On Thu, 29 Jul 2004 22:55:06 +0200, operator wrote:
> może logują SYN-y?
różnica w zegarach może wynosić parę minut, ile osób z kilkudziesięciu
tysięcy klientów może w tym czasie korzystać z smtp na znanym serwerze, np.
wp, onet, interia, o2? Jeżeli zawsze tak mają, że tylko jedna to rozumiem.
Śmiem jednak wątpić w skuteczność takowego mechanizmu.

Pzdr

--
http://www.pajacyk.pl - czy już dzisiaj kliknąłeś dla dzieciaków?

do góry

Thu, 29 Jul 2004 21:03:37 +0000 (UTC), na pl.internet.polip, maciek kanski
napisał(a):

> On Thu, 29 Jul 2004 22:55:06 +0200, operator wrote:
>> może logują SYN-y?
> różnica w zegarach może wynosić parę minut, ile osób z kilkudziesięciu
> tysięcy klientów może w tym czasie korzystać z smtp na znanym serwerze, np.
> wp, onet, interia, o2? Jeżeli zawsze tak mają, że tylko jedna to rozumiem.
> Śmiem jednak wątpić w skuteczność takowego mechanizmu.
>
> Pzdr

Dla ok. tysiąca użytkowników to działa - zależy jeszcze od ich profilu, ale
normalni ludzie nie spędzają całych dni na rozsyłaniu wiadomości, a
rozsyłanie spamu czy wirusów dość łatwo w takich logach jednak
wychwycić (>700 maili tygodniowo można już chyba uznać za mocno
podejrzane).


--
http://www.klolik.org

do góry

Thu, 29 Jul 2004 20:34:10 +0000 (UTC), na pl.internet.polip, maciek kanski
napisał(a):

> On Thu, 29 Jul 2004 20:20:29 +0200, Jakub K Boguslaw wrote:
>>>Macie mechanizm, który na postawie źródła listu pozwala dosięgnąć danego
>>>klienta?
>> tak
> w takim razie możesz powiedzieć, jak to działa dla kilku tysięcy ludków? Już
> całkowicie prywatnie na zasadzie wymiany doświadczeń. Mi do głowy przychodzi
> transparentne SMTP logujące headery wiadomości (można by wtedy podpiąć
> antyvira), albo dumpowanie tablicy aktywnych połaczeń co ok 1 sekunda (brak
> zasobów dyskowych). Naprawdę chciałbym wiedzieć w jaki sposób odwracacie
> informację z nata, na podstawie IP, przybliżonego czasu oraz nagłówków.

Proxy SMTP+AV popełniłem swojego czasu... Miałem jednak pewne obiekcje co
do logowania headerów - czy to nie jest wg Was naruszenie prywatności?
Myślałem o logowaniu samych Message-ID, ale to z kolei nic nie gwarantuje,
bo ich może nie być (a zdaje się, że MTA może je później wręcz podmienić).


--
http://www.klolik.org

do góry

Thu, 29 Jul 2004 17:24:28 +0000 (UTC), na pl.internet.polip, Admin TVK
Tel-Ka napisał(a):

> W artykule <ceb04m$cgf$1@achot.icm.edu.pl> Paweł Tyll napisał(a):
>> "Andrzej 'The Undefined' Dopierała" <u...@p...org> wrote in message
>> news:slrn.pl.cgi29q.5mc.undefine@uc.aramin.one.pl...
>>> hm.. a jak sobie radzisz z SPF-em na np interii albo takich tam roznych?
>> Aktualnie wcale, nie jest to problemem jeszcze. Kombinuję by zrobić tak, żeby
>> zrobić to prawdziwie transparentnie, skanując tylko pocztę i zrywając
>> połączenie w razie czego, ale to znacznie więcej roboty. Do tej pory problem
>> miał jeden klient i zwyczajnie wyłączyłem dla niego tę "usługę".
>
>
> Znalazłem prawdziwie transparetny SMTP (napisany w perlu), wersja
> oryginalna działa jako transparent dla jednego serwera SMTP, równocześnie
> przekazując dane między klientem a serwerem.
> W wolnym czasie chciałem to zmodyfikować do działania jako transparent w
> połączeniu z antywirusem.

Mam takie proxy - napisane w C.

Jest całkowicie transparentne (poza obsługą BDAT), ale:
1. Współpracuje jedynie z linux-netfilter
2. Wymaga patcha na kernel (netfilter nfnetlink-ctnetlink z p-o-m)
3. Własnej, spatchowanej instancji oidentd
4. Musi się znajdować na innym kompie niż jest NAT (na razie)
5. Działa jedynie z mksd, jakoś chęć obsługi czegoś innego nie osiągnęła
masy krytycznej :)

Póki co ma też kilka innych ograniczeń, ale generalnie spełnia swoją rolę i
jeśli ktoś byłby zainteresowany to mogę udostępnić i jakoś zacząć rozwijać.


