Re: Борьба со спамом из внутренней сети
eugene v. samusev - debian-russian@lists.debian.org @ Fri, 27 Jun 2008 11:26:45 +0600: evs Также можно сделать ограничение на количество новых соединений в промежуток evs времени через iptables. Я вполне могу послать «сто тыщ мильйонов» писем в одном соединение, ага? -- .''`. Kirill A. Korinskiy [EMAIL PROTECTED] : :' : proud (maniac)? (developer|hacker) `. `'` http://catap.ru/ - +7 (916) 3-604-704 - xmpp:[EMAIL PROTECTED] `- Debian - when you have better things to do than fixing systems -- madduck pgpG23hroji51.pgp Description: PGP signature
Re: Борьба со спамом из внутренней сети
В сообщении от Friday 27 June 2008 19:56:42 Kirill A. Korinskiy написал(а): evs Также можно сделать ограничение на количество новых соединений в промежуток evs времени через iptables. Я вполне могу послать «сто тыщ мильйонов» писем в одном соединение, ага? Да. Правильнее ограничивать екзимом кол-во соединений, адресатов и иногда размер писем. И поддельные заголовки резать. -- WestCall SPb dept. Phone: +7-(812)-320-0500 ext. 4580 e-mail: [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
Yuri Kozlov - debian-russian@lists.debian.org @ Thu, 26 Jun 2008 21:05:38 +0400: YK Правда, быстро научат трояны через веб отправлять, а мы им тогда капчу :) YK А они распознавалку, а мы ... http://nasse.livejournal.com/160477.html -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] hands-free BSD -- (С)энта -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
Игорь Чумак - debian-russian@lists.debian.org @ Thu, 26 Jun 2008 11:24:51 +0300: ИЧ Про SPF не забываем: Диверсий просьба не предлагать. -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] - Почему-то когда я вызываю сантехника, он не смеется над тем, что я не разбираюсь в унитазах. А админ всегда издеваеццо! - Но ты же не пишешь в резюме, владение унитазом на уровне опытного пользователя. -- http://bash.org.ru/quote.php?num=180938 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
Akkerman - debian-russian@lists.debian.org @ Wed, 25 Jun 2008 13:15:36 +0300: Зато куча троянцев умеет брать инфу о smtp-сервере из настроек аутлука. Даже авторизоваться умеет. A Вот млин :( Умные они однако сейчас стали. Хрен ли? API-то стандартный... -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] на вопрос как дела? отвечать 304 Not Modified -- http://bash.org.ru/quote.php?num=20466 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
В Срд, 25/06/2008 в 22:39 +0300, Akkerman пишет: Покотиленко Костик пишет: А есть способ чтоб не просачивался??? Именно об этом мне и было интересно узнать. Люди поделились своими идеями и дали советы. Я выбрал один из способов как временный. Свести к минимуму - можно, исключить 100% - нет. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
Dmitry V. Agalakov пишет: В сообщении от Wednesday 25 June 2008 01:32:13 Akkerman написал(а): Обсудив ситуацию с начальством решили закрыть 25-й порт и раздать пользователям локальные ящики. Спасибо всем :) Пока остановимся на этом решении, а дальше будем думать... Борьба с исходящим спамом подразумевает обработку СМТП. Зачем ящики? Почему-то забыли самую простую схему: Ставим свой релей с антиспамами и антивирусами по вкусу, принимающий почту из наших сетей, на шлюзе (или бридже) делаем ДНАТ (от клиентов на 25й порт любого хоста) -- наш релей 25й порт. Вобщем все. Имеем: У клиента может быть прописан любой SMTP, почта все равно проверится. А если провернуть похожий фокус с ДНС, то клиенты имена SMTP-серверов могут прописывать даже фейковые: почта все равно уйдет и проверится. Про SPF не забываем: gate:/etc/shorewall# host -t txt mail.ru mail.ru TXT v=spf1 ip4:194.67.57.0/24 ip4:194.67.23.0/24 ip4:194.67.45.0/24 ip4:195.239.211.0/24 ip4:194.186.55.0/24 ip4:195.239.174.0/24 ~all gate:/etc/shorewall# host -t txt inbox.ru inbox.ruTXT v=spf1 ip4:194.67.57.0/24 ip4:194.67.23.0/24 ip4:194.67.45.0/24 ip4:195.239.211.0/24 ip4:194.186.55.0/24 ip4:195.239.174.0/24 ~all gate:/etc/shorewall# host -t txt rambler.ru rambler.ru TXT v=spf1 ip4:81.19.66.0/23 ip4:81.19.88.0/24 -exists:%{ir}.spf.rambler.ru -exists:%{l}.u.spf.rambler.ru ~all gate:/etc/shorewall# host -t txt hotmail.com hotmail.com TXT v=spf1 include:spf-a.hotmail.com include:spf-b.hotmail.com include:spf-c.hotmail.com include:spf-d.hotmail.com ~all -- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
