Názory k článku Greylisting: nová metoda boje proti spamu

Blbost není žádný problém udělat si svůj vlastni mail server na kterékoli vidloidní stanici a regulérně odeslat spam na regulérní adresy navic sekundární mailserver by neměl odpovidat momentálně nedoručitelné je to na nic.

No, je skoro rok 2010 a graylist implementovany u nas ve firme ma 70 - 90% uspesnots a to jen diky principu na kterem funguje a diky principu na kterem funguji spameri, nechteji byt zdrzovani ... a graylist je zdrzuje ...

Heh, Ceska posta mi hazi do schranky vic spamu nez mi chodi na mail :)
A bohuzel proti tomuhle zadny antispam neni, leda bych tam nekoho postavil a ten by kdyz prijde postacka zacal prebirat co ma hodit do te schranky a co ne :D

Clanek se mi az na par drobnosti zdal pomerne zajimavy. Pokud si chcete zasoutezit, tak se podivejte na www.pcsvet.net/soutez/ (pod záštitou PC Svět.net)

S pozdravem admin PC Svět.net

Pokud vim, tak MTA ma na korektni doruceni lhutu 9 hodin. Cokoliv v teto dobe je v poradku. Hodinove zpozdeni muze byt sice neprijemne, ale pokud mi to vynahradi tech nekolik desitek spamu denne, tak jsem ochotny to akceptovat.

Odkud pochazi ten casovy udaj ?

Ze je to ulet je snad jasne...:-)

nemluve o tom, ze bylo jasne napsano, ze z jednoho zdroje, ktery bude nasledne urcen jako bezpecny, je toto zdrzeni jen jednou....

Náhodou, je to vynikající nápad. A triviálně obejít nelze! Spammeři mají obvykle jen jednu šanci, proto potřebují co nejvyšší účinnost. Za jednu hodinu je už známa IP adresa, z které spamují, její reverze se objeví na spammers.org, takže MTAčka jejich druhý pokus odkopnou na základě blacklistu.

Jakmile se tento systém rozšíří, spammeři pravděpodobně pouze upraví systém, kterým "čistí" své databáze spamovaných e-mailových adres, takže zmiňovaný pozitivní efekt, že jakmile je spamovací program při odesílání spamu do nějakého MTA "pozdržen", vyhodí jej ze svého seznamu, už nebude fungovat.

Taky šlo zmínit ještě jednu metodu, co se týče úspory bandwidthu ještě lepší než graylisting: chytrý dsn server, který pro mx requesty z blacklistnutych klientu bude vracet bogus IP. Je to jeste primitivni, ale jeste ucinnejsi! :)

No ale dneska je většina dns serverů v Internetu rekurzívních, takže to můžou spameři snadno obejít.

Leda, že by i v oblasti dns serverů došlo ke stejnému posunu jako u smtp serverů - dříve byl také relay povolen skoro všude, a dnes už je to velmi "bad practice".

A) Klient neresi problem s prenosem spousty dat mezi servery.
B) Kdyz implementuju na server whitelist, je o obrovska databaze.
C) Nejspis by se Vam musel kazdy predem ohlasit telefonicky a Vy si ho musite pridat do povolenych.

Takze jak sam uznate, toto neni reseni.

No já třeba používám Spamihilator - funguje výborně sám o sobě bez jakéhokoliv nastavování. Abych mu odlehčil, tak jsem ještě přidal pravidlo, že cokoliv mimo .cz je spam. Mám 3 známé, kteří mají adresu *.com, ty jsem si přidal do povolených a je to. Stačí 1x-2x týdně pro jistotu prohlídnout koš spamihilatoru - to už je práce tak na minutu a pak ho vysypat.

To můžu potvrdit, Spamihilator je minimálně 90% účinnej i bez jakýhokoliv nastavování, a v koši se po týdnu učení prakticky nevyskytne nic důležitýho.

Taková možnost je tam dávno -- procmail snad máme každý ;-)

Ale vám asi noví lidé moc nepíšou, že? Kdybych měl jejich maily hledat mezi spamem, asi bych je přehlédl a smazal. Tohle je metoda tak pro tetičku, které píše jen její neteř ... a pokud už se implementuje, tak se mají kontrolovat PGP podpisy.

