Улыбнуло

[kuznetz]

Не торопитесь, пожалуйста, ломать копья.
Вы, к сожалению, торопитесь и поэтому путаете там, где, я не сомневаюсь, Вы всё хорошо представляете:

2) Если же письмо, адресованное не на yandex.ru — то почтовик требует авторизоваться. Иначе бы почтовик стал открытым релеем.

Кого почтовик потребует авторизоваться? Другой почтовик? Как Вы это себе представляете?

О “других почтовиках” шла речь в схеме 1.
Здесь же речь идет, очевидно, о троянах либо спамерах. Потому что с какой стати другой почтовик будет толкать письмо, адресованное не на yandex.ru, на сервер Яндекса?! не торопитесь, я Вас прошу.

3) Если же пытаются протолкнуть письмо, адресованное неважно куда, но с адресом отправителя [email protected], то тоже просит авторизоваться. Это делается уже по ДРУГИМ ПРИЧИНАМ: чтобы предотвратить рассылки от имени пользователей Яндекса.

Он это письмо принять не должен, потому что оно пришло а) из необслуживаемого домена (от другого почтовика) и б) имеет from с yandex.ru (с обслуживаемого домена).

Вы опять торопитесь:
а) Яндекс «обслуживает» любые диапазоны IP. О каких «обслуживаемых доменах» Вы в данном случае говорите вообще? Пользователь подключается к Яндексу откуда угодно, авторизуется, и может отправлять свою почту через Яндекс. Разве не так?
б) Ну да, «имеет From с yandex.ru (с обслуживаемого домена)». Не понял, что в этом экстраординарного? Пользователь подключается к Яндексу и пытается отправить почту, со своим адресом отправителя [email protected]. А как еще может быть?! Как же Яндекс «не должен» принять эту почту к отправке?!!

Если я правильно понимаю, то 25 порт смотрит наружу, а 587 - внутрь. Так что севший к пользователю спамбот будет отправлять на сервер по 587 порту тот же спам, предварительно авторизовавшись стыренным у этого же пользователя логином/паролем

Здесь не совсем понял, что Вы имеете в виду под «наружу, внутрь». Оба порта «смотрят» в интернет. Если нужно, то порт MSA смотрит еще и внутрь (то есть во внутреннюю сеть белых адресов типа 192.168.*.*)

Безусловно, спамбот, севший к пользователю и завладевший реквизитами доступа к почте, сможет отправлять тот же спам. Но делать это, при закрытом порте 25, он сможет ТОЛЬКО через тот почтовик, от которого реквизиты авторизации. Напрямую, как раньше, — не сможет. Чем это хуже для спамеров — было сказано в первом посте.

Только не на почтовик, а через почтовик

Да.

Только если почтовый вирус

Не понятно.
Что значит «почтовый»? Троян пытается разослать себя. Антивирус на почтовике его ловит. Что Вы хотели сказать, я не понял.

Это да. Да толку? Что сделает админ на бесплатном почтовом сервере? Максимум - отключит пользователя

А что еще-то требуется?!
отключит, и троян не сможет дальше рассылать совсем.
Что еще-то надо?

[maXmo]

Чтобы обеспечить в таких условиях работу по взаимодействию с пользователями по отправке почты пользователей, почтовые сервера должны иметь второй порт — порт MSA. Например 587.

ты это мне объясняешь?

Если провайдеры закроют порт 25, то спам-трояны не смогут проталкивать письма по схеме 1.

дык вот, мне было интересно, можно ли на периметре LAN детектировать, по какой схеме шлётся письмо и блочить первую схему (которую я назвал «серверным smtp») и разрешать вторую и третью («клиентский smtp»), формально оставляя 25 порт открытым, но бесполезным для спам-ботов. Интерес скорее чисто теоретический, потому что дешевле и лучше перейти на imap и на стороне клиента забыть про smtp вообще.

[borka]

О “других почтовиках” шла речь в схеме 1.
Здесь же речь идет, очевидно, о троянах либо спамерах. Потому что с какой стати другой почтовик будет толкать письмо, адресованное не на yandex.ru, на сервер Яндекса?! не торопитесь, я Вас прошу.

ЦЫтата: "2) Если же письмо, адресованное не на yandex.ru — то почтовик требует авторизоваться. Иначе бы почтовик стал открытым релеем."
Кого почтовик потребует авторизоваться? Другой почтовик? Как Вы это себе представляете? Объясните свои же слова, пожалуйста.

Вы опять торопитесь:
а) Яндекс «обслуживает» любые диапазоны IP. О каких «обслуживаемых доменах» Вы в данном случае говорите вообще? Пользователь подключается к Яндексу откуда угодно, авторизуется, и может отправлять свою почту через Яндекс. Разве не так?
б) Ну да, «имеет From с yandex.ru (с обслуживаемого домена)». Не понял, что в этом экстраординарного? Пользователь подключается к Яндексу и пытается отправить почту, со своим адресом отправителя [email protected]. А как еще может быть?! Как же Яндекс «не должен» принять эту почту к отправке?!!

Яндекс принимает почту с любого диапазона. Но обслуживаемый домен - домен, для которого принимает почту. В данном случае - yandex.ru. И если письмо приходит с другого домена, но имеет from [email protected], то это не пользователь Яндекса его послал, а спамер. Если же пользователь авторизовался на Яндексе, то Яндекс сам знает, кто это, что это и что с ним сделать. Поэтому никакого "Если же пытаются протолкнуть письмо" быть не может в принципе. Поскольку "протолкнуть письмо" может только другой почтовик.

Здесь не совсем понял, что Вы имеете в виду под «наружу, внутрь». Оба порта «смотрят» в интернет. Если нужно, то порт MSA смотрит еще и внутрь (то есть во внутреннюю сеть белых адресов типа 192.168.*.*)

По 25 порту идет "общение" с другими почтовиками (т.е. "наружу"), а по 587 - с клиентом (т. е. "внутрь"). Или я неправ?

Безусловно, спамбот, севший к пользователю и завладевший реквизитами доступа к почте, сможет отправлять тот же спам. Но делать это, при закрытом порте 25, он сможет ТОЛЬКО через тот почтовик, от которого реквизиты авторизации. Напрямую, как раньше, — не сможет. Чем это хуже для спамеров — было сказано в первом посте.

Я уже ответил - севший к пользователю спамбот будет отправлять на сервер по 587 порту тот же спам, предварительно авторизовавшись стыренным у этого же пользователя логином/паролем...

Не понятно.
Что значит «почтовый»? Троян пытается разослать себя. Антивирус на почтовике его ловит. Что Вы хотели сказать, я не понял.

Терминологическая путаница, вероятно. Троян сам себя не рассылает. Он может рассылать спам. Рассылает себя только почтовый вирус (Win32.HLLM.* по Доктору, Email-Worm.Win32.* по касперу).

А что еще-то требуется?!
отключит, и троян не сможет дальше рассылать совсем.
Что еще-то надо?

А пользователь зарегистрируется снова...

[kuznetz]

ты это мне объясняешь?

Я просто излагаю концепцию, всю подряд.
Из песни слова не выкинешь.
А если выкинешь, то потом того и гляди придется доказывать, что не верблюд. Что имел в виду именно это, а не то, и т.д.

Поэтому за научно-популярное изложение заранее прошу извинить. Это необходимость.

дык вот, мне было интересно, можно ли на периметре LAN детектировать, по какой схеме шлётся письмо и блочить первую схему (которую я назвал «серверным smtp») и разрешать вторую и третью («клиентский smtp»), формально оставляя 25 порт открытым, но бесполезным для спам-ботов

С одной стороны, возможно всё.
С другой стороны, смотря что имелось в виду под «детектировать».
Чтобы отличить контакт спам-трояна на порт 25 от контакта нормального SMTP-сервера, можно например ориентироваться по наличию у IP-контактера корректной PTR и/или MX, проверять SPF и т.п. Но это и получается почти то же, что спам-фильтр.

Что касается — есть ли различия в протоколе, то их нет. А если бы и были, то спам-троян, без сомнения, не затруднился бы подделать “серверный” протокол.

Интерес скорее чисто теоретический, потому что дешевле и лучше перейти на imap и на стороне клиента забыть про smtp вообще.

Не понятно, какое отношение это имеет к вопросам антиспама вообще.

Вроде бы никакого. Перейдут клиенты на IMAP или не перейдут — какая разница. Спамеры всё равно будут слать спам по SMTP на порт 25.

Если же имеется в виду, что перевод клиентов на IMAP — это альтернатива вводу порта 587 MSA — то разумеется так и есть. Хоть MSA, хоть IMAP, хоть чего угодно другое — главное, не то же, что порт 25. Работа почтовика с клиентом должна быть отделена от работы с другими почтовиками — тогда можно закрывать порт 25.

ЦЫтата: "2) Если же письмо, адресованное не на yandex.ru — то почтовик требует авторизоваться. Иначе бы почтовик стал открытым релеем."
Кого почтовик потребует авторизоваться? Другой почтовик?

Требует авторизоваться того, кто пытается протолкнуть письмо.
Не понял, какие тут могут быть вопросы.

Кто пытается протолкнуть, того и требует авторизоваться. Будь это другой почтовик, троян, спамер или пользователь Яндекса. Если письмо адресовано не на yandex.ru — то требует авторизоваться.

Яндекс принимает почту с любого диапазона. Но обслуживаемый домен - домен, для которого принимает почту. В данном случае - yandex.ru

Всё верно. Тогда тем более не понятно, что Вы имеете в виду:

И если письмо приходит с другого домена, но имеет from [email protected], то это не пользователь Яндекса его послал, а спамер.

Не понятно, что здесь имеется в виду под «другим доменом».
Письмо толкают на Яндекс с какого-то IP.
Почему “домен”?

Если же пользователь авторизовался на Яндексе, то Яндекс сам знает, кто это, что это и что с ним сделать.

Так если авторизовался.

Разговор шел о том, что происходит с письмом, которое пытаются протолкнуть на Яндекс. Не авторизовавшись. То есть говорилось, в каких случаях Яндекс потребует авторизации. То есть откажется принимать письмо, если не было авторизации.

Поэтому никакого "Если же пытаются протолкнуть письмо" быть не может в принципе. Поскольку "протолкнуть письмо" может только другой почтовик.

Ну это уже спор о словах.
Я назвал “протолкнуть”. Согласен назвать иначе — какая разница.

По 25 порту идет "общение" с другими почтовиками (т.е. "наружу"), а по 587 - с клиентом (т. е. "внутрь"). Или я неправ?

Опять спор о словах.
Вы в данном случае не «правы» и не «неправы» (так же как и я).
Если Вы под «внутрь» имели в виду это, то и ради бога. Я подумал, что «внутрь» означает белые адреса внутренней сети.

Безусловно, спамбот, севший к пользователю и завладевший реквизитами доступа к почте, сможет отправлять тот же спам. Но делать это, при закрытом порте 25, он сможет ТОЛЬКО через тот почтовик, от которого реквизиты авторизации. Напрямую, как раньше, — не сможет. Чем это хуже для спамеров — было сказано в первом посте.

Я уже ответил - севший к пользователю спамбот будет отправлять на сервер по 587 порту тот же спам, предварительно авторизовавшись стыренным у этого же пользователя логином/паролем

Не понятно. Да, Вы ответили. А я на это — ответил то, что процитировано выше. То есть ответил, что ДА, троян сможет отправлять тот же спам,
но делать это он будет намного менее эффективно. Вот на это Вы НЕ ответили.

Причины, по которым намного менее эффективно, были перечислены в первоначальном посте. Раз такое дело, перечисляю их снова:

1) на почтовике по своим пользователям работает тарпит. Троян просто не сможет разослать письма в существенном количестве — его тормознёт.
2) на почтовике рассылку трояном себя засечет антивирус
3) что дает возможность админу определить пользователя, зараженного трояном, и принять по нему меры.

Терминологическая путаница, вероятно. Троян сам себя не рассылает. Он может рассылать спам. Рассылает себя только почтовый вирус (Win32.HLLM.* по Доктору, Email-Worm.Win32.* по касперу).

