T-Com-tól van itt valaki? Spamhaus/Sorbs listán megint egész subnetek vannak

Security-all

Sziasztok!

Kérdésem lenne, van itt valak T (Com, Systems, Home, stb) -től?

A 78.92.84.100 IP Spamhaus, Sorbs, Barracuda feketelistán van (ügyfél jelezte, hogy nem mennek ki a levelei)
de úgy nézem a teljes 78.92.0.0 - 78.92.127.255 tartomány érintett.

Próbálkozott ügyfélszolgálatot, de elhajtották
-nem T-s emailcíme van, nem tudnak mit csinálni (!)
-frissítse a vírusvédelmét a gépen és hívja őket újra (!!)

Kösz, üdv, Zsolt

  • 21384 megtekintés

( janoszen v | 2015. 03. 26., cs – 20:38 )

Ez regota problema a T-nel, a kedves ugyfel hasznaljon tisztesseges mail szolgaltatot.

--
Pásztor János
Üzemeltető Macik

Spamhaus PBL 

THE PBL IS NOT A BLACKLIST. You are not listed for spamming or for anything you have done. The PBL is simply a list of all of the world's dynamic IP space.

Sorbs Duhl Reports Subnets 

You could be listed if your IP Address was previously dynamically assigned, 
or if your ISP gave you a static assignment and did not assign a distinguished PTR-Record, 
aka a "Reverse DNS Entry."

4E5C5464.dsl.pool.telekom.hu => dynamic

Hol a probléma?

Fogalmazzunk ugy, hogy egy kiegeszito szolgaltataskent kinalok hosted e-mailt, de ez leginkabb azoknak szol, akik mas miatt is ugyfeleim. A ceg fo profilja valahol a webalkalmazas fullstack auditja es az ezzel kapcsolatos tanacsadas kornyeken mozog. Maga az e-mail szolgaltatas tobb mailszerverbol all, van hozza csinos webmail, be lehet tekergetni szuroket, van rendes spamszuro, CardDAV es CalDAV tamogatas, stb. A weboldal azert van ott, mert "kell", legyen mit megnezni, illetve ha egyszer eljutok oda hogy az open source projektjeimrol irjak egy rendes listat, akkor azok kerulnenek fel oda. Jelenleg hal' istennek van munka boven.

--
Pásztor János
Üzemeltető Macik

Értem, tehát egy olyan szolgáltatásról beszélünk, aminek van legfeljebb pár ezer felhasználója, azok is inkább weben használják, nem pedig egy olyanról, aminek 1m+ usere ripityomra tört windowsokról nyomul smtp-n, a megszerzett jelszavakkal pedig a világ minden tájáról próbálnak spammelni kiterjedt zombi networkökkel?
Azt megkérdezhetem, hogy melyik az a rendes spam szűrő, amelyik megoldja minden problémádat?
--
zsebHUP-ot használok!

Amennyiben nem költői volt a kérdés, akkor válaszolok. :)

Amit én csinálnék, ha a fenti paramétereknek megfelelő userbázisom lenne:
- regisztrációhoz kötném az SMTP szerver használatát, ezzel a userek 99%-tól megszabadulnék
- a kimenő emaileket átengedném egy spamszűrőn, a felhasználókat a kapott eredmények alapján folyamatosan kategorizálnám (össz kimenő levél, össz kimenő levél spam pontszáma stb.)
- a kimenő levelekhez több IP címet használnék, és a fenti kategoriák alapján dönteném el, hogy mely felhasználók leveleit mely külső IP címmel küldeném ki
- ezzel elérném, hogy a jól viselkedő felhasználók "tisztább" címeket használhatnánk, míg a ripityára tört Windowsok szemete mehet a feketelistás címről is

A fentit lehet még finomítani, például nemcsak a felhasználókat minden kimenő levelet pontszám alapján kategorizálsz, kvótát állítasz fel SPAM pontszám alapján stb...

Nem ismerem a konkrét szolgáltatást, ezért nem tudom, hogy a fentiek közül mi az ami esetleg már megvalósult ill. valamiért nem megvalósítható.

- a kimenő emaileket átengedném egy spamszűrőn, a felhasználókat a kapott eredmények alapján folyamatosan kategorizálnám

ez 15. olvasas utan mar nem is tunik annyira eretnek gondolatnak...

--
"Van olyan ember sok az oldalon, akinek a kommentjeinek 100%-a zaj, oket miert nem kommentelitek ilyen lelkesen?" (hrgy84)

Nem tudom miért csak a 15. olvasás után. Szerencsére, vagy sajnos, akármit csinálsz, valaki szívni fog miatta.
Pld. a fentit képzeld el egy képzelet szülte szolgáltatónál akkor, amikor a magát tisztességesnek gondoló user accountját a fél világ használja, mert lyukas a gépe.
Ebből ő annyit vesz észre, hogy hopp, egyszer csak nem működik a szolgáltatás. (mikor már annyira kiüti a countereket)
Ha az illető felhasználó esetleg ügyvéd, akkor elkezd kellemetlen leveleket írogatni, amelyekre neked válaszolnod kell, és meg kell magyaráznod az ÁSZF konkrét pontjaival, hogy miért tettél ilyet. Ha mindent pontosan leírsz az ÁSZF-ben, egyrészt hetente kell módosítani (adaptálódnak a spammerek), ami nem jó, mert ezzel gyakorlatilag eltörölted a hűségidős szerződéseket (ilyen korlátozásokra könnyű ráhúzni, hogy számodra hátrányos változtatás, így következmények nélkül felmondhatod a 99 éves szerződésed), másrészt ennyi erővel open source-szá is teheted a megoldásod, mert kb. bitre pontosan le lesz írva, hogy lehet megkerülni.