JO!!! Podle toho, co tam píšou, tak to úplně přesně odpovídá tomu, co bych potřeboval!!! Díky za link!

V některých mailových programech je už teď možné nastavit filtrování tímto způsobem. Samozřejmě to má ty (a to dost závažné) mouchy, které popisují ostatní v dalších odpovědích, ale hlavně ani tohle není 100% řešení.
Mě teď často chodí oznámení o nedoručených e-mailech, které jsem nikdy neposlal - zčásti jsou to viry a zčásti spam. Viry to tak už dělají dávno a spammeři se od nich poučili: generují ze získané databáze adres nejen adresu příjemce mailu, ale i falešnou adresu odesílatele. Virům to zajišťuje větší důvěru příjemců, že můžou zprávu bez obav otevřít a spammerům větší šanci projít jednoduchými antispamovými mechanismy.
Takže při širším nasazení filtrování neznámých odesilatelů by zpočátku byla sice odfiltrována většina spamu (až na ty zprávy, které by náhodou obsahovaly falešnou adresu někoho z Vašeho seznamu adres), ale prošly by prakticky všechny zavirované zprávy (narozdíl od greylistingu). Na spam by to ale opět fungovalo jen do té doby, než by si spammeři doplnili databáze o dvojice adres vzájemně komunikujících uživatelů. A to by např. s pomocí nedestruktivních mailových červů i jiných metod zvládli celkem rychle.
Takže jak už bylo řečeno, chce to vždycky kombinovat víc metod a nejíp aby to neměl každý nastavené stejně. Přičemž nějak vylepšeno by určitě pro některé uživatele bylo použitelné i filtrování neznámých odesilatelů, stejně jako greylisting.

ja to tam mam a mel jsem asi vzdycky :)
proste udelejte filtr a vyhazujte vse, co mu nevyhovi

Citat pouzity v perexu je z filmu "Adela jeste nevecerela" >-)

Nojo nojo, ja vim "nitpicking".

Tak, tak. P. Kopecký s nožem v ruce v koši balónu a p. Dočolomanský na provaze pod ním.

Jojo, revolver selhal, stejně jako později dar přítele Lejzra. Obvykle opravdu čím primitivnější řešení, tím účinnější. :)

můžete někdo doporučit nějaký konkrétní antispamový program. Používám mailwasher, ale rád bych zkusil i něco jiného.

já používám ke své naprosté spokojenosti SpamPal i díky pluginům se dá z pošty vyzobat spousta škodlivého materiálu jako jsou například některé soubory příloh, kterým to umožňuje přejmenovat koncovku třeba z exe na txt (dobré kvůli virům) umí to odstranit z html emailů obrázky na web atd.

SpamBayes
http://spambayes.sourceforge.net/

SpamBayes je fakt úžasný. Jen pozor na správnou konfiguraci, jak vám otevře port 25 a mohou přes vás chodit spamy.

SpamCombat je zadarmo

Používám Mozillu, která má spamfiltr integrovaný, a zatím jsem spokojen (používal jsem ji na Win i nyni na Lin).

Pro Widle?

Tak jedině SpamInhilator, je opravdu nejlepší, neexistuje lepší (Květen 2004). Umí téměř vše (co se dá na klientovi dělat).

Mozna by bylo zajimave napsat linky na nektere MTA, ktere uz metodu greylistingu maji zabudovanou ...

Ja osobne doporucuju nakombinovat vschny mozne zpusoby antispamu - hodne slaby u poskytovatele, pak nejaky silnejsi na svem domacim postovnim serveru a pak jeste v klientovi. Tim uz vazne nic neprojde (zejmena ty zalozene na bayesovskem algoritmu - SpamAssassin, Mozilla atd.) Dostavam kolem 60 spamu denne a neprojde mi jediny...

Ale stejne bych si nejvic pral, aby se jeste vic rozsirilo PGP, a pripadne podobny system mezi postovnimi servery (trust-chains).

Moc se tesim az budeme moc rict "spam? jo to byvaly casy"

Odkazy na implementace najdete v souvisejících odkazech pod článkem. Pokud by se Vám snad jejich pořadí zdálo poněkud nelogické, tak vítejte do klubu (ten první jsem měl v odevzdaném článku jako poslední).

