЕ, и потом множество раз повторял. Хватит ваньку валять, господин borka!
[QUOTE=borka] рассмотрим такую схему. У провайдера, разумеется, не один клиент. У провайдера, естественно, не один корпоративный почтовик. Между собой, как выяснилось, почтовики работают напрямую. Что мешает трояну в сети одного корпоративного клиента рассылать спам на почтовик другого корпоративного клиента? [/QUOTE]
Вот опять аргумент в пользу мнения о Вашей низкой компетентности в обсуждаемых вопросах. Вы путаетесь в трех соснах, в совершенно элементарных схемах.
Трояну мешать будет то, что порт 25 будет закрыт для него наружу СОВСЕМ, то есть в том числе закрыт на все корпоративные сервера, находящиеся в сети этого провайдера, и всех остальных провайдеров. Разве не так было сказано С САМОГО НАЧАЛА?
Порт 25 для клиента провайдера будет открыт только на почтовик этого провайдера. Да и то это делается в качестве костыльной временной меры — поскольку не все почтовики смогут разом заиметь у себя отдельный порт MSA. На этот переходный период некоторым клиентам провайдера и потребуется отправлять почту через почтовик провайдера.
[QUOTE=borka] [QUOTE=kuznetz] Это Вы, Geser, DVi и другие — предлагаете не принимать мер против исходящего спама, а принимать меры исключительно против приходящего. [/QUOTE]
Вероятно потому, что приходящего в разы больше [/QUOTE]
Во-первых, каким образом Вы это определяете? То есть каким образом Вы определяете объем исходящего спама?
Вы (и провайдер вообще, любой) не можете знать, сколько спама исходит из Вашей сети. Ведь спам идет напрямую, не через почтовые сервера провайдера. Он нигде не фиксируется, ни в каких логах.
Во-вторых, раз Россия занимает второе место в мире по исходящему спаму, то это доказывает именно то, что приходящего НЕ больше. Ведь спам не рассылается из ниоткуда.
[QUOTE=borka] Млин! Ну как Вам объяснить, что не озабочен я проблемой исходящего спама. Мой админ - тоже, мой провайдер - тоже. [/QUOTE]
Так о том и речь, чтобы Вы, и Ваш провайдер — озаботились. Морально обязать, уже говорилось. И законодательно, если получится. Опять начинаете бегать вокруг одного места? Ведь все это уже говорилось, и я дал на это ответ.
[QUOTE=borka] Я - как и другие *пользователи* - озабочен проблемой спама входящего. Источник которого находится в Нигерии, Франции, Польше, Бразилии и т. д. Какая может быть ответственность!? Чья? [/QUOTE]
Во-первых, согласно приведенным мною ранее данным, источник получаемого россиянами спама находится преимущественно в России. За Украину сказать не могу — но не вижу причин, по которым ситуацию на Украине следует ожидать менее печальной.
Во-вторых, на нас ответственность перед Францией, Нигерией, Польшей, Бразилией и остальным миром за тот спам, который идет к ним из нашей сети. Чего тут непонятного?
[QUOTE=borka] КАК ВАМ ОБЪЯСНИТЬ, ЧТО ВЫ БОРЕТЕСЬ НЕ С ПРИЧИНОЙ, А СО СЛЕДСТВИЕМ!? [/QUOTE]
Согласен.
А Вы разве предлагаете не то же самое (только на еще более далекой от источника точке маршрута) — борьбу со следствием, когда предлагаете ограничиться только борьбой с приходящим спамом?!!
[QUOTE=borka] Что эти меры ничего не дадут, кроме головной боли честным пользователям? Что без кампании по борьбе со спамом/вирусами в масштабах всех компьютерно развитых стран ничего не получится? Что сначала нужны организационные меры?
Поэтому, думается, Geser совершенно прав [/QUOTE]
Geser (и Вы) совершенно прав в том, что организационные, законодательные и пропагандистские меры нужны. Я разве с этим спорю или спорил? нет конечно. Вы это прекрасно знаете. Я несколько раз в этой теме про это говорил, открытым текстом.
С этим я не спорю — я спорю с тем, что Вы предлагаете ЖДАТЬ, пока эти меры будут осуществлены. То есть фактически ждать, пока рак на горе свистнет. Именно такая точка зрения объективно устраивает спамеров.
Поэтому я предлагаю СЕЙЧАС делать то, что можно сделать. То есть всем порядочным провайдерам — закрыть порт 25.
в этoм тoпикe нe oтмeтилcя ни oдин пpoвaйдep. лyчшe пooбщaйтecь c ними нaпpямyю, kuznetz, чтoбы пpeдcтaвить, гeмoppoй кaкoгo paзмepa вы им пpeдлaгaeтe.