A valóság sajnos az ilyen képzelet szülte helyeken nem mindig olyan egyszerű...
--
zsebHUP-ot használok!

Nem tudom miért csak a 15. olvasás után. Szerencsére, vagy sajnos, akármit csinálsz, valaki szívni fog miatta.

hat ezert :-)

Ha az illető felhasználó esetleg ügyvéd, akkor

jaj, kedvenc allatfajtam... :-)

--
"Van olyan ember sok az oldalon, akinek a kommentjeinek 100%-a zaj, oket miert nem kommentelitek ilyen lelkesen?" (hrgy84)

Ki mondta, hogy ez az egyetlen rendszer amit uzemeltetek vagy uzemeltettem ilyen temakorben?

Egyebkent nem vitatom, hogy a T-nel dolgozo uzemeltetok mindent megtesznek azert, hogy mukodjon, de egy olyan kornyezetben ahol nem lehet megvalogatni az ugyfelet, eleg nehez lehet a dolguk. Kisebb szolgaltatoknak megvan az a luxusa, hogy a harmadik spameleses eset utan kirakjak a usert.

Ezen felul van nehany egyeb tenyezo is, ami miatt azt mondom, hogy ugyfel szemszogbol, akinek fontos a levelezese, ne menjen ekkora tomegszolgaltatohoz. Peldaul egy hozzam kozeli eset volt, amikor egy szerzodes modositas hatasara sikerult torolni az illeto osszes levelet, visszahozhatatlanul.

Es ugye itt a lakossagi vagy kvazi-lakossagi szolgaltatasrol beszelek (amit kis ugyfeleknek adnak el), az nagyobb ugyfeleknek szant uzleti szolgaltatasokrol fogalmam sincs.

--
Pásztor János
Üzemeltető Macik

Kisebb szolgaltatoknak megvan az a luxusa, hogy a harmadik spameleses eset utan kirakjak a usert.

a kisebb szolgaltatok (s)nem rakjak ki a spammereiket, ld. versanus kft, aki a legatlatszobb bullshitelest is beszopja a spammeretol. Miert? Mert nem akar lemondani a suskarolhinni akar neki - barmi aron...

--
"Van olyan ember sok az oldalon, akinek a kommentjeinek 100%-a zaj, oket miert nem kommentelitek ilyen lelkesen?" (hrgy84)

Akkor meg elobb-utobb a szolgaltato lesz DNSBL-en.

megteheted, haa usereid nem akarnak abbol a halozatbol leveleket. De a gyakorlatban ez nem ennyire egyszeru, par kiveteltol, pl. hostwinds, lu-root, etc eltekintve.

kis-kozep szolgaltatokent megvan a lehetoseged az ugyfelek megvalogatasara

legalabbis elmeletben. De a penz nagy ur, ok meg kurvak. Meg nem talalkoztam olyan tokos tarsagsaggal, amelyik megfeleloen lepett volna fel a spammereivel szemben...

--
"Van olyan ember sok az oldalon, akinek a kommentjeinek 100%-a zaj, oket miert nem kommentelitek ilyen lelkesen?" (hrgy84)

Én nem használom a T email szolgáltatását (azaz idén egyszer beléptem, remélve, hogy megleptek egy cryptolocker mintával, de sajna kimaradtam a szórásból). Viszont szerintem T-nél a spammelőkre figyelnek, egy nap hívott az egyik haverom, hogy a céges T-s emailükre MAILER-DAEMON küld naponta párezer levelet és miért van ez, mondtam is neki, hogy valószínűleg a cegnev felhasználójukhoz, cegnev password tartozott, mondta igen a főnök választotta, de következő nap már a T-től kaptak levelet, hogy letiltották a kimenő leveleket amíg meg nem oldódik a probléma.

Itt ugye nem erről volt szó. Egyébként azt gondolnám, hogy amíg az ügyfele vagyok, egy normális backup policy mentén legyen visszaállítható az adat. Pl egy hónapon belül. És ha megkérem, hogy törölje az adataimat, elvárom, hogy tájékoztasson h ez hogy fog megtörténni, mert ugye olyan hogy azonnal nincs ezekben a méretekben.

Egyébként ha érdekel a konkrét eset, keress meg privátban, elmondom miről van szó.

--
Pásztor János
Üzemeltető Macik

A pillango mar 3 evvel ezelott beledoglott a sajat gubojaba :D
Amugy a projekt a mai napig nincsen befejezve viszont jo draga ( surolja a 40 milliardot ( nem eliras ))
Az integracioval kivaltott rendszerek szama egy kezen szamolhato.

Integracio kezdetenel kb osszeszamoltunk vagy 100-at

Csak szamlazobol volt vagy 5... ( szerintem meg uzemel mindegyik ha maskent nem legacy rendszerkent )

Ismerek olyat, aki direktben küldte a leveleit otthonról dynip-n smtp-vel, mert úgy hitte, hogy az jó...
Persze azóta már a legtöbb ISP tiltja is a 25-ös célportot dinamikus (sőt, némelyik fixből is) tartományból, és kikényszeríti a szolgáltató szerverés smarthostként. Szar az, hogy a UPC, T, a Google SMTP-i is zömmel ott figyelnek a listákon.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Nem az spf ellenőrzésről beszélek, hanem arról, hogy egyes szolgáltatók spf rekordjából kiolvashatóak azok a tartományok, amiket be lehet tenni a kivétellistába. Még scriptelhető is, nem nagy etwas.

