[storm3128]

наброс:
Но 25-й порт закрывать безусловно, без анализа, необходимо.

[Yurch]

storm3128 (Сегодня, 09:04) писал:

наброс:
Но 25-й порт закрывать безусловно, без анализа, необходимо.

да смысл примерно тот же
но 25 порт по желанию абонента можно оставить открытым

[storm3128]

Абоненту с динамическим адресом 25-й порт не нужен по определению.

[adsh]

Цитата

Теперь же Суд ЕС установил, что анализ и фильтрация трафика пользователей являются нарушением неприкосновенности их частной жизни.

Интересно, насколько тогда правомочно блокировать 25 порт .

Цитата

Абоненту с динамическим адресом 25-й порт не нужен по определению.

Где связь между динамическим адресом и открытием порта? Мне, как postmaster-у, он нужен "по определению", для настройки релеев. А то, что адрес УТ выдаёт динамический - это уж так получилось...

Просто нужно эту блокировку сделать опцией на my.ukrtelercom, чтобы не нужно было пинать техподдержку.

[storm3128]

adsh (Сегодня, 02:24) писал:

Где связь между динамическим адресом и открытием порта?

Связь прямая: на динамическом адресе не должно быть почтового сервера (ну, не то чтпбы это было технически невозможно, но я думаю, что, как постмастер, вы понимаете, что я имею в виду) => сервер-сервер соединения с этого адреса не пойдут => 25й порт не нужен. Для клиент-серверных подключений есть 587.

adsh (Сегодня, 02:24) писал:

Мне, как postmaster-у, он нужен "по определению", для настройки релеев.

Экзотика же . Постмастеров среди пользователей ОГО даже не 1%. Хорошо, если 0.01%. А вот блондинок (в широком смысле слова) с затрояненной зверской сборкой - наберется все 50%, я думаю . В общем, язабан, двумя руками. А также за шейпер на 1 коннект в минуту для тех, кому открыли. Но, к сожалению, такое не залилят .
Hint: Для проверки работоспособности релеев можно тыкаться с одного релея на другой.

[adsh]

storm3128 (07.01.2012 - 17:47) писал:

на динамическом адресе не должно быть почтового сервера

Почему? Как раз входящий релей можно поставить на динамическом адресе. Это может быт шлюз какой-нибудь небольшой фирмы. Технически всё будет работать. Но речь была о закрытии порта на выход. Отсылать напрямую нормально не получится - большинство релеев отшибает всякие pool (в обратном резолвинге) адреса. Укртелеком не шифрует спаммеров обратным резолвингом. Приём спама с пулов УТ - больше проблема криворукости админов принимающего релея.

storm3128 (07.01.2012 - 17:47) писал:

Для клиент-серверных подключений есть 587.

Формально - да. Но реально - бОльшая часть почты отсылается клиентами через 25 порт.

storm3128 (07.01.2012 - 17:47) писал:

А также за шейпер на 1 коннект в минуту для тех, кому открыли.

Это неправильно. Наказывать нужно за правонарушения (спам). Это всё равно, что вас загребюают менты на улице лишь за то, что в сумке у вас молоток .

[storm3128]

adsh (Вчера, 22:09) писал:

Укртелеком не шифрует спаммеров обратным резолвингом.

ORLY? 0-35-135-95.pool.ukrtel.net например. по-моему все очевидно. Или надо выборочно, только провинившихся, типа 4-3-2-1.spammer.ukrtel.net?
А, ну и до кучи: http://www.spamhaus....?ip=95.135.35.0

adsh (Вчера, 22:09) писал:

Это всё равно, что вас загребюают менты на улице лишь за то, что в сумке у вас молоток .

нет, это все равно, что запретить свободное ношение огнестрельного оружия. Кому надо - носит. Остальным - зась, во избежание.

adsh (Вчера, 22:09) писал:

Приём спама с пулов УТ - больше проблема криворукости админов принимающего релея.

мне, как почтовому админу, спится намного спокойнее, зная, что большую часть моей работы сделал за меня УТК

adsh (Вчера, 22:09) писал:

бОльшая часть почты отсылается клиентами через 25 порт.

Проблема безграмотности клиентов и пофигизма/непрофессионализма админов, ящетаю.

adsh (Вчера, 22:09) писал:

Наказывать нужно за правонарушения (спам).

