-
Path: news-archive.icm.edu.pl!news.rmf.pl!nf1.ipartners.pl!ipartners.pl!news.task.gda
.pl!not-for-mail
From: Sylwester Zarębski <z...@i...net.pl>
Newsgroups: pl.internet.polip
Subject: Re: TPSA władcą internetu (blokada portu 25) - moja korekta
Date: Sun, 6 Dec 2009 19:52:17 +0100
Organization: CI TASK http://www.task.gda.pl/
Lines: 131
Message-ID: <vqju5mngzryt.1mj2ubpbc6z7e$.dlg@40tude.net>
References: <1...@w...tensor.gdynia.pl>
<1...@w...tensor.gdynia.pl>
<s...@l...localdomain>
<hf3u4n$149$1@portraits.wsisiz.edu.pl>
<m...@i...localdomain>
<1...@w...tensor.gdynia.pl>
<hfamsb$stu$1@portraits.wsisiz.edu.pl>
<b45ruzx7n0be.16rm13xzotvw1$.dlg@40tude.net>
<s...@t...ceti.pl>
<1aqwtmgkjn5h7$.1tvpd9aekwbpt$.dlg@40tude.net>
<s...@t...ceti.pl>
NNTP-Posting-Host: 87-205-76-78.adsl.inetia.pl
Mime-Version: 1.0
Content-Type: text/plain; charset="iso-8859-2"
Content-Transfer-Encoding: 8bit
X-Trace: news.task.gda.pl 1260125535 31471 87.205.76.78 (6 Dec 2009 18:52:15 GMT)
X-Complaints-To: a...@n...task.gda.pl
NNTP-Posting-Date: Sun, 6 Dec 2009 18:52:15 +0000 (UTC)
User-Agent: 40tude_Dialog/2.0.15.84pl
Xref: news-archive.icm.edu.pl pl.internet.polip:91562
[ ukryj nagłówki ]Dnia Sun, 6 Dec 2009 15:03:02 +0000 (UTC), Jacek Osiecki napisał(a):
> Dnia Sun, 6 Dec 2009 11:50:21 +0100, Sylwester Zarębski napisał(a):
>> Inni operatorzy potrafią zrobić to 'ew.' i czynią to nader skutecznie.
>> To, że TP nie potrafi sobie poradzić z problemem nie jest argumentem, że
>> nie można inaczej. Można, czego dowodzą skuteczne działania innych
>> operatorów.
> Powiedz mi - jakim cudem odcięcie klienta w miesiąc po rozpoczęciu rozsyłki
> spamu ma cokolwiek dać? Chyba że chcesz odcinać klienta na podstawie
> jakiegoś niezweryfikowanego zgłoszenia - jaasne, to jest pikuś w porównaniu
> z takim dramatem jak konieczność ustawienia w programie pocztowym 587
> zamiast 25.
Wierz mi, chłopaki jak ich poprosić przez odpowiedni telefon, potrafią
znaleźć co trzeba w przeciągu godziny, dwóch. Tylko czemu to nie działa
przez skrzynkę abuse, nie rozumiem. Ogólnie rzecz biorąc, weryfikacja
jest możliwa całkiem szybko, tylko wygodniej jest zrzucić na kogoś
robotę, a ja nie lubię jak tym kimś mam być ja.
> Tymczasem TPSA odcięła 100% spamu z neo (pomijając klientów którym jakiś
> leniwy dureń zalecił wyłączenie blokady SMTP). "Definitywnie utracony
> zombie" w ogóle nie boli - bo obok 10 userów którzy po miesiącu dochodzenia
> zostaliby odłączeni od internetu przez TPSA będzie 10tys. takich którzy
> właśnie zaczęli odkrywać internet z neostradą, klikając gdzie popadnie i
> łapiąc wszystkie możliwe syfy.
Myślałem, że ja wieszczę czarną przyszłość, ale Twoja jest czarniejsza,
wręcz demagogiczna.
>> Odcięcie portu 25 dzisiaj daje mi 100% mniej z sieci Neo, jutro daje mi
>> z powrotem całą sieci Neo, której nie mam jak odciąć inaczej niż
>> skomplikowanym (i powolnym) oprogramowaniem antyspamowym, który daje mi
>> mnóstwo false positives (1-2% to dużo, bardzo dużo).