Szerk (hamarjában összecsapva - nem szép, de működik):
for i in $(host -t txt _spf.google.com | egrep -o 'include:[^ ]+' | egrep -o '[^:]+$'); do host -t txt $i; done | egrep -o 'ip4:[^ ]+' | egrep -o '[^:]+$'
--
PtY - www.onlinedemo.hu, www.westeros.hu

( Tvelvet | 2015. 03. 26., cs – 22:47 )

én 1 hónapja UPC-hez szóltam be az egész C osztály rákerült egy blacklistre.. 2-3 nap alatt elintézték szerencsére, és levetették magukat.

UPC nagyon hamar visszakerül :(
Az a baj, hogy a szolgáltatók adnak SMTP-t, ha kéred, ha nem. Ellenben az ügyfelek 5-10%-a használja a szolgáltatói levelezést (mivel szolgáltatóváltásnál ugrik).
A spambot meg megleli, és vígan spammel.
--
PtY - www.onlinedemo.hu, www.westeros.hu

úgy érti, hogy ők adnak smtp szolgáltatást, amit boldog-boldogtalan ügyfelük tud használni, aztán megy rajtuk keresztül a spam. (Az más kérdés, hogy a frászért nem csinálnak normális, autholt smtp szolgáltatást, és basszák tökön a spammer ügyfelet, de még úgy is lesz mindig egy-egy kör, ha gyorsak is)

És, ha van autholt smtp, akkor mi van?

X béla bemegy a T-hez, és vesz egy űberolcsó csomagot. Kap authos smtp-t. Hazamegy beállítja, és előveszi a 3milliós címlistáját, meg a küldendő leveleket, és nyom egy kövér send-et.
Ha megkeresik, akkor elsírja magát, hogy feltörték a routerét/gépét/whatever.

Nincs normális policy a smarthostokon. Ez a másik baj. Egy user nem küld 10 perc alatt 20 levelet, nem küld 1 óra alatt 50-et, 5 óra alatt 100-at, és egy nap 150-et sem. Van olyan eszköz, amivel ezek beállíthatók, és ha beleütközik egy limitbe, akkor kitiltható 24/48/1000000 órára. ÁSZF-be beleír, csókolom.
Nyilván a számok nem életszerűek, lehet rajtuk finomítani minden irányban.
--
PtY - www.onlinedemo.hu, www.westeros.hu

http://www.telekom.hu/static/sw/download/Egyeni_Internet_aszf_20150101…
"Nagy mennyiségű levélküldésnek minősül az a felhasználás, amelyben:
i. 24 óra alatt, adott felhasználói fiókkal több, mint 1000 címzettet, illetve
ii. 10, 60 és 600 másodperces időintervallumok alatt rendre 32, 64 és 128-nál több címzettet észlelnek a Szolgáltató rendszerei."
--
zsebHUP-ot használok!

Kar volt kitorolni, szerintem hasznos lett volna, ha az a komment megmarad.

Amit szeretnek hozzafuzni: egy ilyen throughputtal rendelkezo rendszert nem csak biztonsagra, hanem performanciara is kell optimalizalni, es minden egyes rohadt ellenorzes csokkenti a kezbesites sebesseget. Sajnos nincs igazan true way, mindenkepp csak kompromisszumokkal lehet uzemben tartani egy ekkora atmeno forgalommal rendelkezo rendszert.

Egyebkent respect
--
Blog | @hron84
Üzemeltető macik

Ez a szolgáltatás alapvetően azért van, hogy a MUA-dból levelet tudj küldeni. Miért akarnád bérelt vonalról egyetlen, valószínűleg más szolgáltatás mellé adott accounttal ezt a levélmennyiséget kiküldeni?
Miért gondolod, hogy ezt kellene tenned?
--
zsebHUP-ot használok!

Mert a bérelt vonalért egy csomó pénzt fizetek? (kicsit trollkodás is, bocs). Annyira unom már azt, hogy fizetek valamiért nem kevés pénzt, ami a marketingben a szuper csúcs akármiként van hirdetve, de ha tényleg ki is szeretném használni 100%-ig akkor én vagyok a köcsög mert veszélyeztetem a "szolgáltatást". Nem csinálok ilyet, csak most jól ki mérgelődtem magam, elnézést.

Mielőtt nagyon dühbe gurulnál, szeretném felhívni a figyelmedet, hogy a "A Magyar Telekom Nyrt. egyéni előfizetők részére nyújtott internet szolgáltatásra vonatkozó Általános Szerződési Feltételei" című dokumentumból idéztem.
Ez a "szolgáltatás" nem a bérelt vonali üzleti előfizetéshez van. Ha annak az ÁSZF-jében találsz ellenkező állítást, kérlek idézd be.

Szóval nem, a csomó pénzt nem egy lakossági, vagy saját domaines usereknek fenntartott smarthost olyan használatáért fizeted, amin keresztül egy accounttal intézed a céged teljes levelezését napi több ezres mennyiségben. Bérelt vonalról, vagy akárhonnan.

