Alone_Wolf_NRR написал(а):
Цитата:
1. Использование для обсчёта адресов известного червивого сайта hanmail.net (ip:222.101.*)
Что такое "обсчет адресов"?
Получение списка валидных ящиков в домене (чтобы не пользоваться мыллистом Everyone а рассылать персонально)
Цитата:
Что такое "ложные записи DNS?" - это раз.
1.Зарегистрированная DNS A-Record, вербальная часть которой "похожа" на заведомо валидную настолько, что у кого-то может быть включена в пул по маске. Может быть зарегистрирована официально.
2.Откоректированная в локальной базе (на уровне провайдера) IP-половинка A-Record. Такая A-Record обычно живёт не больше своего TTL (потом оказывается перезаписаной с более вышестоящего на место), но пока она существует, юзер набравший в регионе действия DNS-сервера с так откорректированными базами, допустим Yandex.ru почему-то попадает на сайт Вася_Пупкин.ru по всем портам, причём DNSlookup по ip ему при этом заявляет, что это yandex. Если же он набирает известный IP Яндекса он по прежнему попадает на Яндекс. Доменному имени не может быть присвоено 2 разных static IP, но одному IP может быть присвоено доменных имён сколько угодно. Так делают дефейс. Это естественно незаконно.
Цитата:
Два - какие к чертовой матери "mail.ru в доверительном списке"?
"нормальные" SMTP-сервера mail.ru авторизуются как mx1.mail.ru ... mx26.mail.ru. Соответстно, чтобы не пропускать транзит обычно на SMTP блокируется пересылка при обоих адресах (To и From) нелокальных. Чтобы юзеры могли писать свои сообщения с адресами *@mail.ru в from: mail.ru должен стоять на SMTP в доверительном списке. А чтобы отсекались внешние - там стоит принимать такие письма только с локали и с доменов mx*.mail.ru.
То что написано в HELO проверяется по DNS. Спамер регистрирует dns-запись msx.mail.ru и мыло едет "как бы" с mail.ru. И баллы у такого спама понижаются.
Цитата:
mail.ru более чем корректно выдают исходящий почтовый траффик и пихать их в какие-либо списки не имеет никакого смысла - все и так прекрасно работает.
Вот это и называется репутацией. И по ней строит значение баллов по исходящему серверу тот же bayes
Цитата:
"Зараженные smtp сервера" влетают в блок-листы просто в момент.
После того, как у меня влетели вот так вот в блок-лист mail.ru и aha.ru я задумался такая ли уж это панацея.
Цитата:
5. Использование семантического морфинга в тексте сообщений (номера телефонов) для обхода спам-контроллеров. Знание про этот метод свидетельствует о специфичных знаниях из опыта взлома IRC (метод клонов).
Детский сад. Несколько предложений, каждое из которых имеет несколько схожих по смыслу вариантов.
Тут вобще-то речь о написании телефонов латынью вместо цифр шла. А что касательно анализа по содержанию то у меня слишком часто нужные письма в спам попадали. Пришлось отключить.
Цитата:
Ой, а можно поподробней про BruteForce атаку на SMTP?

Можно. У SMTP (если вспомнить протокол) команда RCPT TO после валидного HELO и MAIL FROM может повторяться приличное количество раз (некоторые мыльники вобще этот параметр не отслеживают). Соответстно на SMTP передаётся валидное helo, заведомо валидный MAIL FROM и крутится в цикле RCPT TO обычно из какой-нить библиотечки в форме <слово>@<атакуемый хост>. Команда DATA при этом вобще на SMTP не передаётся а из To не получивших Recepient Unknown строится спамлист атакуемого сервера. В котором кстати будут даже те ящики, которые не включены в списки рассылки (everyone etc.). Т.к. на транзит Recepient accepted будет всегда, подбор идёт только по юзверьнейму (хост всегда тот же, что и атакуется). Полный брутефорс конечно же никто не делает, но перебор по базе имён и словарику неоднократно в логах наблюдался. После чего за такую активность у меня тоже попадают в блоклист по IP.
Цитата:
Цитата:
- настроить спам-фильтр
Тэкс. Понятно. Вопрос из зала - вы собственно проблему борьбы со спамом изучали, или так - газеток почитали с умными словами?
Естестно. У меня даже небольшой подопытный сервер на это дело есть

. Но именно потому, что мне знакома не только радужно-безоблачная сторона известных методик, отражённая здесь, но и допустим улетание в спам нужной корреспонденции, к более-менее стандартным методикам я предпочитаю относиться крайне осторожно. Тем более что с точки зрения сисадмина спам прибитый сервером по прибытии автоматически ничем не отличается от спама полученного юзером, т.к. внешним трафиком он всё равно уже посчитался.
Цитата:
А теперь сеанс так называемого разоблачения. Известный спам:
Code:
приветствую!
выучи английский с учителем из Великобритании :)
lО9 81 IO Москва
( мы про этот кажется? )
X-Spam-Status: Yes, hits=8.262 required=6.31 tests=[DATE_IN_FUTURE_12_24=2.329, FORGED_RCVD_HELO=0.05, MIME_BASE64_BLANKS=0.819, MIME_BASE64_TEXT=0.11, MISSING_SUBJECT=1.57, RATWARE_RCVD_PF=3.384]
X-Spam-Level: ********
X-Spam-Flag: YES
Не совсем. В дистиллированном виде ему конечно начислится предельное количество баллов. В оригинале (прилетавшем мне) там во-первых subject не Missing (-1,57), во вторых Date in future не наблюдалось (-2,32). Это уже больше показанного тут перебора на 1,9. Да и Ratware Rcvd сильно зависит от рецидива. У меня проходной стоит 5 ровно. Первые (которые с кучей мусора внизу были) проскакивали, заваливая этим RRP и шли text-only (-0,9). Что собсно меня и насторожило.
Цитата:
FUD. Хорош людей стращать несуществующими ведьмами. Если у них в конторе нет вменяемого администратора почтовой системы, способного настроить спамодавку - это еще не значит что вокруг все плохо.
Спамодавка - тож палка о двух концах. У меня как-то в спам пару раз полезная корреспонденция улетала за длинные аттачи. Вою было... Вспоминать неохота.
Что же касается "ведьм", то контора, которую я тут сцитировал занимается рассылкой всякого спама (в т.ч. и этого вот английского) профессионально (т.е. торгует услугой для таких идиотов). А ещё торгует базами данных по корпоративным мыльникам и факсам (дорого). Потому что услуга эта коммерческая (иначе б корова не доилась). Собсно на этом основании спамерская контора и доит заказчика независимо от результата. А судя по тому, что заказчиков она имеет (независимо от степени их отмороженности), результаты там есть. Контору обычно регистрируют либо как рекламное агенство (Мы рекламное СМИ и нам за это платят), либо как обучающий центр (это не мы. Ученики экспериментируют...). В любом случае это получается то, что у Н. Сауха названо термином dot.com со всеми тонкостями этого определения вплоть до агрессивности.