> Czyli wolisz żeby spam nadal swobodnie latał, mówiąc krótko...
Spam nadal lata, czy tego chcę czy nie. Wolę się przed nim zabezpieczyć
w sposób maksymalnie deterministyczny, a nie statystyczno-heurystyczny.
Wystarczy mi, że obecne antyspamy dla poczty przychodzącej potrafią
robić sieczkę, nie chcę by to samo było dla poczty wychodzącej.
>> Właściciel botnetu nadal ma nad nim kontrolę i może wprowadzić zmiany
>> lub pozbawić się zysku. Nie trzeba być prorokiem, by wiedzieć co
>> wybierze.
> Póki będzie się dało wysyłać bezpośrednio od klienta do serwera na SMTP, nie
> będzie się bawił w zmiany. A gdy już zdecydowana większość operatorów zrobi
> tak jak TPSA to wtedy spamerzy będą cieniutko piszczeli.
Uważam, że wtedy administratorzy serwerów będą cieniutko piszczeli.
>> Do tego jak już napisałem, kwestia odpowiedzialności za spam zostaje
>> przerzucona na administratora, co mi się wcale nie podoba.
> Tak jakby teraz spamer nie mógł wysyłać przy użyciu userID.
Mógł, a każda taka blokada przybliża do punktu, gdy będzie *musiał*.
>> A po Received to już chyba nikt nie filtruje (jedynie), po tym jak boty
>> zaczęły fałszować Received?
> Jak najbardziej filtruje, zwłaszcza ze względu na boty które mogą dodać
> Received, ale nie mają wpływu na to co jest doń dopisywane.
Po co filtrować po czymś co z założenia jest niepewne? Może po From i To
też filtrujesz?
> Botnety nie służą tylko do wysyłania spamu. Być może kiedyś przestępcy
> bardziej się skupią na wymuszaniu "okupu" od ofiar które chcą uniknąć
> DDoS - ale to nie jest żaden argument za tym by ułatwiać życie spamerom.
Wycięcie po miesiącu 10% botnetu jest ułatwianiem, proszę Cię, bez
takich...
>> Mylisz się, z oględnych statystyk już ok. 20% połączeń z botnetów
>> obchodzi mi greylisting. Potrzeba matką wynalazków.
> U mnie wyniki są zgoła inne - ale mniejsza o to, niech będzie 20%. Po tylu
> latach od wprowadzenia GL zaledwie 20%? W takim tempie kradzieże haseł to
> zajmą im z 10 lat...
20% wskazuje trend. Blokada portu SMTP również. Kwestia czasu. Jestem
ostrożny w szacunkach więc rok wydaje mi się odpowiednim terminem.
>>>> Co oznacza powyższe? Że zanim administrator serwera się dowie, że ktoś
>>>> wysyła przez niego spam (wystarczy jedno konto i jeden sobotni wieczór),
>>>> już będzie na kilku RBLach. Cofnięcie potrwa tydzień/dwa, paru klientów
>>>> pójdzie sobie do kogoś innego, w sumie nie ma problemu, prawda?
> A, jeszcze tutaj jedno: już widzę klienta beztrosko rezygnującego ze swojego
> adresu email :) Całe szczęście że nikt nie wymyślił czegoś a'la przenoszenie
> numerów w telekomach - wtedy to dopiero byłby raj dla spamerów...
No i tu właśnie jest problem. Dodajmy do tego przywiązanie do swojego
hasła, które będzie ktoś mimochodem ustawi, bo 'łatwiej zapamiętać' i
masz wieczną bazę. Uważam, że odpowiedzialny za kontakt z klientem z
komputerem zombie powinien być operator, a nie właściciel serwera
poczty, nntp, www, czy czegoś jeszcze innego.
>> Uważasz, że prościej będzie Ci wyciąć swojego klienta, który dobrze
>> płaci, czy zgłosić to do abuse providera sieci?
> Łatwiej mi będzie wyłapać to że klient nagle rozsyła 10x więcej wiadomości
> nadając równocześnie z kilku(dziesięciu) adresów IP. A w sumie to wystarczy
> że próbuje nadać dwie wiadomości na raz.
O, tak? Proszę podaj mi przepis na automat. Najlepiej tak, by po drugiej
wiadomości był pewien swego (czyli bez false positives).