Már ketten jöttök ezzel, szeretném megérteni. Miért gondoljátok azt, hogy egy nektek dedikált címtartománnyal a hátatok mögött jó ötlet egy lakossági smarthost használata?
Indokoljátok már meg kérlek.
Hogy könnyítsek a helyzeteteken, miután ezt megindokoltátok, azt is elmondhatjátok, hogy szerintetek milyen előnye lenne egy NEM lakossági (csak kifejezetten sokat fizető bérelt vonali szarul beállított exchange-ről spammelő és backscattelő ügyfeleket kiszolgáló) smarthost használatának a saját queue fenntartása helyett.

milyen előnye lenne egy NEM lakossági[...]smarthost használatának a saját queue fenntartása helyett.

pl. te kerulsz fel rbl-re, ha ok spammelnek?

szarul beállított exchange-ről spammelő és backscattelő

welcome to the club ;-)

--
"Van olyan ember sok az oldalon, akinek a kommentjeinek 100%-a zaj, oket miert nem kommentelitek ilyen lelkesen?" (hrgy84)

De pont ezt a logikát nem értem. Ha ők a saját MLLN-jükről küldenek, csakis saját maguk miatt szophatnak (jó, tekintsünk el attól, hogy /8-akat raknak fel RBL-re). Ha egy millió user által szénné szopatott szolgáltatáson mennek, sokkal nagyobb eséllyel fog nekik is rossz lenni.
Ráadásul azt sem tudják megmondani*, hogy elment-e a levelük, milyen ID-val vette át az akárki stb.

*: jó, tudom, adott esetben akár képesek is lehetnek rá, nagyon kevesen használják...

"szarul beállított exchange-ről spammelő és backscattelő"
Régebben, amikor a lakossági windóz, meg a szerver windóz között más TCP fingerprint volt, még elég sok mindent lehetett okoskodni ezzel is, ma más sajnos konszolidálódnak az OS-ek, így ez a tér is szűkül.
De nem egyszer előfordult már, hogy bizonyos típusú OS-eket máshogy kezeltünk, mint másokat. :(

nem feltetlen igy csinaljak, vegtere is a spammerek nem valami tulsagosan eszlenyek. De ha en lennek a berelt vonali exchange/whatever vegen, es spammelni akarnek, akkor tuti igy csinalnam

--
"Van olyan ember sok az oldalon, akinek a kommentjeinek 100%-a zaj, oket miert nem kommentelitek ilyen lelkesen?" (hrgy84)

Sajnos sokan így csinálják, és volt már, aki be is vallotta (azért küldi a hírlevelet -nem spam!- a szolgáltató smarthostján, hogy a saját ip címe tiszta maradjon. Ő ezért fizet, neki ez jár).
Olyan is volt, aki erre külön kért e-mail címet, hogy a sajátja ne kerüljön fel a mindegy is hová.

A legjobb, amikor a magyar nyelvű felületen, amin még a saját usereink sem tudnak kiigazodni, Nigériából regisztrálják a szabályoknak megfelelően a címeket, spammelnek mindegyikről 5-10-et, majd törlik, és már regelik is a következőket.
Egy a4-es oldalra ki se férne már, hogy mik ellen kell védekezni. :(
--
zsebHUP-ot használok!

Lehet félreérthető voltam.

"És az sem volt mentség, hogy de bérelt vonalon lógunk."
erre mondtad:
"Miért akarnád bérelt vonalról egyetlen, valószínűleg más szolgáltatás mellé adott accounttal ezt a levélmennyiséget kiküldeni?"
erre szerettem volna reagálni csupán:
"Mert a bérelt vonalért egy csomó pénzt fizetek?"

A többi nem érdekes :)

Bocsanat, had kerdezzek egy latszolag teljesen naivat: mi szukseg van 2015-ben egyaltalan smarthostra? Lehet kattintos feluletet csinalni ahol a user be tudja tekerni a reverse DNS-t, esetleg lehet segiteni DKIM es egyeb nyalanksagokban, kuldjon a sajat mailszervererol. A smarthost a jellegebol adodoan nem tud jol mukodni, hiszen nulla ellenorzesi lehetoseged van, ami bejon, azt ki is kell kuldened.

Plusz ha jol ertem, a T-nek van olyan szolgaltatasa, hogy mindenfele elore konfiguralt divajszt lerak az ugyfelhez.

--
Pásztor János
Üzemeltető Macik

attol meg, hogy berelt vonalrol van szo (felteve, hogy meg errol beszelunk) siman lehet olyan felallas is, hogy a levelezes nem a cegnel van, hanem mashol, igy kell nekik smarthost.

hiszen nulla ellenorzesi lehetoseged van, ami bejon, azt ki is kell kuldened.

mar miert kellene? Policy alapjan eldobalhatsz, amit akarsz, felteve, hogy ezt tudjak a felhasznalok.

--
"Van olyan ember sok az oldalon, akinek a kommentjeinek 100%-a zaj, oket miert nem kommentelitek ilyen lelkesen?" (hrgy84)

Attól hogy bérelt vonalunk van még a T szervereit akartuk használni levélküldéshez. De ugyanúgy mint az egyszeri felhasználó mi is belefutottunk a korlátozásba. Egyébként meg megoldottam, hogy fix IP-vel beállított reverse DNS-sel használjuk a saját mail szerverünket, de nagyon sokat kellett vele futnom, hogy egyáltalán ne nézzenek minket spammernek. Elsősorban azért, mert a kiosztott fix IP a legtöbb szolgáltató szerint dinamikus tartományból került kiosztásra. Nem kevés levelezés kellett hozzá hogy mindenhol elfogadjanak minket mint normális levelezőszervert. Az első időben ezért többször kellett a T-n keresztül küldeni a leveleket, de ugye az a csúnya limit. Az ügyfélszolgálaton szerintem lassan már mindenkit ismerek.

szerk: 100+áfa 10/10-es vonalért 3 éves hűséggel. És ez több mint 3,5 évvel ezelőtt.

--
A főnököm mindig megtartja amit ígér, ha pénzt ígér azt is!

