On 07.01.2009, Krzysztof Halasa <k...@p...waw.pl> wroted:

>> Wiesz, to mi przypomina takie bardzo autorytatywne i stuprocentowo logiczne
>> dowody na to, że greylisting SMTP nie ma prawa działać, bo co za problem
>> zaimplemenetować obsługę 450 w maszynkach do spamu. Trudno się nie zgodzić
>> z argumentami, że jest to karanie własnych userów, że nieskuteczne, że na
>> krótką metę itp. Przeciwnicy mają oczywiście rację, a ja mam rząd wielkości
>> mniej spamu w poczcie.
>
> a) greylisting wcale nikogo nie karze (jesli jest dobrze zrobiony),
> email to nie komunikator i jesli za pierwszym razem przyjdzie
> minimalnie pozniej, to nie jest to raczej problem.

Cieszę się że to mówisz, ale argumenty o szykanowaniu własnych userów
również padają.

> b) jesli sam greylisting zmniejsza Ci spam o rzad wielkosci, to chyba
> jestes wyjatkiem. Robiles jakies porownania moze? Wiesz, takie
> obiektywne.

Porównania z czym? Mam jeszcze na dysku wykresy ruchu pocztowego z okresu
włączenia greylistngu - to _był_ rząd wielkości. Nawet jeśli w ciągu tych
dwóch lat skuteczność spadła, ta logicznie udowadniana nieskuteczność
greylistingu nie ma związku z rzeczywistością.

[...]
>>> Co to znaczy "kontrolujacymi botnety"? Pozwalajacymi na polaczenie sie
>>> w charakterze uzytkownika IRC i pozwalajacymi na wymiane komunikatow
>>> z innymi uzytkownikami IRC?
>>
>> O ile przeczytałem wszystko w wątku co jest istotne, scoring się
>> zaczyna nie wtedy, kiedy pozwalasz na te połączenia, ale kiedy łączą się
>> do Ciebie większe ilości zombies.
>
> A co to sa wieksze ilosci? Pisano tu o max tysiacu klientow na jednym
> z serwerow, to nie sa wielkie ilosci nawet normalnych uzytkownikow.

Wszystkie skorelowane z wysyłaniem spamu z danych adresów IP?

>> Jw. Nie wiemy na razie jak dokładnie działa algorytm, ale nie uważasz,
>> że - odkładając na moment na bok p2p itd. - pierwsze sito już daje
>> sygnał do sprawdzenia danego IP?
>
> A jak chcesz takie IP sprawdzac, jesli to nie jest serwer IRC tylko
> maszynka, ktora szyfruje caly ruch?

Nie mam pojęcia. Dopóki nie poznamy szczegółów działania systemu
używanego przez TP trudno w ogóle cokolwiek powiedzieć.

>> Jeśli nagle tysiąc hostów z różnych
>> dynamicznych pul, o których wiadomo, że rozsyłają spam, zaczyna się
>> łączyć skypem do jednego adresu IP, to naprawdę pomyślałbyś, że ot,
>> grupka znajomych chce sobie pogadać?
>
> Nie. Pomyslalbym, ze tysiac niekoniecznie znajomych wlaczylo skype.
> Zwlaszcza jesli ten IP nalezalby do skype, tak jak blokowane IP naleza
> do serwerow IRC. Dokladnie tak samo 1000 userow moze "wlaczyc" IRC.

Tysiąc potwierdzonych źródeł spamu, nie po prostu użytkowników.

>> Jak dla mnie, to pominąłeś ogół. Owszem, ja się zgadzam, że filtrowanie
>> portu 25 jest lepszym rozwiązaniem. Ale nie rozumiem dlaczego z tej okazji
>> ucinanie kontroli botnetów miałoby być nieskuteczne - zwłaszcza, że
>> ograniczenie się do portu 25 pomija wszystkie inne poza spamem nadużycia
>> jakie powodują zombies. Non sequitur, po prostu.
>
> Trzeba od czegos zaczac, blokowanie wychodzacych SMTP blokuje
> przynajmniej jedna rzecz - spam, ale za to skutecznie i bez efektow
> ubocznych (a takze kazdy moze sobie latwo skonfigurowac filtrowanie,
> bez potrzeby inwestowania przez TPSA w cokolwiek itd).

No i dostaliśmy informację, że pracują nad tym. Ponownie: zgadzam się,
że to jest rozwiązanie problemu spamu z dynamicznych adresów. Nie zgadzam
się natomiast z wnioskowaniem typu "ponieważ problem spamu najlepiej jest
rozwiązać filtrowaniem portu 25, to blokowanie kontrolnego ruchu botnetów
jest niepotrzebne i nieskuteczne". Logika mi na to nie pozwala.

>>> Poza tym, zostal tu podany link do dowodu, nie jakiegos argumentu
>>> z ktorym mozna sie zgadzac lub nie.
>>
>> Wątek ma prawie 300 listów, zlituj się i zacytuj.
>
> U mnie tez ma 300 listow, mam na mysli wykres (chyba) od Michala,
> ktory pokazuje, ze po wlaczeniu filtrow spam z neostrad wciaz jest
> wysylany (choc byc moze jest go chwilowo troche mniej - jesli dobrze
> interpretuje to, co bylo logowane).

OK, dlaczego wykres Michała jest dowodem nieksuteczności, a spadek TP
w rankingu senderbase nie jest dowodem skuteczności?

GS
--
Grzegorz Staniak <gstaniak _at_ wp [dot] pl>
Nocturnal Infiltration and Accurate Killing