Dnia Sun, 6 Dec 2009 15:03:02 +0000 (UTC), Jacek Osiecki napisał(a):

> Dnia Sun, 6 Dec 2009 11:50:21 +0100, Sylwester Zarębski napisał(a):
>> Inni operatorzy potrafią zrobić to 'ew.' i czynią to nader skutecznie.
>> To, że TP nie potrafi sobie poradzić z problemem nie jest argumentem, że
>> nie można inaczej. Można, czego dowodzą skuteczne działania innych
>> operatorów.
> Powiedz mi - jakim cudem odcięcie klienta w miesiąc po rozpoczęciu rozsyłki
> spamu ma cokolwiek dać? Chyba że chcesz odcinać klienta na podstawie
> jakiegoś niezweryfikowanego zgłoszenia - jaasne, to jest pikuś w porównaniu
> z takim dramatem jak konieczność ustawienia w programie pocztowym 587
> zamiast 25.

Wierz mi, chłopaki jak ich poprosić przez odpowiedni telefon, potrafią
znaleźć co trzeba w przeciągu godziny, dwóch. Tylko czemu to nie działa
przez skrzynkę abuse, nie rozumiem. Ogólnie rzecz biorąc, weryfikacja
jest możliwa całkiem szybko, tylko wygodniej jest zrzucić na kogoś
robotę, a ja nie lubię jak tym kimś mam być ja.

> Tymczasem TPSA odcięła 100% spamu z neo (pomijając klientów którym jakiś
> leniwy dureń zalecił wyłączenie blokady SMTP). "Definitywnie utracony
> zombie" w ogóle nie boli - bo obok 10 userów którzy po miesiącu dochodzenia
> zostaliby odłączeni od internetu przez TPSA będzie 10tys. takich którzy
> właśnie zaczęli odkrywać internet z neostradą, klikając gdzie popadnie i
> łapiąc wszystkie możliwe syfy.

Myślałem, że ja wieszczę czarną przyszłość, ale Twoja jest czarniejsza,
wręcz demagogiczna.

>> Odcięcie portu 25 dzisiaj daje mi 100% mniej z sieci Neo, jutro daje mi
>> z powrotem całą sieci Neo, której nie mam jak odciąć inaczej niż
>> skomplikowanym (i powolnym) oprogramowaniem antyspamowym, który daje mi
>> mnóstwo false positives (1-2% to dużo, bardzo dużo).
> Czyli wolisz żeby spam nadal swobodnie latał, mówiąc krótko...

Spam nadal lata, czy tego chcę czy nie. Wolę się przed nim zabezpieczyć
w sposób maksymalnie deterministyczny, a nie statystyczno-heurystyczny.
Wystarczy mi, że obecne antyspamy dla poczty przychodzącej potrafią
robić sieczkę, nie chcę by to samo było dla poczty wychodzącej.

>> Właściciel botnetu nadal ma nad nim kontrolę i może wprowadzić zmiany
>> lub pozbawić się zysku. Nie trzeba być prorokiem, by wiedzieć co
>> wybierze.
> Póki będzie się dało wysyłać bezpośrednio od klienta do serwera na SMTP, nie
> będzie się bawił w zmiany. A gdy już zdecydowana większość operatorów zrobi
> tak jak TPSA to wtedy spamerzy będą cieniutko piszczeli.

Uważam, że wtedy administratorzy serwerów będą cieniutko piszczeli.

>> Do tego jak już napisałem, kwestia odpowiedzialności za spam zostaje
>> przerzucona na administratora, co mi się wcale nie podoba.
> Tak jakby teraz spamer nie mógł wysyłać przy użyciu userID.

Mógł, a każda taka blokada przybliża do punktu, gdy będzie *musiał*.

>> A po Received to już chyba nikt nie filtruje (jedynie), po tym jak boty
>> zaczęły fałszować Received?
> Jak najbardziej filtruje, zwłaszcza ze względu na boty które mogą dodać
> Received, ale nie mają wpływu na to co jest doń dopisywane.

Po co filtrować po czymś co z założenia jest niepewne? Może po From i To
też filtrujesz?

