Dnia Sun, 6 Dec 2009 19:11:24 +0100, Sylwester Zarębski napisał(a):
> Dnia Sun, 6 Dec 2009 13:20:43 +0000 (UTC), Jacek Osiecki napisał(a):
>>> Co ty pi....?! Jak się nie opłaca, jak w tej chwili co 5-te połączenie
>>> obchodzi mi greylisting?! Robią co najmniej 3 połączenia co kilka minut
>>> (nie będę wydłużać czasu blokady do np. pół godziny, by sprawdzić czy
>>> więcej).
>> U siebie nie zaobserwowałem - przez greylisting przebijają się głównie maile
>> wysłane przez różne OR.
> Na wielu serwerach mam podobne wyniki. Z krzywą delikatnie rosnącą.

No OK, widocznie do mnie inne botnety pisują ;) Nie zmienia to faktu, że
nadal przeważająca większość botnetów nie potrafi sobie poradzić z GL mimo
że jego obejście jest banalnie proste.

>> I spamerzy będą mieli problem, bo operatorowi serwera pocztowego dużo
>> łatwiej będzie rozpoznać że jego nadawca właśnie zaczął rozsyłać spam.
>> Oby jak najszybciej taka blokada portu SMTP była wprowadzana przez dużych
>> operatorów - nie ma skuteczniejszej broni przeciwko spamerom.

> Heh, nie "jego nadawca", lecz ktoś korzystający z jego credentiali. To

To oczywiste.

> znacząca różnica. Zablokowanie konta pocztowego na takiej podstawie jest
> mocno problematyczne, szczególnie w przypadku korzystaniu z 99% paneli
> hostingowych (czy cPanel lub Plesk mają osobną blokadę SMTP i reszty?
> nie wydaje mi się, ale dawno nie używałem). Stosowanie ręcznych działań
> ma tę wadę, że działa mocno po fakcie, gdy Twój serwer już dawno jest
> uznany za skompromitowany.

A czemu ręcznych? Wystarczy jeśli nie będzie się dało zestawić równocześnie
dwóch sesji SMTP przy użyciu jednego konta + automatyczne blokowanie gdy
zostanie wysłanych w jednej sesji więcej niż X wiadomości. Z natychmiastowym
zresztą poinformowaniem mailowym klienta że jest podejrzany o spamowanie i
żeby kontynuować - ma kliknąć w dany link i przepisać captcha.

> Zablokowanie IP nic nie da, bo wiele hostów będzie słać spam przy użyciu
> tego konta.

Mowa o zablokowaniu konta gdy równocześnie się za jego pomocą wysyła maile
z więcej niż jednego adresu.

> Aby to sensownie rozwiązać będzie trzeba wdrożyć (kupić?) kolejną
> analizę statystyczno-heurystyczną zachowań i liczyć się z kolejnym false
> positives. I modlić się, żeby sprzęt to pociągnął.

W "perfect world", gdzie pozostają już tylko botnety wysyłające przez
submission, maszyny będą miały znacznie mniej spamu do obrobienia :)

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
I don't want something I need. I want something I want.