"Annyira unom már azt, hogy fizetek valamiért nem kevés pénzt"

Es tudod is, hogy miert fizetsz? Mert szerintem nem tudod. Egyebkent ez a legtobb ceggel a gond, hangoztatjak, hogy ok mennyit fizetnek, azt pedig szep csendben probaljak eltussolni, hogy az, ami miatt egyebkent verik az asztalt, benne sincs a szerzodesukben. Es ennek napi szintu peldajat latom mindenutt. Nem, azert mert te egy halom penzt fizetsz, azert meg mindig csak az jar, amit alairtal. A tobbit legfeljebb jofejsegbol adhatja a szolgaltato, de jarni a leszerzodott dolgokon felul csak a szad jarhat.
--
Blog | @hron84
Üzemeltető macik

Köszi, tisztában vagyok vele, hogy miért fizetek, tudok olvasni.
Én a teljes sávszélesség folyamatos kihasználásáért vertem anno az asztalt, mely szerintük túl nagy kérés volt részemről.(Nem a T volt.)
Csak hogy értsd. Reklámoztak egy szolgáltatást, amiért én fizettem és elvártam cserébe azt amit reklámoztak. Naiv voltam.

Csatlakozok az elottem szolokhoz, ez a szolgaltatas nem arra valo, hogy napi 1-5000 levelet kuldj ki rajta keresztul. Meg ha nem is hirleveleztek - siman elkepzelem, hogy egy forgalmasabb ugyfelszolinak van ekkora levelforgalma -, akkor is sok ez a levelmennyiseg.
--
Blog | @hron84
Üzemeltető macik

Nincs garancia. A spammelés miatt letiltott ügyfeleket csak jelszómódosítás után engedjük vissza. Konkrétan megtörtént már, hogy a módosítás után aznap már újra spammeltek az accountjából fél Ázsiából. És ezt még kétszer-háromszor, mire megkértük tisztelettel, hogy hívjon szakembert a világra kitárt ablakos OS-éhez.

Imagine this: kinn vagy Indiaban, a joisten hata megett, de haza akarsz szolni, hogy jol vagy, minden faja. Van egy folyamatosan doglodo internetkapcsolatod, amin egy levelet meg eppen elkuldesz valahogy, de minden masra alkalmatlan. Biztos, hogy akarsz szivni azzal is, hogy atverekedd magad egy ilyen ellenorzo bizbaszon? Ertem en, hogy security meg ilyesmi, de ezt igy en se tarrtom feltetlen jo otletnek, mert sokszor arthat (amig van olyan resze a vilagnak, ahol nincs tisztesseges internetkapcsolat).
--
Blog | @hron84
Üzemeltető macik

Arra gondolok, hogy ha azért vezetünk be egy védelmi mechanizmust, hogy védjük magunkat a usereink csúnya tevékenységétől (akár azért, mert ők maguk ilyenek, akár azért, mert mint fentebb valaki rátette a kezét a kredenciálisra), akkor nem tűnik jó ötletnek a user által kikapcsolhatóvá tenni azt.

Nem kell feltalálni a kereket. Az Erste Banknál pl van ilyen szolgáltatás a bankkártyára, azt ki lehet kapcsolni, de ott van a Gugli is, ott nem, lehet honnan nézni példákat. Ekkora méretekben mint a T, kellene telnie R&D részlegere az ilyesmi tesztelésére.

--
Pásztor János
Üzemeltető Macik

Egy bankkártya ilyen irányú dolgait (amik egy másik csatornán adminisztrálódnak) nem feltétlen keverném össze egy online cuccal, ahogy mondtad, a guglinál ez nem kikapcsolós :)
Persze, lehet ezekkel mit kezdeni, de a javasolt kikapcsolhatod azért nem annyira átgondolt :)

Nem, ez egy otlet, semmi tobb. Az otletek termekke valo kidolgozasara vannak megfelelo szakemberek, akiknek fizetnek ezert. Csak arra akartam ramutatni, hogy igenis vannak lehetosegek es nem arrol van szo, hogy a user hulyesegevel nem lehet mit kezdeni. Persze, nem egyszeru 1M useres mailszervert uzemeltetni, de ez nem jelenti azt, hogy nem lehet hatekonyan, masok peldajat alapul veve ezen segiteni. Egy biztos: egy dobozos termek ezt a problemat nem oldja meg.

--
Pásztor János
Üzemeltető Macik

Vannak olyan listák, ahová bejelentés alapján lehet felkerülni, és oda elég 2-3 azonos MTA-ról kimenő spam. Ez tény.
Ilyenkor lehet sírni, ha NDR-t kapnak, és akkor lehet cselekedni.
Persze a buta spamfilter a szabályosan visszaküldött NDR-t is képes spamnek tekinteni, és a feladóhoz nem ér el a probléma. Ez meg már a helyi IT problémája, nem a smarthosté.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Ott dolgozol, és tudod, hogy mi (nem) történt ezügyben? Nem tudom elhiszed-e nekem, hogy attól, hogy valaki "T-Online", vagy "Magyar Telekom", pont ugyanúgy tesznek a fejére, mint bárki máséra?
Annyiban még nehezebb is a dolgod, hogy ha találsz is valamilyen megoldást erre, egy nagyobb cégben sokkal nehezebben viszed keresztül, a jogtól kezdve a marketingen át Zsuzsi néniig mindenkit meg kell kérdezni, egyeztetni.

