Dnia Sun, 6 Dec 2009 19:52:17 +0100, Sylwester Zarębski napisał(a):
> Dnia Sun, 6 Dec 2009 15:03:02 +0000 (UTC), Jacek Osiecki napisał(a):
>> Dnia Sun, 6 Dec 2009 11:50:21 +0100, Sylwester Zarębski napisał(a):
>>> To, że TP nie potrafi sobie poradzić z problemem nie jest argumentem, że
>>> nie można inaczej. Można, czego dowodzą skuteczne działania innych
>>> operatorów.
>> Powiedz mi - jakim cudem odcięcie klienta w miesiąc po rozpoczęciu rozsyłki
>> spamu ma cokolwiek dać? Chyba że chcesz odcinać klienta na podstawie
>> jakiegoś niezweryfikowanego zgłoszenia - jaasne, to jest pikuś w porównaniu
>> z takim dramatem jak konieczność ustawienia w programie pocztowym 587
>> zamiast 25.
> Wierz mi, chłopaki jak ich poprosić przez odpowiedni telefon, potrafią
> znaleźć co trzeba w przeciągu godziny, dwóch. Tylko czemu to nie działa
> przez skrzynkę abuse, nie rozumiem.

I ilu takich "chłopaków" znajdziesz by obsługiwali dziesiątki tysięcy
zgłoszeń? To jest nie do obrobienia, jeśli ma być dokładne i wiarygodne, nie
mówiąc już o niepotrzebnych kosztach dla operatora.
Do tego większość zgłoszeń będzie po fakcie - spam wysłany wieczorem,
zgłoszony dopiero rano.

> Ogólnie rzecz biorąc, weryfikacja
> jest możliwa całkiem szybko, tylko wygodniej jest zrzucić na kogoś
> robotę, a ja nie lubię jak tym kimś mam być ja.

Nie, to Ty chcesz zrzucić robotę na providera internetu zamiast wykonać ją
samemu - masz ku temu znacznie lepsze środki (łatwiejsza identyfikacja
spamera, natychmiastowa weryfikacja zgłoszeń dzięki własnym logom.

>> leniwy dureń zalecił wyłączenie blokady SMTP). "Definitywnie utracony
>> zombie" w ogóle nie boli - bo obok 10 userów którzy po miesiącu dochodzenia
>> zostaliby odłączeni od internetu przez TPSA będzie 10tys. takich którzy
>> właśnie zaczęli odkrywać internet z neostradą, klikając gdzie popadnie i
>> łapiąc wszystkie możliwe syfy.
> Myślałem, że ja wieszczę czarną przyszłość, ale Twoja jest czarniejsza,
> wręcz demagogiczna.

To nie jest przyszłość tylko teraźniejszość. Sądzisz że jest inaczej przy
takiej usłudze dla mas? Przeciętny Kowalski nie ma pojęcia o bezpieczeństwie,
W najlepszym wypadku zainstaluje trzymiesięczną darmówkę Norton Antivirusa i
nie zapłaci za jego kontynuację, zajrzy do każdego maila i uruchomi
"microsoft security bulletin" który dobrotliwy MS mu wysłał mimo że przecież
nigdy nie zarejestrował swojego windowsa :(

>>> Odcięcie portu 25 dzisiaj daje mi 100% mniej z sieci Neo, jutro daje mi
>>> z powrotem całą sieci Neo, której nie mam jak odciąć inaczej niż
>>> skomplikowanym (i powolnym) oprogramowaniem antyspamowym, który daje mi
>>> mnóstwo false positives (1-2% to dużo, bardzo dużo).
>> Czyli wolisz żeby spam nadal swobodnie latał, mówiąc krótko...
> Spam nadal lata, czy tego chcę czy nie.

Odebranie spamerom swobody w rozsyłaniu maili za pomocą botnetów na lewo i
prawo by właśnie mocno obcięło ogół "latania spamu".

> Wolę się przed nim zabezpieczyć w sposób maksymalnie deterministyczny,
> a nie statystyczno-heurystyczny.

Przecież to co teraz jest to czyste zwycięstwo spamerów - filtrowanie po
omacku i wieczny dylemat "ciąć skuteczniej czy bez false-positives?

> Wystarczy mi, że obecne antyspamy dla poczty przychodzącej potrafią
> robić sieczkę, nie chcę by to samo było dla poczty wychodzącej.

tylko że antyspamy dla wychodzącej nie zrobią sieczki - po prostu zablokują
dając Ci od razu znać o tym że to zrobiły.

>> Póki będzie się dało wysyłać bezpośrednio od klienta do serwera na SMTP, nie
>> będzie się bawił w zmiany. A gdy już zdecydowana większość operatorów zrobi
>> tak jak TPSA to wtedy spamerzy będą cieniutko piszczeli.
> Uważam, że wtedy administratorzy serwerów będą cieniutko piszczeli.

Albowiem? Jakoś nie piszczą teraz, gdy muszą co chwila tłumaczyć klientom
problem wyboru między skutecznością a brakiem pomyłek antyspamu.

>>> Do tego jak już napisałem, kwestia odpowiedzialności za spam zostaje
>>> przerzucona na administratora, co mi się wcale nie podoba.
>> Tak jakby teraz spamer nie mógł wysyłać przy użyciu userID.
> Mógł, a każda taka blokada przybliża do punktu, gdy będzie *musiał*.

I bardzo dobrze że będzie musiał, bo spam coraz mniej się będzie opłacał.