[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]
и eщe: я xopoшo пoмню, кaк aвтopoв aнaлитичecкиx cтaтeй нa spamtest.ru вы нaзывaли @пocoбникaми cпaмepoв@. бyдьтe пocлeдoвaтeльны, нe пepexoдитe нa cтopoнy spamtest
[QUOTE=kuznetz;148711]
Поэтому я предлагаю СЕЙЧАС делать то, что можно сделать. То есть всем порядочным провайдерам — закрыть порт 25.[/QUOTE]
У меня 25 порт закрыт, кроме сервера провайдера.
99% из виденных мной спамботов действительно рассылать спам в такой негуманной обстановке не могут. В их репортах хозяевам встречается "smtp=bad".
Но как только это станет массово используемой мерой - всего-то будет сменена тактика спамеров, т.к. и с закрытым наглухо 25 портом 1% троянов (к примеру, червь MedBod) прекрасно рассылает спам через веб-интерфейсы почты гугля, яху, а также сообщения через аську, MSN и реже в форумы.
Т.е. с закрытием порта 25 сменятся спамботы, не более того. Так они и без того меняются порой по нескольку раз в день.
Пока за спам платят деньги - способ рассылки будет найден.
Закрытие 25 порта будет действенным лишь до тех пор, пока оно не применено массово и никого особо не беспокоит.
[QUOTE=DVi] в этoм тoпикe нe oтмeтилcя ни oдин пpoвaйдep. лyчшe пooбщaйтecь c ними нaпpямyю, kuznetz, чтoбы пpeдcтaвить, гeмoppoй кaкoгo paзмepa вы им пpeдлaгaeтe. [/QUOTE]
Спасибо за ценный совет, господин DVi.
Я общался с провайдерами, как путем непосредственной переписки с техподдержкой и администраторами почты и администраторами доступа, так и на форумах.
Поэтому прекрасно представляю как «размер геморроя», так и причины, по которым этот размер неизменно преувеличивается этими провайдерами. Всё это (и причины геморроя, и причины переразмера) обсуждалось, кстати, в этой теме. Вы же знаете. Так зачем же Вы снова делаете далеко идущие (якобы далеко идущие) предложения?
[QUOTE=DVi] и eщe: я xopoшo пoмню, кaк aвтopoв aнaлитичecкиx cтaтeй нa spamtest.ru вы нaзывaли @пocoбникaми cпaмepoв@. бyдьтe пocлeдoвaтeльны, нe пepexoдитe нa cтopoнy spamtest [/QUOTE]
Извините, господин DVi, но
«стороны» здесь занимаете Вы и господин Geser. По этим причинам Вы высказываете мнения, которые иначе как отмазкой не назвать (имеется в виду то, что Вы сказали в моей теме Помогите рассудить спор), а господин Geser делает то, что он делает (обсуждать это нельзя, поэтому не буду).
Я ничью сторону не занимаю, а оперирую в своих постах объективными (насколько это возможно) фактами.
Аналитики, писавшие против черных списков на webinform (собственно, это были не аналитики, а конкретно господа Демидов, Ашманов, Скрипка, Тутубалин и др.), и аналитики, писавшие статьи на SpamTest (а тем более на Marshal — ведь взято с сайта Marshal, на SpamTest только обзор этой статьи) — это разные люди. У Вас странная логика.
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
[QUOTE=Alexey P.] У меня 25 порт закрыт, кроме сервера провайдера. [/QUOTE]
Респект.
[QUOTE=Alexey P.] Но как только это станет массово используемой мерой - всего-то будет сменена тактика спамеров [/QUOTE]
Да, Вы правы. Это очевидное соображение, и оно, конечно, уже обсуждалось в данной теме.
Ответ заключался в том, что рассылка троянами через сервера неспособна выполнить тот объем спама, который имеем сейчас. Потому что а) не хватит мощности всех почтовых серверов в мире б) на почтовых серверах ПО СВОИМ пользователям ничто не мешает применять тарпит, IP-Screen и прочие меры для ограничения спам-рассылок.
Вот на это соображение господин borka наотрез отказывается давать ответ, только леонид-ильичевское «мнение».
Прошу Вас рассудить наш спор, раз на то пошло.
[QUOTE]
Ответ заключался в том, что рассылка троянами через сервера неспособна выполнить тот объем спама, который имеем сейчас. Потому что а) не хватит мощности всех почтовых серверов в мире б) на почтовых серверах ПО СВОИМ пользователям ничто не мешает применять тарпит, IP-Screen и прочие меры для ограничения спам-рассылок.
[/QUOTE]
Проблема в том, что есть масса криво настроенных почтовых серверов где возможен открытый relay. В частности у нашего местного прова обнаружилась колоссальная утечка траффика. Оказался криво настроенный postfix и через него пробрасывали оочень много почты, канал был забит полностью.
[QUOTE=kuznetz;148711]короче говоря, с чем Вы спорили?[/QUOTE]
Поскольку раздвоением личности не страдаю, то явно не с собой. :P
Флуд о моей неадекватной личности поскипан. :)
[QUOTE=borka;148473]Очень хотелось бы взглянуть на клуджи этого загадочного письма, поскольку "троян на компьютере smtp.yandex.ru", "промежуточный релей mail.yandex.ru" - это очередные непонятные мне умные слова. :)
[QUOTE=kuznetz;148711]Пожалуйста. Вот:
...
