Dnia Sun, 6 Dec 2009 19:11:24 +0100, Sylwester Zarębski napisał(a):
> Dnia Sun, 6 Dec 2009 13:20:43 +0000 (UTC), Jacek Osiecki napisał(a):
>>> Co ty pi....?! Jak się nie opłaca, jak w tej chwili co 5-te połączenie
>>> obchodzi mi greylisting?! Robią co najmniej 3 połączenia co kilka minut
>>> (nie będę wydłużać czasu blokady do np. pół godziny, by sprawdzić czy
>>> więcej).
>> U siebie nie zaobserwowałem - przez greylisting przebijają się głównie maile
>> wysłane przez różne OR.
> Na wielu serwerach mam podobne wyniki. Z krzywą delikatnie rosnącą.
No OK, widocznie do mnie inne botnety pisują ;) Nie zmienia to faktu, że
nadal przeważająca większość botnetów nie potrafi sobie poradzić z GL mimo
że jego obejście jest banalnie proste.
>> I spamerzy będą mieli problem, bo operatorowi serwera pocztowego dużo
>> łatwiej będzie rozpoznać że jego nadawca właśnie zaczął rozsyłać spam.
>> Oby jak najszybciej taka blokada portu SMTP była wprowadzana przez dużych
>> operatorów - nie ma skuteczniejszej broni przeciwko spamerom.
> Heh, nie "jego nadawca", lecz ktoś korzystający z jego credentiali. To
To oczywiste.
> znacząca różnica. Zablokowanie konta pocztowego na takiej podstawie jest
> mocno problematyczne, szczególnie w przypadku korzystaniu z 99% paneli
> hostingowych (czy cPanel lub Plesk mają osobną blokadę SMTP i reszty?
> nie wydaje mi się, ale dawno nie używałem). Stosowanie ręcznych działań
> ma tę wadę, że działa mocno po fakcie, gdy Twój serwer już dawno jest
> uznany za skompromitowany.
A czemu ręcznych? Wystarczy jeśli nie będzie się dało zestawić równocześnie
dwóch sesji SMTP przy użyciu jednego konta + automatyczne blokowanie gdy
zostanie wysłanych w jednej sesji więcej niż X wiadomości. Z natychmiastowym
zresztą poinformowaniem mailowym klienta że jest podejrzany o spamowanie i
żeby kontynuować - ma kliknąć w dany link i przepisać captcha.
> Zablokowanie IP nic nie da, bo wiele hostów będzie słać spam przy użyciu
> tego konta.
Mowa o zablokowaniu konta gdy równocześnie się za jego pomocą wysyła maile
z więcej niż jednego adresu.
> Aby to sensownie rozwiązać będzie trzeba wdrożyć (kupić?) kolejną
> analizę statystyczno-heurystyczną zachowań i liczyć się z kolejnym false
> positives. I modlić się, żeby sprzęt to pociągnął.
W "perfect world", gdzie pozostają już tylko botnety wysyłające przez
submission, maszyny będą miały znacznie mniej spamu do obrobienia :)
Pozdrawiam,
-- Jacek Osiecki joshua@ceti.pl GG:3828944 I don't want something I need. I want something I want.Received on Sun Dec 6 20:15:02 2009
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sun 06 Dec 2009 - 20:40:02 MET