Погода: -12°C
  • Ситуация:
    есть почтовый сервак. Нормально работающий, все как положено прописано - зарегистрировано. В целях отсеивания спаммеров в blacklist по PTR внесены основные хосты, с которых валится спам - типа *.veloxzone.net.br, *.speedy.telkom.net.id, *.ertelecom.ru, *.airtelbroadband.in и так далее.
    Вопрос: допустимо ли по RFC (только по RFC - остальное меня мало трясет) в blacklist засовывать выражения типа *pppo*, *dsl*, *static*, *dynamic* и тому подобное? В принципе нормальный почтовый сервак таких ответов давать не должен... :dnknow:

    If VEGETarians eat VEGETables, what do HUMANitarians eat?
    Is PROgress controversial to CONgress?

  • Вот статейка: http://www.adsmedia.ru/service/mail/antispam
    НО! Мне кажется что static и dynamic в принципе могут оказаться в имени хоста отсылающего почту и соответственно в его PTR...
    Какой-ньть dynamic.life.com webdynamic.ru
    Так что я бы небыл столь категоричен как ее автор

    Вот еще обсуждение:
    http://www.mdaemon.org.ru/forum/mdaemon/81ff7b04626455df8d645b407e734cb0

    А тут рекомендации по настройке сервера с достаточно интересной штукой, такой как spf
    http://habrahabr.ru/blogs/linux/101628/

    Мне кажется нужно найти более элегантное решение чем жесткая блокировка определенным словам в PTR

    Исправлено пользователем JLekc (17.08.11 07:40)

  • И еще хорошая статья на eng. http://www.shamrock-software.eu/spam.htm

  • На сейчас используется комбинация из:
    SPF, SpamAssassin, PTR lookup, IP lookup, content filter, DNS-BL, tarpit, запрет на отправку почты с адресов (email и IP) не из whitelist и host blacklist.

    Прикол в том, чтобы отрубить уродцев, релеящих почту через всякую (_*_).
    Скажем приходят очередные "рольставни" со, скажем, XXXXXX.virtua.com.br, оказываясь, на самом деле, от какого-нибудь laskdfjaldjkf@rambler.ru. Ессесно, SPF пройдет "на ура!", но еще же есть мелкие почтовики организаций, которые про SPFы и не слышали, однако от них почта вполне легальна. DNS-BL тоже не дает 100% гарантии. Фильтр содержания - по достижении определенного объема начинает адово тормозить (при интенсивности приема порядка 100 писем в час ворочать файлик в десяток мег чуточку немножечко некузяво), да и в случае каких-нибудь вьетнамских или индийских спаммеров (ага, у меня и такие в коллекции есть!) - их закорючечки я в TXT не запихну. Tarpit и IP lookup срабатывают на совсем уж идиотов - которые локалхостом там представляются, отваливающихся по таймауту, не имеющих не то, что MX - даже A записей. А вот PTR lookup + host blacklist дал мне примерно 2-5% прохождение спама. То есть на входе заворачивается 95-98 спамных писем из 100. Вот я и хочу догнать до 99-100 из 100, удавив всяких dynamic-XXX-XXX-XXX-XXX.umts.vodanet.co.za да static.*.viettel.vn...

    If VEGETarians eat VEGETables, what do HUMANitarians eat?
    Is PROgress controversial to CONgress?

  • 90% Уже хороший результат 95% замечательный, лучшее враг хорошего,
    однажды может случится так, что очень важное письмо просто не дойдет, по причине того что в PTR будет волшебное слово из тех по кторорым почтарь попадает в balcklist.

    Еще есть заморочка с аутлупами когда вы отбиваете почту с несуществующими на вашем сервере ящиками, с пометкой что такого пользователя нет.
    По RFC как раз положено давать такие... Но по сути будете релеить спам:улыб:Выход один не включать в аутлуп исходное письмо. Нас помнится таким образом заблеклистили, даже с тем что на серваке было указано не включать в аутлуп копию пришедшего письма... А спамили с нескольких вполне валидных но взломаных серверов.