Я утверждаю, что это означает, что троян на компе 89.184.6.34 (открытый прокси, SOCKS или SMTP) рассылает спам через Яндекс путем авторизации, по зарегенному на Яндексе аккаунту [email][email protected][/email]
Да там в заголовках это открытым текстом написано даже.[/QUOTE][/QUOTE]
Значит, точно совпало! :)
Отличия borka от kuznetz поскипаны. :)
[QUOTE=kuznetz;148711]Ваше письмо с приведенными Вами заголовками к разбираемому нами примеру имеет весьма малое отношение. Оно пришло НЕ через Яндекс.[/QUOTE]
Маленькая поправка - "к разбираемому [b]Вами[/b] примеру". Мне, честно говоря, абсолютно до с... спины, откуда пришло письмо - с Яндекса, не с Яндекса. Это спам. Он пришел.
[QUOTE=kuznetz;148711]Я во втором посте про мое письмо уже сказал, что письмо РЕАЛЬНО пришло через Яндекс — что это написано в заголовках. Потом повторял это каждый раз. Вы посты читать умеете?[/QUOTE]
Ну и слава богу. Вы ответы читать умеете? Я сразу сказал, что совпало - адрес отправителя и реальный адресант. :) И с чем Вы спорили - непонятно.
[QUOTE=kuznetz;148711]Из этого видно еще и то, что Вы, уважаемый, имеете лишь НАЧАЛЬНЫЕ представления о существующей практике рассылки спама. Каждому понятно, что IP 14.160.135.186 вообще не имеет отношения к прохождению письма. Это подделанный заголовок Received. На всякий случай (если Вы опять “думаете”) пробейте этот IP по WhoIs. Будет очень смешно, обещаю.[/QUOTE]
Кому смешно и по какому поводу? После получения письма я смотрел все айпишники. Почему-то смешно не было. Расскажете? Вместе посмеемся. Зато теперь, надеюсь, Вы будете немного знать про фишинг и про поддельные from в письмах.
[QUOTE=kuznetz;148711]Будьте так любезны процитировать его, и дать ответ. То есть либо согласиться с тем что было сказано, либо аргументированно возразить.[/QUOTE]
Печатаю медленно-медленно: Я о таких случаях не слышал. Подтверждаю. У меня достаточный опыт вычищения компьютеров от вирусов, троянов и прочих мальварей. В моей практике такого не встречалось. Поэтому для меня такая схема нереальна. Как еще ответить? Опять же если бы Вы прочитали мой ответ коллеге DVi, то наверняка бы вопроса не возникло.
[QUOTE=kuznetz;148711]Поэтому я был вынужден вынести этот вопрос на рассмотрение в разделе «Помогите», как и обещал:
Надеюсь, что эксперты выскажут там свое мнение.
[url]http://virusinfo.info/showthread.php?t=13987[/url][/QUOTE]
М-да... Почему в двойном "Оффтопе"? А обещали в "Помогите"...
[QUOTE=kuznetz;148711]И трояны будут вынуждены (при условии соответствующей переделки троянов спамерами, надо полагать) рассылать почту не напрямую, а только через почтовые сервера («корпоративные или Яндекса», как Вы сказали) путем использования реквизитов SMTP-авторизации, взятых тут же на компьютере клиента. Все это уже говорилось, и не раз. Вы читать умеете?[/QUOTE]
Так это Вам приводились эти аргументы. Наконец-то Вы их прочитали.
Схемы поскипаны. :)
Магнитуды тоже поскипаны. :)
Еще много чего поскипано. :)
[QUOTE=kuznetz;148711]А Вы разве предлагаете не то же самое (только на еще более далекой от источника точке маршрута) — борьбу со следствием, когда предлагаете ограничиться только борьбой с приходящим спамом?!![/QUOTE]
А вот тут не передергивайте! Я говорил о комплексной системе. Как эта Ваша цитата соотносится со следующей:
[QUOTE=kuznetz;148711]Geser (и Вы) совершенно прав в том, что организационные, законодательные и пропагандистские меры нужны. Я разве с этим спорю или спорил? нет конечно. Вы это прекрасно знаете. Я несколько раз в этой теме про это говорил, открытым текстом.[/QUOTE]
Зачем же так передергивать-то?
[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]
[QUOTE=kuznetz;148768]Ответ заключался в том, что рассылка троянами через сервера неспособна выполнить тот объем спама, который имеем сейчас. Потому что а) не хватит мощности всех почтовых серверов в мире б) на почтовых серверах ПО СВОИМ пользователям ничто не мешает применять тарпит, IP-Screen и прочие меры для ограничения спам-рассылок.