Троян рассылает то, что ему скажут разослать хозяева.
Конечно, они могут не использовать трояна для дальнейшего распространения своих троянов путем рассылки по эл.почте. Но они будут использовать, куда они денутся. А если не будут, то тем лучше — тогда значит станет одним путём распространения троянов меньше.

Вообще я не понял, чем с точки зрения нашей задачи троян, рассылающий себя сам, отличается от трояна, рассылающего себя (или не себя, а совсем другого трояна) по приказу хозяина.

А пользователь зарегистрируется снова

Понятно, что если захочет, то зарегистрируется.

Нормальный пользователь (не спамер то есть, а подхвативший трояна) ведь не может менять адреса эл.почты как перчатки. Ведь на свой адрес он ждет писем, они ему нужны. Получив отключение и его причину, пользователь займется ловлей трояна.

Ну или даже если не займется — всё равно на повторные регистрации требуется время. Это уже само по себе снижает эффективность трояна у этого пользователя. Кроме того, когда его поотключают раза три, он поймет, что это, мягко говоря, неудобно, и всё-таки займется ловлей трояна.

И самое главное — как Вы себе представляете картину, когда все спам-трояны вместо прямой отправки будут вынуждены слать через почтовики? Ведь почтовиков гораздо меньше, чем затрояненных пользователей сейчас. Почтовики физически не смогут обеспечить тот объем спама, который сейчас обеспечивают затрояненные пользователи. Даже безо всяких там тарпитов на почтовиках

[borka]

Требует авторизоваться того, кто пытается протолкнуть письмо.
Не понял, какие тут могут быть вопросы.
Кто пытается протолкнуть, того и требует авторизоваться. Будь это другой почтовик, троян, спамер или пользователь Яндекса. Если письмо адресовано не на yandex.ru — то требует авторизоваться.

Объясните, пожалуйста, как происходит авторизация почтового сервера у другого почтового сервера?

Не понятно, что здесь имеется в виду под «другим доменом».
Письмо толкают на Яндекс с какого-то IP.
Почему “домен”?

"Толкать письмо" на Яндекс может либо другой почтовый сервер, либо троян. Или Вы считаете, что пользователь Яндекса может "толкать письмо" непосредственно на 25 порт Яндекса?
В любом случае для Яндекса это другой домен, потому что он не свой.

Разговор шел о том, что происходит с письмом, которое пытаются протолкнуть на Яндекс. Не авторизовавшись. То есть говорилось, в каких случаях Яндекс потребует авторизации. То есть откажется принимать письмо, если не было авторизации.

Еще раз задаю вопрос - как происходит авторизация почтового сервера у другого почтового сервера?

2) на почтовике рассылку трояном себя засечет антивирус

Если бы антивирус был в состоянии засечь "рассылку трояном себя", то ни о каких троянах мы бы и не слышали. Вот в случае почтового вируса ситуация другая - антивирь его ловит и не дает распространиться.

И самое главное — как Вы себе представляете картину, когда все спам-трояны вместо прямой отправки будут вынуждены слать через почтовики? Ведь почтовиков гораздо меньше, чем затрояненных пользователей сейчас. Почтовики физически не смогут обеспечить тот объем спама, который сейчас обеспечивают затрояненные пользователи. Даже безо всяких там тарпитов на почтовиках

Да никак - как все было, так и останется.

[kuznetz]

Требует авторизоваться того, кто пытается протолкнуть письмо.
Не понял, какие тут могут быть вопросы.
Кто пытается протолкнуть, того и требует авторизоваться. Будь это другой почтовик, троян, спамер или пользователь Яндекса. Если письмо адресовано не на yandex.ru — то требует авторизоваться.

Объясните, пожалуйста, как происходит авторизация почтового сервера у другого почтового сервера?

Никак не происходит! это же само собой понятно.
То есть письмо не будет принято, и всё.

Не понятно, что здесь имеется в виду под «другим доменом».
Письмо толкают на Яндекс с какого-то IP.
Почему “домен”?

"Толкать письмо" на Яндекс может либо другой почтовый сервер, либо троян. Или Вы считаете, что пользователь Яндекса может "толкать письмо" непосредственно на 25 порт Яндекса?

Не понял: почему пользователь не может толкать письмо непосредственно на 25 порт Яндекса?!!
пользователи именно туда и толкают. Вы разве Яндексом не пользовались?

В любом случае для Яндекса это другой домен, потому что он не свой.

Так Вы поясните наконец, что Вы здесь понимаете под “доменом”.
Вот кто-то пытается отправить письмо на Яндекс с IP 89.184.6.34 (реальный адрес, из недавнего спама), с адресом отправителя [email protected], на адрес получателя [email protected]. Что здесь Вы понимаете под «другим доменом» и какой именно это домен?

И что в случае, если адрес получателя [email protected].
а то мы с Вами что-то долго вокруг одного места бегаем.

2) на почтовике рассылку трояном себя засечет антивирус

Если бы антивирус был в состоянии засечь "рассылку трояном себя", то ни о каких троянах мы бы и не слышали. Вот в случае почтового вируса ситуация другая - антивирь его ловит и не дает распространиться.

Ну что Вы такое говорите!

С каких это пор антивирусы не берут троянов?! они даже SpyWare и AdWare берут. Что за ерунда, в конце концов?!

И самое главное — как Вы себе представляете картину, когда все спам-трояны вместо прямой отправки будут вынуждены слать через почтовики? Ведь почтовиков гораздо меньше, чем затрояненных пользователей сейчас. Почтовики физически не смогут обеспечить тот объем спама, который сейчас обеспечивают затрояненные пользователи. Даже безо всяких там тарпитов на почтовиках

Да никак - как все было, так и останется.

Так Вы объясните — почему.

Я объяснил, почему считаю, что НЕ останется, как было. Потому что почтовики физически не способны обработать такое количество. Вы же ничего не объяснили. Объясните, иначе Вашего аргумента всё равно что нет.

В подтверждение своего аргумента могу привести такие факты:
согласно данным SenderBase (http://www.senderbase.org/home/detail_spam_volume), мировой объем спама на 1 ноября составил 148.8 миллиардов писем в день.

Согласно данным того же SenderBase, объем почты, рассылаемой Mail.ru, составляет 10 в степени 6.5, то есть примерно 3 миллиона писем в день. Нетрудно подсчитать, что для выполнения работы по спаму потребуется 49600 интернет-фирм такой мощности, как Mail.ru (то есть имеющих большое число почтовых серверов большой мощности и широких интернет-каналов).

???

[borka]

Объясните, пожалуйста, как происходит авторизация почтового сервера у другого почтового сервера?

Никак не происходит! это же само собой понятно.
То есть письмо не будет принято, и всё.

Надо же... А как почта ходит? И уходит без авторизации, и приходит...

Не понял: почему пользователь не может толкать письмо непосредственно на 25 порт Яндекса?!!
пользователи именно туда и толкают. Вы разве Яндексом не пользовались?

В моем понимании для того чтобы "толкать письмо непосредственно на 25 порт Яндекса", нужно установить соединение по SMTP-протоколу с сервером. Иначе почтовый сервер не поймет, что от него хотят. Думаю, что пользователи этого не умеют. Это умеют делать либо почтовые серверы, либо трояны, которые выступают таковыми.

Так Вы поясните наконец, что Вы здесь понимаете под “доменом”.
Вот кто-то пытается отправить письмо на Яндекс с IP 89.184.6.34 (реальный адрес, из недавнего спама), с адресом отправителя [email protected], на адрес получателя [email protected]. Что здесь Вы понимаете под «другим доменом» и какой именно это домен?

Домен Яндекса - @yandex.ru, если IP 89.184.6.34 резолвится в другое имя (а оно таки резовится в другое имя), то это не домен Яндекса. Как я понимаю, Яндекс это письмо принять не должен. Или Вы думаете, что оно Вам с Яндекса пришло? По клуджам этого письма можно посмотреть весь путь его прохождения. И что интересно, в спаме from/to не играют никакой роли - все равно письмо пришло не оттуда и не туда, а Вам.

И что в случае, если адрес получателя [email protected].

Адрес получателя не имеет значения. Яндекс - не опен релей, поэтому письмо не со своего домена принимать не должен.

Если бы антивирус был в состоянии засечь "рассылку трояном себя", то ни о каких троянах мы бы и не слышали. Вот в случае почтового вируса ситуация другая - антивирь его ловит и не дает распространиться.

Ну что Вы такое говорите!
С каких это пор антивирусы не берут троянов?! они даже SpyWare и AdWare берут. Что за ерунда, в конце концов?!

Еще раз: трояны по почте не ходят (по крайней меря, я о таких не слышал. Ссылки на трояны в почте - это не то). А если бы трояны ходили по почте, то антивирус на почтовом сервере (если есть антивирус, разумеется) их убивал бы, как он это делает с почтовыми вирусами.

Так Вы объясните — почему.
Я объяснил, почему считаю, что НЕ останется, как было. Потому что почтовики физически не способны обработать такое количество. Вы же ничего не объяснили. Объясните, иначе Вашего аргумента всё равно что нет.

Будем считать, что аргументов нет. Есть мнение. Я считаю, что только технические меры не изменят ситуацию.

[kuznetz]

Надо же... А как почта ходит? И уходит без авторизации, и приходит...

Как, как...
Вы бы читали посты, а не делали глубокомысленных замечаний попусту.

Почта между серверами ходит по схеме 1.
А Вы, прошу прощения, привязались к схеме 2, и всё долбите меня, как же несчастные почтовые сервера в ней авторизуются. НИКАК! они тут ни при чем. Их место — в схеме 1. Это, прошу прощения, первокласснику понятно.

Не понял: почему пользователь не может толкать письмо непосредственно на 25 порт Яндекса?!!
пользователи именно туда и толкают. Вы разве Яндексом не пользовались?

В моем понимании для того чтобы "толкать письмо непосредственно на 25 порт Яндекса", нужно установить соединение по SMTP-протоколу с сервером

Ну да, всё верно.

Думаю, что пользователи этого не умеют.

Смеяться можно?
) ))))))

Тут даже и думать не надо.
Разумеется, УМЕЮТ. Не пользователи, надо сказать, а их программы — почтовые клиенты. Outlook, TheBat, и проч. — надеюсь, они Вам известны? Они именно устанавливают соединение по SMTP-протоколу с сервером, и т.д. и т.п.

За наезд, конечно, извините, но Вы крайне лихо загнули, так что я не удержался.

Так Вы поясните наконец, что Вы здесь понимаете под “доменом”.
Вот кто-то пытается отправить письмо на Яндекс с IP 89.184.6.34

Домен Яндекса - @yandex.ru, если IP 89.184.6.34 резолвится в другое имя (а оно таки резовится в другое имя), то это не домен Яндекса. Как я понимаю, Яндекс это письмо принять не должен

Спасибо. Слава богу, становится понятно, о чем речь.

Да, разумеется, Вы правы, этот IP не относится к домену Яндекса (на всякий случай напоминаю, что тут мы разбирали схему 3).

Насчет того, что Яндекс это письмо уж совсем принять не должен, — тут Вашей категоричности не понял. Письмо адресовано на [email protected] — как же он не должен его принять?! Разумеется, должен. Только если отправитель будет кто угодно, но НЕ кто-то с yandex.ru. Тогда это будет схема 1, и письмо будет принято без вопросов.

Но речь идет о схеме 3. Там акцент делался не на получателе, а на отправителе. Там рассматривалось, что будет с письмом, если получатель неважно кто ([email protected] или [email protected] или кто угодно), а адрес отправителя [email protected]. И говорилось, что Яндекс такое письмо примет только в том случае, если отправитель авторизуется. То есть Яндекс потребует авторизацию даже в том случае, если получатель [email protected]

В этом отличие схемы 1 и схемы 3.
Вот о чем я говорил.

Или Вы думаете, что оно Вам с Яндекса пришло? По клуджам этого письма можно посмотреть весь путь его прохождения. И что интересно, в спаме from/to не играют никакой роли - все равно письмо пришло не оттуда и не туда, а Вам.

Откуда пришло письмо, и как следует смотреть путь его прохождения,
и какую роль играют/не играют From/To, — это я знаю. Как бы я иначе со всем этим работал. Это всё совершенно базовые вещи, начального уровня.

