Re: TPSA władcą internetu (blokada portu 25) - moja korekta

eGospodarka.pl › Grupy › pl.internet.polip › TPSA władcą internetu (blokada portu 25) - moja korekta › Re: TPSA władcą internetu (blokada portu 25) - moja korekta

Path: news-archive.icm.edu.pl!newsfeed.gazeta.pl!opal.futuro.pl!news.task.gda.pl!not-
for-mail
From: Sylwester Zarębski <z...@i...net.pl>
Newsgroups: pl.internet.polip
Subject: Re: TPSA władcą internetu (blokada portu 25) - moja korekta
Date: Sun, 6 Dec 2009 19:11:24 +0100
Organization: CI TASK http://www.task.gda.pl/
Lines: 43
Message-ID: <hkod5lq1ejb1$.1lh5w10rjw00u.dlg@40tude.net>
References: <1...@w...tensor.gdynia.pl>
<1...@w...tensor.gdynia.pl>
<s...@l...localdomain>
<hf3u4n$149$1@portraits.wsisiz.edu.pl>
<m...@i...localdomain>
<1...@w...tensor.gdynia.pl>
<hfamsb$stu$1@portraits.wsisiz.edu.pl>
<b45ruzx7n0be.16rm13xzotvw1$.dlg@40tude.net>
<1...@w...tensor.gdynia.pl>
<s...@t...ceti.pl>
<xtcw89tdlgsf$.dg993qqbhnge$.dlg@40tude.net>
<s...@t...ceti.pl>
NNTP-Posting-Host: 87-205-76-78.adsl.inetia.pl
Mime-Version: 1.0
Content-Type: text/plain; charset="iso-8859-2"
Content-Transfer-Encoding: 8bit
X-Trace: news.task.gda.pl 1260123095 22939 87.205.76.78 (6 Dec 2009 18:11:35 GMT)
X-Complaints-To: a...@n...task.gda.pl
NNTP-Posting-Date: Sun, 6 Dec 2009 18:11:35 +0000 (UTC)
User-Agent: 40tude_Dialog/2.0.15.84pl
Xref: news-archive.icm.edu.pl pl.internet.polip:91559
[ ukryj nagłówki ]
Dnia Sun, 6 Dec 2009 13:20:43 +0000 (UTC), Jacek Osiecki napisał(a):

> Dnia Sun, 6 Dec 2009 11:00:03 +0100, Sylwester Zarębski napisał(a):
>> Dnia Sat, 5 Dec 2009 22:47:31 +0000 (UTC), Jacek Osiecki napisał(a):
>>> Jak wyjaśnisz praktyczny brak sieci zombie odpornych na greylisting? Ano
>>> właśnie, nie opłaca się botom uodparniać na greylisting! A Ty sugerujesz
>>> wprowadzenie znacznie bardziej zaawansowanych mechanizmów...
>> Co ty pi....?! Jak się nie opłaca, jak w tej chwili co 5-te połączenie
>> obchodzi mi greylisting?! Robią co najmniej 3 połączenia co kilka minut
>> (nie będę wydłużać czasu blokady do np. pół godziny, by sprawdzić czy
>> więcej).
> U siebie nie zaobserwowałem - przez greylisting przebijają się głównie maile
> wysłane przez różne OR.

Na wielu serwerach mam podobne wyniki. Z krzywą delikatnie rosnącą.

>> Zmiany w botach są dość długotrwałe, bo do tej pory nie było niezbędnej
>> potrzeby, ale nastąpił teraz spory impuls, bo właścicielom botnetów
>> zacznie uciekać całkiem spory kawałek gotówki. Myśl logicznie, gdzie są
>> pieniądze, tam będzie potrzeba zmian.
> I spamerzy będą mieli problem, bo operatorowi serwera pocztowego dużo
> łatwiej będzie rozpoznać że jego nadawca właśnie zaczął rozsyłać spam.
> Oby jak najszybciej taka blokada portu SMTP była wprowadzana przez dużych
> operatorów - nie ma skuteczniejszej broni przeciwko spamerom.

Heh, nie "jego nadawca", lecz ktoś korzystający z jego credentiali. To
znacząca różnica. Zablokowanie konta pocztowego na takiej podstawie jest
mocno problematyczne, szczególnie w przypadku korzystaniu z 99% paneli
hostingowych (czy cPanel lub Plesk mają osobną blokadę SMTP i reszty?
nie wydaje mi się, ale dawno nie używałem). Stosowanie ręcznych działań
ma tę wadę, że działa mocno po fakcie, gdy Twój serwer już dawno jest
uznany za skompromitowany.
Zablokowanie IP nic nie da, bo wiele hostów będzie słać spam przy użyciu
tego konta.
Aby to sensownie rozwiązać będzie trzeba wdrożyć (kupić?) kolejną
analizę statystyczno-heurystyczną zachowań i liczyć się z kolejnym false
positives. I modlić się, żeby sprzęt to pociągnął.

--
pozdrawiam
Sylwester Zarębski

Aby wysłać email zmień zbieracz w adresie na sylwek