Вот на это соображение господин borka наотрез отказывается давать ответ, только леонид-ильичевское «мнение».[/QUOTE]
Этот флудер borka Вам объяснил, что его (borka) больше интересуют вопросы входящего спама, что предлагаемая мера никоим образом не снизит его объем. Что такие меры нужно принимать по всему миру, точнее, по компьютерно развитым странам. Что моему провайдеру/админу закрытие порта не поможет, если объем входящего спама многократно превосходит исходящий.
Но ответы, которые не подпадают под концепцию закрытия 25 порта, Вас не устраивают.
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
[QUOTE=ALEX(XX);148775]Проблема в том, что есть масса криво настроенных почтовых серверов где возможен открытый relay.[/QUOTE]
Так это ж надо знать, что это такое. Вот Вы знаете, а кто-то даже понятия не имеет. Потому что почтовик мог быть когда-то настроен ужЕ ушедшим админом, оно как-то работает, и никто его и трогать не будет. Либо обслуживаться приходящим админом, для которого лишние заморочки ни к чему.
[QUOTE=borka] ... [/QUOTE]
поскипано.
[QUOTE=borka] ... [/QUOTE]
опять поскипано
[QUOTE=borka] ... [/QUOTE]
поскипано тоже.
Извините, господин borka, но весь Ваш пост поскипан. Если Вы не желаете вести диалог, а желаете валять ваньку — валяйте. Но я валять не намерен
[QUOTE=ALEX(XX)] Проблема в том, что есть масса криво настроенных почтовых серверов где возможен открытый relay. В частности у нашего местного прова обнаружилась колоссальная утечка траффика. Оказался криво настроенный postfix и через него пробрасывали оочень много почты, канал был забит полностью. [/QUOTE]
Без сомнения, такое бывает. Я сам залетал за время своей работы 2 раза (с открытым релеем). Каждый раз точно помню.
Но Вы ведь не хотите сказать, что кривонастроенные почтовики поставляют хоть сколько-нибудь заметную часть спама в интернете? Почему Вы говорите «масса»?
Доля кривонастроенных почтовиков совершенно незначительна. И она никогда не будет значительна — потому что с чего?
Наибольшую часть спама производят спам-трояны на компьютерах пользователей. Именно с этой частью предлагается бороться путем закрытия порта 25.
[QUOTE=kuznetz;148793]поскипано.
опять поскипано
поскипано тоже.
Извините, господин borka, но весь Ваш пост поскипан. Если Вы не желаете вести диалог, а желаете валять ваньку — валяйте. Но я валять не намерен[/QUOTE]
Не вопрос. Со своей стороны я закончил.
[quote=kuznetz;148793]Наибольшую часть спама производят спам-трояны на компьютерах пользователей. Именно с этой частью предлагается бороться путем закрытия порта 25.[/quote]
Вот насчёт массового закрытия 25 порта... Вряд ли такое возможно, потому что это заложено с самого начала начал, это вроде фундамента в здании. Невозможно переделать фундамент без разборки здания... Не факт, что не придумают иной способ. Ведь как говорится, на каждую хитрую ж... найдётся кой-чего с резьбой.
[QUOTE=borka] Со своей стороны я закончил [/QUOTE]
Закончили валять ваньку?
[QUOTE=ALEX(XX)] Вот насчёт массового закрытия 25 порта... Вряд ли такое возможно, потому что это заложено с самого начала начал, это вроде фундамента в здании. Невозможно переделать фундамент без разборки здания [/QUOTE]
Почему фундамент, почему разборка? Поясните, Алекс.
Порт 25 для клиентов закрыть, клиенты будут вместо него отправлять на порт MSA (порт 587). Больше ничего. Какая разборка?
[QUOTE=ALEX(XX)] Не факт, что не придумают иной способ. [/QUOTE]
Иной способ чего?!
[QUOTE=kuznetz;148798]Закончили валять ваньку?[/QUOTE]
Переписку с Вами.
[quote=kuznetz;148798]Почему фундамент, почему разборка? Поясните, Алекс. Порт 25 для клиентов закрыть, клиенты будут вместо него отправлять на порт MSA (порт 587). Больше ничего. Какая разборка?[/quote]
Ну как показывает общемировая практика, люди - существа ленивые и не любят ломать привычные устои, поэтому массового закрытия 25 порта ожидать не следует в ближайшее время, хотя проблему спама надо было решать активно уже вчера.
[QUOTE]Иной способ чего?![/QUOTE]
Рассылки спама, извините, мысль не закончил.
[QUOTE=borka] Переписку с Вами [/QUOTE]
А ваньку, стало быть, валять не закончили?
[QUOTE=ALEX(XX)] массового закрытия 25 порта ожидать не следует в ближайшее время, хотя проблему спама надо было решать активно уже вчера. [/QUOTE]
Не понятно: из-за того, что решения проблемы не следует ожидать скорым и легким, предлагается проблему не решать вообще?
