Bronek Kozicki wrote:
> Marcin Kwiatkowski <m...@N...ajc.com.peel> wrote:
>
>> tu zaczyna się jazda z naszymi klientami za NAT'em. Niektórzy nie
>> dbają o bezpieczeństwo swoich winzgroz, więc wiadomo - wirusy,
>> robale, zombie, które wymykają się zbiorczym adresem. Co jakiś czas
>> dostawałem od futrzaków info o spamie, oraz żeby zaprzestać jego
>> wysyłania (zero więcej info, abym mógł wyśledzić gościa). Czasem się
>> udawało, czasem nie (logi rosną w ilości kilku tyś. wpisów na
>> sekundę!). W końcu wczorach futrzaki przegięli pałę. Pomimo
>
>
> nie "przegieli", tylko na poważnie zajęli się problemem śmieci
> wychodzących z ich sieci. Skoro Ty sobie z nim nie potrafisz poradzić,
> to ktoś inny musiał to zrobić za Ciebie i chwała im za to. A teraz idź
> szukać sobie innej pracy zamiast się użalać, może zajęcie konserwatora
> powierzchni poziomych będzie mniej wymagające?
>
>
> B.
>
>

Ja nie o tym pisałem. Dobrze, że są providerzy, których dział abuse
działa (bo w telepsach maile na abuse lądują chyba w /dev/null). W
naszej sieci abuse też działa i gwarantuję że po pierwsze działamy, aby
wyeliminować spam, po drugie zawsze interweniujemy. Jednak w momencie
kiedy dostaję informację z arbuza futuro "przesyłam informację na temat
spamu. proszę zaprzestać jego wysyłania" i poniżej link do np (głównie)
spamcopa, gdzie wszystkie informacje, które pozwoliły by mi namierzyć
zadymiacza poza timestampem zostały usunięte (co też rozumiem), to niby
jak mam ustalić źródło pochodzenia takiego robala? Wiem tylko, że o
godz. tej a tej, coś wyszło przez łącza PF, a przedstawiło się HELO
jednym z naszych DSL'i (które służą do proxy) - bo robale sprawdzają
przez WWW swój IP. Logi proxy z jednego dnia to ok. 10mln. linii. Logi
flag SYN z jednej doby zajmują 60mln. linii. Więc żeby wychwytywać
takich ludków musiał bym nic innego nie robić tylko czytać logi, żeby
_może_ po tygodniu namierzyć jednego dymiącego. Inaczej gdyby wszyscy
mieli adresy publiczne. Wówczas, jak jakiś ptyś trafi na spamtrapa, to
DOKŁADNIE wiem kto (i w ciągu 10 sekund znika mu usługa SMTP).
Postawienie własnego proxy SMTP też nie jest najlepszym rozwiazaniem,
ponieważ nie każdy serwer przyjmie połączenie z proxy (owszem, były
takie próby, ale bardzo dużo klientów narzekało na niedziałającą
pocztę). Jeżeli chodzi o moje kompetencje to nie jestem jakimś
studencikiem, "który podjął się wielkiego administrowania, olbrzymimi
sieciami". Akurat w tej materii mam większe doświadczenie niż
konserwacja powierzchni płaskich (czy jak tam się to nazywa ;) - bo
sprzątanie mi akurat nie wychodzi - spytajcie mojej żony ;) Więc skoro
twierdzicie, że problem jest banalny do rozwiązania, tylko _ja_ jestem
tłuk i nie umiem sobie z tym poradzić - ok. Być może tak jest, kłócić
się nie będę. Zapraszam do firmy i oferuję miesięczną pensję za
rozwiązanie problemu. Bo kilka niezależnych osób po zapoznaniu się z
problemem na miejscu rozłożyło ręce. (m.in. ethanak, który tak samo jak
ja jest zagorzałym wrogiem spamu). Problem jest i trzeba go rozwiązać, a
podejście - "to wyłączamy i idziemy do domu" jest co najmniej
nieodpowiedzialne. I niestety od kiedy internet stał się powszechny
istnieje problem nieodpowiedzialnego jego użytkowania (tak, jestem
zwolennikiem koncesjonowania dostępu do internetu nawet dla osób
prywatnych). Ale mojemu szefowi, który ma z tego przychody nie powiem
przecież, żeby przed podłączeniem jakiegoś kotlesia robił mu egzamin z
podstaw bezpieczeństwa użytkowania sieci, bo zabił by mnie śmiechem.
Protezą na szybko problem rozwiązałem puszczając cały ruch SMTP na
DSL'e. tepsa i tak ma w głębokim poważaniu czy klient spamuje/rozsyła
wirusy/czy konstruuje bombę jądrową. A czasu brak, bo w poniedziałek
administrację przejmuje młody admin, który jest przerażony takimi
problemami.

Pozdrawiam,
Marcin Kwiatkowski

--
Marcin Kwiatkowski
Mandriva IE Asterisk trainer
Fix: +353 283 68 60