BTW, az is vicces, amikor egy hasonló méretű szolgáltató egyszercsak elkezd téged tiltani valamilyen RBL-re hivatkozva. Minden ügyfeledet hozzád irányítják, hogy te tudod megoldani a problémát. Próbálsz velük beszélni, leszarnak, közlik, hogy hát kerülj le az RBL-ről és akkor jó lesz. Whitelisting kizárva.
Szopsz vele éjszakákat, valahogy megregulázod a spammereket, majd nyugszol békében. Ezután hónapokkal később ugyanennek a szolgáltatónak az ügyfelei kezdik romba dönteni az ügyfélszolgálatodat, mivel nem tudnak feléd küldeni. Nahát, csak nem mi is bekapcsoltuk ugyanazt az RBL-t (nem szándékosan persze, mielőtt valaki még rosszindulatot feltételezne)? Azért a "hiba" javítása után, a szép emlékek miatt visszaírsz, hogy hát tessék, szedjétek le magatokat, mire ők közlik, hogy ezt nekünk kell megoldanunk, mivel ők nagy szolgáltató, nem tudják leszedetni magukat az RBL-ről, különben is miért nem whitelisteljük. Sőt, azonnal whitelisteljük!

Hidd el, nem olyan egyszerű ez, mint amilyennek látszik. :(

Felesleges bizonygatni ok tudjak hogy mindenki mas hulye csak ok a helikopter.
Talan egyszer majd megertik, hogy ami mukodik kicsiben az nem feltetlenul mukodik egy 10 vagy 100.000X -es szorzoval dolgozo cegnel. Mas az egesz rendszer architekturaja csillio szolgaltatas van osszedrotozva es mindenkinek jo kell hogy legyen a hostingos ugyfeltol a berelt vonalig de meg nancsi neninek is akinek betarcsazos netje van.
kb melyik ujjamat harapjam meg szitu. De ok latjak hogy itten bizony lustak dolgoznak meg leszarjak a dolgokat pfffffff...

Ha lesz egy kis időm, esküszöm megcsinálom, hogy minden user a saját IPv6 címéről küldjön. Lehet, hogy teszek rá /56-okat is, csak hogy kicsit kitoljak azokkal, akik /64-et listáznak (van ilyen?).
Vajon baj lenne, ha a PTR-be beleírnám a feladó e-mail címét? :)
SPF at its best.

( Apo | 2015. 03. 28., szo – 12:28 )

Azert ugy latom a beszelgetes elment egy mas iranyba.
A topicindito egy dynamic poolban levo ip-rol akar levelet kuldeni kifele, amelyet - valljuk be jogosan - nem sokan szeretnek fogadni...

Dinamikus IP-rol hasznald a szolgaltato MTA-t vagy egy nem dinamikus IP-n mukodo sajat mail szervert ( hosting ) akin keresztul kuldesz. Ne uzemeltess dinamikus IP-n szervert es ennyi...

Persze mindig megy a matek hogy ha megveszem a legnagyobb lakossagit vagy az alap uzletit ( dinamyc IP ) akkor majdan en jol megfaragom meg meghakolom es majd megy. Jo esetben a szolgaltato nem korlatozza szenne. De ez nem jelenti azt hogy mindenki atveszi majd a levelkedet. Es ezert a szolgaltatot kutyazni haaaaat...

Még mindig félreértésben vagyunk. Én nem azt mondtam, hogy ezt nem így kell csinálni, vagy jó ötlet, nem kutyáztam a szolgáltatót. Kizárólag a bűnözőzést kifogásoltam.

(az más kérdés, hogy ez az egész baszás simán azért van, mert az smtp fundamentally broken)

Ha tök jól működne az smtp, akkor lehetne otthon levelezőszerver. Azért nem lehet, mert kénytelenek vagyunk szűrni, mert ömlik a szar az smtp protokolon keresztül. (és, hint hint, mutass rfct, ami azt mondja, hogy ez a szabály :) nem fog menni, mert ez a broken design kényszerű fixje).

A protokoll nem határoz meg fix IP-t. Ez tény. Miért is kéne?
Meghatároz viszont sok mást - pl. reverse DNS-t, ami viszontfeloldható. Tudtad, hogy sok dinamikus IP-nek egyszerűen nincs is reverse DNS-e?
Más dolog a SPAM - a levelezésnek vannak szabályai, amivel szűrik az illegális forgalmat. Ezek egyike az, hogy dinamikus IP-ről nem veszünk el levelet. Pont.
Pontosan ugyanolyan öntörvényű megoldás, mint X idő alatt egy IP-ről érkező tömeges HTTP requesteket blokkolni IP szinten. Ja, hopp. Tényleg, erre sincs rfc. Milyen bunkó akkor, aki így tesz?
Nem. Épp ellenkezőleg.
Minden protokollnak megvan a maga gyenge, támadható felülete, ami ellen a szolgáltató (értsd: aki pl. levelet fogad) védekezik. Ez pont egy ilyen pont. Ha dinamikus IP-ről küldesz levelet, akkor bekerülsz egy kalapba, és aszerint kezelnek.
Nem picsogni kell, hanem betartani az illemszabályokat.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Szóval mostmár illemszabályok vannak. :)

Azért kellene, hogy a problémát ne illem, hanem rendes szabályok rendezzék, mert egy normális ökoszisztéma tervezhetően megvédi magát. Az smtp nem ilyen, sajnos -- rengeteg, az internet hőskorából származó cuccal egyetemben -- feltételezi a jóhiszeműséget, és ezer meg egy ebből következő abuzálhat dologtól szenved. Amit mindenki mindenféle illemszabályokkal próbál körbebástyázni. Aztán kiderül, hogy kinek mi az illem ugye. bra meg mehet vitatkozni az at&tvel, hogy most akkor az RBL listáról le kell kerülni, vagy kell-e whitelistelni mert ők nagy szolgáltatók (csak, hogy a topicban is előjötteknél maradjunk), és még ezer ilyen más "illemszabály". Ez nem jó, mert káoszhoz, és tüneti kezeléshez vezet (az a sok szar továbbra is ott kering a rendszerben, ölve az erőforrásokat), max a végfelhasználót tudjuk megkímélni tőle.