Я ведь и не говорю, что провайдеры прямо кинутся все с радостью закрывать порт 25.
Алекс, прочитайте пожалуйста тему, иначе смысл обсуждать?
[QUOTE=kuznetz;148808]А ваньку, стало быть, валять не закончили?[/QUOTE]
Это Вы о чем, простите?
Почему же не надо решать? Где я такое говорил? Моё видение решения, возможно не совсем верное, переход на SMTP SSL, установка на серверах эффективных спам-фильтров, установка у пользователей эффективного антивирусного ПО (и др. средств защиты). Вот в этом случае, проблема, думаю, будет решена.
[QUOTE=borka] Это Вы о чем, простите? [/QUOTE]
Не о чем, а о ком.
О Вас, разумеется. Вы не закончили валять ваньку?
Вот что пишут в нете
[QUOTE]Именно по причине протокола SMTP спам валится тоннами в наши почтовые ящики. Существуют анонимные открытые smtp серверы, через которые любой может отправить любые письма куда угодно. Это так называемые "open smtp relay" - промежуточные серверы которые передают почту от одного сервера к другому. Благодаря тому, что такой relay не проверяет отправителя почты то злоумышленники получают доступ к рассылке спама в больших количествах, причем сами спаммеры не засвечиваются, поскольку отправители в
письмах прописаны как правило левые. Получив в руки список smtp серверов, спамеры начинают атаковать нас днем и ночью. Такая рассылка SMTP спама может быть остановлена применением честных фильтров наподобие kaspersky smtp gateway, что представляет собой такой же промежуточный сервер, но с проверкой передаваемой почты на верность данных отправителя.[/QUOTE]
[QUOTE=ALEX(XX)] Почему же не надо решать? Где я такое говорил? [/QUOTE]
Вы говорили, что закрывать порт 25 не следует потому, что не приходится ожидать, что провайдеры его закроют. Вот это я и охарактеризовал как странную логику.
Что касается перечисленных Вами сейчас мер борьбы со спамом — то Вы опять не прочитали тему. Все эти меры никто не отрицает, а наоборот всецело поддерживаю. Но поскольку эти меры до сих пор не возымели должного действия (поскольку спам есть, и растет), то предлагается озаботиться закрытием порта 25
[QUOTE=ALEX(XX);148812]Где я такое говорил? [/QUOTE]
Сейчас Вам расскажут. :P
Что касается упоминаемых Вами "open smtp relay", то
а) дайте пожалуйста ТОЧНУЮ ссылку, где это написано
б) доля этих открытых релеев совершенно ничтожна. Чтобы убедиться - посмотрите свой приходящий спам. Вы там не найдете НИ ОДНОГО прошедшего через такой релей.
[QUOTE]Вы говорили, что закрывать порт 25 не следует потому, что не приходится ожидать, что провайдеры его закроют.[/QUOTE]
Вообще то, я говорил о том, что не следует ожидать быстрого массового закрытия данного порта.
По поводу того где прочитал [URL]http://www.zemskov.ru/smtp.html[/URL]
По поводу open-relay [URL]http://en.wikipedia.org/wiki/Open_mail_relay[/URL]
[QUOTE]
Many [URL="http://en.wikipedia.org/wiki/Internet_service_provider"][COLOR=#0000ff]ISPs[/COLOR][/URL] use [URL="http://en.wikipedia.org/wiki/DNSBL"][COLOR=#0000ff]DNSBLs[/COLOR][/URL] (DNS-based Blocking Lists) to disallow mail from open relays Once a mail server is detected or reported that allows third parties to send mail through them, they will be added to one or more such lists, and other e-mail servers using those lists will reject any mail coming from those sites.
[/QUOTE]
[QUOTE=ALEX(XX)] Вообще то, я говорил о том, что не следует ожидать быстрого массового закрытия данного порта. [/QUOTE]
Согласен с Вами в этом.
Но Вы не возражаете, что эта мера правильная — то есть приведет к заявленным результатм: уменьшению спама в десятки и сотни раз?
[QUOTE=ALEX(XX)] По поводу open-relay [url]http://en.wikipedia.org/wiki/Open_mail_relay[/url] [/QUOTE]
Понятно. Вы заметили, что там было написано:
“In the mid-1990s”
???
То есть эти данные — об использоании спамерами открытых почтовых серверов — устарели ДАВНЫМ-ДАВНО. В наше время релеев нет — за исключением ошибок админов, естественно. Но эта доля ничтожно мала.
[QUOTE=ALEX(XX)] Many ISPs use DNSBLs (DNS-based Blocking Lists) to disallow mail from open relays Once a mail server is detected or reported that allows third parties to send mail through them, they will be added to one or more such lists, and other e-mail servers using those lists will reject any mail coming from those sites. [/QUOTE]
Так, здесь говорится что открытые релеи блокируют по черным спискам. Это Вы к чему?