> Botnety nie służą tylko do wysyłania spamu. Być może kiedyś przestępcy
> bardziej się skupią na wymuszaniu "okupu" od ofiar które chcą uniknąć
> DDoS - ale to nie jest żaden argument za tym by ułatwiać życie spamerom.

Wycięcie po miesiącu 10% botnetu jest ułatwianiem, proszę Cię, bez
takich...

>> Mylisz się, z oględnych statystyk już ok. 20% połączeń z botnetów
>> obchodzi mi greylisting. Potrzeba matką wynalazków.
> U mnie wyniki są zgoła inne - ale mniejsza o to, niech będzie 20%. Po tylu
> latach od wprowadzenia GL zaledwie 20%? W takim tempie kradzieże haseł to
> zajmą im z 10 lat...

20% wskazuje trend. Blokada portu SMTP również. Kwestia czasu. Jestem
ostrożny w szacunkach więc rok wydaje mi się odpowiednim terminem.

>>>> Co oznacza powyższe? Że zanim administrator serwera się dowie, że ktoś
>>>> wysyła przez niego spam (wystarczy jedno konto i jeden sobotni wieczór),
>>>> już będzie na kilku RBLach. Cofnięcie potrwa tydzień/dwa, paru klientów
>>>> pójdzie sobie do kogoś innego, w sumie nie ma problemu, prawda?
> A, jeszcze tutaj jedno: już widzę klienta beztrosko rezygnującego ze swojego
> adresu email :) Całe szczęście że nikt nie wymyślił czegoś a'la przenoszenie
> numerów w telekomach - wtedy to dopiero byłby raj dla spamerów...

No i tu właśnie jest problem. Dodajmy do tego przywiązanie do swojego
hasła, które będzie ktoś mimochodem ustawi, bo 'łatwiej zapamiętać' i
masz wieczną bazę. Uważam, że odpowiedzialny za kontakt z klientem z
komputerem zombie powinien być operator, a nie właściciel serwera
poczty, nntp, www, czy czegoś jeszcze innego.

>> Uważasz, że prościej będzie Ci wyciąć swojego klienta, który dobrze
>> płaci, czy zgłosić to do abuse providera sieci?
> Łatwiej mi będzie wyłapać to że klient nagle rozsyła 10x więcej wiadomości
> nadając równocześnie z kilku(dziesięciu) adresów IP. A w sumie to wystarczy
> że próbuje nadać dwie wiadomości na raz.

O, tak? Proszę podaj mi przepis na automat. Najlepiej tak, by po drugiej
wiadomości był pewien swego (czyli bez false positives).

>> I to nie będzie jeden/kilka strzałów, ale tyle ilu zarażonych użytkowników
>> mających konta u Ciebie. Z tym, że ci użytkownicy być może wirusa mieli rok
>> temu, a spam zacznie się teraz, więc problem będziesz mieć Ty i Twój klient.
> A niby czemu spam się ma zacząć teraz? Jeśli zacznie się teraz, to znaczy że
> klient TERAZ ma trojana, a nie że miał go rok temu.

Nie, *ktoś* ma trojana, a hasełko klienta zostało przechwycone w bliżej
nieokreślonym czasie.

>> Czy to trzeba tłumaczyć administratorowi, który jak sądzę, powinien mieć
>> spore doświadczenia z obsługą swoich klientów?
> Cały czas zachowujesz się jakbyś uważał że obecnie spamerzy nie mogą robić
> tego o czym piszesz.

Cóż, robią. W ciągu jednej nocy miałem wysyłkę tysięcy spamu z kilku
kont. Jednak się to zdarza od czasu do czasu, dlatego mam świadomość, iż
ruch wykonany przez TP może być przelaną kroplą.

> Jeszcze zrozumiałbym motywację tak lamentujących gdyby równocześnie taki
> ruch wykonało 90% sieci udostępniających internet enduserom. Wierz mi,
> spamerów strzyka to że jakaś TPSA zablokowała port 25.

Mam nadzieję, że 'strzyka'. Logika zaś podpowiada mi, że niekoniecznie.

--
pozdrawiam
Sylwester Zarębski

Aby wysłać email zmień zbieracz w adresie na sylwek