>> I to nie będzie jeden/kilka strzałów, ale tyle ilu zarażonych użytkowników
>> mających konta u Ciebie. Z tym, że ci użytkownicy być może wirusa mieli rok
>> temu, a spam zacznie się teraz, więc problem będziesz mieć Ty i Twój klient.
> A niby czemu spam się ma zacząć teraz? Jeśli zacznie się teraz, to znaczy że
> klient TERAZ ma trojana, a nie że miał go rok temu.
Nie, *ktoś* ma trojana, a hasełko klienta zostało przechwycone w bliżej
nieokreślonym czasie.
>> Czy to trzeba tłumaczyć administratorowi, który jak sądzę, powinien mieć
>> spore doświadczenia z obsługą swoich klientów?
> Cały czas zachowujesz się jakbyś uważał że obecnie spamerzy nie mogą robić
> tego o czym piszesz.
Cóż, robią. W ciągu jednej nocy miałem wysyłkę tysięcy spamu z kilku
kont. Jednak się to zdarza od czasu do czasu, dlatego mam świadomość, iż
ruch wykonany przez TP może być przelaną kroplą.
> Jeszcze zrozumiałbym motywację tak lamentujących gdyby równocześnie taki
> ruch wykonało 90% sieci udostępniających internet enduserom. Wierz mi,
> spamerów strzyka to że jakaś TPSA zablokowała port 25.
Mam nadzieję, że 'strzyka'. Logika zaś podpowiada mi, że niekoniecznie.
--
pozdrawiam
Sylwester Zarębski
Aby wysłać email zmień zbieracz w adresie na sylwek
Następne wpisy z tego wątku
- 06.12.09 19:00 Sylwester Zarębski
- 06.12.09 18:56 Jacek Osiecki
- 06.12.09 19:10 Jacek Osiecki
- 06.12.09 19:19 Michal Tyrala
- 06.12.09 20:02 Lukasz
- 06.12.09 20:38 Sergiusz Rozanski
- 06.12.09 20:39 Sylwester Zarębski
- 06.12.09 21:09 Jacek Osiecki
- 06.12.09 21:24 Krzysztof Halasa
- 06.12.09 21:27 Krzysztof Halasa
- 06.12.09 21:38 Krzysztof Halasa
- 06.12.09 21:32 Jacek Osiecki
- 07.12.09 00:03 Wojciech Puchar
- 07.12.09 00:04 Wojciech Puchar
- 07.12.09 00:06 Wojciech Puchar
Najnowsze wątki z tej grupy
- Jest tutaj kto? Halo, Darius Expert?
- Czy to konieczne? ATMAN - 30.06.2019 - Wyłączenie news.atman.pl
- pl.internet.polip - is DEAD?
- ovh
- INEA
- Prośba o traceroute z Vectry
- BGP - wszyscy wkładają głowę w piasek.
- http://pl
- Re: Czemu jest wylaczany serwer w3cache.icm.edu.pl ?
- Taaaka integracaj na rynku, a tu nikt, nic..
- Alternatywna sieć dla internetu kiedyś w Polsce
- ooerator gsm + stały ip z revdns
- Dostęp do ip nostrady
- narzędzia do weryfikacji poprawności bazy WHOIS
- T-mobile bawi się w MITM....
Najnowsze wątki
- 2024-10-04 Warszawa => QA Engineer <=
- 2024-10-04 Gdańsk => Specjalista ds. Sprzedaży <=
- 2024-10-04 Warszawa => Senior PHP Laravel Developer (e-commerce) <=
- 2024-10-04 Warszawa => Data Scientist / Data Engineer (predictive modelling) <=
- 2024-10-03 Nieparzyste dmuchanie
- 2024-10-03 Prognozowanie zużycia energii przez PGE?
- 2024-10-03 Re: Drugi ekran na Androidzie
- 2024-10-03 sprawiedliwosc nierychliwa
- 2024-10-03 zloto
- 2024-10-03 Odkurzacz mnie bije :(
- 2024-10-03 Gdańsk => Technical Lead ( (Java Background)) <=
- 2024-10-03 Warszawa => Mid IT Recruiter <=
- 2024-10-03 Olsztyn => Sales Specialist <=
- 2024-10-03 Leszczyna nie zna prawa?
- 2024-10-03 Warszawa => OpenText ECM Specialist <=