Egy tipikus túlterheléses támadást, amire most épp HTTPs példát hoztál, de akármi mást is lehetett volna ilyen alapon meg ne keverd a protokoll hülyeségeiből adódó problémákkal, mert egész más tészta. (Főleg, hogy ilyen dos kezelésére ennél szofisztikáltabb megoldások is vannak az agynélküli ip tiltáson túl, de ez ugye mellékszál :) )

Szóval szori, de nem sikerült meggyőznöd arról, hogy az smtp és környéke nem szar.

az a jó, hogy még mindig azt hiszed, hogy én dinamikus ipről akarnék levelezni, holott még mindig ott tartunk, hogy pusztán a bűnözőzésre vontam fel a szemöldököm ;) (Igen, van értelmes levelezőszerver, amin keresztül bonyolítom a dolgomat, megkapják a leveleimet, meg én is másokét).

Ettől még hadd gondoljam azt, hogy elég nagy takonytákolmány.

Azért képzeljük el azt a végletet is, amikor (pld) csak megbízható szolgáltatóktól kapott tanúsítvánnyal tudsz levelezni, és -hogy véges erőforrás legyen- ezért pénzt is kérnek.
És azt is, hogy ebből mi lenne: ugyanúgy a feltört windowsokon keresztül spammelne mindenki.

Vagy tudunk olyan műszaki megoldásról, ami alapjaiban tenné lehetetlenné a spammelést?
--
zsebHUP-ot használok!

Vannak ilyenek (pld. hashcash), de ez sem megoldás sajnos.
Volt már olyan támadásunk, ami kb. 1 millió IP címről jött, emögött jó eséllyel kb. 1 millió PC volt. Ráadásul ezekben egyre erősebb CPU, illetve GPU, amivel többszörösen lenyomnak bármit, amit ki tudsz találni...
--
zsebHUP-ot használok!

Belegondoltam, tudom, hogy nem egyszerű a probléma. Ettől függetlenül azt gondolom, hogy az smtp környékén jelentős mennyiségű olyan dolog van, amit lehetne értelmesebben csinálni, csak sajnos eredetileg nem gondoltak rá, aztán meg akkorára nőtt az egész, hogy a legacy problémák, meg az egyet nem értés miatt rengeteg kváziszabvány van, meg best practice, ami időnként üti egymást, stb.

Egyébként sajnos nem tudunk, bár azért elgondolkodtató, hogy vannak még azért elterjedt, ingyenes üzenetküldő platformok, ahol ez ilyen mértékben sosem volt probléma. Tudom persze, hogy ennyire célközönség se voltak, meg nyilván sokkal kevésbé látom, hogy mi megy egy ilyennél a falak mögött (akár lehet, hogy pont ugyanez a szarkupac), de azért úgy tűnik, hogy az e-mail mint olyan sok helyen erősen tárt karokkal várja az ilyesmivel próbálkozókat.

dos kezelésére ennél szofisztikáltabb megoldások is vannak az agynélküli ip tiltáson túl,

be bancsad, neki a fail2ban mar ddos protekson :-)

nem sikerült meggyőznöd arról, hogy az smtp és környéke nem szar.

az smtp teljesen jo ... arra, amire kitalaltak. De azota lefolyt egy keves viz a Dunan, es nagyot fordult a vilag a nettel. A problema inkabb az, hogy a hasznalata mar boven atlepte azt a hatart, amikor meg keves fajdalommal le lehetett volna cserelni valami jobbra. Igy azota is csak toldozgatva-foldozgatva vannak a protokoll es kapcsolodo dolgai. Ez van, ebbol kell a legobbat kihozni.

--
"Van olyan ember sok az oldalon, akinek a kommentjeinek 100%-a zaj, oket miert nem kommentelitek ilyen lelkesen?" (hrgy84)

Ja, kitalálták a nyílt, ládába dobott postai levlap megfelelőjét, csak most nagyon nem arra használjuk. És tudom, hogy ebből kell főzni, de ettől még lehet az a véleményem, hogy mikor az a szükségszerű elterjedt gyakorlat, hogy bárkit, aki otthonról akar levelezni, kényszerűségből spammernek bélyegzünk, az nem a "ha minden szabályt betart az ember, akkor tök jól működik az SMTP.", pláne, ha a minden szabály nagy része önkényes.

Pont most futottam bele én is egy ilyenbe Romániában, úgyhogy ez globális/regionális probléma lesz.

Me üzemeltek be egy új kapcsolatot (business kontóra), mielőtt kérek reverse-et mondom nézzünk már rá.
A teljes blokk listázottnak tűnik itt is. Barracuda, SEM Black, Spamhaus ZEN.

Lehet, hogy az ISP-nek elfogyott a fix tartománya, a dynamic meg túlméretes.
Rövidebbre veszi a lease-t, és lecsíp belőle egy párat, majd eladja fixnek.
Csak épp elfelejti lejelenteni, rosszabb esetben még az összes reverse "dynamic-pool" stringet is tartalmaz...
ISP részéről csúnya pebkac
--
PtY - www.onlinedemo.hu, www.westeros.hu

Spamszuroje valogatja. Van aki nem szeret e-mailt fogadni olyan szerverrol, amit nem lehet beazonositani hogy kihez tartozik. (pl. en sem). Allitsd be a rendes domainedet hogy lehessen tudni ki vagy. Evente ketszer van egy false positive, de az eleg gyorsan rendezodni szokott, mert nem en vagyok az egyetlen akinek nem tudnak kuldeni.