25 июня 2008 г. 23:39 пользователь Akkerman [EMAIL PROTECTED] написал: Покотиленко Костик пишет: А есть способ чтоб не просачивался??? Именно об этом мне и было интересно узнать. Люди поделились своими идеями и дали советы. Я выбрал один из способов как временный. - поставить жестокий антивирус :) - поставить всем Debian -- Regards, Yuri Kozlov
Re: Борьба со спамом из внутренней сети
26 июня 2008 г. 18:53 пользователь Yuri Kozlov написал: 25 июня 2008 г. 23:39 пользователь Akkerman написал: Покотиленко Костик пишет: А есть способ чтоб не просачивался??? Именно об этом мне и было интересно узнать. Люди поделились своими идеями и дали советы. Я выбрал один из способов как временный. - поставить жестокий антивирус :) - поставить всем Debian c включённым SELinux ;)
Re: Борьба со спамом из внутренней сети
В Чтв, 26/06/2008 в 19:10 +0400, Igor Kozlov пишет: 26 июня 2008 г. 18:53 пользователь Yuri Kozlov написал: 25 июня 2008 г. 23:39 пользователь Akkerman написал: Покотиленко Костик пишет: А есть способ чтоб не просачивался??? Именно об этом мне и было интересно узнать. Люди поделились своими идеями и дали советы. Я выбрал один из способов как временный. - поставить жестокий антивирус :) - поставить всем Debian c включённым SELinux ;) И причём тут спам? ;) -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
26 июня 2008 г. 19:37 пользователь Покотиленко Костик [EMAIL PROTECTED] написал: В Чтв, 26/06/2008 в 19:10 +0400, Igor Kozlov пишет: 26 июня 2008 г. 18:53 пользователь Yuri Kozlov написал: 25 июня 2008 г. 23:39 пользователь Akkerman написал: Покотиленко Костик пишет: А есть способ чтоб не просачивался??? Именно об этом мне и было интересно узнать. Люди поделились своими идеями и дали советы. Я выбрал один из способов как временный. - поставить жестокий антивирус :) - поставить всем Debian c включённым SELinux ;) И причём тут спам? ;) Троянов не будет -- спама не будет. Логика. -- Regards, Yuri Kozlov
Re: Борьба со спамом из внутренней сети
В Чтв, 26/06/2008 в 19:50 +0400, Yuri Kozlov пишет: 26 июня 2008 г. 19:37 пользователь Покотиленко Костик [EMAIL PROTECTED] написал: В Чтв, 26/06/2008 в 19:10 +0400, Igor Kozlov пишет: 26 июня 2008 г. 18:53 пользователь Yuri Kozlov написал: 25 июня 2008 г. 23:39 пользователь Akkerman написал: Покотиленко Костик пишет: А есть способ чтоб не просачивался??? Именно об этом мне и было интересно узнать. Люди поделились своими идеями и дали советы. Я выбрал один из способов как временный. - поставить жестокий антивирус :) - поставить всем Debian c включённым SELinux ;) И причём тут спам? ;) Троянов не будет -- спама не будет. Логика. Троянов не будет у тебя, спама меньше станет у соседа, а у тебя как было так и останется :) -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
Victor Wagner [EMAIL PROTECTED] wrote: On 2008.06.25 at 22:25:22 +0300, Покотиленко Костик wrote: сейчас так и работает. Но спам через спамассассин всеравно будет просачиваться... А есть способ чтоб не просачивался??? Я тут как-то рассматривал идею, что если с определенной машины отправляется более N писем в сутки (или в час, но с меньшим N), от неё переставать принимать почту. И предусмотреть на локальном web-сайте формочку, куда пользователь может зайти, и сказать, ДА, я действительно все эти N писем отправил руками, и еще хочу (или Да, у меня был тут троян, я его вычистил, дайте мне наконец отправить мое единственное письмо) Можно еще сделать систему обучаемой - чтобы, зная что данный юзер шлет много почты, немножко поднимала для него N. В новом exim'e вместе с именноваными аклями появилась еще вкусность называемая ratelimit которая именно вышеописанным и занимается. Логи правда засирает быстро, но зато спама становиться еще меньше. Из соображений что авторы троянов вряд ли будут адаптировать свои поделия к подобным изыскам администраторов конкретной локалки, а неудобств юзерам это доставляет заметно меньше, чем попадание в блок-листы. Понижет головную боль. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