Оно поставило зверьсиди и не знает, что у него черви. Оно даже не знает, что такое черви. Что с него взять, как наказать?

Как мне кажется, проблема релея с прямой отправкой на динамике надумана. 48 грн в месяц нет на статику? Солидность такой фирмы у меня под большим вопросом.

Уточнение: 1 коннекта в минуту хватит типичному пользователю почтового клиента, тем более, число с потолка. Тут, пожалуй лучше подойдет сравнение с ограничением скорости движения в городе, а про оружие - про закрытие порта насовсем.

[adsh]

storm3128 (08.01.2012 - 01:49) писал:

ORLY? 0-35-135-95.pool.ukrtel.net например. по-моему все очевидно. Или надо выборочно, только провинившихся, типа 4-3-2-1.spammer.ukrtel.net?
А, ну и до кучи: http://www.spamhaus....?ip=95.135.35.0

Вообще то я о другом: по виду обратного резолвинга видно, что клиент - потенциальный спаммер и принимать от него почту не нужно.

storm3128 (08.01.2012 - 01:49) писал:

мне, как почтовому админу, спится намного спокойнее, зная, что большую часть моей работы сделал за меня УТК

Там вся работа - прописать одну строчку в конфиге для всех стандартных названий динамических пулов любых провайдеров.

storm3128 (08.01.2012 - 01:49) писал:

Проблема безграмотности клиентов и пофигизма/непрофессионализма админов, ящетаю.

Это не так. Во-первых - нет явного нарушения RFC, во-вторых - многие MUA даже не позволяют настроить отправку почты через 587 порт или их для этого нужно заумно настраивать.

storm3128 (08.01.2012 - 01:49) писал:

Оно поставило зверьсиди и не знает, что у него черви. Оно даже не знает, что такое черви. Что с него взять, как наказать?

Закрыть 25 порт. А не наоборот. Нет вирусной активности - нет нарушения. Это всё равно, что Вас за рулём будут штрафовать "для профилактики".

storm3128 (08.01.2012 - 01:49) писал:

Как мне кажется, проблема релея с прямой отправкой на динамике надумана. 48 грн в месяц нет на статику? Солидность такой фирмы у меня под большим вопросом.

Она надумана для исходящего релея, а не для клиентов. Юзер имеет полное моральное право отправлять легальную почту через "свой" релей, используя авторизацию и стандартный (в понимании MUA) порт.

storm3128 (08.01.2012 - 01:49) писал:

Уточнение: 1 коннекта в минуту хватит типичному пользователю почтового клиента, тем более, число с потолка.

В реальной жизни может быть так - подвиснет этот коннект и юзер вообще не отправит почту. И поднимет истерику. Это очень легко - настроить мониторинг активности на 25 порту и банить по факту злонамеренной активности. Банят заранее - от лени и от непрофессионализма одновременно.

Подведу итог: проблема приёма спама от клиентов УТ - это проблема лени занести слово pool в конфиг релея. УТ это слово честно прописал для всех. Для этого нужно куда меньше усилий, чем выпить бутылку пива. Я вообще не понимаю, зачем нужно было закрывать 25 порт УТ. Их релеи хостятся на адресах вида 195.5, что вообще не пересекается с пулом динамических адресов. Логика закрывающих мне не понятна.

[storm3128]

adsh (Сегодня, 02:16) писал:

Там вся работа - прописать одну строчку в конфиге для всех стандартных названий динамических пулов любых провайдеров.

Рассмотрим этот процесс с точки зрения борьбы со спамом во всем мире: если каждый провайдер зарежет у себя 25-й порт, то это O(n) по затраченным усилиям. Если каждый провайдер пометит пулы, а каждый админ отфильтрует их у себя, то это уже O(n*n). Для меня уже очевиден выигрыш при провайдерском подходе.

adsh (Сегодня, 02:16) писал:

Вообще то я о другом: по виду обратного резолвинга видно, что клиент - потенциальный спаммер и принимать от него почту не нужно.