    В общем борьба со спамом дело благородное, но главное не переборщить!

  • аутлуп - это, пардон, ЧТО?
    При письме на несуществующий ящик почтовик говорит no such user here и рвет соединение. Это нормально и хорошо. Если PTR lookup выдает всяку бяку - говорим 501 Domain must resolve. Это тоже хорошо и правильно. При совпадении с правилами фильтрации (содержимое заголовка, содержимое тела) - там тоже все хорошо. Письмо тупо грохается без каких-либо ответов. Оно ко мне пришло - дальше я с ним могу творить все, что захочу. Если DNSBL говорит что-то отличное от not found - даем 550 Recipient unknown.
    А вот при совпадении с Host blacklist - говорим 550 domain (мой домен) does not accept mail from (негодяйский домен/IP/имя ящика).
    Собственно вот тут я и сомневаюсь мал-мала, позволительно ли глушить *dsl* и прочее, описанное в первом посте.
    Не, ну правда, какой реальный почтовый сервак, а не вирусятинка, будет отвечать про себя, к примеру, r190-64-222-222.dialup.adsl.anteldata.net.yu и не иметь MX записей?

    If VEGETarians eat VEGETables, what do HUMANitarians eat?
    Is PROgress controversial to CONgress?

  • Ах ну да, у Вас же нет релея. Значит с такой проблемой не столкнетесь. У нас эти сообщения генерял наш промежуточный почтовый сервер. А у Вас именно так и произойдет, ваш сервер на этапе RCPT TO ответит что нет такого пользователя, а сервер который вам его пытался послать должен сгенерировать письмо с уведомлением о такой неприятности и отослать его отправителю.

    По поводу RFC
    Многие используют блеклисты и всячиские вариации на тему, к тому же ваш почтовый сервер не релеит тонны почты для различных не Ваших доменов, и в случае если что-то будет работать не так как нужно Вы сам себе злобный буратино. Указание на запрещение блеклистить что-то в RFC я не нашел. Исходя из всего этого я считаю что если очень хочется то можно, но нужно подумать о возможных ошибках такого "блеклистинга"

    Исправлено пользователем JLekc (17.08.11 10:29)

  • В ответ на: В целях отсеивания спаммеров в blacklist по PTR внесены основные хосты, с которых валится спам - типа *.veloxzone.net.br, *.speedy.telkom.net.id, *.ertelecom.ru, *.airtelbroadband.in и так далее.
    Вопрос: допустимо ли по RFC (только по RFC - остальное меня мало трясет) в blacklist засовывать выражения типа *pppo*, *dsl*, *static*, *dynamic* и тому подобное? В принципе нормальный почтовый сервак таких ответов давать не должен...
    В RFC не регламентируется логика хоста, которой хост руководствуется, принимая решение о принятии письма или отказе в принятии.
    Другое дело что отказываться принимать это письмо нужно правильно - кодами 4ХХ-5ХХ - от ситуации зависит. Вы вообще можете заблочить весь мир и всем отдавать 5ХХ ошибку в стиле - '521 Ididte nafig' - это ваше личное дело.

    Non solum oportet, sed etiam necessese est

  • В ответ на: Не, ну правда, какой реальный почтовый сервак, а не вирусятинка, будет отвечать про себя, к примеру, r190-64-222-222.dialup.adsl.anteldata.net.yu и не иметь MX записей?
    у меня например lXX-XX-XX.cn.ru представляется и доходит везде (как и ко мне все доходит без проблем).
    Сам домен lXX-XX-XX.cn.ru не имеет mx записи, так как мне он был выдан провайдером, но резолвится и прямо и наоборот в свое EHLO.
    Вообще конечно это не показатель вирусятины, если уж совсем по честному. И это не технический вопрос, а скорее политический вопрос для бизнеса - готовы ли они потерять например мою почту или нет :biggrin:

    Non solum oportet, sed etiam necessese est

Записей на странице:

Перейти в форум

Модераторы: