Vladimir Sharun wrote on 22.06.2021 09:44: > Вы хостите почту самых разных пользователей и в огромных масштабах. На > фоне этого, чья-то скромная статистика будет совершенно не > показательной. Смысл тут, скорее всего, в том, каким образом, > конкретные адреса попали в их спам листы. Это может быть и > определённая целевая аудитория. > > > Представь, что я хочу для улучшения своей статистики дать возможность > фильтрации сквозь себя какому-то ограниченному списку доменов.
речь о смене MX'ов сторонних по отношению к ukr.net доменов на mxs.ukr.net с последующей маршрутизацией почты на реальный MX или об обмене информацией (владельцы сторонних доменов отдают данные о входящих письмах, а получают данные о репутации отравителей)? > Или дать инструменты репутационных запросов (а их например есть: по ip, > отправителю в случае фримейлов и приравнянных к ним и домену), но это > API, в котором будет собираться информация о mailfrom (см ниже). > Я хочу понять, насколько это будет приемлемо для сторонней организации: > > 1. организационно (мою почту будут читать или иметь возможность читать! > - нет, это профильная статья и это высекается на раз-два > техническими средствами, что твою почту читают, а договора о > правовой взаипомощи и экстрадиции достанут из любой нормальной > юрисдискции) гм... т. е. таки предполагается заворачивать почту на такой сервис целиком. > 2. технически - это и было самое интересное: > 1. например маркетингер меня уже давно не спамит, потому что это > пустая трата времени, где-то внутри секунды домен блокируется, а > в течении часов - ip. И тут вот еще одно есть интересное:если ты > хочешь, чтобы тебя mail.ru или gmail (именно эти двое) не > забанили, тебе нельзя спамить внутрь, а фидбеклупы они нг > читают. Именно по этой причине есть всякие [email protected] c > десятками тыс получателей, спамящий в блок сутками. Такие же > группировки есть и на gmail'е. По-этому -> > 2. если меня уже не спамят (домен ? mx ?), то кого-то могут > продолжать спамить. У меня нет сомнений, что "там" сидят > ленивые, но высокоинтеллектуальные люди: списки они врядли будут > чистить, а если и да, то почему бы и нет :). т. е. речь о том, что статистика, собранная на базе входящих писем ukr.net становится не репрезентативной не потому, что писем мало (как у остальных), а потому, что спамеры в ряде случаев начинают к ukr.net (и другим "специфическим" получателям) относится немного по-другому? > 3. теперь представьте, что у вас есть засвеченные адреса, которые > спамят постоянно. И на них всех приходит одинаковая почта внутри > минуты. С каждым новым совпадением, включая нерабочие годами > адреса, помноженное на ловушки - уже не может быть вопросов. такие есть почти у всех. а на admin@, office@, sales@, market@, marketing@ и подобные могут присылать спам, даже если они нигде не засвечены и даже если их не существует. > 4. Цель - объединённые усилия, естественно с соблюдением норм GDPR вариант менять MX и получать потом сухой остаток не так интересен, как по API заливать данные о письме (IP отправителя, helo, адрес отправителя, возможно IP получателя, адрес получателя, может ещё версию TLS, cipher или что-то подобное) и по тому же API получать репутацию данного IP отправителя, домена отправителя, полного адреса отправителя. при этом надо бы предусмотреть ещё какие-то атрибуты запроса, в которых можно было бы передать информацию о том, что данный адрес получателя - вообще спамтрап. можно передать информацию об отсылке инфицированных аттачей. и, кстати, можно было бы предусмотреть сабмит данных не только в риалтайме. если в ходе ручных разборок оказалось, что в письме прилетела ссылка на заражённый сайт или что pdf в письме оказался с трояном, на который никто не среагировал, кроме локального антивируса у получателя в момент сохранения аттача на диске, чтобы можно было засабмитить данные о таком письме вручную с указанием причины сабмита. > 5. Чем больше доменов участвуют "в игре", тем выше качество > фильтрации, тем ниже шансы эту группу отспамить. Реакция весьма > быстрая (реалтайм), шансов "отвертеться" очень мало: надо > перестать спамить, надо откуда-то взять адреса, которые не были > засвечены, надо знать, какие адреса засвечены и избавиться от > них: цель достигнута, спам остановлен :) а на сколько эта идея гипететическая? данные о репутации смогут получать только те, кто предоставляет данные для анализа? можно будет получать данные о репутации произвольных IP или адреса отправителя? или только тех, которые соответствуют письму, данные о котором (или само письмо) нужно залить сервису? > PS: есть кейс AmazonSES и бесплатной части Sendgrid'а, где надо > связывать mail from & from после DATA - это как оказалось те еще > сервисы, 40% почты с Амазон-а оказалась спамом, но и это решаемо. т. е. в этом случае сабмита данных, полученных на этапе RCPT To включительно, будет недостаточно. нужны ещё как минимум и заголовки. мало того, ответ сервиса будет справедлив именно для этого письма (в следующем письме с этого же IP с этого же адреса отправителя адрес из заголовка From может уже и совпадать с ним, а в предыдущем мог и не совпадать). > Где-то такая идея. не знаю, на сколько ощутимо выиграет от этого ukr.net (всё же перекос в количестве входящих писем грандиозный), но почтовым системам помельче такая идея может быть весьма полезной. у меня стопоров только два: 1. нет желания заворачивать всю почту через такой сервис путём смены основного MX'а. 2. в случае, если MX переписывать не нужно, нет желания сабмитить письмо целиком (а без этого получить статистику об аттачам и файлах внутри архивов из этих аттачей будет невозможно). но, на сколько я понимаю, даже от получения и анализа данных, доступных до DATA, уже будет польза и для ukr.net и для других участников мероприятия. -- Best wishes Victor Ustugov mailto:[email protected] JID: [email protected] GnuPG/PGP key: https://victor.corvax.kiev.ua/corvax.asc _______________________________________________ Exim-users mailing list [email protected] http://mailground.net/mailman/listinfo/exim-users