Даю ответ и иду спать. :)
[quote]Но Вы не возражаете, что эта мера правильная — то есть приведет к заявленным результатам: уменьшению спама в десятки и сотни раз?
[/quote]
Не возражаю. Но во сколько раз уменьшит спам, не знаю, будущее для меня туманно.
[quote]Так, здесь говорится что открытые релеи блокируют по черным спискам. Это Вы к чему?[/quote]
Ну если блокируют по спискам, значит они есть, по-моему так, или я не прав? Интересно бы знать статистику по открытым релеям и их долю в спамерском деле
[QUOTE=borka] Сейчас Вам расскажут. [/QUOTE]
Именно, господин borka.
В отличие от Вас, я говорю всё толком, что и почему,
а не высказываю «мнений» без аргументов к ним, и не отделываюсь идиотским Вашим «просто слов нет».
[QUOTE=ALEX(XX)] Не возражаю. Но во сколько раз уменьшит спам, не знаю, будущее для меня туманно. [/QUOTE]
Спасибо. По меркам этого форума, Вы смелый человек. Извните, если это звучит несолидно, но я вполне серьезно, в самом деле.
Многие в этой теме от прямых ответов на прямые вопросы — уходят, и всё.
[QUOTE=ALEX(XX)] [QUOTE=kuznetz] Так, здесь говорится что открытые релеи блокируют по черным спискам. Это Вы к чему? [/QUOTE]
Ну если блокируют по спискам, значит они есть, по-моему так, или я не прав? [/QUOTE]
Вы правы, но это было в середине 90х годов. С тех пор открытые почтовые сервера поисчезали, и уже давно их как таковых нет. Есть только случайные ошибки конфигурирования.
В наше время по черным спискам блокируют спам-троянов. Это, можно сказать, тоже открытые релеи (чаще – открытые прокси), но НЕ НА ПОЧТОВЫХ СЕРВЕРАХ, а на компьютерах пользователей. С точки зрения закрытия порта 25 — это две большие разницы.
[QUOTE=ALEX(XX)] Интересно бы знать статистику по открытым релеям и их долю в спамерском деле [/QUOTE]
Я уже предложил: можно посмотреть спам в своем спамосборнике. Наугад выбрать выборку, предположим, из 20 штук. Если есть время, то и из большего количества.
Вы из них не найдете НИ ОДНОГО через открытый почтовый сервер. Почтовый сервер от спам-трояна отличать, естественно, следует по наличию MX (MX, соответствующего PTR или HELO, если уж вести речь о том, как это смотреть практически).
1. Наибольшую часть спама производят спам-трояны на компьютерах пользователей, paccылaющиe eгo чepeз кpивo нacтpoeнныe пoчтoвыe cepвepa, т.н. @open relays@. cпиcки open-relays coбиpaютcя cпaмepaми нe мeнee тщaтeльнo, чeм пoчтовыe aдpeca.
2. г-дa aшмaнoв, тyтyбaлин и т.д., нaзвaныe вышe - ocнoвaтeли spamtest.ru
[QUOTE=kuznetz;148829]Именно, господин borka.
В отличие от Вас, я говорю всё толком, что и почему,
а не высказываю «мнений» без аргументов к ним, и не отделываюсь идиотским Вашим «просто слов нет».[/QUOTE]
Вы флудер, флеймер, демагог и "проффесионал", для которого есть два мнения - свое и неправильное. Если кто-либо высказывает мнение, отличное от Вашего, то ни ответов, ни аргументов не читаете и не воспринимаете.
[QUOTE=kuznetz;148829]В наше время по черным спискам блокируют спам-троянов. Это, можно сказать, тоже открытые релеи (чаще – открытые прокси), но НЕ НА ПОЧТОВЫХ СЕРВЕРАХ, а на компьютерах пользователей. С точки зрения закрытия порта 25 — это две большие разницы.[/QUOTE]
С точки зрения трояна, он и есть ПОЧТОВЫЙ СЕРВЕР. А с точки зрения НЕЗАКРЫТОГО 25 порта в Свазиленде, закрытие порта у моего провайдера ничего не даст мне как пользователю для снижения входящего спама.
[QUOTE=borka;148582]Если принимающий сервер это опен релей, то ему все равно, кто отправляет письмо - клиент, другой сервер или троян.[/QUOTE]про опен релеи, думаю, можно забыть. Я говорил про разрешение нормальным клиентам общаться с нормальными почтовыми серверами по 25 порту. Среди нормальных почтовых серверов (типа mail.ru, yandex.ru, gmail.com, newmail.ru) сейчас нет опен релеев, везде нужна аутентификация. То есть если с рабочего места вылетает письмо без аутентификации, его можно смело резать. Это можно детектировать и резать. Это уменьшит количество [B]исходящего[/B] спама.
[QUOTE=Alexey P.;148765]Но как только это станет массово используемой мерой - всего-то будет сменена тактика спамеров, т.к. и с закрытым наглухо 25 портом 1% троянов (к примеру, червь MedBod) прекрасно рассылает спам через веб-интерфейсы почты гугля, яху, а также сообщения через аську, MSN и реже в форумы.