И что в случае, если адрес получателя [email protected].

Адрес получателя не имеет значения. Яндекс - не опен релей, поэтому письмо не со своего домена принимать не должен

Ну да, все правильно. Только нельзя сказать, что адрес получателя не имеет значения. То есть я хочу сказать, что если бы получатель был [email protected], то письмо было бы принято без авторизации, по схеме 1,
за исключением случая если отправитель [email protected] (схема 3).

Еще раз: трояны по почте не ходят (по крайней меря, я о таких не слышал. Ссылки на трояны в почте - это не то).

А как же тогда они ходят? поясните. Это что-то новенькое

А если бы трояны ходили по почте, то антивирус на почтовом сервере (если есть антивирус, разумеется) их убивал бы, как он это делает с почтовыми вирусами.

Ну так я о чем и говорю.
Что при закрытом порте 25 трояны будут рассылать спам и себя через почтовик, и антивирус на этом почтовике-отправителе будет ловить этих троянов, и таким образом админу этого почтовика легко засечь, кто из его юзеров залетел на трояна.

Тогда не понятно, чему Вы возражаете. Поясните

Я объяснил, почему считаю, что НЕ останется, как было. Потому что почтовики физически не способны обработать такое количество

Будем считать, что аргументов нет. Есть мнение

Мнение было у Л.И.Брежнева. Он как произнесет нечленораздельно «Тут есть такое мнение» — все сразу всё понимали.

Но Вы не Брежнев, а мы здесь — не президиум ЦК. Будьте добры мнения аргументировать, иначе зачем их высказывать вообще?

Я считаю, что только технические меры не изменят ситуацию.

Вы хотите сказать, что обязательно требуются законодательные меры? закон против спама, и т.п.? Или что? раз не технические

[borka]

А Вы, прошу прощения, привязались к схеме 2, и всё долбите меня, как же несчастные почтовые сервера в ней авторизуются. НИКАК! они тут ни при чем. Их место — в схеме 1. Это, прошу прощения, первокласснику понятно.

Вы меняете правила по ходу игры. В оригинале ничего не было сказано, про то, кто работает по Вашей схеме #2 - почтовик, клиент или троян:

1) Если на почтовик (пусть это Яндекс) пытаются протолкнуть письмо, адресованное на yandex.ru, то есть на тот домен, который почтовик обслуживает, — то это письмо принимается без авторизации.

2) Если же письмо, адресованное не на yandex.ru — то почтовик требует авторизоваться. Иначе бы почтовик стал открытым релеем. То есть через него кто угодно мог бы рассылать почту куда хочет.

3) Если же пытаются протолкнуть письмо, адресованное неважно куда, но с адресом отправителя [email protected], то тоже просит авторизоваться. Это делается уже по ДРУГИМ ПРИЧИНАМ: чтобы предотвратить рассылки от имени пользователей Яндекса. То есть борются с тем самым прирожденным пороком эл.почты — что любой может подставить любой адрес отправителя.

Возможно, здесь и первокласснику все ясно. А мне - нет. Некий почтовик/троян пытается отправить через Яндекс письмо, адресованное не на домен Яндекса. Нормальная ситуация? Вполне - тот, кто отправляет, не знает, что Яндекс не опен релей. Я считаю, что Яндекс просто отреджектит это письмо нафик.

Насчет того, что Яндекс это письмо уж совсем принять не должен, — тут Вашей категоричности не понял. Письмо адресовано на [email protected] — как же он не должен его принять?! Разумеется, должен. Только если отправитель будет кто угодно, но НЕ кто-то с yandex.ru. Тогда это будет схема 1, и письмо будет принято без вопросов.

Но речь идет о схеме 3. Там акцент делался не на получателе, а на отправителе. Там рассматривалось, что будет с письмом, если получатель неважно кто ([email protected] или [email protected] или кто угодно), а адрес отправителя [email protected]. И говорилось, что Яндекс такое письмо примет только в том случае, если отправитель авторизуется. То есть Яндекс потребует авторизацию даже в том случае, если получатель [email protected]

То, о чем Вы говорите - SMTP с авторизацией - насколько я знаю, применяется только между клиентом и сервером до попыток отправить письмо, еще на стадии установления соединения. Еще раз: мой _почтовик_ - smtp.borka.ua пытается "протолкнуть письмо" кому-то через Яндекс, но при этом говорит, что письмо отсылает [email protected] - как Яндекс попросит мой почтовик авторизоваться? Или мой почтовик скажет, что он и есть Яндекс? Нет, для Яндекса любое письмо, пришедшее извне, это письмо не с Яндекса. Он не знает, кто его послал. Ему это и не интересно. И никого авторизоваться не просит, авторизация происходит до передачи письма. Поэтому письмо просто отфутболивается.

Откуда пришло письмо, и как следует смотреть путь его прохождения, и какую роль играют/не играют From/To, — это я знаю. Как бы я иначе со всем этим работал. Это всё совершенно базовые вещи, начального уровня.

Ну и слава богу. Тогда Вы легко выясните, что адрес отправителя from с *@yandex.ru никакого отношения к реальному отправителю не имеет. Думаю, что и Яндекс тоже.
И to не совпадает.

Еще раз: трояны по почте не ходят (по крайней меря, я о таких не слышал. Ссылки на трояны в почте - это не то).

А как же тогда они ходят? поясните. Это что-то новенькое

Новенькое или нет - не знаю. Мне неизвестен троян, который ходит по почте. По почте ходят почтовые вирусы - Нетскаи, Лимары и прочие Варезовы. Опять же - вопрос терминологии. Приведите, пожалуйста, пример трояна, который ходит по почте. Его имя.

Ну так я о чем и говорю.
Что при закрытом порте 25 трояны будут рассылать спам и себя через почтовик, и антивирус на этом почтовике-отправителе будет ловить этих троянов, и таким образом админу этого почтовика легко засечь, кто из его юзеров залетел на трояна.

При закрытом 25 порте почта работать перестанет! Как два почтовых _сервера_ будут обмениваться письмами? Или они будут авторизовываться? У кого?

Но Вы не Брежнев, а мы здесь — не президиум ЦК. Будьте добры мнения аргументировать, иначе зачем их высказывать вообще?

Хм... Я так считаю - Вам недостаточно?

Вы хотите сказать, что обязательно требуются законодательные меры? закон против спама, и т.п.? Или что? раз не технические

Да. Целый комплекс мер - и законодательные (в масштабах всех государств), и социальные, и просветительские, если угодно. Нужно изменить мнение многих людей, заставить посмотреть на проблему спама другими глазами. Думаю, это нереально. Поэтому только технические меры ничего не дадут. Посему и вывод - ничего не изменится. Такой ответ устроит?

[kuznetz]

А Вы, прошу прощения, привязались к схеме 2, и всё долбите меня, как же несчастные почтовые сервера в ней авторизуются. НИКАК! они тут ни при чем. Их место — в схеме 1

Вы меняете правила по ходу игры. В оригинале ничего не было сказано, про то, кто работает по Вашей схеме #2 - почтовик, клиент или троян

?? вот-те раз.
разумеется, не было сказано. Потому что это не имеет значения в рассматриваемом вопросе. Яндексу абсолютно без разницы, кто именно толкает письмо.

Собственно, Яндекс никак и узнать не может, кто толкает. Он работает на уровне протокола SMTP, а не фейс-контроля.

Про схему 2 было сказано: письмо с адресом получателя не на yandex.ru.
Что тут еще надо говорить? понятно, что почтовый сервер не будет толкать письмо на yandex.ru, если оно адресовано не на yandex.ru. Вы же почему-то решили, что почтовые сервера именно этим и занимаются.

Некий почтовик/троян пытается отправить через Яндекс письмо, адресованное не на домен Яндекса. Нормальная ситуация? Вполне - тот, кто отправляет, не знает, что Яндекс не опен релей. Я считаю, что Яндекс просто отреджектит это письмо нафик

Спасибо, что Вы прочитали схемы снова. Надеюсь, теперь взаимонепонимания станет меньше.

Тем не менее я не понял, что Вы хотели сказать предыдущим абзацем.
Да, Яндекс не примет это письмо. Я так и говорил.
Не примет, если отправитель не авторизуется. Если авторизуется, то примет.

То, о чем Вы говорите - SMTP с авторизацией - насколько я знаю, применяется только между клиентом и сервером *до* попыток отправить письмо, еще на стадии установления соединения

Ну да. Если из-за этого весь сыр-бор, то прошу извинить. Я не думал, что так может быть понято.
То, что SMTP-авторизация происходит до попыток отправить письмо — это само собой.

Когда я говорил «требует, потребует» и т.п., то имелось в виду, что не примет, если не было авторизации. «Потребовать» было сказано потому, что принимающий почтовик так и может сказать в своем отказе Authentication required. Хотя может и сказать просто Relaying denied. Но суть все равно та же — он хочет авторизации.

И никого авторизоваться не просит, авторизация происходит до передачи письма. Поэтому письмо просто отфутболивается

Да, всё верно.

Тогда Вы легко выясните, что адрес отправителя from с *@yandex.ru никакого отношения к реальному отправителю не имеет. Думаю, что и Яндекс тоже.

Это еще почему?!
письмо реально приходит с Яндекса, и реально от отправителя на Яндексе. Вы что думаете, спамеры Яндекс не используют для своих рассылок?! И Яндекс, и Mail.ru, и остальные. Держателям этих служб следовало бы озаботиться ужесточением тарпита. Если он у них вообще действует.

О чем я и говорил с самого начала. А то халява для спамеров. Хотя через соксы, конечно, можно разослать больше и быстрее, но зато почтовики почтовых служб — не в черных списках на Спамхаус, и с MX/PTR у них всё в порядке. Скоро дойдет до того, что мне придется занести их в свои черные списки. А может быть, если так пойдет такими же темпами, то и Спамхаус пересмотрит свои политики.

Мне неизвестен троян, который ходит по почте. По почте ходят почтовые вирусы - Нетскаи, Лимары и прочие Варезовы. Опять же - вопрос терминологии

Вот именно!
Не понял — Warezov не используется что ли спамерами в качестве спам-трояна? используется, разумеется. Так о чем спор? вот этих троянов антивирус на почтовике-отправителе и будет ловить.

Насчет других примеров — не понял, о чем речь. Спамеры могут любые файлы послать через бот по эл.почте, в том числе любых своих троянов. Что значит «который ходит»? любые, таким образом, могут ходить.

Ну так я о чем и говорю.
Что при закрытом порте 25 трояны будут рассылать спам и себя через почтовик, и антивирус на этом почтовике-отправителе будет ловить этих троянов, и таким образом админу этого почтовика легко засечь, кто из его юзеров залетел на трояна.

При закрытом 25 порте почта работать перестанет! Как два почтовых _сервера_ будут обмениваться письмами? Или они будут авторизовываться? У кого?

Что-то Вы уж совсем, прошу прощения. Таких непоняток мне еще ни разу видеть не приходилось. Всегда ведь одинаково объясняю.

Так вот: почему перестанет? ничего такого.
Для почтовых серверов порт 25 у провайдера на исходящие не будет закрыт. Закрыт будет только для обычных пользователей. См. первоначальный пост. Там это сразу было сказано. Что минимум – закрыть для NATов, среднее — для динамических, и т.д. Понятно, что если вообще закрыть порт 25 всем и везде, то почты не будет.

Никакой авторизации, и вообще никаких изменений в обмене между почтовыми серверами — из-за закрытия порта 25 не будет.

Хм... Я так считаю - Вам недостаточно?

Нет, не достаточно. Не сомневаюсь, что никому здесь не достаточно. На то и форум, а не президиум ЦК.

Почему-то я себе не позволяю подобного «высказывания мнений».
Если кто-либо высказывает мнение, он должен его агрументировать. Если не может аргументировать, то берет свои слова обратно. Что не так, непонятно.

Да. Целый комплекс мер - и законодательные (в масштабах всех государств), и социальные, и просветительские, если угодно. Нужно изменить мнение многих людей, заставить посмотреть на проблему спама другими глазами.

Слава богу, есть взаимопонимание.