--
http://www.klolik.org

do góry

Thu, 29 Jul 2004 18:59:06 +0200, na pl.internet.polip, Jakub K. Boguslaw
napisał(a):

> On Thu, 29 Jul 2004 18:19:28 +0200, "Marcin Olejniczak"
> <marcin@usun_mnie.bo-to.pulap'ka-.netmo.info.usun.to
.tez> wrote:
>>
>>No fajnie ze musi, ale co w przypadku kiedy ISP oleje temat albo odpowie, ze
>>on nic nie zrobi zeby nie stracic duzego klienta (jak w w/w przypadku) ?
>
> Mozesz isc z nim do sadu :-)

Ewentualnie zgłosić do jakiegoś DNSBL - to może być dla niego bolesne
(własne serwery SMTP), oraz upierdliwe ("dlaczego nie mogę wysyłać poczty
do swojej cioci!").


--
http://www.klolik.org

do góry

Jakub K. Boguslaw <m...@n...aster.pl> wrote:

> ISP musi reagowac na zgloszenia. Oczywiscie 'reakcja' jest np.
> powiadomienie emailem klienta o zaistnialej sytuacji. :-)

Taaaa. A klient się pewnie strasznie przejmie takim 'powiadomieniem'...


--
Przemysław Maciuszko

do góry

On Fri, 30 Jul 2004 07:38:21 +0000 (UTC), Przemysław Maciuszko
<s...@h...pl> wrote:

>Taaaa. A klient się pewnie strasznie przejmie takim 'powiadomieniem'...
No jasne :)
Albo bedzie sie klocil iz wcale nie ma wirusa.
Sa tacy amatorzy ze zainstaluja sobie antywirusa dla poklasku i nie
aktywuja aktualizacji baz by sobie lacza nie zapychac "zbednym"
transferem.

--
Wiesiek
--
Wiesiek

do góry

maciek kanski wrote:

> On Thu, 29 Jul 2004 22:55:06 +0200, operator wrote:
>
>>może logują SYN-y?
>
> różnica w zegarach może wynosić parę minut, ile osób z kilkudziesięciu
> tysięcy klientów może w tym czasie korzystać z smtp na znanym serwerze, np.
> wp, onet, interia, o2? Jeżeli zawsze tak mają, że tylko jedna to rozumiem.
> Śmiem jednak wątpić w skuteczność takowego mechanizmu.

kilkadziesiąt tysięcy klientów NATują zapewne na routowalną klasę C...

do góry

maciek kanski wrote:

> On Thu, 29 Jul 2004 22:55:06 +0200, operator wrote:
>
>>może logują SYN-y?
>
> różnica w zegarach może wynosić parę minut, ile osób z kilkudziesięciu
> tysięcy klientów może w tym czasie korzystać z smtp na znanym serwerze, np.
> wp, onet, interia, o2? Jeżeli zawsze tak mają, że tylko jedna to rozumiem.
> Śmiem jednak wątpić w skuteczność takowego mechanizmu.

kilkadziesiąt tysięcy klientów i tak musi być NATowane na spory zakres
adresów routowalnych - to nieco poprawia szanse

do góry

W artykule <1...@w...klolik.i-to-tez.org> Bartłomiej Korupczyński
napisał(a):

>> Znalazłem prawdziwie transparetny SMTP (napisany w perlu), wersja
>> oryginalna działa jako transparent dla jednego serwera SMTP, równocześnie
>> przekazując dane między klientem a serwerem.
>> W wolnym czasie chciałem to zmodyfikować do działania jako transparent w
>> połączeniu z antywirusem.
>
> Mam takie proxy - napisane w C.
>
> Jest całkowicie transparentne (poza obsługą BDAT), ale:
> 1. Współpracuje jedynie z linux-netfilter
> 2. Wymaga patcha na kernel (netfilter nfnetlink-ctnetlink z p-o-m)
> 3. Własnej, spatchowanej instancji oidentd
> 4. Musi się znajdować na innym kompie niż jest NAT (na razie)
> 5. Działa jedynie z mksd, jakoś chęć obsługi czegoś innego nie osiągnęła
> masy krytycznej :)
>
> Póki co ma też kilka innych ograniczeń, ale generalnie spełnia swoją rolę i
> jeśli ktoś byłby zainteresowany to mogę udostępnić i jakoś zacząć rozwijać.
jak mozesz udostepnij ;)
najlepiej na jakiejs zjadliwej licencji :)
Moze sie komus przyda :)

--
Andrzej 'The Undefined' Dopierała
UNIX && Linux administrator, Adam Mickiewicz University WMiI
PLD Linux Developer HomePage: http://aramin.net/
JID: u...@p...net e-mail: u...@p...org

do góry