Т.е. с закрытием порта 25 сменятся спамботы, не более того. Так они и без того меняются порой по нескольку раз в день.
Пока за спам платят деньги - способ рассылки будет найден.
Закрытие 25 порта будет действенным лишь до тех пор, пока оно не применено массово и никого особо не беспокоит.[/QUOTE]вот у меня тоже устойчивое впечатление, что ты этим хотел сказать «Не имеет смысла бороться, потому что всё равно ничего не получится». Как сказал один мой знакомый, может хватит бояться и начать жить?!
[QUOTE=ALEX(XX);148806]Ну как показывает общемировая практика, люди - существа ленивые и не любят ломать привычные устои[/QUOTE]жаль, что майкрософт, выпуская висту, забыла проконсультироваться с тобой на этот счёт.
[QUOTE=ALEX(XX);148806]поэтому массового закрытия 25 порта ожидать не следует в ближайшее время, хотя проблему спама надо было решать активно уже вчера.[/QUOTE]так и давайте решать, а не твердить, что всё это бесполезно, т.к. спамеры всё равно найдут другой способ рассылки спама. Я лично от всех присутствующих кроме kuznetza слышу второе. Почему???
[QUOTE=ALEX(XX);148812]Почему же не надо решать? Где я такое говорил? Моё видение решения, возможно не совсем верное, переход на SMTP SSL, установка на серверах эффективных спам-фильтров, установка у пользователей эффективного антивирусного ПО (и др. средств защиты). Вот в этом случае, проблема, думаю, будет решена.[/QUOTE]А как же «на каждую хитрую ж...»? Оно всё прекрасно, но у меня вопрос, почему мы сначала изобрели колесо, потом построили телегу, потом паровой двигатель, потом – внутренего сгорания? А? Нет чтоб сразу сделать машину на антиграве – и дело в шляпе. О как всё просто-то!!! Истина состоит в том, что прогресс идёт потстепенно, поступательно, а не туннелированием неизвестно куда.
[QUOTE=ALEX(XX);148828]Не возражаю. Но во сколько раз уменьшит спам, не знаю, будущее для меня туманно.[/QUOTE]а настоящее? Какой процент спама сейчас идёт по 25 порту без аутентификации?
[QUOTE=DVi] 1. Наибольшую часть спама производят спам-трояны на компьютерах пользователей, paccылaющиe eгo чepeз кpивo нacтpoeнныe пoчтoвыe cepвepa, т.н. @open relays@. cпиcки open-relays coбиpaютcя cпaмepaми нe мeнee тщaтeльнo, чeм пoчтовыe aдpeca. [/QUOTE]
Хорошо, господин DVi.
Прошу Вас подтвердить Ваши слова описанным выше мной образом. То есть посмотреть в своем спамосборнике. Архив найденных Вами писем с открытых релеев прошу Вас выложить в данную тему.
Либо как-то иначе подтвердите. Надеюсь, что Ваш статус эксперта не позволяет Вам кидаться голословными мнениями, подобно господину borkе?
[QUOTE=DVi] 2. г-дa aшмaнoв, тyтyбaлин и т.д., нaзвaныe вышe - ocнoвaтeли spamtest.ru [/QUOTE]
Да, мне это известно. Вы в этой теме в начале этого года сказали это сразу.
Я уважаю профессионализм Тутубалина, который можно наблюдать в его статьях по вопросам антиспама. Я не уважаю его предвзятое мнение, там где оно есть.
Хорошо, готов согласиться на подразумеваемую Вами формулировку, что аналитики SpamTest, процитированные мною в моих аргументах — это пусть ТЕ САМЫЕ, которых я обвиняю в пособничестве спамерам. Пусть даже так (хотя на самом деле в процитированных мною статьях SpamTest лишь процитированы выводы аналитиков Marshal, Sophos и F-Secure).
Не вижу, почему по этой причине я обязан отказаться от использования статей этих аналитиков.
[QUOTE=borka] [QUOTE=kuznetz] Именно, господин borka.
В отличие от Вас, я говорю всё толком, что и почему,
а не высказываю «мнений» без аргументов к ним, и не отделываюсь идиотским Вашим «просто слов нет» [/QUOTE]
Вы флудер, флеймер, демагог и "проффесионал", для которого есть два мнения - свое и неправильное. Если кто-либо высказывает мнение, отличное от Вашего, то ни ответов, ни аргументов не читаете и не воспринимаете. [/QUOTE]
Это Вы перекладываете с больной головы на здоровую, господин borka. Вы, например, сказали, что я некоррекно сказал, что почтовики “требуют авторизации”. Я это признал. Вы же НИЧЕГО нигде не признали, а начали “скИпать”.