Я полностью за это.

Думаю, это нереально. Поэтому только технические меры ничего не дадут. Посему и вывод - ничего не изменится. Такой ответ устроит?

Если ничего не делать, а только и говорить «нереально»,
и при этом косить от принятия любых мер, на основании того что «нереально»,
то точно будет нереально, Вы правы 100%

Поэтому такой Ваш ответ устроит. Спамеров.

О чем и говорю всю дорогу. Все наезды на черные списки — на руку спамерам. Наезды против закрытия порта 25 — тоже. А им только того и надо, чтобы админы друг с другом спорили, а они бы спамили себе спокойно

[Geser]

Прошу прощения, не прочитал всё. Просто хочу сказать что сегодня есть трояны отлично отправляющие спам через веб интерфейс, с реквизитами пользователя на компе которого они поселились. Так что никакие ухищерения не избавят от спама полностью.

[borka]

Вы меняете правила по ходу игры. В оригинале ничего не было сказано, про то, кто работает по Вашей схеме #2 - почтовик, клиент или троян:

?? вот-те раз.
разумеется, не было сказано. Потому что это не имеет значения в рассматриваемом вопросе. Яндексу абсолютно без разницы, кто именно толкает письмо.
Собственно, Яндекс никак и узнать не может, кто толкает. Он работает на уровне протокола SMTP, а не фейс-контроля.
Про схему 2 было сказано: письмо с адресом получателя не на yandex.ru.
Что тут еще надо говорить? понятно, что почтовый сервер не будет толкать письмо на yandex.ru, если оно адресовано не на yandex.ru. Вы же почему-то решили, что почтовые сервера именно этим и занимаются.

А давайте Вы не будете придумывать, что я решил? Расскажите, почему троянский почтовый сервер не попытается "толкать письмо" на Яндекс, и как Яндекс попросит его авторизоваться?

Да, Яндекс не примет это письмо. Я так и говорил.
Не примет, если отправитель не авторизуется. Если авторизуется, то примет.

Он просто его не примет.

Это еще почему?!
письмо реально приходит с Яндекса, и реально от отправителя на Яндексе. Вы что думаете, спамеры Яндекс не используют для своих рассылок?! И Яндекс, и Mail.ru, и остальные. Держателям этих служб следовало бы озаботиться ужесточением тарпита. Если он у них вообще действует.

Значит, в Вашем случае совпало. Насчет используют ли Яндекс спамеры - не знаю, нет такой информации. Думается, что проще поставить левый smtp-сервер и не зависеть ни от Яндекса, ни от кого бы то ни было еще. Либо воспользоваться опен релеем, которых в достатке.

Не понял - Warezov не используется что ли спамерами в качестве спам-трояна? используется, разумеется.

Господи, да объясните наконец, что такое спам-троян!? Варезов и прочие Лимары - это почтовые вирусы! НЕ ТРОЯНЫ!

Насчет других примеров - не понял, о чем речь. Спамеры могут любые файлы послать через бот по эл.почте, в том числе любых своих троянов. Что значит <который ходит>? любые, таким образом, могут ходить.

"Которй ходит" - это тот, который вылавливается антивирусом на почтовом сервере. In Wild. Могут ходить любые, поэтому прошу последний раз - пожалуйста, приведите пример трояна, который ходит, то есть рассылает сам себя по электронной почте. Не спам, а сам себя. Иначе просто неинтересно теоретизировать, и вопрос будет закрыт.

Так вот: почему перестанет? ничего такого.
Для почтовых серверов порт 25 у провайдера на исходящие не будет закрыт. Закрыт будет только для обычных пользователей. См. первоначальный пост. Там это сразу было сказано. Что минимум - закрыть для NATов, среднее - для динамических, и т.д. Понятно, что если вообще закрыть порт 25 всем и везде, то почты не будет.
Никакой авторизации, и вообще никаких изменений в обмене между почтовыми серверами - из-за закрытия порта 25 не будет.

О как интересно. Значит, провайдер должен будет озаботиться базой пользователей, у которых есть свои почтовики, поддерживать эту базу актуальной, провести целый ряд технических работ? А также реагировать на сообщения об этих серверах, например, о вирусной или спамерской активности? И все это даром? А оно провайдеру надо? Единственное (наверное) заинтересованное лицо в том, чтобы не убывал траффик, который его кормит, - это провайдер. Ничего не хочу сказать насчет всех провайдеров, но, глядя на топ-10 у разных вендоров, выводы напрашиваются сами.

Хм... Я так считаю - Вам недостаточно?

Нет, не достаточно. Не сомневаюсь, что никому здесь не достаточно. На то и форум, а не президиум ЦК.
Почему-то я себе не позволяю подобного <высказывания мнений>.
Если кто-либо высказывает мнение, он должен его агрументировать. Если не может аргументировать, то берет свои слова обратно.

Определимся так: что Вы [не] позволяете себе - это целиком Ваше право. Если я высказываю свое мнение, то я его аргументировать не обязан ни разу. Форум - это обмен мнениями. Я так считаю. Все. Если Вам интересно, можете спросить, но я не обязан ответить.

Если ничего не делать, а только и говорить <нереально>,
и при этом косить от принятия любых мер, на основании того что <нереально>,
то точно будет нереально, Вы правы 100%
Поэтому такой Ваш ответ устроит. Спамеров.
О чем и говорю всю дорогу. Все наезды на черные списки - на руку спамерам. Наезды против закрытия порта 25 - тоже. А им только того и надо, чтобы админы друг с другом спорили, а они бы спамили себе спокойно

Гм... Воистину страшнее спама только борцы с ним. Делайте! Кто ж Вам не дает? Начните, например, с законодательного закрытия опен релеев, скажем, в Сингапуре. Или проведите рейд по спамерам в Нигерии. Или предложите мне, что _я_ могу в этой ситуации сделать?

[kuznetz]

Прошу прощения, не прочитал всё

Вы ничего от этого не потеряли. Разговор шел в духе велогонок на треке — крутимся вокруг одного и того же места, наступая друг другу на хвост

сегодня есть трояны отлично отправляющие спам через веб интерфейс, с реквизитами пользователя на компе которого они поселились.

Есть, разумеется.
Ну и что?
Отправка спама в обход порта 25 через веб — это эквивалентно отправке на порт MSA со стыренными реквизитами доступа к почте. Вы об этом уже говорили: что при закрытии порта 25 следует ожидать изменения троянов — они будут отправлять почту на порт MSA, используя реквизиты доступа пользователя. Ответ на это я сразу же и дал. См. там

Так что никакие ухищерения не избавят от спама полностью.

Вот америку открыли.
Полностью вообще никакие проблемы не решаются. Это само собой разумеется.
Надо делать, что можно сделать. А не ничего не делать. Вы как бы предлагаете ничего не делать. Почему – не понятно. Прошу разъяснить

Что тут еще надо говорить? понятно, что почтовый сервер не будет толкать письмо на yandex.ru, если оно адресовано не на yandex.ru. Вы же почему-то решили, что почтовые сервера именно этим и занимаются.

А давайте Вы не будете придумывать, что я решил?

Давайте.
Я не придумываю. Люди добрые, посудите:
если borka спрашивает «как почтовики будут ТАМ авторизоваться», то можно считать что borka «решил, что почтовики будут отправлять ТУДА почту»?

других вариантов — ведь просто нет. Разумеется, Вы решили. Почему — остается загадкой.

Расскажите, почему троянский почтовый сервер не попытается "толкать письмо" на Яндекс, и как Яндекс попросит его авторизоваться?

Будет троянский почтовый сервер пытаться толкать на Яндекс письмо, адресованное не на Яндекс, или не будет, — КАКАЯ РАЗНИЦА?!

Вы задаете прямо странные вопросы.

Я, разумеется, считаю, что не будет. Спамеры, может быть, и нехорошие люди, но они не дебилы. Открытые релеи не ищут методом научного тыка. Их ищут специальной машинкой, и лишь потом используют троянами.

С другой стороны, давайте предположим на секунду, что троянский почтовик будет толкать на Яндекс письмо, адресованное не на Яндекс. НУ И ЧТО?
письмо не будет принято, и всё. В чем Ваш вопрос, и какое отношение он имеет к обсуждаемой задаче, совершенно не понятно.

Да, Яндекс не примет это письмо. Я так и говорил.
Не примет, если отправитель не авторизуется. Если авторизуется, то примет.

Он просто его не примет.

Это зависит от политики на Яндексе.
Если пользователь авторизовался, то ему может быть разрешено:
а) минимум — отправлять письмо от своего имени, то есть с адресом отправителя [email protected]
б) максимум — отправлять письмо от любого имени, то есть с любым адресом отправителя.

Разумеется, Яндексу более приличествует политика а).
Корпоративные же почтовики, и почтовики провайдеров, зачастую придерживаются политики б)

Это еще почему?!
письмо реально приходит с Яндекса

Значит, в Вашем случае совпало.

Как это могло “совпасть”? Яндекс подхватил спам-трояна, Вы хотите сказать?! или что? опять торопитесь

Это не случайность, а к сожалению уже тактика спамеров.
Какие преимущества она имеет, я разъяснил в предыдущем посте.

Думается, что проще поставить левый smtp-сервер и не зависеть ни от Яндекса, ни от кого бы то ни было еще. Либо воспользоваться опен релеем, которых в достатке.

Опять же — см. предыдущий пост. Там о выгодах было сказано.
Кроме того, не понятно, почему Вы говорите «зависеть». Спамеры в этом случае ни от чего не «зависят». Когда аккаунт, с которого они отправляют, закроют за спам, они зарегят новый. Если Яндекс в данный момент не работает, можно использовать Mail.ru. И т.п. Какая уж тут зависимость.

Не понял - Warezov не используется что ли спамерами в качестве спам-трояна? используется, разумеется.

Господи, да объясните наконец, что такое спам-троян!?

Это программа, работающая на компьютере пользователя без его ведома, и осуществляющая рассылку спама. Что, разве бывали другие определения?

Варезов и прочие Лимары - это почтовые вирусы! НЕ ТРОЯНЫ!

Да. Я понимаю, что проникновением на компьютер пользователя обычно занимается один компонент трояна (пусть он будет называться вирус), а работой по рассылке спама занимается другой компонент, скачиваемый например вирусом потом через инет.

Но какая это разница, с точки зрения нашей задачи?
Речь шла о чем? о том, что зараженные компы будут рассылать троянов (ну пусть «вирусов»), и по этим рассылкам админ сможет вычислить, кто из пользователей залетел. Оттого, что непосредственно антивирусу попадает не та программа, которая рассылает спам, а загрузчик (червь) — это конечного результата никак не меняет, согласитесь.

приведите пример трояна, который ходит, то есть рассылает сам себя по электронной почте. Не спам, а сам себя

Хорошо, Вы правы, таких нет.
Разделение труда.
Но это дела не меняет, см. выше.

О как интересно. Значит, провайдер должен будет озаботиться базой пользователей, у которых есть свои почтовики, поддерживать эту базу актуальной, провести целый ряд технических работ?

Ну какой базы, каких работ?!

Вы представляете себе, как такие вещи делаются, физически? вряд ли не представляете. Так зачем эти пугалки?

Так вот: если шлюз софтовый, Линукс какой-нибудь, то пишут в IPTables. То есть сначала пишут кому разрешить, потом пишут всем запрет. Собственно, если шлюз хардовый, то делается то же самое, только называться может не IPTables, а иначе.

Что касается “базы пользователей”, то непонятно — разве провайдер и так не вынужден вести базу пользователей? Тем более таких серьезных клиентов, у которых есть свои почтовики. Это обычно корпоративные клиенты, на корпоративных тарифах. По сравнению со всей остальной информацией о клиентах, которую провайдер вынужден держать в базе — наименование, адреса, телефоны, ФИО контактов, текущие тарифы, логины доступа, диапазоны выделенных IP, состояние взаиморасчетов, — чего революционного добавит список почтовых серверов? Не изобретайте велосипед наоборот, пожалуйста.

А также реагировать на сообщения об этих серверах, например, о вирусной или спамерской активности?

Не понял — какое отношение это имеет к закрытию порта 25?