Dobry den,

velice se Vam omlouvam, ze jsem sprehazel ty odkazy v clanku. Je to moje chyba, uz se to nebude opakovat.

No neni to zas tak az MTA, ale...
Nove OpenBSD ma support pro greylisting ve svem spamd demonu (zpomaluje spojeni pro zname adresy spammeru). Funguje to velice dobre, sam jsem dostava asi 50-80 spamu denne, po "zapnuti" to kleslo asi na 10 denne, ktere projdou a ty se postara SpamAssassin...
Jinak spamd doporucuju, velice zajimava vec, v komnbinaci s fingerprintingem v pf ( ve firewallu OpenBSD, kdy je mozne blokovat spojeni z Win9x napr.) a trochou skriptovani je mozne efektivne sebrat spammerum jejich zdroje.
Info o spamd je tady http://www.openbsd.org/cgi-bin/man.cgi?query=spamd&apropos=0&sektion=0&manpath=OpenBSD+Current&arch=i386&format=html

Blokovat Win9x ... mazec :) Umí to i Linux?

:-) hlavne o tom hodne publikujte a za dva mesice to mame zpet jak bumerang... v tuto chvili vidim jako pomerne snadne reseni (bohuzel ve firemnim prostredi casto nelze realizovat) pozadovat korektni hostname (nejlepe A a PTR shodny) a tento Greylist...

Ale znovu rikam, je to jen otazka rozsireni... asi jako oblibene jmeno at domena - dneska uz je to soucasti bagrovacich robotu...

a co kdyz nechceme? bezte s tou reklamou do haje...

Spam v diskuzi k clanku o spamu. Parraada. Mozna casem bude potreba antispamovou kontrolou prohanet i prispevky do diskuzi :)

Některé weblogy už komentářový antispam zavedly, například blog.maly.cz.

a) je správně. Domníval jsem se, že z kontextu je to jasné - případný odklad se odehraje během úvodního SMTP dialogu a na přenos dopisu pak vůbec nedojde, takže se žádné mail-from zkoumat ani nemůže.

To je tak kdyz nekdo neni schopen odlisit obalkove informace...:-)

Ano, je to adresa z "MAIL FROM: ".

Obalkova adresa je terminus technicus, takze to srovnani s Pravem nejak nechapu...

Ale Vy tu SMTP komunikaci popisujete jako monolog. Na každý z Vámi uvedených kroků server odpovídá. Čili celá komunikace pro neznámou trojici vypadá asi takhle:

Klient: HELO prvni.stroje.cz
Server: 250 Hello prvni.stroje.cz
Klient: MAIL FROM: nekdo@druhy.stroje.cz
Server: 250 2.1.0 Sender ok
Klient: RCPT TO:karel@novotny.cz
Server: 451 4.7.1 Please try again later

a tím to skončí. Pro povolenou trojici samozřejmě poslední odpověď serveru zní "250 2.1.5 Recipient ok" a následují DATA od klienta atd.

Adresy ze SMTP obálky jsou adresy uvedené v této komunikaci. Podrobněji je to vysvětleno na stránce, která je jako prostřední mezi souvisejícími odkazy pod článkem.

1. Zrovna to, zda jde o monolog nebo komunikaci, není vůbec podstatné. (Co když se využije možnost PIPELINING ?)
2. Za to já stále čtu v článku IP-adresa odesílacího stroje. Ta, ze které byl otevřen přenosový kanál, anebo (domnělá) IP-adresa pro prvni.stroje.cz ?
3. Navíc (nějaký) Satrapa o kousek výše píše, že "se žádné mail-from ani zkoumat nemůže".

Povedený 3333. článek;) Tak k těm dalším 3333 článkům přeji hodně úspěchů...

"Autoři odhadují, že odmítnutím dopisů se spamem ušetřili přenos více než 1,5 GB dat."

To je uzasne to je skvele, pretpokladam, ze ten odhad autoru byl pro mne a ze byl hodinovy. To jako kazdou hodinu usterim 1,5GB dat? Nebo to je minutovy odhad? Jsem nadsen, kazdou sekundu usetrim 1,5GB dat.