Именно Вы не читаете, и не воспринимаете аргументов. В этом каждый может убедиться, прочитав Ваши посты в данной теме:
[url]http://virusinfo.info/showthread.php?p=148473#post148473[/url]
[url]http://virusinfo.info/showthread.php?p=148779#post148779[/url]
где Вы, нисколько не смущаясь, «поскипали» все мои аргументы. Я себе такого по отношению к Вам никогда не позволял. Вообще не пропустил ни одного Вашего слова.
Поэтому это Вы перекладываете с больной головы на здоровую.
[QUOTE=borka] [QUOTE=kuznetz] В наше время по черным спискам блокируют спам-троянов. Это, можно сказать, тоже открытые релеи (чаще – открытые прокси), но НЕ НА ПОЧТОВЫХ СЕРВЕРАХ, а на компьютерах пользователей. С точки зрения закрытия порта 25 — это две большие разницы. [/QUOTE]
С точки зрения трояна, он и есть ПОЧТОВЫЙ СЕРВЕР. [/QUOTE]
Ну и что? пусть троян ведет себя как почтовый сервер — но это никак не облегчает ему задачу рассылки спама, если порт 25 для компьютера клиента, на котором троян сидит — наружу закрыт. Что Вы хотели сказать своим пламенным изречением?
[QUOTE=borka] А с точки зрения НЕЗАКРЫТОГО 25 порта в Свазиленде, закрытие порта у моего провайдера ничего не даст мне как пользователю для снижения входящего спама. [/QUOTE]
Совершенно верно.
Вы это уже сто раз сказали, а я сто раз ответил.
Я ответил, что если никто не будет снижать свой исходящий спам — то каким образом спам вообще будет снижен? Господин Geser уже перечислил законодательные и пропагандистские меры, которые следует предпринять для снижения исходящего спама. Вы, как я понял, в этом вопросе к господину Geser’у присоединились. Так чего же Вы теперь опять возражаете?
Мера по закрытию порта 25 — это мера по снижению своего исходящего спама. Она не является альтернативой мер, предлагаемых господином Geser’ом, а является дополнительной к ним. Следует внедрять все возможные меры по снижению исходящего спама. А Вы их ПРОТИВОПОСТАВЛЯЕТЕ. На каком основании?
господин maXmo — спасибо за Ваш четкий взгляд на вещи. Респект.
любимыe вaми rbl и dnsbl этo и ecть cпиcки open-relays. нeпoлныe cпиcки, ecтecтвeннo. ..... пoпpoшy кoнтpoлиpoвaть эмoции. paзгoвop в тaкoм тoнe нe пpивeдeт к peшeнию вoпpoca.
[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]
кcтaти, я нe пoнял, кaк тexничecки вы пpeдлaгaeтe @зaкpыть 25 пopт@? дo пocлeднeгo вaшeгo пocтa вpoдe peчь шлa o пoчтoвoм cepвepe. a тeпepь - o клиeнтcкoм кoмпьютepe - чтo paвнocильнo пpинyдитeльнoй инcтaляции фaйpвoллa нa нeгo - я пpaвильнo пoнял?
[QUOTE=kuznetz;149120]Это Вы перекладываете с больной головы на здоровую, господин borka. Вы, например, сказали, что я некоррекно сказал, что почтовики “требуют авторизации”. Я это признал. Вы же НИЧЕГО нигде не признали, а начали “скИпать”.[/QUOTE]
Господи, что Вы хотите, чтобы я признал!?
[QUOTE=kuznetz;149120]Ну и что? пусть троян ведет себя как почтовый сервер — но это никак не облегчает ему задачу рассылки спама, если порт 25 для компьютера клиента, на котором троян сидит — наружу закрыт. Что Вы хотели сказать своим пламенным изречением?[/QUOTE]
Млин, разговор слепого с глухим. :P 25 порт закрыт у Вашего провайдера (например), а у провайдера в Буркино-Фасо он открыт. Чем [b]мне[/b] от этого легче?
[QUOTE=kuznetz;149120]Так чего же Вы теперь опять возражаете?[/QUOTE]
Чему!?
[QUOTE=kuznetz;149120]Мера по закрытию порта 25 — это мера по снижению своего исходящего спама. Она не является альтернативой мер, предлагаемых господином Geser’ом, а является дополнительной к ним. Следует внедрять все возможные меры по снижению исходящего спама. А Вы их ПРОТИВОПОСТАВЛЯЕТЕ. На каком основании?
[/QUOTE]
Ну и где Вы увидели противопоставление? Вы придумываете слова оппонента, а потом с жаром их опровергаете. Вам ужЕ неоднократно было указано, что предлагаемые Вами меры трудоемки, геморройны и т. п. С моей точки зрения, этот способ нереален, но Вы не же слушаете, истолковывая слова на свой лад...
Скатились в злостный оффтоп. Тема закрыта.
P. S. Для тех кто еще не закончил спорить прошу сюда [url]http://virusinfo.info/showthread.php?t=13987[/url]