26 июня 2008 г. 20:00 пользователь Victor Wagner [EMAIL PROTECTED] написал: On 2008.06.25 at 22:25:22 +0300, Покотиленко Костик wrote: сейчас так и работает. Но спам через спамассассин всеравно будет просачиваться... А есть способ чтоб не просачивался??? Я тут как-то рассматривал идею, что если с определенной машины отправляется более N писем в сутки (или в час, но с меньшим N), от неё переставать принимать почту. И предусмотреть на локальном web-сайте формочку, куда пользователь может зайти, и сказать, ДА, я действительно все эти N писем отправил руками, и еще хочу (или Да, у меня был тут троян, я его вычистил, дайте мне наконец отправить мое единственное письмо) Тогда лучше вообще только отправку через веб оставить. gmail как в воду глядел :) Правда, быстро научат трояны через веб отправлять, а мы им тогда капчу :) А они распознавалку, а мы ... Легче во всём мире поставить debian как я уже советовал :) :) -- Regards, Yuri Kozlov
Re: Борьба со спамом из внутренней сети
Igor Kozlov пишет: 26 июня 2008 г. 18:53 пользователь Yuri Kozlov написал: 25 июня 2008 г. 23:39 пользователь Akkerman написал: Покотиленко Костик пишет: А есть способ чтоб не просачивался??? Именно об этом мне и было интересно узнать. Люди поделились своими идеями и дали советы. Я выбрал один из способов как временный. - поставить жестокий антивирус :) - поставить всем Debian c включённым SELinux ;) Может у юзверей вообще забрать машины и поменять из на счеты? Ну и на сдачу купить медицинский антисептик, чтоб вирусов точно уж не было... -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
Andrey Melnikoff пишет: Я тут как-то рассматривал идею, что если с определенной машины отправляется более N писем в сутки (или в час, но с меньшим N), от неё переставать принимать почту. И предусмотреть на локальном web-сайте формочку, куда пользователь может зайти, и сказать, ДА, я действительно все эти N писем отправил руками, и еще хочу (или Да, у меня был тут троян, я его вычистил, дайте мне наконец отправить мое единственное письмо) Можно еще сделать систему обучаемой - чтобы, зная что данный юзер шлет много почты, немножко поднимала для него N. В новом exim'e вместе с именноваными аклями появилась еще вкусность называемая ratelimit которая именно вышеописанным и занимается. Логи правда засирает быстро, но зато спама становиться еще меньше. Из соображений что авторы троянов вряд ли будут адаптировать свои поделия к подобным изыскам администраторов конкретной локалки, а неудобств юзерам это доставляет заметно меньше, чем попадание в блок-листы. Понижет головную боль. О, вот это было бы классно. Т.е. в exim можно выставить количество писем которые отправит определенный пользователь за определенное время? А если случай когда exim работает релеем для внутренней сети? ЗЫ Вообще очень интересная идея -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