>>> A po Received to już chyba nikt nie filtruje (jedynie), po tym jak boty
>>> zaczęły fałszować Received?
>> Jak najbardziej filtruje, zwłaszcza ze względu na boty które mogą dodać
>> Received, ale nie mają wpływu na to co jest doń dopisywane.
> Po co filtrować po czymś co z założenia jest niepewne? Może po From i To
> też filtrujesz?

Ja nie filtruję, ale sporo serwerów tak robi.

>> Botnety nie służą tylko do wysyłania spamu. Być może kiedyś przestępcy
>> bardziej się skupią na wymuszaniu "okupu" od ofiar które chcą uniknąć
>> DDoS - ale to nie jest żaden argument za tym by ułatwiać życie spamerom.
> Wycięcie po miesiącu 10% botnetu jest ułatwianiem, proszę Cię, bez
> takich...

Ułatwieniem jest umożliwienie spamowania bez ograniczeń i _być może_
likwidowanie niektórych zombies po miesiącu.

>>> Mylisz się, z oględnych statystyk już ok. 20% połączeń z botnetów
>>> obchodzi mi greylisting. Potrzeba matką wynalazków.
>> U mnie wyniki są zgoła inne - ale mniejsza o to, niech będzie 20%. Po tylu
>> latach od wprowadzenia GL zaledwie 20%? W takim tempie kradzieże haseł to
>> zajmą im z 10 lat...
> 20% wskazuje trend. Blokada portu SMTP również. Kwestia czasu. Jestem
> ostrożny w szacunkach więc rok wydaje mi się odpowiednim terminem.

OK, to i zobaczymy co będzie za rok.

>> A, jeszcze tutaj jedno: już widzę klienta beztrosko rezygnującego ze swojego
>> adresu email :) Całe szczęście że nikt nie wymyślił czegoś a'la przenoszenie
>> numerów w telekomach - wtedy to dopiero byłby raj dla spamerów...
> No i tu właśnie jest problem. Dodajmy do tego przywiązanie do swojego
> hasła, które będzie ktoś mimochodem ustawi, bo 'łatwiej zapamiętać' i
> masz wieczną bazę. Uważam, że odpowiedzialny za kontakt z klientem z
> komputerem zombie powinien być operator, a nie właściciel serwera
> poczty, nntp, www, czy czegoś jeszcze innego.

Za kontakt z klientem powinna być odpowiedzialna jak najbardziej odpowiednia
jednostka. Gdy chodzi o wysyłanie spamu przez serwer pocztowy - to powinien
być właściciel tego serwera.

>>> Uważasz, że prościej będzie Ci wyciąć swojego klienta, który dobrze
>>> płaci, czy zgłosić to do abuse providera sieci?
>> Łatwiej mi będzie wyłapać to że klient nagle rozsyła 10x więcej wiadomości
>> nadając równocześnie z kilku(dziesięciu) adresów IP. A w sumie to wystarczy
>> że próbuje nadać dwie wiadomości na raz.
> O, tak? Proszę podaj mi przepis na automat. Najlepiej tak, by po drugiej
> wiadomości był pewien swego (czyli bez false positives).

Przecież wystarczy choćby zablokowanie adresu w momencie, gdy równocześnie
(lub w przeciągu np. kilku minut) kilka różnych adresów IP autoryzuje się
jego danymi. i przecież nie będzie żadnych silent dropów - jeśli po drugiej
stronie będzie MUA, to użytkownik od razu zobaczy że coś jest nie tak a w
skrzynce odbiorczej już będzie czekała informacja o tymczasowej blokadzie
razem z opisem co zrobić by ją zdjąć jeśli to pomyłka.

>>> mających konta u Ciebie. Z tym, że ci użytkownicy być może wirusa mieli rok
>>> temu, a spam zacznie się teraz, więc problem będziesz mieć Ty i Twój klient.
>> A niby czemu spam się ma zacząć teraz? Jeśli zacznie się teraz, to znaczy że
>> klient TERAZ ma trojana, a nie że miał go rok temu.
> Nie, *ktoś* ma trojana, a hasełko klienta zostało przechwycone w bliżej
> nieokreślonym czasie.

No dobra, więc to znaczy że użytkownik powinien natychmiast zmienić hasło -
ot tyle.

>> Cały czas zachowujesz się jakbyś uważał że obecnie spamerzy nie mogą robić
>> tego o czym piszesz.
> Cóż, robią. W ciągu jednej nocy miałem wysyłkę tysięcy spamu z kilku
> kont. Jednak się to zdarza od czasu do czasu, dlatego mam świadomość, iż
> ruch wykonany przez TP może być przelaną kroplą.

Miałeś taką wysyłkę, bo założyłeś że nikt nie będzie próbował takowej
przeprowadzić. Wiedząc że botnety przede wszystkim używają userid+hasło,
miałbyś już dawno przygotowane zabezpieczenie.

>> Jeszcze zrozumiałbym motywację tak lamentujących gdyby równocześnie taki
>> ruch wykonało 90% sieci udostępniających internet enduserom. Wierz mi,
>> spamerów strzyka to że jakaś TPSA zablokowała port 25.
> Mam nadzieję, że 'strzyka'. Logika zaś podpowiada mi, że niekoniecznie.

Nic to, zobaczymy.

Pozdrawiam,
--
Jacek Osiecki j...@c...pl GG:3828944
I don't want something I need. I want something I want.