--
Pásztor János
Üzemeltető Macik

Ez természetesen igaz.
Sok mínusz pontot ér, ha a reverse szépen validálható, és még a HELO is összhangban van evvel.
Csak arra próbáltam reagálni, hogy a pool megléte nem jelent automatikusan dinamikus tartományt - ellenben azt mindenképp, hogy a tulaj b@szott törődni a normális PTR-rel.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Nekem az a bajom a +5 ponttal, hogy ugye az levelezo szerver gazdaja nem kap visszajelzest, csak egy megfoghatatlan teny hogy "spambe ment". Ha viszont nem megy at a level, akkor altalaban a helyi rendszergazdaknal lecsapodik, hogy miert nem tud levelet kuldeni es meg is javitjak hamarost. Mert ugye az ilyen levelezoszerverek altalaban olyan cegeknel mukodnek, ahol valami randombereltvonal mogott csucsul valami "szerver" az iroda egyik sarkaban, es ezeknel altalaban van valami rendszergazdanak titulalt egyen is.

--
Pásztor János
Üzemeltető Macik

Majdnem. :) Ilyenkor jön egy telefon a sikertelen küldőtől hozzánk (a cégnek akinek küldeni akartak), hogy biztos szar nálunk valami, mert máshova tudnak levelet küldeni, de tőlünk visszapattan. :):):):) Aztán szólnak nekem, hogy vegyem fel velük a kapcsolatot. Minden évben van 1-2 ilyen.
Régebben elmagyaráztam mi a gond, ma már csak rezignáltan felveszem kivétel listára azt jöhetnek a levelek :)
Hogy hol van a szerver nem releváns. Pl ennél a cégünknél a sarokban egy ADSL vonal mögött, de a feladó oldalon volt már komoly infós cég is. (európai hírű)

--
Rózsár Gábor (muszashi)

Volt ilyen, ilyenkor az a megoldas, hogy whitelistre kerul a kuldo es szolunk neki vissza, hogy bizony nem, naluk van a baki es jo lenne javitani. Es altalaban javitjak is. Ehhez persze az is kell, hogy aki az uzleti oldalon ul nalunk, az is ertse, hogy mi ezzel a problema. :)

--
Pásztor János
Üzemeltető Macik

Nem szoktam levenni embert a domain-alapu feherlistarol. Nem faj, hogy ott van, nem IP cimet teszunk fel, hanem kuldo domaint. Tudjuk, hogy o levelet akar kuldeni es keptelen osszerakni, attol a domaintol elfogadunk minden levelet. Ha akar foglalkozik vele, ha nem akar, szivassa magat. Cserebe hatszazcsillio spamtol megkimeljuk magunkat. Arrol nem is beszelve, hogy nem is tudom, mikor jott utoljara ilyen panasz. Ennek valoszinuleg az az oka, hogy az ilyen user nagyon gyorsan rajon, hogy teljes mertekben keptelen levelezni es ennek kezzel foghato anyagi veszteseg a kovetkezmenye, ugyhogy foglalkozik vele.

--
Pásztor János
Üzemeltető Macik

+1
Én már ezért nem is magyarázok, csak megy a cím a white list-re azt kész. :) De most már évek óta csak évi 1-2 van, az kibírható. Régebben rosszabb volt a helyzet. :)

Emlékszem egyszer úgy 10 éve egy hatalmas hálózatos/infós cég előadta, hogy használjam az ő DNS szerverüket, mert abban benne van a gép neve, amiről küldenek. ..amúgy nem volt rendesen feloldható a helo üzenet, mert valami belső gépnevet mondott a helo-ban. Jól lehülyéztek, amiért nem felelt meg az ő DNS szerverük aztán fél órával később jött egy mail, hogy "elvben most már jó" Se bocsi, se pá. :)

--
Rózsár Gábor (muszashi)

Miert csodalkozol? A SORBS DUHL dinamikus IP-ket tartalmazo lista, a Spamhaus ZEN pedig egy osszefoglalo lista, ami szinten tartalmaz dinamikus IP-ket. Errol le se fogsz kerulni, de ez kizarolag azt jelenti, hogy ezen a cimen nem fogsz tudni mailszervert uzemeltetni, hanem egy kozvetito (relay) szervert kell hasznalnod. Ha nem csak a nagy piros feliratot olvasod el, hanem a listahoz tartozo FAQ-t, akkor erre ra is jossz.

--
Pásztor János
Üzemeltető Macik

A dsl-pool nem azt jelenti, hogy dinamikus, hanem azt, hogy dsl tartományból kapott címet - ez a része biztos.
Hogy a T-nél ez automatice dinamikusat jelent-e, meg nem tudom. De lehet, nincs T-s adsl-es ismerősöm akinél meg tudnám nézni, de ettől még lehet, hogy ha ez a kettő együtt jár, akkor dinamikus ip-vel van dolgunk.
Ha meg valóban ez a helyzet, akkor meg csak ismételni tudnám magam, hogy mit gondolok arról, aki dinamikus ip-ről akar levelet küldeni smarthost nélkül :)
--
PtY - www.onlinedemo.hu, www.westeros.hu

Es nem is fognak dsl vagy cable poolra adni reverset. Szoval ha olyan poolban van akkor cumi cecid van ----> buy business net
Meg annak dacara sem hogy egyes poolokban elofordulhat hogy a dinamikus IP-d tulajdonkeppen fix mert nem valtozik ha megzoldulsz se. Volt hogy ezert reklamalt az ugyfel hogy o minden le fel csatlakozasnal ujat szeretne.