И еще о борьбе со спамом в sendmail

На прошлой неделе вызвал нас - меня и моих напарников - начальник и сказал, что опять его “заел” спам. Что же, это неудивительно: адрес, который он проверяет, открытым текстом (то есть ссылкой) указан на корпоративном сайте http://www.ism.kiev.ua - неудивительно, что спам-роботам не представляет трудностей его обнаружить. Мы обсудили различные способы, но они либо были слишком сложны для быстрой реализации, либо малоэффективны, либо наоборот - эффективны черезмерно - например, были случаи попадания в DNSBL серверов Академии Наук Беларуси. При этом мы заметили характерную особенность поступающего спама: он был направлен не на конкретный адрес, которых хотелось защитить, а на большие списки рассылки, причем многие адреса из этого списка либо давно не используются, либо вообще никогда не существовали. То есть спам-роботы использовали технологию поиска имени пользователя по словарю. И анализируя документацию по почтовому серверу sendmail, используемом на нашем корпоративном сервере, обнаружилась интересная фича: если в файле access указать следующее правило типа:

To:vasili_pupkin DISCARD

то если в адресатах встретится имя ящика vasili_pupkin , письмо будет удалено, без уведомления отправителя. То есть письмо не будет доставлено ни одному из списка рассылки, даже если все остальные адреса “живые”. Тем правило DISCARD отличается от правил типе REJECT - знающие формат файла access почтового агента (MTA) sendmail поймут, о чём идёт речь. И родилась мысль использовать для борьбы со спамом технологию адресов-ловушек. Для этого потребовалось проанализировать файлы журналов sendmail, чтобы определить, какие адреса наиболее часто используют (точнее, имеют в своих словарях) спам-роботы и ввести соответствующие правила в файл access. При этом именя оказались довольно неожиданными, например, sara.774 (почему именно такие цифры, сказать сложно, но раз спамеры держат в своих словарях, пришлось их “уважить”) или dgamilya.isimbaeva. Со слов начальника, число спамовых писем уменьшилась раз 5, то есть такой способ весьма эффективен. Следует также отметить, что при применении средства DISCARD спамовое письмо уничтожается без уведомления получателя. В этом есть определённый минус: если добропорядочный корреспондент случайно отправит письмо на этот адрес, например, не расслышав диктуемый E-mail по телефону, то письмо ему не вернётся, и он будет думать, что его проигнорировали. Но на мой взгляд, такое достаточно маловероятно, ибо настолько похожих, чтобы можно было перепутать, адресов у нас нет. Зато есть и плюс: как правило, спамеры подставляют в качестве адресов отправителя совершенно “левые” адреса, то есть в “отлупы” получат либо совершенно посторонние люди, либо - особенно если поток этих “отлупов” будет достаточно велик, - сервер получателя это воспримет как атаку и может заблокировать по IP. Сам я с таким не сталкивался, но коллеги рассказывали, что такое возможно.

Предлагаемый способ не претендует на панацею. Но как один из многих, показал эффективность.

Останні статті

Цікаве спостереження - погляд ззовні на протести..
03.08.2023, 13:04
Діти війни в Україні звертаються до російських матерів...
03.06.2023, 13:38
Создание виртуальной машины FreeBSD 6
11.09.2020, 14:40
I про водень
28.07.2020, 12:38

Коментарі

Богдан Ляшко

13.11.15, 17:58

***если в файле access указать следующее правило типа:
To:vasili_pupkin DISCARD***
А ГДЕ именно искать этот "access"?
Ну, допустим, я в своем **доменном почтовом ящике** [email protected] - МОГУ влезть серез "С-панель управления" - и внести какие-то исправления!
*** А что можно сделать с общедоступным моим адресом "bogdan1СОБАКАі.ua" - в смысле, ГДЕ ТАМ искать этот "access", и разрешат ли мне его ИСПРАВЛЯТЬ?

Богдан Ляшко

23.11.15, 18:07

***адрес, который он проверяет, открытым текстом (то есть ссылкой) указан на корпоративном сайте***
На МОЕМ сайте www.bogdan.lg.ua адрес тоже указан ССЫЛКОЙ, и при нажатии на нее, посетитель получает МОЙ ПРЯМОЙ АДРЕС!
*** НО БОТ ЭТОТ АДРЕС НЕ ПОЛУЧИТ!!!
Потому что на сайте есть Хитрый Блок Защиты:



<script language="JavaScript" type="text/JavaScript">

function Mto() {document.location='mailto:bogdan1'+String.fr omCharCode(2*32)+'i.ua?subject=СКЭНАР';}

</script>

<a href="#" onClick="Mto()">ЩЕЛКНИТЕ ЗДЕСЬ! = НАПИШИТЕ АВТОРУ!<br />

</a>


---

Там "@" = (2*32)

adavidov

34.11.15, 12:11Відповідь на 1 від Богдан Ляшко

Богдан Ляшко

44.11.15, 16:41Відповідь на 3 від adavidov

***если в файле access указать следующее правило типа:
To:vasili_pupkin DISCARD***
А ГДЕ именно искать этот "access"?
Решение чисто для ОС FreeBSD и её стандартного MTA (почтовый транспортный агент) sendmail. У нее этот файл расположен в каталоге /etc/mail
Возможно - если знатоки читают этот блог, они ответят, - аналогичные файлы есть в других MTA - postfix, exim и прочих.Понятно... Короче, в МОЕМ ЛИЧНОМ доменном ящике я СМОГУ влезть в эти папки\файлы!
Но НИЧЕГО не смогу исправить в почте I.UA = жалко...
---
А как тебе мой Хитрый Защитный Код для АДРЕСА \комм-2\

adavidov

54.11.15, 16:49Відповідь на 4 від Богдан Ляшко

Понятно... Короче, в МОЕМ ЛИЧНОМ доменном ящике я СМОГУ влезть в эти папки\файлы!
Но НИЧЕГО не смогу исправить в почте I.UA = жалко...
Для I.UA непосредственно в системе это может делать только админ. этой почтовой системы - по умолчанию. И это правильно: с неопытности можно там много чего наделать.
Но не огорчайтесь: полно локальных программ, в т. ч. freeware, для вычищения спам-писем непосредственно из ящика.

Богдан Ляшко

64.11.15, 17:51Відповідь на 5 від adavidov

полно локальных программ, в т. ч. freeware, для вычищения спам-писем непосредственно из ящика.Для почты I.UA я все делаю ВРУЧНУЮ!
В проге "The Bat" выставил опцию "Показывать Заголовки" \показывает заодно и ОБЪЕМ письма!\ - и потом только пробегаю очами по ОБЪЕМАМ писем - и "отстреливаю" с объемами, БОЛЬШИМИ, чем комменты!

adavidov

74.11.15, 17:53Відповідь на 6 від Богдан Ляшко