Autor: Lukasz Komsta (luke_at_ariadna.pl)
Data: Sat 26 May 2001 - 09:47:28 MET DST
Witam,
Nie mam zbytnio czasu się rozpisywać (pracoholizm), więc w wielkim
skrócie. Post wysyłam oprócz mordpliku na polip, bo sprawa jest
szersza.\
Od dawna w walce ze spamem stosuje się wiele metod i praktycznie żadna
nie jest skuteczna. Choć można wyeliminować większość spamu
zagranicznego, nie da się prosto obronić przed spamem polskim, jaki
ostatnio pojawia się coraz częściej.
Coraz częściej mamy bowiem spamy w stylu "jadę na wakacje",
"naturoterapia", etc. o pewnych wspólnych cechach. Adresem nadawcy jest
bezpłatne konto e-mail, wysyłka odbywa się poprzez relay SMTP tegoż
providera i najczęściej list jest wysyłany popularnym oprogramowaniem
(outlook) poprzez wpisywanie listy Bcc, lub też prostymi mailerami jak
aureate.
W zasadzie wszystkie masowo stosowane metody na spamerów (np. ORBS,
czarne listy) zawodzą, bowiem blokada na cały relay (jak ORBS) odetnie
całą resztę normalnych maili, a dopisanie adresu nadawcy na czarną listę
serwera post factum niewiele pomoże -może odetnie jakieś 10%, które
jeszcze jest zakolejkowane.
Dzięki sprzedaży bazy adresów e-mail (było o tym głośno) jest tego coraz
więcej. W bazie tej znajdują się np. wszystkie moje adresy, łącznie z
adresami grupowymi, z których pocztę dostaję m.in. ja i za każdym razem
dostaję to na wszystkie konta. Czyli prawdopodobnie to ta sama baza.
Zastanawiam się więc nad modelem sieci alarmowania. W zasadzie jedynym
sensownym kryterium do obcięcia takiego jednorazowego spamu jest adres
nadawcy. I najważniejszy jest czas - czasami opóźnienie godzinne może
podważyć sensowność działania, bo wszystko się rozsyła. Zatem zrobić np.
tak.
Umieszczamy na jakimś centralnym serwerze plik, gdzie znajdą się domeny
i adresy z czarnej listy. Do tego pliku ma dostęp kilkanaście osób -
wolontariuszy, regularnie przeglądających pocztę o różnych porach dnia i
dostających spamy. W przypadku otrzymania spamu osoba taka dopisuje
natychmiast adres lub domenę do tego pliku, zaś wszyscy zainteresowani
mogą go regularnie zczytywać, wstawiając do qmailowego badmailfrom, czy
przez prosty skrypt do /etc/mail/access etc. Można też zrobić to w SQL,
wtedy adresy się nie będą powtarzać, a po jakimś czasie mogą się same
usuwać.
Niestety konwencjonalne zczytywanie (nawet w cronie co godzinę) może być
niewystarczające. Konieczny byłby jakiś mechanizm, aby ten centralny
serwer informował serwery klienckie, że należy _natychmiast_
zaktualizować bazę (np. jakimś pakietem UDP). Wtedy działoby się to
natychmiast. Pytanie - na czym to zrealizować, bo chyba ani cvs, ani
rsync nie ma mechanizmu powiadamiania mirrorów o konieczności update.
Wiem, że odezwie się zaraz rzesza sceptyków -po co, na co, jaki sens
etc. Ale coś mi mówi, że w obliczu zjawisk z ostatnich kilku tygodni
można by było chociaż _spróbować_. Na świecie działają podobne rzeczy,
ale nie ma tam adresów polskich spamerów. Poza tym głównie chodzi o to
powiadamianie -tak, by na wszystkich serwerach znalazło się to w ciągu
minut... Co na to grupowicze?
Pozdrawiam
-- * Lukasz Komsta * ICQ 14892426 * * http://www.luke.eu.org/ *
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:48:48 MET DST