провайдер и так реагирует (или не реагирует) на жалобы на клиентов. При чем тут закрытие порта 25?

И все это даром? А оно провайдеру надо? Единственное (наверное) заинтересованное лицо в том, чтобы не убывал траффик, который его кормит, - это провайдер. Ничего не хочу сказать насчет всех провайдеров, но, глядя на топ-10 у разных вендоров, выводы напрашиваются сами.

Вы совершенно правы. Кто бы спорил.

Я именно в этой теме с самого начала говорю, что спамеры — выгодны провайдерам. И что именно поэтому провайдеры косят от антиспамерских мер — не закрывают порт 25, не вводят тарпит, проплачивают заказные статьи против черных списков.

Поэтому неясно, что Вы этим хотели сказать.
Понятно, что провайдеры не очень хотят принимать меры, мягко говоря. Речь у нас идет о том, правильны ли предлагаемые антиспамерские меры или нет. То есть о том, чтобы обязать провайдеров на эти меры морально (если получится, то и законодательно, конечно).

Определимся так: что Вы [не] позволяете себе - это целиком Ваше право. Если я высказываю свое мнение, то я его аргументировать не обязан ни разу. Форум - это обмен мнениями. Я так считаю. Все. Если Вам интересно, можете спросить, но я не обязан ответить.

Ну да. Не спорю. С чего бы спорить.
Только на самом деле на форумах существует вполне определенное определение для этого неаргументированного «обмена мнениями» — флуд.

Делайте! Кто ж Вам не дает?

Вы не даете. Вы и прочие квалифицированные антиспамеры, создающие общественное мнение против этих мер.

Или предложите мне, что _я_ могу в этой ситуации сделать?

Не высказывать неаргументированных «мнений». Вы де-факто облегчаете спамерам жизнь. Странная позиция

[DVi]

нy вoт, бopиc, и вac пocчитaли...

[borka]

Вы ничего от этого не потеряли. Разговор шел в духе велогонок на треке — крутимся вокруг одного и того же места, наступая друг другу на хвост

Пожалуйста, оставьте в покое мой хвост!

Полностью вообще никакие проблемы не решаются. Это само собой разумеется.
Надо делать, что можно сделать. А не ничего не делать. Вы как бы предлагаете ничего не делать. Почему – не понятно. Прошу разъяснить

Надо! Только вопрос - что? Рассуждения на уровне тарпитов и прочих умных слов, типа "закрыть 25 порт", никак на существующем положении дел не скажется.

А давайте Вы не будете придумывать, что я решил? Расскажите, почему троянский почтовый сервер не попытается "толкать письмо" на Яндекс, и как Яндекс попросит его авторизоваться?

Давайте.
Я не придумываю. Люди добрые, посудите:
если borka спрашивает «как почтовики будут ТАМ авторизоваться», то можно считать что borka «решил, что почтовики будут отправлять ТУДА почту»?

Во-первых, не будут, а могут. Во-вторых, Вы считаете, что кроме клиентов Яндекса, никто не может "толкать письма" на его 25 порт. И все время говорите про авторизацию. В-третьих, так и не ответили, как Яндекс будет их авторизовывать.

Будет троянский почтовый сервер пытаться толкать на Яндекс письмо, адресованное не на Яндекс, или не будет, — КАКАЯ РАЗНИЦА?!
Вы задаете прямо странные вопросы.
Я, разумеется, считаю, что не будет. Спамеры, может быть, и нехорошие люди, но они не дебилы. Открытые релеи не ищут методом научного тыка. Их ищут специальной машинкой, и лишь потом используют троянами.

Опять же вопрос теоретический. То Вы утверждали, что почтовые серверы работают только по схеме #1, потом оказалось, что и по другим схемам тоже. То Вы утверждаете, что Ядекс потребует авторизации у того, кто "толкает письмо" на него. Теперь это оказывается неважно. Вы определитесь, что ли...

Значит, в Вашем случае совпало.

Как это могло “совпасть”? Яндекс подхватил спам-трояна, Вы хотите сказать?! или что? опять торопитесь

Чем дальше, тем меньше я начинаю понимать, о чем идет речь... Что значит "Яндекс подхватил спам-трояна"? Вы же, надеюсь, не думаете, что если письмо имеет from *@yanex.ru, то оно действительно пришло с Яндекса!?

Кроме того, не понятно, почему Вы говорите «зависеть». Спамеры в этом случае ни от чего не «зависят». Когда аккаунт, с которого они отправляют, закроют за спам, они зарегят новый. Если Яндекс в данный момент не работает, можно использовать Mail.ru. И т.п. Какая уж тут зависимость.

Зависимость прямая. Или Вы не понимаете, что значит зависеть? Сами же сказали - "если закроют аккаунт", то... Или "если Яндекс в данный момент не работает", то... Это и есть зависимость. Нет, уж проще опен релей поднять.

Да. Я понимаю, что проникновением на компьютер пользователя обычно занимается один компонент трояна (пусть он будет называться вирус), а работой по рассылке спама занимается другой компонент, скачиваемый например вирусом потом через инет.

М-да... У меня комментарии закончились.

Но какая это разница, с точки зрения нашей задачи?
Речь шла о чем? о том, что зараженные компы будут рассылать троянов (ну пусть «вирусов»), и по этим рассылкам админ сможет вычислить, кто из пользователей залетел. Оттого, что непосредственно антивирусу попадает не та программа, которая рассылает спам, а загрузчик (червь) — это конечного результата никак не меняет, согласитесь.

Что интересно, так оно и есть. Вирусы отлавливаются, пользователи наказываются. Но какое отношение это имеет к спаму - просто не представляю. И какой в этом случае должен быть конечный результат - тоже.

Ну какой базы, каких работ?!
Вы представляете себе, как такие вещи делаются, физически? вряд ли не представляете. Так зачем эти пугалки?

Именно что не представляю. Я не провайдер и не админ в одном лице. Но по работе общаться приходилось.

Так вот: если шлюз софтовый, Линукс какой-нибудь, то пишут в IPTables. То есть сначала пишут кому разрешить, потом пишут всем запрет. Собственно, если шлюз хардовый, то делается то же самое, только называться может не IPTables, а иначе.

Вобще говоря, файерволлы настраивают в обратной последовательности - сначала всем запрет, а потом - "этому дала, этому дала, а этому нет". (с)

Что касается “базы пользователей”, то непонятно — разве провайдер и так не вынужден вести базу пользователей? Тем более таких серьезных клиентов, у которых есть свои почтовики. Это обычно корпоративные клиенты, на корпоративных тарифах. По сравнению со всей остальной информацией о клиентах, которую провайдер вынужден держать в базе — наименование, адреса, телефоны, ФИО контактов, текущие тарифы, логины доступа, диапазоны выделенных IP, состояние взаиморасчетов, — чего революционного добавит список почтовых серверов? Не изобретайте велосипед наоборот, пожалуйста.

Пример. Маленькая контора поднимает свой веб-сервер, свой почтовик и пр. По Вашей схеме как минимум они должны поставить провайдера в известность, что у них появился почтовый сервер. Провайдер должен выполнить соответствующие манипуляции со своим файерволлом, внести его в базу и прочее. Зачем провайдеру этот геморрой?

Не понял — какое отношение это имеет к закрытию порта 25?
провайдер и так реагирует (или не реагирует) на жалобы на клиентов. При чем тут закрытие порта 25?

Вот и я не понимаю, при чем здесь закрытие 25 порта, которое Вы к месту и не к месту употребляете?

И все это даром? А оно провайдеру надо? Единственное (наверное) заинтересованное лицо в том, чтобы не убывал траффик, который его кормит, - это провайдер. Ничего не хочу сказать насчет всех провайдеров, но, глядя на топ-10 у разных вендоров, выводы напрашиваются сами.

Поэтому неясно, что Вы этим хотели сказать.
Понятно, что провайдеры не очень хотят принимать меры, мягко говоря. Речь у нас идет о том, правильны ли предлагаемые антиспамерские меры или нет. То есть о том, чтобы обязать провайдеров на эти меры морально (если получится, то и законодательно, конечно).

Очень хочется посмотреть, как Вы будете "обязать провайдеров на эти меры морально".

Только на самом деле на форумах существует вполне определенное определение для этого неаргументированного «обмена мнениями» — флуд.

Если Вас не устраивает мое мнение - тогда продолжим флудить.

Делайте! Кто ж Вам не дает?

Вы не даете. Вы и прочие квалифицированные антиспамеры, создающие общественное мнение против этих мер.

О как... Я, стало быть... Простите, а Вы ужЕ законодательного закрыли опен релеи в Сингапуре? А перекрыли поток "нигерийских писем"?

Или предложите мне, что _я_ могу в этой ситуации сделать?

Не высказывать неаргументированных «мнений». Вы де-факто облегчаете спамерам жизнь. Странная позиция

Ага, спамеры припали к экранам мониторов и смотрят, чем у них там - на ВирусИнфо - закончится. Кто - кого.

нy вoт, бopиc, и вac пocчитaли...

И не говорите... То на хвост наступают, то считают...

[kuznetz]

если borka спрашивает «как почтовики будут ТАМ авторизоваться», то можно считать что borka «решил, что почтовики будут отправлять ТУДА почту»?

Во-первых, не будут, а могут.

Хорошо, могут. Какая разница?

То есть почему Вы решили, что почтовики могут хотеть там авторизоваться?
(там – на Яндексе, в случае когда почтовики доставляют письмо, адресованное НЕ на Яндекс). Ответьте, пожалуйста

Во-вторых, Вы считаете, что кроме клиентов Яндекса, никто не может "толкать письма" на его 25 порт

Это откуда такая цитата?!
Ничего подобного я, разумеется, не говорил и сказать не мог.

На 25й порт Яндекса, кроме клиентов Яндекса, толкают письма все на свете почтовые сервера, которые имеют к доставке в своей очереди письма, адресованные на Яндекс. На всякий случай во второй раз напоминаю, что это схема 1. См. первоначальный пост со схемами.

А не схема 2. А вопрос с авторизацией Вы подняли по поводу схемы 2. Почему подняли — по-прежнему остается загадкой. См. выше

И все время говорите про авторизацию. В-третьих, так и не ответили, как Яндекс будет их авторизовывать.

(их — имеется в виду почтовые сервера? то есть не клиентов Яндекса)
Ответил 2 раза. Первый раз ответил «Никак»
второй раз ответил «НИКАК!»

в третий раз как я должен это сказать, чтобы Вы поняли?

Будет троянский почтовый сервер пытаться толкать на Яндекс письмо, адресованное не на Яндекс, или не будет, — КАКАЯ РАЗНИЦА?!

Опять же вопрос теоретический. То Вы утверждали, что почтовые серверы работают только по схеме #1, потом оказалось, что и по другим схемам тоже.

Это откуда такая цитата?
ничего подобного, опять же, я не говорил, и сказать не мог.
Почтовые сервера работают только по схеме 1. То есть толкают на Яндекс письмо только в том случае, если письмо адресовано на Яндекс.

То Вы утверждаете, что Ядекс потребует авторизации у того, кто "толкает письмо" на него. Теперь это оказывается неважно. Вы определитесь, что ли...

Вы врубитесь, что ли...
Прошу прощения, но как же еще сказать. Анекдот уже, натуральный.

Яндекс потребует… Нет, «потребует» вызывает возражения, значит, не будем.
Яндекс не примет без предварительной авторизации почту по схеме 2 (то есть если письмо адресовано не на Яндекс). Яндекс не примет без предварительной авторизации почту по схеме 3 (то есть если письмо имеет адрес отправителя [email protected]). Яндекс примет без предварительной авторизации почту по схеме 1 (то есть если письмо адресовано на Яндекс), за исключением случая, когда это подпадает под схему 3 (адрес отправителя [email protected])

Всё это было сказано в самом первоначальном посте, где были перечислены схемы.

Как это могло “совпасть”? Яндекс подхватил спам-трояна, Вы хотите сказать?! или что?

Чем дальше, тем меньше я начинаю понимать, о чем идет речь...

Сожалею.