Как это реализовать технически? Накидайте сценарий с оценкой усилий и используемой техники. Я могу начать: для выяснения, кто есть ху, надо весь трафик (ладно, начало сессий) на 25-й порт наружу проанализировать. От всего миллиона клиентов, или сколько там у утк. Далее, надо завести поле в базе пользователей с признаком спамера, и заполнить его согласно результату проверки. Присвоить имя адресу, думаю, тривиально, но тоже надо запилить, т.е. напрячься. Надо поддерживать соответствие конкретной сессии и адреса на ней с логином: ну ладно radius, туда-сюда, как-то взлетит. Оцените усилия для миллиона пользователей.
Альтернатива: добавить к учетке атрибут, передавать атрибут в начале сессии, активировать/отключать фильтр. Все!

adsh (Сегодня, 02:16) писал:

многие MUA даже не позволяют настроить отправку почты через 587 порт или их для этого нужно заумно настраивать.

Kill it with fire. Даже OE это умеет и настраивается с полпинка.

adsh (Сегодня, 02:16) писал:

Нет вирусной активности - нет нарушения.

Как отличить? Провайдер будет читать исходящую почту, пусть даже трижды роботом-антивирусом? Может сразу Большого Брата в Cc: ставить?

adsh (Сегодня, 02:16) писал:

Это очень легко - настроить мониторинг активности на 25 порту и банить по факту злонамеренной активности. Банят заранее - от лени и от непрофессионализма одновременно.

Админы посчитали стоимость одного и другого решения, и сделали правильный вывод. Посчитайе и Вы, даже не в деньгах, а просто в усилиях. Решения для локалки не годятся для оператора.

[adsh]

storm3128
Я так понял, то Вы просто не представляете как пулы блокируются технически. Велосипед давно изобретён и юзается многими администраторами релеев много лет. Больше ~95% обратных резолвов пулов провайдеров попадают под нижеприведенное регулярное выражение (как я и говорил - одна строка). Мало того - если обратного резолва вообще нет, тупой спаммер (точнее - его софт) часто указывает, что шлёт с подобного пула в helo:

код

From: Alexander Sheiko <adsh (at) ***>
To: CIS Exim users mailing list <exim-users (at) exim.org.ua>
Date: Thursday, August 30, 2007, 12:50:07 PM
Subject: [Exim-rusers] Помогите с condition (if match)

===8<==============Original message text===============

deny    message   	= Access denied - dsl/dialup/cable relays HELO detected, use your ISP SMTP server
        hosts     	= !+relay_from_hosts
        !authenticated = *
        condition 	= ${if match{$sender_helo_name}\
                     	
{\N^((\d{1,3}[\.\-_x]){3}|.*(\d{6,12}|wireless|broadband|modem|dyn|\

                        
cable|client|dial|unused|gprs|dsl|dhcp|user|vpn|home|dip|catv|(v|w)\
                     	
lan|as(1|2|3|4|5)|dynamic(?>ip)|host-ip|ppp|cdma|(?<!mx|s)pool|unassigned)\
                     	
.*\.[-a-z0-9]+\.\w+|.*(?<!smtp).*(cust|host).*\.[-a-
z0-9]+\.\w+)$\N}\
                          {yes}{no}}
Что забавно - выше проверки на динамические helo у меня стоит точно
такой же кондишен, только на имя хоста.

При этом:

   	1967   Rejected RCPT: Access from dsl/dialup/cable relays denied - use your ISP SMTP server
        384   Rejected RCPT: Access denied - dsl/dialup/cable relays HELO detected, use your ISP SMTP server

Т.е. многие динамические хосты не имеют записи в обратной зоне, но
исправно в helo рапортуют, что они динамические :). Соотношение видно
выше.

-- 
WBR, Alexander Sheiko

===8<===========End of original message text===========

Этот же подход используется и на серьёзных почтовых хостингах, вроде ukr.net: http://ukr.net/mta/err.html#enduser (сообщение, которое выдаётся в отлупе).

По поводу мониторинга активности на 25 порту - не нужно никакую почту читать, нужно мониторить количество коннектов за единицу времени. Если онo превышает некую разумную величину - смотреть, что это (на какие сервера отправляется почта, сколько коннектов). Если превышает уже неразумную величину - банить сразу, автоматически.

[storm3128]

adsh (Вчера, 21:06) писал:

Я так понял, то Вы просто не представляете как пулы блокируются технически.