2008/6/27 Akkerman [EMAIL PROTECTED]: Andrey Melnikoff пишет: Я тут как-то рассматривал идею, что если с определенной машины отправляется более N писем в сутки (или в час, но с меньшим N), от неё переставать принимать почту. И предусмотреть на локальном web-сайте формочку, куда пользователь может зайти, и сказать, ДА, я действительно все эти N писем отправил руками, и еще хочу (или Да, у меня был тут троян, я его вычистил, дайте мне наконец отправить мое единственное письмо) Можно еще сделать систему обучаемой - чтобы, зная что данный юзер шлет много почты, немножко поднимала для него N. В новом exim'e вместе с именноваными аклями появилась еще вкусность называемая ratelimit которая именно вышеописанным и занимается. Логи правда засирает быстро, но зато спама становиться еще меньше. Аналогичные опции есть в постфиксе. Из соображений что авторы троянов вряд ли будут адаптировать свои поделия к подобным изыскам администраторов конкретной локалки, а неудобств юзерам это доставляет заметно меньше, чем попадание в блок-листы. Понижет головную боль. О, вот это было бы классно. Т.е. в exim можно выставить количество писем которые отправит определенный пользователь за определенное время? А если случай когда exim работает релеем для внутренней сети? ЗЫ Вообще очень интересная идея Также можно сделать ограничение на количество новых соединений в промежуток времени через iptables. -- Евгений Самусев. Контактная информация: email: [EMAIL PROTECTED] mobile: +79226394899
Re: Борьба со спамом из внутренней сети
Akkerman пишет: San_Sanych пишет: ну например закрыть на форвард 25 порт и открыть только на сервисы которыми пользуются внутри сети Все клиенты это разные компании, они используют общественные почтовые сервера типа mail.ru, rambler.ru и т.п... Закрывать им всем 25-й порт не хотелось бы. Можно попробовать средствами iptables перенаправить соединения с порта 2525 (например) на 25 (сам не проверял): iptables -t nat -I PREROUTING -o ethX --protocol tcp --destination-port 2525 DNAT --to-destination :25 Тогда клиенты должны прописать у себя вместо порта 25 2525 (троянец вряд ли додумается сканировать порты на шлюзе) -- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
,--[Игорь Чумак 25/06/2008 11:27 (GMT +3) | Тогда клиенты должны прописать у себя вместо порта 25 2525 (троянец вряд | ли додумается сканировать порты на шлюзе) `- Зато куча троянцев умеет брать инфу о smtp-сервере из настроек аутлука. Даже авторизоваться умеет. -- Best regards, Mikhail signature.asc Description: This is a digitally signed message part.
Re: Борьба со спамом из внутренней сети
Mikhail A Antonov пишет: Зато куча троянцев умеет брать инфу о smtp-сервере из настроек аутлука. Даже авторизоваться умеет. Вот млин :( Умные они однако сейчас стали. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
В сообщении от Wednesday 25 June 2008 01:32:13 Akkerman написал(а): Обсудив ситуацию с начальством решили закрыть 25-й порт и раздать пользователям локальные ящики. Спасибо всем :) Пока остановимся на этом решении, а дальше будем думать... Борьба с исходящим спамом подразумевает обработку СМТП. Зачем ящики? Почему-то забыли самую простую схему: Ставим свой релей с антиспамами и антивирусами по вкусу, принимающий почту из наших сетей, на шлюзе (или бридже) делаем ДНАТ (от клиентов на 25й порт любого хоста) -- наш релей 25й порт. Вобщем все. Имеем: У клиента может быть прописан любой SMTP, почта все равно проверится. А если провернуть похожий фокус с ДНС, то клиенты имена SMTP-серверов могут прописывать даже фейковые: почта все равно уйдет и проверится. -- WestCall SPb dept. Phone: +7-(812)-320-0500 ext. 4580 e-mail: [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
Dmitry V. Agalakov пишет: Борьба с исходящим спамом подразумевает обработку СМТП. Зачем ящики? Почему-то забыли самую простую схему: Ставим свой релей с антиспамами и антивирусами по вкусу, принимающий почту из наших сетей, на шлюзе (или бридже) делаем ДНАТ (от клиентов на 25й порт любого хоста) -- наш релей 25й порт. Вобщем все. Имеем: У клиента может быть прописан любой SMTP, почта все равно проверится. А если провернуть похожий фокус с ДНС, то клиенты имена SMTP-серверов могут прописывать даже фейковые: почта все равно уйдет и проверится. сейчас так и работает. Но спам через спамассассин всеравно будет просачиваться... -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
