Dnia Sun, 6 Dec 2009 11:50:21 +0100, Sylwester Zarębski napisał(a):
> Dnia Sat, 5 Dec 2009 22:35:41 +0000 (UTC), Jacek Osiecki napisał(a):
>>> Na pytanie jak, odpowiedź jest prosta, reagować na zgłoszenia o SPAMie.
>> I co da to reagowanie? Zgłoszenie wysłane kilkanaście godzin po otrzymaniu
>> spamu, reakcja przy wdrożeniu absurdalnie wysokich środków - minimum
>> kilkanaście godzin (weryfikacja autentyczności zgłoszenia, uruchomienie
>> monitorowania klienta pod kątem wysyłanych pakietów, telefon do klienta itd.)
>> a tymczasem zombie już zrobiło co miało zrobić czyli wysłało kilkaset
>> tysięcy spamów. Jedyne co operator zrobi, to pogrozi paluszkiem klientowi
>> któremu ew. odetnie port 25 i każde wyczyścić komputer.
> Inni operatorzy potrafią zrobić to 'ew.' i czynią to nader skutecznie.
> To, że TP nie potrafi sobie poradzić z problemem nie jest argumentem, że
> nie można inaczej. Można, czego dowodzą skuteczne działania innych
> operatorów.

Powiedz mi - jakim cudem odcięcie klienta w miesiąc po rozpoczęciu rozsyłki
spamu ma cokolwiek dać? Chyba że chcesz odcinać klienta na podstawie
jakiegoś niezweryfikowanego zgłoszenia - jaasne, to jest pikuś w porównaniu
z takim dramatem jak konieczność ustawienia w programie pocztowym 587
zamiast 25.

>> Podsumowując - spamerzy nadal mają się świetnie, zombie znikają dopiero
>> po tym jak wykonają swoją robotę, klienci są wkurzeni bo co chwila ich
>> maile są odrzucane przez serwery filtrujące po Received:

> Mylisz się, usunięcie w ten sposób 10% całej sieci zombie Neo, to 10%
> mniejsza ilość spamu z Neo w skali całego globu. Nie tylko do twoich
> klientów czy moich. Do tego klient otrzymuje dawkę niezbędnej wiedzy do
> utrzymania swojego komputera w czystości, a definitywnie utracony zombie
> boli bardziej niż możliwość reakcji na powstały problem.

Tymczasem TPSA odcięła 100% spamu z neo (pomijając klientów którym jakiś
leniwy dureń zalecił wyłączenie blokady SMTP). "Definitywnie utracony
zombie" w ogóle nie boli - bo obok 10 userów którzy po miesiącu dochodzenia
zostaliby odłączeni od internetu przez TPSA będzie 10tys. takich którzy
właśnie zaczęli odkrywać internet z neostradą, klikając gdzie popadnie i
łapiąc wszystkie możliwe syfy.

> Odcięcie portu 25 dzisiaj daje mi 100% mniej z sieci Neo, jutro daje mi
> z powrotem całą sieci Neo, której nie mam jak odciąć inaczej niż
> skomplikowanym (i powolnym) oprogramowaniem antyspamowym, który daje mi
> mnóstwo false positives (1-2% to dużo, bardzo dużo).

Czyli wolisz żeby spam nadal swobodnie latał, mówiąc krótko...

> Właściciel botnetu nadal ma nad nim kontrolę i może wprowadzić zmiany
> lub pozbawić się zysku. Nie trzeba być prorokiem, by wiedzieć co
> wybierze.

Póki będzie się dało wysyłać bezpośrednio od klienta do serwera na SMTP, nie
będzie się bawił w zmiany. A gdy już zdecydowana większość operatorów zrobi
tak jak TPSA to wtedy spamerzy będą cieniutko piszczeli.

> Do tego jak już napisałem, kwestia odpowiedzialności za spam zostaje
> przerzucona na administratora, co mi się wcale nie podoba.

Tak jakby teraz spamer nie mógł wysyłać przy użyciu userID.

> A po Received to już chyba nikt nie filtruje (jedynie), po tym jak boty
> zaczęły fałszować Received?

Jak najbardziej filtruje, zwłaszcza ze względu na boty które mogą dodać
Received, ale nie mają wpływu na to co jest doń dopisywane.

>> Weź pod uwagę, że dużo łatwiej jest filtrować spam tego typu. Po pierwsze
>> system pocztowy namierzy takiego spamera nie tylko na podstawie ilości
>> wysłanych pakietów ale też na podstawie treści tak samo jak teraz się robi
>> scoring wiadomości przychodzących. A po drugie - i najważniejsze - takie
>> spamowanie się najnormalniej w świecie nie opłaca spamerom, po prostu pójdą
>> tam gdzie łatwiej jest wysłać spam zamiast bawić się w kradzież haseł z
>> wszystkich możliwych programów pocztowych.

> Jeśli będzie tak jak piszesz, będę bić pokłony, ale wybacz, nie wierzę w
> taki ciąg wydarzeń. TP jest zbyt dużą siecią i zbyt dużo kasy generują
> spamerom, tym bardziej, że botnety *nadal działają* i są gotowe na
> zmiany.

