[spam] OSF-szerinti kliens MTA lassítás

Web, mail, IRC, IM, hálózatok

Az ötlet régi, s nem is az enyém, de kiváncsi lennék a véleményetekre, lenne-e értelem beállítani.

Van egy mail szerver bent hostingban, senki nem használja smarthostnak. Arra gondoltam, hogy lelassítanám az összes 9x/XP/Vista felől érkező smtp csomagokat egy 14 kbps modem sebességére. Az exchange-eket nem túl gyakran érintené, nem hinném, hogy komoly cég lehet, aki nem valami WinServer-en futtat exchange-t, azokat pedig nem lassítanám.

Van a netfilternek az OSF modulja (passive os fingerprinting) - persze nincs benne semmilyen official disztróban, hozzá kell forgatni a rendszerhez - ezzel elég jó hatékonysággal meg lehet állapítani, hogy milyen OS küldi a csomagokat. Ezeket a csomagokat megjelölöm, s shapinggel beteszem egy leszabályzott queue-ba. Ez így szerintem a sok win-es zombitól ad némi védelmet.

Ti foglalkoznátok egy ilyen rendszer beállításával?

  • 820 megtekintés

Ha en spammer lennek, oda tolnam a szemetemet, ahol van savszelesseg. Ha a vegpont smtpd egy 14kbps modem sebessegen log, en tuti nem szarakodnek az oda kuldessel, ha egysegnyi ido alatt egy 100 mbiten logo vasra >7300-szor tobb szemetet tudnek kuldeni. En ebbol indultam ki. De teny, hogy nem vagyok spammer, igy nem is biztos, hogy jo a gondolatmenetem.

Feltetelezem, nem openrelay a geped (relay eseten lenne ertelem annak amit mondasz).

Ha csak a gepen hostolt mailbox-ok leveleit fogadja (ill. azon gepeket, aminek o az mx-e), akkor a spammert nem fogja erdekelni a savszel, hanem tolja oda a spammeket amik oda vannak cimezve.
Nehezen tudom elkepzelni egy spammerrol, hogy mericskeli a savszelt amennyivel mennek a levelek... arrol nem is beszelve, hogy az talag spam 2-3 kbyte meretu, az meg a 14k-s "modemeden" is atmenne par masodperc alatt. Ennyi erovel beallithatsz siman rate limitet is pl. postfix-ben, hogy adott ip-rol mondjuk 5 perc alatt max 100 levelet fogadsz, es kesz.

Conditional greylisting-hez viszont fel lehetne hasznalni 1-2 pont erejeig az OSF eredmenyet is, es igy pl. win kliensekrol jovo levelek eleve rosszabb esellyel kerulik el a greylistinget.

A'rpi

Zombie / Robot gépek spammelnek és az hogy félperc vagy 5mp egy spam áttolása az neki mind1. Szerinted egy több ezer (vagy mégtöbb) géppel spammelő okoskának eszébe jut foglalkozni azzal hogy most épp hol van sávszél? A másik, hogy adott egy emailcím lista és arra tolja ki a szarait és ez bazira nem figyel semmi másra szerintem.

Nálunk kb. napi 3000-3500 olyan email jut át a greylisten, ami később valamilyen módon spamnek jelölt (simán megjelölt, visszapattintott vagy teljesen eldobott szintek vannak). Elnézve a feladó helyeket baromira nincs válogatás, de van aki még az SMTP helo -ig sem jut, mert jön vmi baromság.

IMHO a levél tartalom alapú spamszűrésen kívül a greylisting és _esetleg_ néhány kevéssé RFC konform megkötés bevezetése lehet hasznos.

En ugy oldanam meg, hogy egy olyan tartalomszurot hasznalnek, ami kepes feketelista eredmenyet felhasznalni (nem eldobni, hanem csak megjelolni a levelet), majd utana statisztikai analizis. A kevesse rfc konform dolgok sok spambot-ot megfoghatnak, de elobb-ugyis beleesik valami ugyetlenul beallitott, de legitim gep is.

ASK Me No Questions, I'll Tell You No Lies