Разъясняю:
Я сказал, что письмо с IP 89.184.6.34 ко мне пришло через Яндекс.
Вы сказали, что если в письме стоит FROM с Яндекса, то это еще не значит, что пришло через Яндекс, и посоветовали посмотреть заголовки, чтобы определить реальный путь прохождения письма.
Я сказал, что я и так смотрю по заголовкам, и что по заголовкам действительно пришло через Яндекс.

Вот на это Вы сказали, что «случайно совпало».
???
вот и вопрос — что совпало-то?! Яндекс «случайно» отрелеил левое письмо? Как Вы это себе представляете, иначе чем через спам-трояна, поселившегося на нём?

А, осенило.
Вы думаете, что письмо, о котором речь, пришло ко мне в ящик, который у меня на Яндексе?
Нет.
Оно пришло ко мне в ящик совсем на другом почтовике, а именно на моем на работе.
Поэтому ничего не «совпало». Это рассылка спамеров через Яндекс, путем использования зарегенного ими на Яндексе аккаунта.

Зависимость прямая. Или Вы не понимаете, что значит зависеть? Сами же сказали - "если закроют аккаунт", то... Или "если Яндекс в данный момент не работает", то... Это и есть зависимость. Нет, уж проще опен релей поднять.

Спор о словах.
Решается практикой: если бы было проще, то так бы и делали.
Раз шлют через Яндекс (вообще-то намного чаще — через Mail.ru), значит им — не проще.

Кроме того, ведь шлют именно через опен-релей. То есть не прямо со своего компьютера через Mail.ru (там же не полные идиоты сидят, а умные люди). То есть так же через соксы работают, но под конец цепочки задействуют Mail.ru, несмотря на “зависимость”. Значит, это действительно имеет смысл.

Да. Я понимаю, что проникновением на компьютер пользователя обычно занимается один компонент трояна (пусть он будет называться вирус), а работой по рассылке спама занимается другой компонент, скачиваемый например вирусом потом через инет.

М-да... У меня комментарии закончились.

Вы прямо вылитый Леонид Ильич. По части высказывания глубокомысленных мнений.
Будьте добры разъяснить, что Вы хотели сказать, этим отсутствующим комментарием.

Оттого, что непосредственно антивирусу попадает не та программа, которая рассылает спам, а загрузчик (червь) — это конечного результата никак не меняет, согласитесь.

Что интересно, так оно и есть. Вирусы отлавливаются, пользователи наказываются. Но какое отношение это имеет к спаму - просто не представляю.

То, что спам рассылают всегда именно те же компьютеры, которые рассылают вирусов. Вы этого не знали?

Если не понятно (хотя куда уж очевиднее), откуда берется это соответствие, то вот:
Спам-троян на компьютер пользователя попадает после того, как компьютер заразится вирусом. Вирус скачивает трояна и запускает его. Вирус между тем не перестает работать — он продолжает размножаться, рассылая себя по эл.почте (и по локальной сети тоже, если умеет). Кроме того, в последнее время офигенная скорость нарастания эпидемий вирусов, предполагаю, вызвана тем, что спамеры уже не занимаются мазохическими «впрысками» первой порции вируса через одно-единственное место, с целью избежать преследований. Впрыск в наше время делается с размахом — сразу через ботнет. Когда текущий ботнет у спамера иссякает (пользователи выводят вирусняка), то спамер, по мере необходимости, делает очередные рассылки вируса через имеющийся ботнет, чтобы набрать новых ботов.

Это я к тому, что вирусняк в наше время валит не только с компьютеров, зараженных этим самым вирусняком. Он валит с компьютеров, зараженных ранее любых другим вирусняком, — короче, с тех компьютеров, где у спамера есть сокс. Через сокс спамер рассылает и спам, и вирусов.

Поэтому антивирус на почтовике-отправителе выявляет именно те самые компьютеры, которые занимаются рассылкой спама.

Именно что не представляю. Я не провайдер и не админ в одном лице. Но по работе общаться приходилось.

Если не представляете, то почему беретесь судить об этом?
Вы уже попробовали «думать, что пользователи не умеют устанавливать соединение по SMTP с сервером». Может, следует всё же более тщательно подходить к обсуждаемым вопросам?

пишут в IPTables. То есть сначала пишут кому разрешить, потом пишут всем запрет

Вобще говоря, файерволлы настраивают в обратной последовательности - сначала всем запрет, а потом - "этому дала, этому дала, а этому нет".

Опять спор о словах.

Где настраивают запрет в начале, там настраивают в начале.
Где в конце — там в конце.

Очевидно, зависит от программы.
В IPTables настраивают именно так, как я сказал. В WinRoute тоже так.
В WinGate идеология вообще другая, — там пожалуй можно сказать, что сначала запрет.

И т.д. Спор о словах

Пример. Маленькая контора поднимает свой веб-сервер, свой почтовик и пр. По Вашей схеме как минимум они должны поставить провайдера в известность, что у них появился почтовый сервер. Провайдер должен выполнить соответствующие манипуляции со своим файерволлом, внести его в базу и прочее.

Совершенно верно.
Сначала контора еще должна озаботиться получением у провайдера статического IP и записей DNS для почтовика — прямого, обратного и MX. Может еще и SPF.

Не вижу, какие проблемы конторе поставить провайдера в известность, а провайдеру занести в базу и в разрешения на шлюзе. Это совершенно обычная работа, то же самое что выдать дополнительный логин, или IP, или увеличить дисковое пространство на хостинге. Не изобретайте велосипед, прошу Вас.

Зачем провайдеру этот геморрой?

Ваш вопрос равноценен вопросу вообще «зачем провайдеру геморрой с закрытием порта 25». Ответ на это уже был: провайдеру это невыгодно, но необходимо для борьбы со спамом. О том и речь, чтобы обязать провайдера, морально и/или законодательно.

Не понял — какое отношение это имеет к закрытию порта 25?
провайдер и так реагирует (или не реагирует) на жалобы на клиентов. При чем тут закрытие порта 25?

Вот и я не понимаю, при чем здесь закрытие 25 порта, которое Вы к месту и не к месту употребляете?

Сожалею.

Разъясняю:
Вы сказали, что если закрыть порт 25 и открыть его только для почтовиков, то надо вести учет почтовиков, и реагировать на жалобы на эти почтовики.

Я и спрашиваю: каким образом эти «жалобы на почтовики» связаны с собственно закрытием порта 25? Вы только что сказали, что никаким. Зачем же Вы про реагирование говорили?

Очень хочется посмотреть, как Вы будете "обязать провайдеров на эти меры морально".

Каким, каким...
Каким образом вообще в обществе со временем внедряются одни моральные нормы, а другие исчезают? Вот точно таким же.

В советское время было неприлично не уступить старшим место в общественном транспорте. С началом перестройки на это постепенно забили практически все. Сейчас, слава богу, начинаем наблюдать, что по крайней мере школьники начинают уступать место старшим. Как-то ведь внедряют?

Так и с борьбой со спамом.
Создается общественное мнение. Чем оно более распространено, тем с ним больше начинают считаться. Постепенно становится неприлично хостить спамеров (хотя где как, конечно). Если общественное мнение достаточно сильно, к нему начинает прислушиваться и законодатель. И т.д. Всё как обычно.

Если Вас не устраивает мое мнение - тогда продолжим флудить.

Меня не устраивает Ваше мнение, но в данном случае речь о том, что меня не устраивает, что Вы флудите. Никто не запрещает (и не может запретить) Вам ни высказывать свое мнение, ни флудить. Вот какова ситуация.

Ага, спамеры припали к экранам мониторов и смотрят, чем у них там - на ВирусИнфо - закончится. Кто - кого.

Разумеется, нет.
Это деловые люди, они ни на чтение моралей, ни на флуд на форумах время не тратят.
Они просто спамят спокойно, пока мы с вами ломаем копья. И пока будем так вот ломать, они так и будут спамить.

О как... Я, стало быть... Простите, а Вы ужЕ законодательного закрыли опен релеи в Сингапуре? А перекрыли поток "нигерийских писем"?

А почему, позвольте Вас спросить, борьба со спамом должна начинаться в Нигерии?
Вы разберитесь со своим спамом, а нигерийцам (или ICAAN, или APNIC, или уж кто сподобится) предоставьте разбираться с ихним спамом.

Из России и Украины валит не меньше спама, чем с других мест. У себя в глазу бревнА почему-то не хотим видеть. На украинском хостинге Cyborg, например, хостится Куваев (или Поляков, точно не помню. Да может уже оба хостятся). И в России наверняка тоже есть у них площадки.

А главное — везде есть ботнеты, в сети любого и каждого провайдера. Речь о том, чтобы перекрыть ботнетам кислород. Тем которые у себя в сети. А не в Нигерии. Не надо перекладывать свою ответственность на заграничного дядю.

[borka]

Во-вторых, Вы считаете, что кроме клиентов Яндекса, никто не может "толкать письма" на его 25 порт. И все время говорите про авторизацию.

Это откуда такая цитата?!
Ничего подобного я, разумеется, не говорил и сказать не мог.
На 25й порт Яндекса, кроме клиентов Яндекса, толкают письма все на свете почтовые сервера, которые имеют к доставке в своей очереди письма, адресованные на Яндекс. На всякий случай во второй раз напоминаю, что это схема 1.

Я сделал такой вывод, судя по тому, что нужно авторизоваться. Почтовик этого не может сделать. Стало быть, это клиент. Имеем: троян рассылает почту. Пытается отправить письмо куда-то, используя Яндекс как опен релей (Ваша схема #2). Я считаю, что ни о какой авторизации речи быть не может, Яндекс в этом случае просто отреджектит письмо вне зависимости от того, откуда оно пришло и какие имеет реквизиты. Хотя бы потому, что авторизация происходит до попытки "толкнуть письмо".

То есть почему Вы решили, что почтовики могут хотеть там авторизоваться?
(там - на Яндексе, в случае когда почтовики доставляют письмо, адресованное НЕ на Яндекс). Ответьте, пожалуйста

Раз Вы упоминаете к месту и не к месту "авторизация", то логично предположить, что захотят.

Резюмируем весь предшествующий флуд. Мой коллега провел ряд экспериментов и установил, что происходит. Спасибо ему за потраченное время.
* почтовик отправляет письмо на Яндекс - письмо приходит.
* но если отправка идет не с сервера, а с клиента, то письмо реджектится по причине "Mail from dynamic/unassigned IP is not accepted". Это для блокировки спама, приходящего клиентам Яндекса с с динамически полученных айпишников.
* неавторизовавшийся клиент Яндекса пытается отправить письмо - оно реджектится по причине "Policy rejection on the target address: не-домен-Яндекса". Стало быть Яндекс точно не опен релей.
* авторизовавшийся клиент Яндекса пытается отправить письмо куда-либо - оно доходит.
* авторизовавшийся клиент Яндекса пытается отправить письмо, используя данные авторизации другого клиента, - письмо реджектится по причине "authentication login and e-mail belongs to different users".
То есть:
отправитель получатель авторизация действие

*@yandex.ru *@yandex.ru Yes Deliver/Reject
*@yandex.ru *@yandex.ru No Rejected

*@yandex.ru *@noyandex Yes Deliver
*@yandex.ru *@noyandex No Rejected

*@noyandex *@yandex.ru Yes Rejected
*@noyandex *@yandex.ru No Deliver
*@noyandex *@noyandex Yes/No Rejected

Разъясняю:
Я сказал, что письмо с IP 89.184.6.34 ко мне пришло через Яндекс.
Вы сказали, что если в письме стоит FROM с Яндекса, то это еще не значит, что пришло через Яндекс, и посоветовали посмотреть заголовки, чтобы определить реальный путь прохождения письма.
Я сказал, что я и так смотрю по заголовкам, и что по заголовкам действительно пришло через Яндекс.
Вот на это Вы сказали, что <случайно совпало>.
???
вот и вопрос - что совпало-то?! Яндекс <случайно> отрелеил левое письмо? Как Вы это себе представляете, иначе чем через спам-трояна, поселившегося на нём?