Botnety nie służą tylko do wysyłania spamu. Być może kiedyś przestępcy
bardziej się skupią na wymuszaniu "okupu" od ofiar które chcą uniknąć
DDoS - ale to nie jest żaden argument za tym by ułatwiać życie spamerom.

>> Wyobraź sobie, że głupi greylisting odsiewa bardzo znaczący procent spamu -
>> mimo że przecież taki zombie mógłby teoretycznie przeczytać odpowiedź
>> serwera SMTP, odczekać kilkanaście minut i wysłać ponownie... Dlaczego?
>> Bo po prostu się nie opłaca zabawa w takie sprawdzanie! A Wy tu zapowiadacie
>> wysyp botów bawiących się w kradzieź haseł i ustawień do kont...
> Mylisz się, z oględnych statystyk już ok. 20% połączeń z botnetów
> obchodzi mi greylisting. Potrzeba matką wynalazków.

U mnie wyniki są zgoła inne - ale mniejsza o to, niech będzie 20%. Po tylu
latach od wprowadzenia GL zaledwie 20%? W takim tempie kradzieże haseł to
zajmą im z 10 lat...

>>> Co oznacza powyższe? Że zanim administrator serwera się dowie, że ktoś
>>> wysyła przez niego spam (wystarczy jedno konto i jeden sobotni wieczór),
>>> już będzie na kilku RBLach. Cofnięcie potrwa tydzień/dwa, paru klientów
>>> pójdzie sobie do kogoś innego, w sumie nie ma problemu, prawda?

A, jeszcze tutaj jedno: już widzę klienta beztrosko rezygnującego ze swojego
adresu email :) Całe szczęście że nikt nie wymyślił czegoś a'la przenoszenie
numerów w telekomach - wtedy to dopiero byłby raj dla spamerów...

>> Oznacza, że spamer zamiast beztrosko rozsyłać spam to tysięcy serwerów z
>> których każdy dostanie jeden/kilka strzałów nad którymi nawet nie warto się
>> zastanawiać, teraz spamer by musiał wysyłać wszystko przez jedno konto
>> jednego/kilku providerów poczty, którzy dysponują dużo lepszymi środkami do
>> zwalczania spamu niż providerzy internetu.

> Przecież o tym piszę, zrzuciła odpowiedzialność na administratorów
> serwerów poczty. To oni jakby co będą teraz winni problemu.

Oni zawsze mają problem, bo każdy spamer może już teraz korzystać z
kradzionych kont i haseł. Wieszczone przez Was kasandryczne przepowiednie
brzmią niczym "to skandal że mieszkańcy instalują u siebie zamki w drzwiach,
od teraz złodzieje zamiast wejść zabrać i wyjść będą mordowali żeby odebrać
im klucze".

> Uważasz, że prościej będzie Ci wyciąć swojego klienta, który dobrze
> płaci, czy zgłosić to do abuse providera sieci?

Łatwiej mi będzie wyłapać to że klient nagle rozsyła 10x więcej wiadomości
nadając równocześnie z kilku(dziesięciu) adresów IP. A w sumie to wystarczy
że próbuje nadać dwie wiadomości na raz.

> I to nie będzie jeden/kilka strzałów, ale tyle ilu zarażonych użytkowników
> mających konta u Ciebie. Z tym, że ci użytkownicy być może wirusa mieli rok
> temu, a spam zacznie się teraz, więc problem będziesz mieć Ty i Twój klient.

A niby czemu spam się ma zacząć teraz? Jeśli zacznie się teraz, to znaczy że
klient TERAZ ma trojana, a nie że miał go rok temu.

> W międzyczasie Twój serwer zawiśnie w RBLach ku Twej uciesze.

Równie dobrze może tam trafić teraz, bo np. ktoś go dopisał do Received:
gdzieś w swoim spamie.

> Czy to trzeba tłumaczyć administratorowi, który jak sądzę, powinien mieć
> spore doświadczenia z obsługą swoich klientów?

Cały czas zachowujesz się jakbyś uważał że obecnie spamerzy nie mogą robić
tego o czym piszesz.

>> jednym prostym i niegroźnym dla klientów ciosem na zbity pysk. Zabolało
>> wyłącznie spamerów, leni którym nie chce się czytać maili i listów oraz
>> kilku nawiedzonych którzy gardłują od paru dni w obronie spamerów :)
> Nie, nie wywaliła. Okrutna pomyłka! Ukryła ich na chwilę! Dała czas na
> zmiany, przy czym teraz może umyć ręce i powiedzieć 'no, ale
> zablokowaliśmy spamerów, czego chcecie jeszcze?'.

Jeszcze zrozumiałbym motywację tak lamentujących gdyby równocześnie taki
ruch wykonało 90% sieci udostępniających internet enduserom. Wierz mi,
spamerów strzyka to że jakaś TPSA zablokowała port 25. Owszem, statystycznie
to odczują - tak samo jak wprowadzenie greylistingu, wdrażanie SPF przez
kolenych providerów, emisję programu w TVN Uwaga o tym jak pani Zosia
została zgwałcona przez wirusa który się zainstalował na jej komputerze -
znajdą sobie w końcu inny "rynek". Ot tyle.

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
I don't want something I need. I want something I want.