Ale nastvali by mne, kdyby to byl odhad rocni pro cely internet, to by byl system celkem k nicemu, ze?

No je pravda, ze zadny casovy udaj tam neni, takze to je 1,5GB dat, pro cely internet, za celou dobu fungovani? Hmm, tak to neni az tak super metoda.

'Autoři greylistingu sledovali jeho chování po dobu šesti týdnů.' - casovy udaj tam je. bohuzel tam neni napriklad objem vsech prijatych dat. proto je to opravdu udaj na nic.

Je tam napsáno, že na základě greylistingu bylo odmítnuto 97 % příchozích dopisů, jejichž celkový objem autoři odhadli na těch 1,5 GB. Upřímně řečeno se domnívám, že datový objem těch zbývajících 3 % není podstatný. Tahle čísla sice slouží spíše pro ilustraci, ale "údaj na nic" mi připadá jako trochu příliš příkré hodnocení.

Kde se v obalce vyskytuje udaj o delce contentu? A pokud aproximovali na zaklade 5kB spamu, pak je to cislo alespon 5x (skoro bych rekl radove) podhodnocene... (nezapomente na "moderni" metody obelsteni bayesova filtru)

existuje na to nepovinny parametr size prikazu mail from tusim ... druha vec je, ze se to nepouziva

1,5 GB / 6 tydnu ...to je fakt uspora ... i kdyby byli na dial-upu

A ted si tohle cislo vynasobte poctem SMTP serveru a pouvazujte zda neni zadouci trochu ty linky setrit.

I kdyz mi teda neni jasne, jak urcili velikost neprijatych spamu. Kdyz je neprijali.

Odhadli to. Počítali s průměrnou velikostí spam dopisu 5 KB.

Kdyz uz chces presnost, definuj mi nejdriv internet :-))

Pojem internet s malym i znaci pocitacovou sit obsahujici nekolik dalsich siti. To Internet s velkym I, to je neco jineho, a ac je definice dlouha, vycerpavajici rozhodne neni.

zaspamujte mi schranku, dekuji
mj, greylisting je na nic.

mailto://radek.koranda@media-zones.com

> media-zones.com
Server: UnKnown
Address: 192.168.0.1

media-zones.com MX preference = 20, mail exchanger = ns2.pipni.cz
media-zones.com MX preference = 10, mail exchanger = mail.media-zones.com
media-zones.com nameserver = ns.pipni.cz
media-zones.com nameserver = ns2.pipni.cz
ns2.pipni.cz internet address = 81.0.235.34
mail.media-zones.com internet address = 195.39.35.29
ns.pipni.cz internet address = 195.39.35.31

mail.pipni.cz [195.39.35.29]


copak mate u PIPNI.cz nejaky spesl filtr?

To je skvele, dalsi clanek, ktery si dela narok na nejmene dvojnasobny honorar :-) Pavle opatrne, at ma Marek Antos na vyplaty ...

On zatím Marek hysterii dvojnásobných honorářů nepodlehl, ale nepřestávám doufat ;-)

Myslim, ze vyrazim do Krce na demonstraci s nejakym zcela nedvojznacnym transparentem :-)

ehm, ten citat byl z "Adela jeste nevecerela", ale to jen tak bokem...

Asi tak :).

v praxi???

>> ...neuvěřitelných více než 97 procent trojic objevilo jen jednou

ale to jen z toho důvodu, že spammeři tento systém neznají. Jakmile s ním začnou počítat, dojde ke katastrofě - počet spamů se ztrojnásobí. Chraň bůh před greylistingem....

Jenže to je tak se vším. Nejlepší metody jsou obvykle ty, které nejsou dost rozšířené na to, aby s nimi spammeři počítali.

I samotný princip je nesmyslný. Relevantní e-mail má být doručen ihned a ne s hodinovým zpožděním (když vše dobře půjde). Já fandím analýze obsahu.

tusim ze jsou doporuceny 4 dny, ne? Po ktere to ma odesilaci MTA zkouset nez uplne vrati mail jako nedorucitelny...


nevi ale nekdo ze zkusenosti jak na efektivni vybiti spamu a viru na Exchangi?