Никак не представляю. Что значит "троян, поселившийся на Яндексе"? Где конкретно? Письмо пришло с айпишника IP 89.184.6.34 через Яндекс, при чем здесь спам-троян на Яндексе!? Или речь идет о том, что у одного из клиентов Яндекса настроен опен релей?
Я-то думал, что у письма from *@yandex.ru и источник сидит там же, на Яндексе (что и есть "совпало"). Но если айпишник левый...

Вы думаете, что письмо, о котором речь, пришло ко мне в ящик, который у меня на Яндексе?
Нет.
Оно пришло ко мне в ящик совсем на другом почтовике, а именно на моем на работе.
Поэтому ничего не <совпало>. Это рассылка спамеров через Яндекс, путем использования зарегенного ими на Яндексе аккаунта.

Опять ничего не понял... Это как? Механизм посылки спама с аккаунта клиента Яндекса - понимаю. Механизм посылки с левого айпишника и from *@yandex.ru - тоже понимаю. Но как это совмещается - никак понять не могу. Либо с левого айпишника, либо с Яндекса...

Кроме того, ведь шлют именно через опен-релей. То есть не прямо со своего компьютера через Mail.ru (там же не полные идиоты сидят, а умные люди). То есть так же через соксы работают, но под конец цепочки задействуют Mail.ru, несмотря на "зависимость". Значит, это действительно имеет смысл.

Еще раз - через опен релей на Яндексе!? Неужели Вы думаете, что спам рассылают люди со своих компьютеров? Вы что-нибудь про спам-боты слышали?

Вы прямо вылитый Леонид Ильич. По части высказывания глубокомысленных мнений.
Будьте добры разъяснить, что Вы хотели сказать, этим отсутствующим комментарием.

Ну... Как бы не могу слов подобрать...

То, что спам рассылают всегда именно те же компьютеры, которые рассылают вирусов. Вы этого не знали?
Если не понятно (хотя куда уж очевиднее), откуда берется это соответствие, то вот:
Спам-троян на компьютер пользователя попадает после того, как компьютер заразится вирусом. Вирус скачивает трояна и запускает его. Вирус между тем не перестает работать - он продолжает размножаться, рассылая себя по эл.почте (и по локальной сети тоже, если умеет). Кроме того, в последнее время офигенная скорость нарастания эпидемий вирусов, предполагаю, вызвана тем, что спамеры уже не занимаются мазохическими <впрысками> первой порции вируса через одно-единственное место, с целью избежать преследований. Впрыск в наше время делается с размахом - сразу через ботнет. Когда текущий ботнет у спамера иссякает (пользователи выводят вирусняка), то спамер, по мере необходимости, делает очередные рассылки вируса через имеющийся ботнет, чтобы набрать новых ботов.

Не то чтобы не знал, даже с трудом могу поверить, что это так. По-прежнему слов подобрать не могу. Но попытаюсь. В общем случае наличие вируса на компьютере и трояна никак не связано. Схема заражения почтовым вирусом в 99% случаев одна и та же - получение по почте вируса, запуск его на компьютере пользователя. Еще один процент - почтово-сетевой вирус, который может перемещаться и по почте, и по сети (например, Win32.HLLM.Rancheg или Email-Worm.Win32.Banwarum). Троян (обычно даунлоадер) в подавляющем большинстве случаев либо впигвинивается со взломанного сайта, либо приходит по почте/icq/etc. в виде ссылки на "интересный" ресурс. Вторая фаза - скачивание даунлоадером компонента спам-бота (не только его, конечно) и установка его на компьютер. Поэтому утверждение о том, что "спам-троян на компьютер пользователя попадает после того, как компьютер заразится вирусом" также слегка не то.

Это я к тому, что вирусняк в наше время валит не только с компьютеров, зараженных этим самым вирусняком. Он валит с компьютеров, зараженных ранее любых другим вирусняком, - короче, с тех компьютеров, где у спамера есть сокс. Через сокс спамер рассылает и спам, и вирусов.

Опять непонятный мне умный термин...

Поэтому антивирус на почтовике-отправителе выявляет именно те самые компьютеры, которые занимаются рассылкой спама.

Мое непонимание продолжается. "Поэтому" - это почему? Потому что антивирус не ловит спам? Или потому что на почтовике-отправителе установлен какой-нибудь антиспам, но тогда при чем тут вирусы и трояны?

Вы уже попробовали <думать, что пользователи не умеют устанавливать соединение по SMTP с сервером>. Может, следует всё же более тщательно подходить к обсуждаемым вопросам?

Вы же пытались авторизоваться после попытки "толкнуть письмо" - и ничего. А я и сейчас так думаю - пользователи не умеют. А что научились? Может, нужно все же формулировки давать правильные? Например, про smtp с авторизацией?

Ваш вопрос равноценен вопросу вообще <зачем провайдеру геморрой с закрытием порта 25>. Ответ на это уже был: провайдеру это невыгодно, но необходимо для борьбы со спамом. О том и речь, чтобы обязать провайдера, морально и/или законодательно.

Возвращаемся к Вашему предложению:

Предлагается, что провайдер должен блокировать исходящие на порт 25.
Минимальная рекомендация — для всех кто за NAT,
средняя — для всех динамических,
максимальная — для всех, кроме согласованных с провайдером SMTP-серверов.
Чтобы обеспечить в таких условиях работу по взаимодействию с пользователями по отправке почты пользователей, почтовые сервера должны иметь второй порт — порт MSA. Например 587. На этом порту должна быть обязательная SMTP-авторизация для всех, то есть в том числе и для писем, поступающих на адреса на этом самом почтовике. Только тогда это всё имеет смысл.

На мой взгляд, закрытие 25 порта ничего не даст (кроме геморроя, разумеется). Этот способ годится только для зарезания "своего" для провайдера спама (спама, который рассылается из обслуживаемых доменов). Но ничего не даст для блокирования спама, который приходит. Работая по Вашей схеме #1, спам-почтовики по-прежнему будут "толкать письма". В том числе на тот корпоративный сервер, который находится за "закрытым" 25 портом, поскольку для почтовиков 25 порт будет по-прежнему открыт. И в чем смысл? Думаю, со "своим" спамом провайдер как-то справится, а с приходящим? Закрытие же для обслуживаемых адресов клиентов исходящих на 25 порт - это почта у клиента не работает на отправку. А если "SMTP-авторизация для всех", то опять же возникает вопрос - как почтовый сервер будет авторизовываться и у кого?
Или я чего-то не понимаю? Пример блокирования приведите.

Меня не устраивает Ваше мнение, но в данном случае речь о том, что меня не устраивает, что Вы флудите. Никто не запрещает (и не может запретить) Вам ни высказывать свое мнение, ни флудить. Вот какова ситуация.

Вот и слава богу!

Из России и Украины валит не меньше спама, чем с других мест. У себя в глазу бревнА почему-то не хотим видеть. На украинском хостинге Cyborg, например, хостится Куваев (или Поляков, точно не помню. Да может уже оба хостятся). И в России наверняка тоже есть у них площадки.
А главное - везде есть ботнеты, в сети любого и каждого провайдера. Речь о том, чтобы перекрыть ботнетам кислород. Тем которые у себя в сети. А не в Нигерии. Не надо перекладывать свою ответственность на заграничного дядю.

Правильно! "Своему" спаму - бой, а "чужой" пусть ходит! Так? Кстати, ко мне преимущественно приходит зарубежный спам.

[maXmo]

С другой стороны, смотря что имелось в виду под «детектировать».
Чтобы отличить контакт спам-трояна на порт 25 от контакта нормального SMTP-сервера

от контакта нормального смтп-клиента. Я рассматриваю возможность умного блока 25 порта на периметре LAN, ибо например на яндексе нет MSA и IMAP и с тупо заблоченным 25 портом с яндексом общаться… как бы это выразиться помягче… тяжко

спам-троян, без сомнения, не затруднился бы подделать “серверный” протокол.

именно так они и работают.

Не понятно, какое отношение это имеет к вопросам антиспама вообще.

жосский блок 25 порта в моём случае напряжен.

Перейдут клиенты на IMAP или не перейдут — какая разница. Спамеры всё равно будут слать спам по SMTP на порт 25.

вот я и рассматривал возможность открыть 25 порт, но так, чтобы спамеры не могли слать по нему спам.

Прошу прощения, не прочитал всё. Просто хочу сказать что сегодня есть трояны отлично отправляющие спам через веб интерфейс, с реквизитами пользователя на компе которого они поселились. Так что никакие ухищерения не избавят от спама полностью.

имхо, в качестве первого шага избавить от 99.999% спама будет очень неплохо, не?

зы и оставьте хвосты друг друга в покое.

[kuznetz]

жосский блок 25 порта в моём случае напряжен

Естественно.
Не у всех почтовиков в данный момент есть порт MSA.
Так речь о том и идет, что они будут вынуждены его заиметь.
У Mail.ru тоже раньше не было порта MSA, а теперь есть. Порт 2025, см. Help. Сделали, потому что возникла необходимость — очевидно, есть провайдеры, которые уже закрыли порт 25.

И Яндекс сделает, если будет многим нужно.

Ничего подобного я, разумеется, не говорил и сказать не мог.
На 25й порт Яндекса, кроме клиентов Яндекса, толкают письма все на свете почтовые сервера, которые имеют к доставке в своей очереди письма, адресованные на Яндекс. На всякий случай во второй раз напоминаю, что это схема 1.

Я сделал такой вывод, судя по тому, что нужно авторизоваться

А кто где говорил, что «нужно авторизоваться»?!
прочитайте пожалуйста что было сказано про схему 1. Где там сказано, что нужно авторизоваться?

Имеем: троян рассылает почту. Пытается отправить письмо куда-то, используя Яндекс как опен релей (Ваша схема #2). Я считаю, что ни о какой авторизации речи быть не может,

С чего бы это? (кстати, всё это Вы уже говорили, и я Вам ответ, который нижеследует, тоже уже говорил. Вы редкостный любитель велогонок на треке)

Вот кто-то (троян или пользователь) пытается отправить через Яндекс письмо, адресованное не на Яндекс. Если этот кто-то авторизуется, то Яндекс примет это письмо к отправке

(с поправкой на то, что, как Вы четко установили, Яндекс придерживается политики а), то есть принимает к отправке не на Яндекс только письма с адресов [email protected]. Но это политика именно Яндекса, а корпоративные почтовики и почтовики провайдеров могут придерживаться политики б)).

Яндекс в этом случае просто отреджектит письмо вне зависимости от того, откуда оно пришло и какие имеет реквизиты.

нет, в общем случае нет. См. выше

Хотя бы потому, что авторизация происходит до попытки "толкнуть письмо"

никто не говорил, что авторизация происходит после. Авторизуется до. И отправит.

То есть почему Вы решили, что почтовики могут хотеть там авторизоваться?
(там - на Яндексе, в случае когда почтовики доставляют письмо, адресованное НЕ на Яндекс). Ответьте, пожалуйста

Раз Вы упоминаете к месту и не к месту "авторизация", то логично предположить, что захотят.

Нет, не логично.
Согласно сказанному выше, в схеме 2 захотят авторизоваться либо пользователи, либо трояны. В описании схемы 2 ничего не говорилось о том, кто будет пытаться авторизоваться. С чего Вы решили, что это будут почтовики — остается загадкой.

Мой коллега провел ряд экспериментов и установил, что происходит. Спасибо ему за потраченное время.

Респект, однозначно. Четкая, полная схема.

Если сравнить ее с моими схемами 1, 2, 3, то видно, что нет никаких различий по сути. Есть только уточнения, заключающиеся в том, что политки на Яндексе строже, чем я думал.
а) по схеме 1 не примет, если IP отправителя динамический
б) по схеме 3 не примет, если реквизиты авторизации не соответствуют адресу отправителя.

вот и вопрос - что совпало-то?! Яндекс «случайно» отрелеил левое письмо? Как Вы это себе представляете, иначе чем через спам-трояна, поселившегося на нём?

Никак не представляю. Что значит "троян, поселившийся на Яндексе"? Где конкретно?

Там, где происходит релей, очевидно. То есть троян на компьютере smtp.yandex.ru, если предполагать что «совпало».

Письмо пришло с айпишника IP 89.184.6.34 через Яндекс, при чем здесь спам-троян на Яндексе!?

