Re: TPSA władcą internetu (blokada portu 25) - moja korekta

eGospodarka.pl › Grupy › pl.internet.polip › TPSA władcą internetu (blokada portu 25) - moja korekta › Re: TPSA władcą internetu (blokada portu 25) - moja korekta

Path: news-archive.icm.edu.pl!newsfeed.gazeta.pl!feed.news.interia.pl!news.cyf-kr.edu
.pl!news.ceti.pl!not-for-mail
From: Jacek Osiecki <j...@c...pl>
Newsgroups: pl.internet.polip
Subject: Re: TPSA władcą internetu (blokada portu 25) - moja korekta
Date: Sun, 6 Dec 2009 19:10:08 +0000 (UTC)
Organization: CETI S.C. (Krakow, Poland)
Lines: 53
Message-ID: <s...@t...ceti.pl>
References: <1...@w...tensor.gdynia.pl>
<1...@w...tensor.gdynia.pl>
<s...@l...localdomain>
<hf3u4n$149$1@portraits.wsisiz.edu.pl>
<m...@i...localdomain>
<1...@w...tensor.gdynia.pl>
<hfamsb$stu$1@portraits.wsisiz.edu.pl>
<b45ruzx7n0be.16rm13xzotvw1$.dlg@40tude.net>
<1...@w...tensor.gdynia.pl>
<s...@t...ceti.pl>
<xtcw89tdlgsf$.dg993qqbhnge$.dlg@40tude.net>
<s...@t...ceti.pl>
<hkod5lq1ejb1$.1lh5w10rjw00u.dlg@40tude.net>
Reply-To: j...@c...pl
NNTP-Posting-Host: tau.ceti.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: alfa.ceti.pl 1260126608 90270 62.121.128.11 (6 Dec 2009 19:10:08 GMT)
X-Complaints-To: a...@t...ceti.pl
NNTP-Posting-Date: Sun, 6 Dec 2009 19:10:08 +0000 (UTC)
User-Agent: slrn/0.9.7.4 (Linux)
Xref: news-archive.icm.edu.pl pl.internet.polip:91565
[ ukryj nagłówki ]
Dnia Sun, 6 Dec 2009 19:11:24 +0100, Sylwester Zarębski napisał(a):
> Dnia Sun, 6 Dec 2009 13:20:43 +0000 (UTC), Jacek Osiecki napisał(a):
>>> Co ty pi....?! Jak się nie opłaca, jak w tej chwili co 5-te połączenie
>>> obchodzi mi greylisting?! Robią co najmniej 3 połączenia co kilka minut
>>> (nie będę wydłużać czasu blokady do np. pół godziny, by sprawdzić czy
>>> więcej).
>> U siebie nie zaobserwowałem - przez greylisting przebijają się głównie maile
>> wysłane przez różne OR.
> Na wielu serwerach mam podobne wyniki. Z krzywą delikatnie rosnącą.

No OK, widocznie do mnie inne botnety pisują ;) Nie zmienia to faktu, że
nadal przeważająca większość botnetów nie potrafi sobie poradzić z GL mimo
że jego obejście jest banalnie proste.

>> I spamerzy będą mieli problem, bo operatorowi serwera pocztowego dużo
>> łatwiej będzie rozpoznać że jego nadawca właśnie zaczął rozsyłać spam.
>> Oby jak najszybciej taka blokada portu SMTP była wprowadzana przez dużych
>> operatorów - nie ma skuteczniejszej broni przeciwko spamerom.

> Heh, nie "jego nadawca", lecz ktoś korzystający z jego credentiali. To

To oczywiste.

> znacząca różnica. Zablokowanie konta pocztowego na takiej podstawie jest
> mocno problematyczne, szczególnie w przypadku korzystaniu z 99% paneli
> hostingowych (czy cPanel lub Plesk mają osobną blokadę SMTP i reszty?
> nie wydaje mi się, ale dawno nie używałem). Stosowanie ręcznych działań
> ma tę wadę, że działa mocno po fakcie, gdy Twój serwer już dawno jest
> uznany za skompromitowany.

A czemu ręcznych? Wystarczy jeśli nie będzie się dało zestawić równocześnie
dwóch sesji SMTP przy użyciu jednego konta + automatyczne blokowanie gdy
zostanie wysłanych w jednej sesji więcej niż X wiadomości. Z natychmiastowym
zresztą poinformowaniem mailowym klienta że jest podejrzany o spamowanie i
żeby kontynuować - ma kliknąć w dany link i przepisać captcha.

> Zablokowanie IP nic nie da, bo wiele hostów będzie słać spam przy użyciu
> tego konta.

Mowa o zablokowaniu konta gdy równocześnie się za jego pomocą wysyła maile
z więcej niż jednego adresu.

> Aby to sensownie rozwiązać będzie trzeba wdrożyć (kupić?) kolejną
> analizę statystyczno-heurystyczną zachowań i liczyć się z kolejnym false
> positives. I modlić się, żeby sprzęt to pociągnął.

W "perfect world", gdzie pozostają już tylko botnety wysyłające przez
submission, maszyny będą miały znacznie mniej spamu do obrobienia :)

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
I don't want something I need. I want something I want.