Proč naopak není možnost v e-mailovém klientovi přijímat e-maily pouze od známých odesilatelů? Malinko by to věc zkomplikovalo, ale skutečně jen malinko. A bylo by po problémech se spammem...

Zatim to spis smeruje na "nespam? jo to byvaly casy"

...další... :)

Adresa, kterou uvedl SMTP-program po EHLO (či jen HELO)?
Adresa, která byla uvedena v Mail from ? Nešlo by to přístě uvést do závorky, co se tím myslí třeba i pro jiné lidi než čtenáře Práva, kde včera asi takto popisovali TCP-protokol.
P.S.
A to nahlížejí do databáze, i když se shoduje IP-dresa, adresa v EHLO a i adresa v Mail from (plus MX-rekord)?

Dovolim si zopakovat otazku i odpoved podrobneji:

klient posle

HELO prvni.stroje.cz
MAIL FROM: nekdo@druhy.stroje.cz
RCPT TO:karel@novotny.cz
DATA
...
From: "pan Nikdo" <nobody@treti.stroje.cz>
.

Pod pojmem "adresa z SMTP obalky" bych v tomto kontextu rozumel adresu "nekdo@druhy.stroje.cz", pripadne snad stroj "druhy.stroje.cz", v zadnem pripade ne "prvni.stroje.cz".

Doufam, ze se nemylim.

Odpoved Klasika mi nepripadala jednoznacna, proto jsem si dovolil to zopakovat.

1) Na pipeliningu se ale musí dohodnout obě strany, ne? Čili ho stačí vypnout.

2) Aha, koukám, že komunikace je zralá na reset (nepřečetl jsem si Váš dotaz pořádně a tím pádem je má odpověď zmatená). Platí to, co je v článku: do trojice patří IP adresa odesilatele (z níž bylo navázáno spojení, tady se o SMTP v článku nepíše a informace se z něj nebere), odesilatel (mailová adresa podle MAIL FROM ze SMTP) a příjemce (mailová adresa podle RCPT TO ze SMTP).

3) Zmatek viz bod dva - myslel jsem, že píšete o mail-from z hlavičky dopisu (který je odmítnut a tudíž se nemůže zkoumat).

To u me platilo driv. Ted mam velmi casto spamy okolo 10-15 kB. Vcera jsem koukam na mailoveho klienta co to taha, melo to 85 kB, takze jsem to odhadoval na cenik z nejakyho velkoobchodu a byla to nabidka prozacu a viagry... V tech antispamovych filtrech taky bude nejaka logika ze spam ma nejakou charakteristickou velikost a maily treba nad 100 kb muzou byt vyhodnoceny ze je vse OK i kdyz to je spam??? Jen me tak napadlo...

ne to nemame, ale delame takovej mensi experiment:)
chceme spam, my chceme spam do nasi schranky!!!

Radek a spol.

radek.koranda@media-zones.com
mailto://radek.koranda@media-zones.com

Myslis neco jako toto? http://www.tmda.net/

No, s tim, ze se to nepouziva bych byl opatrny. Sendmail, a, marna slava, to je pravdepodobne stale jeste nejrozsirenejsi MTA, to pouziva.

Používám spamassassin (Linux, Evolution). V současné době asi 98% účinnost v odhalování spamu a hlavně 0% skutečných mailů chybně zařazených jako spam. Osobně to druhé považuji za mnohem důležtější, pár spamů ve schránce snesu, ale nechci se hrabat v odpadkovém koši a hledat, jestli tam náhodou není nějaký důležitý e-mail.

gfi mail essentials... neni sice free, ale myslim, ze jde o dobre reseni

Všechna řešení jsou na nic spam vám přijde nejčastěji s vaší vlastní adresou kde jste jakoby vy sám odesilatel a pro spam není problém získat i spoustu adres podobajících se skutečným jediné opravdové řešení je zavést poštovní placenou službu která bude fungovat tak že ten kdo něco odesílá bude mít certifikát a smlouvu s provozovatelem pak on i provozovatel bude trestně zodpovědný za ev. rozesílání spamu jednoduché že ono to tu totiž už je a jmenuje se to česká pošta !!!!! ps.. konec svobody na internetu to je cíl spamerů .

Jasne