При том, что иначе с какого перепугу Яндекс принял это письмо к отправке? если, как Вы говорите, «просто совпало». Согласно приведенной Вами схеме политик Яндекса, принять был не должен.

Оно ведь адресовано было (и доставлено было) не на [email protected], а на [email protected]

через промежуточный релей mail.yandex.ru (грубо говоря. Какой точно почтовик на Яндексе обработал это конкретное письмо, какая разница. В заголовках точно указано, какой).

Или речь идет о том, что у одного из клиентов Яндекса настроен опен релей?

А вот это мы с Вами можем только гадать. Я не знаю — откуда знать. Могу предполагать — см. ниже.

Я-то думал, что у письма from *@yandex.ru и источник сидит там же, на Яндексе (что и есть "совпало"). Но если айпишник левый...

Где «там же на Яндексе»?
в серверной Яндекса сидит админ и шлет мне письма с горячими приветами? Вы думайте пожалуйста, опять торопитесь непонятно

То, что айпишник первого отправителя 89.184.6.34, было сказано сразу. То есть до того, как Вы предположили, что «совпало». Поэтому что с чем могло совпасть — непонятно.

Это рассылка спамеров через Яндекс, путем использования зарегенного ими на Яндексе аккаунта.

Опять ничего не понял... Это как? Механизм посылки спама с аккаунта клиента Яндекса - понимаю. Механизм посылки с левого айпишника и from *@yandex.ru - тоже понимаю. Но как это совмещается - никак понять не могу. Либо с левого айпишника, либо с Яндекса

Это как это Вы «понимаете» механизм посылки с левого айпишника и from *@yandex.ru???!!! поделитесь. А то что-то неизвестное науке

Что за чудесный механизм, если это НЕ механизм с аккаунта клиента Яндекса?

Согласно приведенной Вами ранее схеме политик Яндекса, такого не может быть. Вы опять торопитесь неизвестно куда.

Кроме того, ведь шлют именно через опен-релей. То есть не прямо со своего компьютера через Mail.ru (там же не полные идиоты сидят, а умные люди). То есть так же через соксы работают, но под конец цепочки задействуют Mail.ru, несмотря на "зависимость". Значит, это действительно имеет смысл.

Еще раз - через опен релей на Яндексе!?

Нет, не на Яндексе. А до Яндекса. Это же само собой понятно.
упомянутый первый IP 89.184.6.34, следует полагать, и является тем самым открытым релеем.

Неужели Вы думаете, что спам рассылают люди со своих компьютеров?

А я кажется только что и сказал (см. выше черным по белому): «То есть не прямо со своего компьютера через Mail.ru».

Что Вы теперь хотите сказать, не понятно.

Вы что-нибудь про спам-боты слышали?

Разумеется, слышал. Я ведь только что и сказал «То есть так же через соксы работают» (см. выше черным по белому).

??? то есть что Вы хотите сказать, вообще не понятно.

Итак, снова перечисляю ситуацию с письмом, которое «совпало»:
письмо с адреса [email protected] было доставлено по адресу [email protected] через (судя по заголовкам) IP 89.184.6.34, потом mail.yandex.ru, потом sinecure.com

Что здесь с чем «совпало» — не понятно.
Я утверждаю, что это рассылка путем зарегенного на Яндексе аккаунта [email protected], путем SMTP-авторизации на Яндексе, через открытый релей (точнее, открытый прокси) 89.184.6.34. Ничего нигде не совпало.

Ну... Как бы не могу слов подобрать...

А Вы подбирайте, уж постарайтесь. Вы же не Леонид Ильич, разбитый параличом и инсультом, в конце-то концов. Чем Вам не понравилась перечисленная мной схема распространения спам-троянов: полученный по почте почтовый вирус Warezov скачивает с интернета спам-трояна и запускает его.

То, что спам рассылают всегда именно те же компьютеры, которые рассылают вирусов. Вы этого не знали?

Не то чтобы не знал, даже с трудом могу поверить, что это так. Схема заражения почтовым вирусом в 99% случаев одна и та же - получение по почте вируса, запуск его на компьютере пользователя

Я что, что-то говорил против этого?

Троян (обычно даунлоадер) в подавляющем большинстве случаев либо впигвинивается со взломанного сайта, либо приходит по почте/icq/etc. в виде ссылки на "интересный" ресурс. Вторая фаза - скачивание даунлоадером компонента спам-бота (не только его, конечно) и установка его на компьютер

Все правильно. Такая схема тоже реально действует. Но с чего Вы взяли, что перечисленная мной схема не действует? Тоже действует. Получаемый по почте вирус Warezov или другой, скачивает через инет спам-бота и запускает его.

Через сокс спамер рассылает и спам, и вирусов

Опять непонятный мне умный термин...

Вы бы своей неграмотностью не хвалились, а посмотрели бы в поисковике любом.

Сокс — это SOCKS-прокси.

Поэтому антивирус на почтовике-отправителе выявляет именно те самые компьютеры, которые занимаются рассылкой спама.

Мое непонимание продолжается. "Поэтому" - это почему?

Потому, что «спам рассылают всегда именно те же компьютеры, которые рассылают вирусов. Вы этого не знали?»

Хорошо, согласен, что существуют схемы заражения спам-трояном, не связанные с пересылками вируса по эл.почте. Но существуют и схемы, где заражение трояном происходит именно посредством вируса, размножающегося по эл.почте.

Хорошо, ввиду вышесказанного согласен, что антивирус на почтовике-отправителе не выявит все компьютеры, рассылающие спам. Вы правы — выявит только часть.

Значит, остальных надо ловить другими методами. Особо мудрить тут не требуется: спам-трояны можно засекать просто по большому числу отправляемых писем.

Вы уже попробовали «думать, что пользователи не умеют устанавливать соединение по SMTP с сервером». Может, следует всё же более тщательно подходить к обсуждаемым вопросам?

Вы же пытались авторизоваться после попытки "толкнуть письмо" - и ничего

Нет, я нигде не говорил, что SMTP-авторизация происходит после попытки толкнуть письмо. Приведите пожалуйста цитату и ссылку на пост, если Вы утверждаете, что говорил. Не говорил.

А я и сейчас так думаю - пользователи не умеют. А что научились?

OK, правильно ли я Вас понял: Вы думаете, что
«программы почтовые-клиенты не умеют устанавливать SMTP-соединение с сервером»

Так или как? Если так, то вынужден будут опубликовать это «мнение» на данном форуме в разделе «Помогите», с тем чтобы квалифицированные специалисты могли нас рассудить.

Если не так, то сформулируйте сами, что Вы имели в виду под «Думаю, что пользователи не умеют устанавливать SMTP-соединение с сервером». При необходимости это, опять же, будет обсуждено в разделе «Помогите».

Может, нужно все же формулировки давать правильные? Например, про smtp с авторизацией?

Я уже признал, что моя формулировка «требует авторизации, потребует авторизации» некорректна. Почтовик не требует авторизации, он просто не принимает почту, если авторизации не было. Больше мне признавать нечего.

С Вас же требуется признать насчет «пользователи не умеют»,
и насчет почему почтовые сервера вдруг работают по схеме 2.

Будьте добры, решите так или иначе эти вопросы.

На мой взгляд, закрытие 25 порта ничего не даст. Этот способ годится только для зарезания "своего" для провайдера спама (спама, который рассылается из обслуживаемых доменов). Но ничего не даст для блокирования спама, который приходит

Вы долго думали над этим выводом?

Это же, прошу прощения, но ежу понятно, сразу и без размышлений!!!
Что не понятно — какое отношение это имеет к обсуждаемому вопросу. См. ниже

Работая по Вашей схеме #1, спам-почтовики по-прежнему будут "толкать письма"

Ну что за таинственные «спам-почтовики»? Где Вы их видели, что Вы под этим подразумеваете?

Спам рассылают спам-трояны, сидящие на компьютерах пользователей. Тем и сильны бот-сети, что они распределены — ботов много и они быстро меняются. Поэтому их трудно блокировать по черным спискам. Хотя это, разумеется, делается и приносит определенный эффект.

Кроме того, бот-сети рассылают спам бесплатно для спамера. За спам-почтовики надо, во-первых, платить, во-вторых, нормальные провайдеры (не китайские то есть, и не открыто-спамерские) не позволят в своей сети держать спам-почтовик. Ненормальных провайдеров — блокируют по черным спискам, сразу целыми подсетями. И всё.

Думаю, со "своим" спамом провайдер как-то справится, а с приходящим?

А ему кто-то запрещает справляться?!!
каким местом закрытие порта 25 влияет на справление провайдера с приходящим спамом? что за ахинею Вы несете, прошу прощения.

Закрытие же для обслуживаемых адресов клиентов исходящих на 25 порт - это почта у клиента не работает на отправку.

RTFM. Вы читать умеете? Там было написано, сразу в первом посте: при закрытом порте 25 пользователи будут отправлять на порт MSA. Рекомендуемое значение порта — 587. Хотя конкретное значение без разницы. Либо через почтовик провайдера.

Вы редкостный любитель бегать вокруг одного и того же места — уже говорилось.

А если "SMTP-авторизация для всех", то опять же возникает вопрос - как почтовый сервер будет авторизовываться и у кого?

Третий раз говорю — НИКАК и ни у кого. Вы по-русски понимаете? извините, конечно, но как еще, сколько уж можно. При закрытии порта 25 обмен между почтовыми серверами никак не меняется.

Или я чего-то не понимаю? Пример блокирования приведите.

Хорошо. Сразу бы так и сказали. Сколько можно ходить вокруг одного места.

Вот пользователь в сети провайдера. У пользователя есть ящик [email protected] на корпоративном сервере sinecure.com на работе.

Порт 25 вовне для пользователя закрыт. Порт 25 для пользователя открыт на почтовик провайдера. Поэтому пользователь может либо отправлять почту через почтовик провайдера. У провайдера при этом должна, очевидно, действовать либо политика б) и пользователь должен получить у провайдера какие-либо реквизиты для SMTP-авторизации. Либо вообще без авторизации — почтовик провайдера должен релеить со всех IP, принадлежащих этому провайдеру.

Либо пользователь может отправлять почту через почтовик sinecure.com через его порт MSA (пусть это порт 587). С реквизитами авторизации, полученными на работе.

Не надо перекладывать свою ответственность на заграничного дядю.

Правильно! "Своему" спаму - бой, а "чужой" пусть ходит! Так? Кстати, ко мне преимущественно приходит зарубежный спам.

Это, уважаемый, с больной головы на здоровую.

Это Вы, Geser, DVi и другие — предлагаете не принимать мер против исходящего спама, а принимать меры исключительно против приходящего.

Я же предлагаю принимать меры против исходящего спама, но где я возражал против защиты от приходящего спама, хоть полслова сказал на этот счет? ПРИВЕДИТЕ ЦИТАТУ И ССЫЛКУ НА ПОСТ. Не сможете, разумеется. Поэтому будьте добры не перекладывать с больной головы на здоровую. И не перекладывать ответственность за свой спам на нигерийского дядю. Пока все будут перекладывать и никто не будет бороться с исходящим спамом — спамеры будут спамить спокойно, и объем спама будет ежегодно расти, как сейчас растет.

Насчет того, что к Вам приходит преимущественно зарубежный спам — так это зависит от адреса эл.почты. На адреса в зоне .ru приходит преимущественно русский спам. Причем процентов 15-20 всего спама приходит с ботнетов в сетях СНГ. Именно им и предлагается перекрыть кислород, путем закрытия портов 25.

[Geser]

Вот америку открыли.
Полностью вообще никакие проблемы не решаются. Это само собой разумеется.
Надо делать, что можно сделать. А не ничего не делать. Вы как бы предлагаете ничего не делать. Почему – не понятно. Прошу разъяснить

Единственный способ борьбы со СПАМом и ДДоС это борьба с троянами которые для этого используются.
И борьба эта должан проводиться нескольких плоскостях.
1. За СПАМ наказываться должны в равной мере заказчик и рассылающий. А найти заказчика намного проще.
2. Правоохранительные органы должны начать серьёзную борьбу с хакерами и вирусописателями.
3. НУжно повышать образованность пользователей в плане защиты от вредоносных программ.