В Срд, 25/06/2008 в 21:56 +0300, Akkerman пишет: Dmitry V. Agalakov пишет: Борьба с исходящим спамом подразумевает обработку СМТП. Зачем ящики? Почему-то забыли самую простую схему: Ставим свой релей с антиспамами и антивирусами по вкусу, принимающий почту из наших сетей, на шлюзе (или бридже) делаем ДНАТ (от клиентов на 25й порт любого хоста) -- наш релей 25й порт. Вобщем все. Имеем: У клиента может быть прописан любой SMTP, почта все равно проверится. А если провернуть похожий фокус с ДНС, то клиенты имена SMTP-серверов могут прописывать даже фейковые: почта все равно уйдет и проверится. сейчас так и работает. Но спам через спамассассин всеравно будет просачиваться... А есть способ чтоб не просачивался??? -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
Покотиленко Костик пишет: А есть способ чтоб не просачивался??? Именно об этом мне и было интересно узнать. Люди поделились своими идеями и дали советы. Я выбрал один из способов как временный. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
Покотиленко Костик пишет: сейчас так и работает. Но спам через спамассассин всеравно будет просачиваться... А есть способ чтоб не просачивался??? имхо таких способов нет, как не обучай спам-фильтры все равно спамеры находят способы их обходить а если закрутить гайки то не будут проходить не спамовые письма -- Александр Вайтехович www: http://sanych.nnov.ru e-mail: ssanych[at]gmail[dot]com icq: 168712946 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
Обсудив ситуацию с начальством решили закрыть 25-й порт и раздать пользователям локальные ящики. Спасибо всем :) Пока остановимся на этом решении, а дальше будем думать... -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
В Птн, 20/06/2008 в 19:47 +0300, Akkerman пишет: San_Sanych пишет: ну например закрыть на форвард 25 порт и открыть только на сервисы которыми пользуются внутри сети Все клиенты это разные компании, они используют общественные почтовые сервера типа mail.ru, rambler.ru и т.п... Закрывать им всем 25-й порт не хотелось бы. Другого способа нет. Пусть используют веб-интерфейс, или отправляют через внутренний smtp, где есть проверка на спам. -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
Dmitri V. Ivanov пишет: Клиент, находящийся в приватной сети должен авторизоваться на smtp-сервере почтовой службы. Если у нас есть прозрачный smtp-proxy, то он может это отловить по наличию команды AUTH. Проблемами могут оказаться TLS и pop-before-smtp. Есть ли готовые решения - не знаю. Я вот думаю может раздать всем клиентом ящики на своем сервере и настроить, fetchmail например, для приема почты с их ящиков на mail.ru и т.п. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
Akkerman пишет: Привет всем. Появилась такая проблема: есть debian машина которая раздает инет на десяток других машин в бизнес центре, через нат. Одна из windows машин клиентов была заражена трояном, рассылающим спам. Спам пришел на какой-то немецкий mail-сервер, который пожаловался нашему провайдеру. Провайдер в свою очередь написал нам письмо с предупреждением, обещали закрыть 25-й порт наружу. Зараженная машина была найдена и излечена :) Но через некоторое время ситуация опять повторилась... Не подскажите кто как борется с такими проблемами? Есть идея поднять на роутере mail relay, перенаправлять всю исходящую почту на него и проверять spamassassin`ом например. Но спам всеравно будет просачиваться... Может есть какие-то другие идеи? ну например закрыть на форвард 25 порт и открыть только на сервисы которыми пользуются внутри сети -- Александр Вайтехович www: http://sanych.nnov.ru e-mail: ssanych[at]gmail[dot]com icq: 168712946 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Борьба со спамом из внутренней сети
San_Sanych пишет: ну например закрыть на форвард 25 порт и открыть только на сервисы которыми пользуются внутри сети Все клиенты это разные компании, они используют общественные почтовые сервера типа mail.ru, rambler.ru и т.п... Закрывать им всем 25-й порт не хотелось бы. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]