[Sysadmins] отсеивание спама

Fr. Br. George =?iso-8859-1?q?george_=CE=C1_altlinux=2Eru?=
Ср Сен 20 03:59:17 MSD 2006 

On Mon, Sep 18, 2006 at 08:23:46PM +0300, Michael Shigorin wrote:
> И как ты отличаешь "зараженные троянами IP", интересно?
> (по бэкрезолвингу максимум вида ip-uncle-joe-1.dsl.verizon.net?)
Примерно так. Плюс по отсутствию оного. Плюс по dynamic pool в whois.
И т. п. Если некая машинка, для рассылки почты не предназначенная, с
каким-нибудь занюханным виндовзом, вдруг начинает поливать спамом, ответ
очевиден. Спор-то был о том, часто ли с релея провайдера шлют. Нечасто.
Но точные цифры, разумеется, сказать невозможно.

Оговорюсь: под "заражением троянами" я разумею "инсталляцию спам-бота",
но это как раз одно и то же.

> 
> > > Последний год, судя по тому, что слышу от провайдеров и
> > > диагоналю в обзорах -- через релеи ISP примерно 60%.
> > Статистика у провайдеров меня действительно меньше волнует,
> > чем статистика на моих серверах.
> 
> "У меня" проверка бэкрезолвинга в качестве вынужденной (полосой)
> меры [тоже] большую половину отшивает (на глаз -- mailgraph как
> сломался при переезде на 2.4, так его и забросил, не починив
> быстро).  Но при этом я из этого глобальных выводов и
> универсальных рекомендаций не делаю, поскольку более умный
> и ушлый в теме народ говорит, что спамеры начинают бросать
> кухарок (точнее, не пытаться слать прямо с них).
Пытались. Но есть два неустранимых препятствия: 1) у провайдеров обычно
более сильная antispam-team, чем у кухарок, 2) провайдеров несклько
меньше, чем кухарок. Поэтому пересылка через провайдера -- дело не шибко
надёжное: если начнёшь поливать спамом в промысловых количествах
(сотни, а иногда и тысячи соединений в секунду), тебся поймают через
секунду. Года два назад была такая песня: все наши провайдеры кинулись
настраивать timeout-фильтры, чтобы не больше K писем в M минут с /N
сетки. Ну, и донастривались: поста с umail на rol до сих пор ходит
больше суток :(. А если наливать в час по чайной ложке -- тебя схавают
чёрные списки.

Куда как легче зайти на irc, скачать список тысячи-другой
свежеотдрюченных виндовзов со спам-ботами и налить в каждую по
чуть-чуть. Спам-бот не дурак, он не станет сильно долбиться в одно и то
же место. Тем же путём и заказные DOS-ы делаются. Только покупателей
меньше. Кстати, вот ещё один неформальный признак бота: пришло письмо из
Бразилии со спамом на русской про грузчиков, из одмена, которого ты в
глаза не видел, и которого не увидишь больше никогда. Возможно, не одно
письмо, а три.

-- 
			George V. Kouryachy (aka Fr. Br. George)
			mailto:george at altlinux_ru

Подробная информация о списке рассылки Sysadmins