в смысле, хосту присваивается обратный ресолв, попадающий под регекс? представляю, использую.

adsh (Вчера, 21:06) писал:

и юзается многими администраторами релеев много лет

да, каждый запиливает самостоятельно.

adsh (Вчера, 21:06) писал:

и на серьёзных почтовых хостингах, вроде ukr.net:

Для меня укр.нет перестал быть серьезным провайдером после того, как они принимали почту, возвращали 250, но не доставляли. В сообщении о приемке было сказано, что-то вроде
250 Это спам, мы его не доставим получателю.
Там был не спам, ну да ладно, false positive с кем не случается. В переписке с админами я получил окончательный ответ: если вам что-то не нравится - не пользуйтесь.
Сейчас эта проблема решена - возвращают 5хх, но осадок остался.

adsh (Вчера, 21:06) писал:

нужно мониторить

Итак, 1,000,000 пользователей. Как это реализовать?

[adsh]

storm3128 (09.01.2012 - 00:50) писал:

в смысле, хосту присваивается обратный ресолв, попадающий под регекс? представляю, использую.

Судя по вот этому вопросу:

storm3128 (09.01.2012 - 00:50) писал:

Как это реализовать технически? Накидайте сценарий с оценкой усилий и используемой техники. Я могу начать: для выяснения, кто есть ху, надо весь трафик (ладно, начало сессий) на 25-й порт наружу проанализировать.

Вы подобные правила не используете. Ну да ладно.

storm3128 (09.01.2012 - 00:50) писал:

Для меня укр.нет перестал быть серьезным провайдером после того, как они принимали почту, возвращали 250, но не доставляли.

Я с таким не сталкивался. Просто Владимир Шарун заслуживает искреннего уважения за лучший украинский бесплатный почтовый сервис. Может в последние годы что-то стало не так, я не в курсе. Но то, что на его идеях и конфигах многие учили Exim - факт.

storm3128 (09.01.2012 - 00:50) писал:

Итак, 1,000,000 пользователей. Как это реализовать?

Например на готовом движке my.ukrtelecom (я бы добавил ещё мониторинг других портов, связанных с вируснёй) - там весь трафик даже считают, хоть это сейчас и бессмысленно. Наверное ресурсов много .

[storm3128]

adsh (Сегодня, 01:08) писал:

там весь трафик даже считают,

RADIUS, AAA, SNMP (имeнно так считается трафик, который видно на my.ukrtelecom.ua) – приходилось иметь дело? Надеюсь, что да. Как там органозвать монитринг активности на конкретных TCP–портах?

[adsh]

Я думаю, что там статистику собирают через Netflow. А из статистики уже можно выборку по любым критериям сделать.

[storm3128]

adsh (Сегодня, 20:27) писал:

Netflow

А смысл ради тех циферок городить netflow. Кстати, третий раз: миллион абонентов: как быть?
Даже, точнее не netflow, а что там у Juniper? Jflow or cflowd, как подсказывает мне Википедия.

[adsh]

storm3128 (09.01.2012 - 22:32) писал:

А смысл ради тех циферок городить netflow.

Netflow - в неком роде стандарт для подобных вещей у крупных провайдеров.

storm3128 (09.01.2012 - 22:32) писал:

А смысл ради тех циферок городить netflow. Кстати, третий раз: миллион абонентов: как быть?

Это ко мне вопрос? Я вообще не пойму, зачем они весь трафик для всех считают.

[storm3128]

Ну вы же все время предлагаете анализировать трафик. Оцените масштабы для 1 миллиона абонентов.

[SPINOGRIZ LVOV]

adsh, потому что внешний трафик стоит денежку и за него приходиться платить в терабайтах платить а не купил канал и качаешь во всю
по крайне мере раньше так было

[adsh]

SPINOGRIZ LVOV, для трансконтинентального провайдера отдельно считать трафик каждого пользователя, чтобы рассчитать денежку. Вы меня повеселили . Тарифы давно безлимитные...

Для Укртелекома этот трафик ничего не стоит. Это даже не 100 мбит, чтобы его считать. Просто железо куплено, ресурсов хватает, не простаивать же ему.

storm3128, если считать только 25, 465, 587, 139, 445 порт - нагрузка на биллинг будет куда меньше, чем если считать всё.

[SPINOGRIZ LVOV]

adsh, я вас не веселю, а говорю о жлобстве провайдера
иначе наши каналы в Россию не шли бы через Франкфурт